【摘要】 隨著廣電系統(tǒng)雙向網(wǎng)絡(luò)改造的完成，視頻類業(yè)務(wù)的多樣化運(yùn)營(yíng)，廣電系統(tǒng)網(wǎng)絡(luò)中的相關(guān)設(shè)備對(duì)于時(shí)鐘同步信息的需求越來(lái)越高。本文為了解決廣電系統(tǒng)網(wǎng)絡(luò)設(shè)備類型多樣，設(shè)備分層架構(gòu)組網(wǎng)的特點(diǎn)，基于廣電系統(tǒng)接收GPS時(shí)鐘作為精確時(shí)鐘源的特點(diǎn)，使用NTP協(xié)議完成全網(wǎng)部署時(shí)鐘源同步的方案。

【關(guān)鍵字】 時(shí)鐘同步 GPS時(shí)鐘 NTP協(xié)議

一、網(wǎng)絡(luò)中對(duì)于時(shí)鐘同步的需求

目前計(jì)算機(jī)網(wǎng)絡(luò)中各主機(jī)和服務(wù)器等網(wǎng)絡(luò)設(shè)備的時(shí)間基本處于無(wú)序的狀態(tài)。隨著廣電系統(tǒng)雙向網(wǎng)絡(luò)改造的完成，以及三網(wǎng)融合對(duì)新業(yè)務(wù)提出的需求，計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的不斷涌現(xiàn)，計(jì)算機(jī)的時(shí)間同步問題成為愈來(lái)愈重要的事情。以Unix系統(tǒng)為例，時(shí)間的準(zhǔn)確性幾乎影響到所有的文件操作。 如果一臺(tái)機(jī)器時(shí)間不準(zhǔn)確，例如在從時(shí)間超前的機(jī)器上建立一個(gè)文件，用ls查看一下，以當(dāng)前時(shí)間減去所顯示的文件修改時(shí)間會(huì)得一個(gè)負(fù)值，這一問題對(duì)于網(wǎng)絡(luò)文件服務(wù)器是一場(chǎng)災(zāi)難，文件的可靠性將不復(fù)存在。為避免產(chǎn)生本機(jī)錯(cuò)誤，可從網(wǎng)絡(luò)上獲取時(shí)間，這樣系統(tǒng)時(shí)鐘便可與公共源同步了。但是一旦這一公共時(shí)間源出現(xiàn)差錯(cuò)就將產(chǎn)生多米諾效應(yīng)，與其同步的所有機(jī)器的時(shí)間會(huì)全都錯(cuò)誤。

當(dāng)涉及到網(wǎng)絡(luò)上的安全設(shè)備時(shí)，同步問題就更為重要了。這些設(shè)備所生成的日志必須要反映出準(zhǔn)確的時(shí)間。尤其是在處理繁忙數(shù)據(jù)的時(shí)候，如果時(shí)間不同步，幾乎不可能將來(lái)自不同源的日志關(guān)聯(lián)起來(lái)。一旦日志文件不相關(guān)連，安全相關(guān)工具就會(huì)毫無(wú)用處。不同步的網(wǎng)絡(luò)意味著企業(yè)不得不花費(fèi)大量時(shí)間手動(dòng)跟蹤安全事件。

上述問題的解決方法，就是需要一個(gè)能調(diào)整時(shí)鐘抖動(dòng)率，建立一個(gè)即時(shí)緩和、調(diào)整時(shí)間變化，并用一群受托服務(wù)器提供準(zhǔn)確、穩(wěn)定時(shí)間的時(shí)間管理協(xié)議，這就是網(wǎng)絡(luò)校時(shí)協(xié)議（NTP）。

二、NTP簡(jiǎn)介

NTP（Network Time Protocol，網(wǎng)絡(luò)時(shí)間協(xié)議）是由RFC 1305定義的時(shí)間同步協(xié)議，用來(lái)在分布式時(shí)間服務(wù)器和客戶端之間進(jìn)行時(shí)間同步。NTP基于UDP報(bào)文進(jìn)行傳輸，使用的UDP端口號(hào)為123。

