Linux 环境下NTP 服务搭建-阿里云开发者社区

##################################################################################

实验环境：Red Hat 6.8

vmware workstation 12.5

NTP Server Name：ocbsap01

NTP client Name: ocbsweb01

实验目的：架设一台ntp服务器，使用internet中的ntp服务器进行网络校时，

并允许子网192.168.10.0/24中的客户机通过该服务器进行网络校时

实验外网NTP地址： cn.pool.ntp.org

###################################################################################

NTP服务器Network Time Protocol（NTP）是用来使计算机时间同步化的一种协议，它可以使计算机对其服务器或时钟源（如石英钟，GPS等等)做同步化，它可以提供高精准度的时间校正（LAN上与标准间差小于1毫秒，WAN上几十毫秒），且可介由加密确认的方式来防止恶毒的协议攻击。

协议使用的UDP 123端口

#####################Server 端操作#####################################

1、检查ntp软件是否安装，这里安装的是系统自带版本ntp-4.2.6p5-10.el6.x86_64

 
        [root@ocbsap01 /]
        # rpm -qa | grep ntp- 
       
        ntp-4.2.6p5-10.el6.x86_64
       
        ntpdate-4.2.6p5-10.el6.x86_64

2、编辑NTP配置文件/etc/ntp.conf,先备份一下，然后echo > /etc/ntp.conf清空文件复制如下配置

restrict 参数解释：

restrict 控制相关权限。

语法为： restrict IP地址 mask 子网掩码参数

其中IP地址也可以是default ，default 就是指所有的IP、

参数有以下几个：

ignore ：关闭所有的 NTP 联机服务

nomodify：客户端不能更改服务端的时间参数，但是客户端可以通过服务端进行网络校时。

notrust ：客户端除非通过认证，否则该客户端来源将被视为不信任子网

noquery ：不提供客户端的时间查询：用户端不能使用ntpq，ntpc等命令来查询ntp服务器

notrap ：不提供trap远端登陆：拒绝为匹配的主机提供模式，控制消息陷阱服务。陷阱服务是ntpdq 控制消息协议的子系统，用于远程事件日志记录程序。

nopeer ：用于阻止主机尝试与服务器对等，并允许欺诈性服务器控制时钟

kod ：访问违规时发送 KoD 包。

restrict -6 表示IPV6地址的权限设置。

注意：如果参数没有设定，那就表示该 IP (或子网)没有任何限制！

2.1 配置文件内容如下：

 
        driftfile 
        /var/lib/ntp/drift 
       
        #默认是拒绝所有的的服务器
       
        restrict default kod nomodify notrap nopeer noquery
       
        restrict -6 default kod nomodify notrap nopeer noquery
       
        #添加同步ntp clent的网段,这里允许 192.168.10.0 网段的客户机进行时间同步
       
        restrict 192.168.10.0    mask 255.255.255.0 nomodify notrap
       
        restrict 127.0.0.1 
       
        restrict -6 ::1
       
        #server 0.rhel.pool.ntp.org iburst
       
        #server 1.rhel.pool.ntp.org iburst
       
        #server 2.rhel.pool.ntp.org iburst
       
        #server 3.rhel.pool.ntp.org iburst
       
        #添加外网同步地址，也就是上一级服务器
       
        server  cn.pool.ntp.org  minpoll 4 maxpoll 4 perfer
       
        #server 127.127.1.0
       
        fudge  127.127.1.0 stratum 10
       
        includefile 
        /etc/ntp/crypto/pw 
       
        keys 
        /etc/ntp/keys 
       
        #指定日志文件位置
       
        logfile 
        /var/log/ntp 
       
        logconfig all
       
        statistics clockstats cryptostats loopstats peerstats

3、启动ntp服务

[root@ocbsap01 etc]# service ntpd start

正在启动 ntpd： [确定]

