linux NTP时间服务

ntp server（IP：192.168.1.241）

CentOS release 6.5 (Final)

配置参考：

https://blog.csdn.net/l_liangkk/article/details/80497992

https://linux.cn/article-10811-1.html

https://www.cnblogs.com/quchunhui/p/7658853.html

一、安装ntp（对 RHEL/CentOS 系统，使用 YUM 命令 去安装 ntp）

# yum –y install ntp  （-y表示默认同意安装）

二、配置ntp服务

安装 NTP 软件包后，请确保在服务器端的 /etc/ntp.conf 文件中做如下配置

1）配置 NTP 主服务器

# vi /etc/ntp.conf

# 1. 先处理权限方面的问题，包括放行上层服务器以及开放局域网用户来源：

restrict default kod nomodify notrap nopeer noquery      <==拒绝 IPv4 的用户

（默认配置）

restrict -6 default kod nomodify notrap nopeer noquery   <==拒绝 IPv6 的用户

（默认配置）

restrict 114.118.7.161  <==放行 ntp.ntsc.ac.cn 进入本 NTP 的服务器

国家授时中心的NTP服务器地址

restrict 120.25.115.20  <==放行 ntp1.aliyun.com 进入本 NTP 的服务器

阿里云

restrict 202.112.10.60  <==放行 s1a.time.edu.cn 进入本 NTP 的服务器

北京邮电大学 

restrict 202.112.29.82  <==放行 s2f.time.edu.cn 进入本 NTP 的服务器

东北地区网络中心 

restrict 127.0.0.1      <==放行 本机来源 （默认配置）

restrict -6 ::1                           （默认配置）

 

restrict 10.0.41.0 mask 255.255.255.0 nomodify notrap

//客户端集群所在网段的网关（Gateway），子网掩码（Genmask）查看网关：netstat -r

//仅允许 10.0.41.0/24 子网的客户端访问这个 NTP 服务器

 

restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

（默认配置，取消注释符“#”即可）

restrict 192.168.1.241 nomodify notrap nopeer noquery //主节点IP地址

# 2. 设定ntp主机获取时间来源：

请先将原本的 [0|1|2].centos.pool.ntp.org 的设定批注掉（加注释符“#”即可）：

#server 0.asia.pool.ntp.org  （默认配置）

#server 1.asia.pool.ntp.org  （默认配置）

#server 2.asia.pool.ntp.org  （默认配置）

#server 3.asia.pool.ntp.org  （默认配置）

server 114.118.7.161 prefer  <==以这部主机为最优先的server

server 120.25.115.20

server 202.112.10.60

server 202.112.29.82

# 3.默认的一个内部时钟数据源：

用在没有外部 NTP 服务器时，使用它为局域网用户提供服务

server 127.0.0.1    <==local clock

fudge 127.0.0.1 stratum 10   指定服务器为本地，层级为10

# 4.预设时间差异分析档案与暂不用到的 keys 等，不需要更动它：

driftfile /var/lib/ntp/drift

keys /etc/ntp/keys

2）配置 NTP 客户端

# vi /etc/ntp.conf

restrict default kod nomodify notrap nopeer noquery

restrict -6 default kod nomodify notrap nopeer noquery

restrict 127.0.0.1

restrict -6 ::1

restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

restrict XXX.XXX.XXX.XXX nomodify notrap nopeer noquery //当前节点IP地址

server 192.168.1.241

fudge 127.0.0.1 stratum 10 //在客户端不要改成服务端的IP，就用这个就行

driftfile /var/lib/ntp/drift

keys /etc/ntp/keys

三、启动ntp服务、查看状态

（更新配置后要重启服务）

# service ntpd start/restart

重新启动 NTP 服务后等待几分钟以便从 NTP 服务器获取同步的时间

查看ntp服务器状态，有无和上层ntp连通

# ntpstat

synchronised to NTP server (XXX.XXX.XXX.XXX) at stratum X

   time correct to within XXX ms

   polling server every XXX s

查看ntp服务器的同步状态，与上层ntp的状态

# ntpq -pn

 remote           refid      st t when  poll  reach   delay   offset  jitter

===========================================================

 XXXX          XXXX     XX X XXXX  XX    XXX   XXXX   XXXX  XXXX

四、设置开机启动

# chkconfig ntpd on

 

五、参数说明

===restrict选项格式===

restrict [ 客户端IP ]  mask  [ IP掩码 ]  [参数]

 