使用NTP的目的是對(duì)網(wǎng)絡(luò)內(nèi)所有具有時(shí)鐘的設(shè)備進(jìn)行時(shí)鐘同步，使網(wǎng)絡(luò)內(nèi)所有設(shè)備的時(shí)鐘保持一致，從而使設(shè)備能夠提供基于統(tǒng)一時(shí)間的多種應(yīng)用。對(duì)于運(yùn)行NTP的本地系統(tǒng)，既可以接受來(lái)自其他時(shí)鐘源的同步，又可以作為時(shí)鐘源同步其他的時(shí)鐘，并且可以和其他設(shè)備互相同步。

2.1 NTP工作原理

NTP的基本工作原理如圖1所示。Device A和Device B通過網(wǎng)絡(luò)相連，它們都有自己獨(dú)立的系統(tǒng)時(shí)鐘，需要通過NTP實(shí)現(xiàn)各自系統(tǒng)時(shí)鐘的自動(dòng)同步。為便于理解，作如下假設(shè)：

在Device A和Device B的系統(tǒng)時(shí)鐘同步之前，Device A的時(shí)鐘設(shè)定為5：00：00am，Device B的時(shí)鐘設(shè)定為6：00：00am。

Device B作為NTP時(shí)間服務(wù)器，即Device A將使自己的時(shí)鐘與Device B的時(shí)鐘同步。

NTP報(bào)文在Device A和Device B之間單向傳輸所需要的時(shí)間為1秒。

系統(tǒng)時(shí)鐘同步的工作過程如下：

Device A發(fā)送一個(gè)NTP報(bào)文給Device B，該報(bào)文帶有它離開Device A時(shí)的時(shí)間戳，該時(shí)間戳為5：00：00am（T1）。

當(dāng)此NTP報(bào)文到達(dá)Device B時(shí)，Device B加上自己的時(shí)間戳，該時(shí)間戳為6：00：01am（T2）。

當(dāng)此NTP報(bào)文離開Device B時(shí)，Device B再加上自己的時(shí)間戳，該時(shí)間戳為6：00：02am（T3）。

當(dāng)Device A接收到該響應(yīng)報(bào)文時(shí)，Device A的本地時(shí)間為5：00：03am（T4）。

至此，Device A已經(jīng)擁有足夠的信息來(lái)計(jì)算兩個(gè)重要的參數(shù)：

NTP報(bào)文的往返時(shí)延Delay=（T4-T1）-（T3-T2）=2秒。

Device A相對(duì)Device B的時(shí)間差offset=（（T2-T1）+（T3-T4））/2=1小時(shí)。

這樣，Device A就能夠根據(jù)這些信息來(lái)設(shè)定自己的時(shí)鐘，使之與Device B的時(shí)鐘同步。

以上內(nèi)容只是對(duì)NTP工作原理的一個(gè)粗略描述，詳細(xì)內(nèi)容請(qǐng)參閱RFC1305。

2.2 NTP的工作模式

設(shè)備可以采用多種NTP工作模式進(jìn)行時(shí)間同步：客戶端/服務(wù)器模式；對(duì)等體模式；廣播模式；組播模式。

用戶可以根據(jù)需要選擇合適的工作模式。在不能確定服務(wù)器或?qū)Φ润wIP地址、網(wǎng)絡(luò)中需要同步的設(shè)備很多等情況下，可以通過廣播或組播模式實(shí)現(xiàn)時(shí)鐘同步；服務(wù)器和對(duì)等體模式中，設(shè)備從指定的服務(wù)器或?qū)Φ润w獲得時(shí)鐘同步，增加了時(shí)鐘的可靠性。

三、河南有線NTP時(shí)鐘源的選取

NTP提供準(zhǔn)確時(shí)間，首先要有準(zhǔn)確的時(shí)間來(lái)源，這一時(shí)間應(yīng)該是國(guó)際標(biāo)準(zhǔn)時(shí)間UTC（Universal Time Coordinated）。NTP獲得UTC的時(shí)間來(lái)源可以是原子鐘、天文臺(tái)、衛(wèi)星，也可以從Internet上獲取。這樣就有了準(zhǔn)確而可靠的時(shí)間源。