4、查看ntp Server状态

[root@ocbsap01 ~]# ntpq -p

remote refid st t when poll reach delay offset jitter

==============================================================================

*time6.aliyun.co 10.137.38.86 2 u 5 16 1 48.348 43.397 0.000

相关参数解释：

remote: 指最先响应这个请求的NTP服务器的名称

refid: 指给本地NTP服务器提供时间同步的上级NTP服务器源。

st: 该值用来表示上级NTP服务器源的层级别。由于NTP是层型结构,有顶端的服务器,多层的NTP服务器源，再到客户端。所以服务器从高到低级别可以设定为1-16。为了减缓负荷和网络堵塞,原则上应该避免直接连接到层级别为1的服务器上。

t: 该值用来表示远程服务器的类型，有如下类型：u代表单播或多播的客户端，b代表广播或组播服务器，l代表本地（参考时钟），s代表同级NTP服务器, A代表多播服务器，B代表广播服务器，M代表组播服务器

when: 该值为自上次接收到数据包的时间距离当前的时间值

poll: 该值为本地NTP服务器和上级NTP服务器源的轮询间隔，即双方每过多久同步一次(单位为秒)。在NTP刚开始运行时，poll值会比较小,此时和上级NTP服务器源同步的频率就会增加,因此可以尽快调整到正确的时间范围内。之后poll值就会逐渐增大,同步的频率也就会相应减小。

reach:这是一个八进制值,用来测试能否和服务器连接.每成功连接一次它的值就会增加

delay:该值为本地NTP服务器和上级NTP服务器源的NTP报文的往返时延。

offset:该值为本地NTP服务器和上级NTP服务器源的时间差值。该值越接近0，我们和上级NTP服务器源的时间就越准确。（日常关注这条）

jitter:该值是用来统计在特定个连续的连接数里面offset（时间差值）的分布情况。该数值的绝对值越小，我们和上级NTP服务器源的时间就越准确。

#####################Client 端操作#####################################

1、使用ntpdate命令，检查命令是否安装如果没有安装rpm安装一下

 
        [root@ocbsweb01 ~]
        # rpm -qa | grep ntpdate 
       
        ntpdate-4.2.6p5-10.el6.x86_64

测试修改目前clent端的时间。

[root@ocbsweb01 ~]# date -s 2014/05/05

2014年 05月 05日星期一 00:00:00 CST

[root@ocbsweb01 ~]# date

2014年 05月 05日星期一 00:00:01 CST

2、client端从server端同步时间

 
        [root@ocbsweb01 ~]
        # ntpdate 192.168.10.128 
       
        12 Jan 11:17:37 ntpdate[6694]: adjust 
        time 
        server 192.168.10.128 offset 0.004131 sec

备注：注意防火墙关闭，ntpd启动后客户机要等几分钟再与其进行时间同步，否则会提示“no server suitable for synchronization found”错误。

3、client 自动同步时间，编辑/etc/ntp.conf，chkconfig ntpd --level 35 on

注销如下行

#server 0.rhel.pool.ntp.org iburst

#server 1.rhel.pool.ntp.org iburst

#server 2.rhel.pool.ntp.org iburst

#server 3.rhel.pool.ntp.org iburst

添加server 192.168.10.128 minpoll 4 maxpoll 4 perfer 或主机名即可即可

#########################Client端验证操作#############################

1、查看ntp服务器有无和上层ntp连通，这里能看到NTP Server的IP，如下显示说明clent和ntp server之前通讯没有问题

 
        [root@ocbsweb01 ~]
        # ntpstat  
       
        synchronised to NTP server (192.168.10.128) at stratum 4 
       
        time 
        correct to within 333 ms 
       
        polling server every 16 s

2、使用ntpdate -d 192.168.10.128 进行时间服务验证，并查看同步详细信息

 
        [root@ocbsweb01 ~]
        # ntpdate -d 192.168.10.128 
       
        12 Jan 11:27:51 ntpdate[6722]: ntpdate 4.2.6p5@1.2349-o Tue Jan 26 13:50:53 UTC 2016 (1)
       
        Looking 
        for 
        host 192.168.10.128 and service ntp 
       
        host found : ocbsap01
       
        transmit(192.168.10.128)
       