“客户端IP” 和 “IP掩码” 指定了对网络中哪些范围的计算机进行控制，

如果使用default关键字，则表示对所有的计算机进行控制，

“参数”指定了具体的限制内容，常见的参数如下：

◆ ignore：拒绝连接到NTP服务器

 

◆ nomodiy： 客户端不能更改服务端的时间参数，但是客户端可以通过服务端进行网络校时。

 

◆ noquery： 不提供客户端的时间查询

 

◆ notrap： 不提供trap远程登录功能，trap服务是一种远程时间日志服务。

 

◆ notrust： 客户端除非通过认证，否则该客户端来源将被视为不信任子网 。

 

◆ nopeer： 提供时间服务，但不作为对等体。

 

◆ kod： 向不安全的访问者发送Kiss-Of-Death报文。

===server选项格式===

server host [ key n ] [ version n ] [ prefer ] [ mode n ] [ minpoll n ] [ maxpoll n ] [ iburst ]

 

其中host是上层NTP服务器的IP地址或域名，随后所跟的参数解释如下所示：

 

◆ key： 表示所有发往服务器的报文包含有秘钥加密的认证信息，n是32位的整数，表示秘钥号。

 

◆ version： 表示发往上层服务器的报文使用的版本号，n默认是3，可以是1或者2。

 

◆ prefer： 如果有多个server选项，具有该参数的服务器有限使用。

 

◆ mode： 指定数据报文mode字段的值。

 

◆ minpoll： 指定与查询该服务器的最小时间间隔为2的n次方秒，n默认为6，范围为4-14。

 

◆ maxpoll：  指定与查询该服务器的最大时间间隔为2的n次方秒，n默认为10，范围为4-14。

 

◆ iburst： 当初始同步请求时，采用突发方式接连发送8个报文，时间间隔为2秒。

===查看网关方法===

【命令1】route -n 

 

【命令2】ip route show 

 

【命令3】netstat -r

===层次（stratum）===

stratum根据上层server的层次而设定（+1）。

 

对于提供network time service provider的主机来说，stratum的设定要尽可能准确。

 

而作为局域网的time service provider，通常将stratum设置为10

 

0层的服务器采用的是原子钟、GPS钟等物理设备，stratum 1与stratum 0 是直接相连的，

 

往后的stratum与上一层stratum通过网络相连，同一层的server也可以交互。

 

ntpd对下层client来说是service server，对于上层server来说它是client。

ntpd根据配置文件的参数决定是要为其他服务器提供时钟服务或者是从其他服务器同步时钟。所有的配置都在/etc/ntp.conf文件中。

注：

===注意防火墙屏蔽ntp端口===

ntp服务器默认端口是123，如果防火墙是开启状态，在一些操作可能会出现错误，所以要记住关闭防火墙。

===同步硬件时钟===

ntp服务，默认只会同步系统时间。

 

如果想要让ntp同时同步硬件时间，可以设置/etc/sysconfig/ntpd文件，

在/etc/sysconfig/ntpd文件中，添加【SYNC_HWCLOCK=yes】，就可以让硬件时间与系统时间一起同步。

 

允许BIOS与系统时间同步，也可以通过hwclock -w 命令。

 

六、 网络设备配置

（客户端）

1）华为设备

ntp-service unicast-server 192.168.1.241 设置时间服务器地址

ntp-service sync-interval 300   设置同步的时间间隔为300秒

ntp-service discard avg-interval 8 设置发送ntp包的平均时间间隔为2^8秒

<路由器和AC控制器如此设时间间隔>                            （不到4分半）

ntp-service source-interface Vlanif 2  允许vlan2的端口发送ntp包

undo ntp-service server disable  启动ntp的IPv4和IPv6 NTP功能

（缺省情况下，无线AC的NTP功能处于开启状态）

 

dis ntp-service status 查看ntp服务会话

dis ntp-service sessions 查看ntp服务会话

 

2）H3C设备

sntp unicast-server 192.168.1.241 设置时间服务器地址

sntp enable  开启SNTP服务 

（缺省情况下， SNTP服务处于关闭状态）

display sntp sessions    显示SNTP服务维护的IPv4会话信息

3）锐捷设备

sntp server 192.168.1.241  设置 SNTP Server 的 IP 地址

sntp interval 300  设置定时同步时钟的间隔，单位为秒

sntp enable     打开 SNTP，及时同步一次时钟

show sntp

七、其他时间服务软件 chrony

配置文件 /etc/chrony.conf

相关命令  chronyc sources -v