網(wǎng)絡(luò)時(shí)間服務(wù)的實(shí)現(xiàn)方式主要有以下三種方式：

1）無(wú)線時(shí)鐘。服務(wù)器系統(tǒng)可以通過串口連接一個(gè)無(wú)線時(shí)鐘。無(wú)線時(shí)鐘接收GPS（全球衛(wèi)星定位系統(tǒng)）的衛(wèi)星發(fā)射的信號(hào)來(lái)決定當(dāng)前時(shí)間。無(wú)線時(shí)鐘是一個(gè)非常精確的時(shí)間源，但是需要花一定的費(fèi)用。2）時(shí)間服務(wù)器?？梢允褂镁W(wǎng)絡(luò)中NTP時(shí)間服務(wù)器，通過這個(gè)服務(wù)器來(lái)同步網(wǎng)絡(luò)中的系統(tǒng)的時(shí)鐘。http：//www.eecis.udel.edu/～mills/ntp/servers.html列出了Internet上有效的一級(jí)時(shí)間服務(wù)器。3）局域網(wǎng)內(nèi)的同步。如果只是需要在本局域網(wǎng)內(nèi)進(jìn)行系統(tǒng)間的時(shí)鐘同步，就可以使用局域網(wǎng)中任何一個(gè)系統(tǒng)的時(shí)鐘。需要選擇局域網(wǎng)中的一個(gè)節(jié)點(diǎn)的時(shí)鐘作“權(quán)威的”的時(shí)間源，然后其它的節(jié)點(diǎn)就只需要與這個(gè)時(shí)間源進(jìn)行時(shí)間同步即可。如果一個(gè)系統(tǒng)在一個(gè)局域網(wǎng)的內(nèi)部，同時(shí)又不能使用無(wú)線時(shí)鐘，這種方式是最好的選擇。

河南有線網(wǎng)絡(luò)集團(tuán)是以傳輸有線電視信號(hào)為主業(yè)的網(wǎng)絡(luò)多業(yè)務(wù)運(yùn)營(yíng)企業(yè)，為了可靠接收電視信號(hào)，獨(dú)立架設(shè)了衛(wèi)星接收天線，因此能夠?yàn)榫W(wǎng)絡(luò)提供準(zhǔn)確的外部時(shí)鐘源。河南有線數(shù)字電視系統(tǒng)規(guī)劃的時(shí)鐘同步器以GPS衛(wèi)星時(shí)間為標(biāo)準(zhǔn)時(shí)間源，支持NTP協(xié)議（V2.0/V3.0/V4.0）和SNTP協(xié)議，能夠?yàn)榫钟蚓W(wǎng)內(nèi)成百上千的計(jì)算機(jī)、服務(wù)器、路由器等提供時(shí)間校準(zhǔn)。

建立多級(jí)時(shí)鐘同步體系，可以在一個(gè)無(wú)序的網(wǎng)絡(luò)環(huán)境下提供精確和健壯的時(shí)間服務(wù)，河南有線數(shù)字電視平臺(tái)時(shí)鐘連接結(jié)構(gòu)如圖2所示：

圖2 時(shí)鐘同步結(jié)構(gòu)示意圖

河南有線電視網(wǎng)絡(luò)集團(tuán)公司采用的時(shí)鐘同步器為北京中新創(chuàng)科技有限公司研制開發(fā)的網(wǎng)絡(luò)時(shí)間服務(wù)器DNTS-88-OG，該型號(hào)的時(shí)鐘同步器是一種高科技智能的、可獨(dú)立工作的基于NTP/SNTP協(xié)議的高精度網(wǎng)絡(luò)時(shí)鐘服務(wù)器。

四、河南有線網(wǎng)絡(luò)NTP實(shí)現(xiàn)方案

河南有線廣電網(wǎng)絡(luò)從骨干網(wǎng)到城域網(wǎng)的設(shè)計(jì)思路和網(wǎng)絡(luò)架構(gòu)，包括出口設(shè)計(jì)、防火墻設(shè)計(jì)、數(shù)據(jù)中心VSS設(shè)計(jì)、IGP設(shè)計(jì)和MPLS VPN設(shè)計(jì)等。數(shù)據(jù)網(wǎng)絡(luò)采用分層架構(gòu)，分為骨干核心層、骨干匯聚層以及城域網(wǎng)接入層。