        receive(192.168.10.128)
       
        transmit(192.168.10.128)
       
        receive(192.168.10.128)
       
        transmit(192.168.10.128)
       
        receive(192.168.10.128)
       
        transmit(192.168.10.128)
       
        receive(192.168.10.128)
       
        server 192.168.10.128, port 123
       
        stratum 3, precision -24, leap 00, trust 000
       
        refid [192.168.10.128], delay 0.02585, dispersion 0.00017
       
        transmitted 4, 
        in 
        filter 4 
       
        reference 
        time
        :    de02a7b8.6b274a2a  Fri, Jan 12 2018 11:19:20.418 
       
        originate timestamp: de02a9b7.417bb6cb  Fri, Jan 12 2018 11:27:51.255
       
        transmit timestamp:  de02a9b7.40d639fc  Fri, Jan 12 2018 11:27:51.253
       
        filter delay:  0.02629  0.02661  0.02585  0.02655 
       
        0.00000  0.00000  0.00000  0.00000  
       
        filter offset: 0.001500 0.001742 0.001690 0.001996
       
        0.000000 0.000000 0.000000 0.000000 
       
        delay 0.02585, dispersion 0.00017
       
        offset 0.001690
       
        12 Jan 11:27:51 ntpdate[6722]: adjust 
        time 
        server 192.168.10.128 offset 0.001690 sec

####################################常见报错#####################################################

1、当用ntpdate -d 来查询时会发现导致 no server suitable for synchronization found

错误1.Server dropped: Strata too high

在ntp客户端运行ntpdate serverIP，出现no server suitable for synchronization found的错误。

在ntp客户端用ntpdate -d serverIP查看，发现有“Server dropped: strata too high”的错误，并且显示“stratum 16”。

而正常情况下stratum这个值得范围是“0~15”。

这是因为NTP server还没有和其自身或者它的server同步上。

以下的定义是让NTP Server和其自身保持同步，如果在/ntp.conf中定义的server都不可用时，将使用local时间作为ntp服务提供给ntp客户端。

server 127.127.1.0

fudge 127.127.1.0 stratum 8

在ntp server上重新启动ntp服务后，ntp server自身或者与其server的同步的需要一个时间段，

这个过程可能是5分钟，在这个时间之内在客户端运行ntpdate命令时会产生no server suitable for synchronization found的错误。

那么如何知道何时ntp server完成了和自身同步的过程呢？

错误2.Server dropped: no data

从客户端执行netdate -d时有错误信息如下：

transmit(192.168.30.22)

192.168.30.22: Server dropped: no data

server 192.168.30.22, port 123

.....

28 Jul 17:42:24 ntpdate[14148]: no server suitable for synchronization found

出现这个问题的原因可能是：

检查ntp的版本，如果你使用的是ntp4.2（包括4.2）之后的版本，在restrict的定义中使用了notrust的话，会导致以上错误。

使用以下命令检查ntp的版本：

# ntpq -c version

下面是来自ntp官方网站的说明：

The behavior of notrust changed between versions 4.1 and 4.2.

In 4.1 (and earlier) notrust meant "Don't trust this host/subnet for time".

In 4.2 (and later) notrust means "Ignore all NTP packets that are not cryptographically authenticated." This forces remote time servers to authenticate themselves to your (client) ntpd

解决：

把notrust去掉。

本文转自 yuri_cto 51CTO博客，原文链接：http://blog.51cto.com/laobaiv1/2060196，如需转载请自行联系原作者

Linux 环境下NTP 服务搭建

热门文章

最新文章

相关课程

相关电子书

相关实验场景

推荐镜像