在河南有線數(shù)據(jù)網(wǎng)絡(luò)中，核心層路由器與骨干數(shù)據(jù)中心交換機(jī)之間采用雙上行連接，在核心層路由器與各地市骨干接入路由器以及核心層路由器與骨干出口路由器之間都采用“口”字型連接，此種鏈接方式為網(wǎng)絡(luò)設(shè)備提供冗余備份。因此，在考慮NTP方案部署是不僅要部署NTP層次之間的客戶端/服務(wù)器模式，還要部署同一層次間的對(duì)等體模式。

作為廣電網(wǎng)絡(luò)所有數(shù)據(jù)及雙向網(wǎng)絡(luò)的時(shí)鐘信息發(fā)布者，核心層設(shè)計(jì)NTP結(jié)構(gòu)時(shí)需要選定精確度高的設(shè)備作為根時(shí)鐘源的設(shè)備，目前選用與GPS時(shí)鐘服務(wù)器直連的數(shù)據(jù)中心交換機(jī)作為全網(wǎng)時(shí)鐘同步信息的發(fā)布者，NTP層次等級(jí)設(shè)置為1，該數(shù)據(jù)中心設(shè)備采用思科 6509，其版本為：Cisco IOS Software， s72033_rp Software （s72033_rp-ADVIPSERVICESK9-M）， Version 12.2（33）SXI2a， RELEASE SOFTWARE （fc2），該設(shè)備通過網(wǎng)絡(luò)到GPS時(shí)鐘源服務(wù)器去同步時(shí)鐘信息。

考慮到冗余的情況，GPS時(shí)鐘服務(wù)器分別通過物理端口發(fā)布時(shí)鐘信息，并且兩個(gè)物理端口處于不同的網(wǎng)段，因此在核心數(shù)據(jù)中心交換機(jī)6509上配置主、備兩個(gè)時(shí)鐘服務(wù)器地址去進(jìn)行同步，當(dāng)某一個(gè)地址失效時(shí)，將自動(dòng)切換到另外一個(gè)時(shí)鐘服務(wù)器地址去進(jìn)行同步。此外，進(jìn)一步考慮到數(shù)據(jù)中心交換機(jī)與GPS時(shí)鐘服務(wù)器之間的網(wǎng)絡(luò)風(fēng)險(xiǎn)，當(dāng)數(shù)據(jù)中心交換機(jī)與GPS時(shí)鐘服務(wù)器之間的網(wǎng)絡(luò)癱瘓時(shí)，數(shù)據(jù)中心交換機(jī)6509將會(huì)選擇本地時(shí)鐘向全網(wǎng)設(shè)備提供時(shí)鐘源，由此可見，數(shù)據(jù)中心交換機(jī)的地位尤為重要。為了避免物理鏈路失效導(dǎo)致的路由失效，本次部署時(shí)所有層次設(shè)備采用環(huán)回地址作為時(shí)鐘源發(fā)布地址。

在骨干核心層，除了數(shù)據(jù)中心交換機(jī)外，河南全省18地市的互連設(shè)備都與核心路由器采用星型連接，考慮到網(wǎng)絡(luò)結(jié)構(gòu)，兩臺(tái)CISCO CRS設(shè)備向數(shù)據(jù)中心交換機(jī)進(jìn)行時(shí)鐘同步，并且兩臺(tái) CISCO CRS作為18地市互聯(lián)設(shè)備的同步時(shí)鐘源發(fā)布時(shí)鐘信息。在兩臺(tái)CRS的NTP 設(shè)計(jì)上，采用客戶端/服務(wù)器方式+對(duì)等體方式，兩臺(tái)核心路由器都以數(shù)據(jù)中心交換機(jī)作為時(shí)鐘源服務(wù)器，同時(shí)，兩臺(tái)核心路由器又以彼此作為對(duì)等體進(jìn)行時(shí)鐘同步，如圖3所示。

兩臺(tái)CRS核心路由器的本地NTP等級(jí)設(shè)置為3級(jí)。這樣做的原因是，當(dāng)其中一臺(tái)CRS核心路由器和數(shù)據(jù)中心交換機(jī)失去網(wǎng)絡(luò)互連時(shí)，本身的NTP時(shí)鐘級(jí)別變?yōu)?級(jí)，但是對(duì)等體CRS核心路由器的時(shí)鐘源同步狀態(tài)正常，等級(jí)為2級(jí)，這時(shí)對(duì)于18地市的互連設(shè)備來(lái)說，由于采用“口”字形連接，如圖4所示，將會(huì)有兩個(gè)時(shí)鐘源進(jìn)行選擇，正常狀態(tài)的CRS核心路由器NTP級(jí)別高于網(wǎng)絡(luò)故障路由器的級(jí)別，18地市的路由器通過選擇，仍然選擇到正常的路由器去進(jìn)行時(shí)鐘同步，最大限度的確保了時(shí)鐘信息的準(zhǔn)確性。

城域網(wǎng)中的設(shè)計(jì)思路與骨干核心層設(shè)計(jì)思路相同，分別以各地市的7609設(shè)備作為時(shí)鐘源服務(wù)器，具體實(shí)現(xiàn)在這里不再進(jìn)行贅述。另外，從網(wǎng)絡(luò)安全方面考慮，在數(shù)據(jù)中心交換機(jī)上使能NTP認(rèn)證，要求客戶端請(qǐng)求的同步消息中必須攜帶認(rèn)證信息，內(nèi)容包括可靠的Key值和經(jīng)MD5算法加密后的密鑰。

由于城域網(wǎng)設(shè)備采用的是中興8905、8908設(shè)備和華為9306、9303設(shè)備，因此在方案部署的時(shí)還需要考慮不同廠家設(shè)備之間的對(duì)接測(cè)試，包括認(rèn)證key值范圍，所支持的NTP的工作模式。

五、結(jié)語(yǔ)

通過在河南有線電視網(wǎng)絡(luò)中實(shí)現(xiàn)NTP部署，時(shí)鐘源服務(wù)器根據(jù)全網(wǎng)物理拓?fù)浣Y(jié)構(gòu)，實(shí)現(xiàn)了分層部署，各層相關(guān)設(shè)備（包括路由器、交換機(jī)、服務(wù)器等）能夠根據(jù)物理網(wǎng)絡(luò)位置去獲取精準(zhǔn)的時(shí)鐘源信息，既保證全網(wǎng)時(shí)鐘信息精確同步，又分散大量設(shè)備進(jìn)行時(shí)鐘同步信令交互給核心時(shí)鐘源服務(wù)器帶來(lái)的壓力。這樣，既實(shí)現(xiàn)了河南有線電視網(wǎng)絡(luò)集團(tuán)對(duì)全網(wǎng)業(yè)務(wù)提供統(tǒng)一時(shí)鐘，又增加了全網(wǎng)設(shè)備上報(bào)的相關(guān)日志信息可讀性，為運(yùn)維人員對(duì)設(shè)備運(yùn)行情況的掌握提供了便利，提升了運(yùn)維工作的效率。

另附，相關(guān)配置命令解析，以CISCO CRS設(shè)備為例：

ntp

authentication-key **** md5 encrypted ****

-----配置認(rèn)證KEY和密鑰

authenticate ------使能認(rèn)證

trusted-key **** -----信任認(rèn)證KEY

server #.#.#.# key **** source Loopback0

-----主時(shí)鐘源server地址

peer #.#.#.# key **** source Loopback0

-----備時(shí)鐘源server地址

source Loopback0 -----時(shí)鐘源更新地址

ntp master 3 -----本地時(shí)鐘源級(jí)別

第一作者

李巖 河南有線電視網(wǎng)絡(luò)集團(tuán) 運(yùn)行維護(hù)部 運(yùn)維工程師

聯(lián)系方式： 河南省鄭州市未來(lái)大道499號(hào)廣電網(wǎng)絡(luò)大廈 450003

電話 ： 15850587397

電子郵箱： firestone_83@163.com

第二作者：

沙莎 華夏郵電咨詢監(jiān)理有限公司 監(jiān)理部 助理工程師

聯(lián)系方式： 河南省鄭州市中原區(qū)互助路1號(hào)中訊郵電咨詢?cè)O(shè)計(jì)院有限公司 450007

電話： 18638689080

電子郵箱： ss@dimpt.com