■ 北京 趙琳

編者按：時間同步是數(shù)據(jù)產(chǎn)生價值的基礎(chǔ)保障和技術(shù)支撐。本文將介紹在CentOS下如何配置NTP時間服務(wù)器的具體方法。

NTP簡介

N T P（Network Time Protocol，網(wǎng)絡(luò)時間協(xié)議），是由RFC 1305定義的時間同步協(xié)議，用來在分布式時間服務(wù)器和客戶端之間進行時間同步的一種協(xié)議，它可以使計算機對其服務(wù)器或時鐘源（如石英鐘，GPS等等)做同步化，它可以提供高精準度的時間校正（LAN上與標準間差小于1毫秒，WAN上幾十毫秒），且可利用加密確認的方式來防止惡毒的協(xié)議攻擊。

NTP是基于UDP報文進行傳輸?shù)?，使用的UDP端口號為123。

使用NTP的目的是對網(wǎng)絡(luò)內(nèi)所有具有時鐘的設(shè)備進行時鐘同步，使網(wǎng)絡(luò)內(nèi)所有設(shè)備的時鐘保持一致，從而使設(shè)備能夠提供基于統(tǒng)一時間的多種應(yīng)用。

對于運行NTP的本地系統(tǒng)，既可以接收來自其他時鐘源的同步，又可以作為時鐘源同步其他的時鐘，并且可以和其他設(shè)備互相同步。

NTP有兩種不同類型的報文，一種是時鐘同步報文，另一種是控制報文。

NTP的工作模式，一般有客戶端/服務(wù)器模式、對等體模式、廣播模式等。

NTP作用

1.大數(shù)據(jù)產(chǎn)生與處理系統(tǒng)是各種計算設(shè)備集群的，計算設(shè)備將統(tǒng)一、同步的標準時間用于記錄各種事件發(fā)生時序，如E-MAIL信息、文件創(chuàng)建和訪問時間、數(shù)據(jù)庫處理時間等。

2.大數(shù)據(jù)系統(tǒng)內(nèi)不同計算設(shè)備之間控制、計算、處理、應(yīng)用等數(shù)據(jù)或操作都具有時序性，若計算機時間不同步，這些應(yīng)用或操作或?qū)o法正常進行。

3.大數(shù)據(jù)系統(tǒng)是對時間敏感的計算處理系統(tǒng)，時間同步是大數(shù)據(jù)能夠得到正確處理的基礎(chǔ)保障，是大數(shù)據(jù)得以發(fā)揮作用的技術(shù)支撐。

4.大數(shù)據(jù)時代，整個處理計算系統(tǒng)內(nèi)的大數(shù)據(jù)通信都是通過網(wǎng)絡(luò)進行。

5.時間同步也是如此，利用大數(shù)據(jù)的互聯(lián)網(wǎng)絡(luò)傳送標準時間信息，實現(xiàn)大數(shù)據(jù)系統(tǒng)內(nèi)時間同步。

CentOS系統(tǒng)NTP服務(wù)端配置

1.確認是否已安裝NTP服務(wù)（linux系統(tǒng)一般自帶NTP4.2）

命令:rpm -qa | grep ntp

若只有ntpdate而未見ntp，則需刪除原有ntpdate。如：

ntpdate-4.2.6p5-22.el7_0.x86_64

2.刪除已安裝NTP服務(wù)

命令:yum -y remove ntpdate-4.2.6p5-22.el7.x86_64

3.重新安裝NTP服務(wù)

命令:yum -y install ntp

4.NTP服務(wù)端配置文件編輯

命 令:vim /etc/ntp.conf

內(nèi)容:在server部分添加以下部分，設(shè)置允許訪問此時間服務(wù)器的時間服務(wù)的IP地址。

restrict 192.168.6.0 mask 255.255.255.0 nomodify notrap

//允許內(nèi)網(wǎng)中相應(yīng)網(wǎng)段的其他計算機可以與NTP時間服務(wù)器進行時間同步。

restrict 127.0.0.1

//允許本機地址一切的操作。

備注：如果需要限制向從192.168.0.1-192.168.0.254這些IP段的計算機提供NTP服務(wù)，采用如下命令：

restrict 192.168.0.0 mask 255.255.255.0 notrust nomodify notrap noquery

如果需要設(shè)置默認策略為允許任何主機進行時間同步，采用如下命令：

restrict default ignore

如果需要設(shè)置允許任何主機跟NTP時間服務(wù)器進行時間同步，采用如下命令：

restrict 0.0.0.0 mask 0.0.0.0 nomodify notrap

小知識：使用restrict控制相關(guān)權(quán)限。

語法為：restrict IP地址mask 子網(wǎng)掩碼 參數(shù)，IP地址和子網(wǎng)掩碼指定了對網(wǎng)絡(luò)中哪些范圍的計算機進行控制，如果使用default關(guān)鍵字，則表示對所有的計算機進行控制，參數(shù)指定了具體的限制內(nèi)容。參數(shù)有以下幾個：

ignore：關(guān)閉所有的 NTP聯(lián)機服務(wù)。

nomodify：客戶端不能更改服務(wù)端的時間參數(shù)，但是客戶端可以通過服務(wù)端進行網(wǎng)絡(luò)校時。

notrust：客戶端除非通過認證，否則該客戶端來源將被視為不信任子網(wǎng)。

noquery：不提供客戶端的時間查詢，用戶端不能使用ntpq、ntpc等命令來查詢NTP時間服務(wù)器。

notrap：不提供trap遠程登錄功能，trap服務(wù)是一種遠程時間日志服務(wù)。

nopeer：提供時間服務(wù)，但不作為對等體。

kod：向不安全的訪問者發(fā)送Kiss-Of-Death報文

restrict -6：表 示 IPV6地址的權(quán)限設(shè)置。

內(nèi)容:在server部分添加如下語句，設(shè)置是允許IPV4和IPV6查詢，且拒絕修改。

restrict -4 default kod notrap nomodify

restrict -6 default kod notrap nomodify

備注：如果需要拒絕IPV4或者是IPV6的用戶，添加如下語句：

restrict default kod nomodify notrap nopeer noquery

//拒絕IPV4的用戶

restrict -6 default kod nomodify notrap nopeer noquery

//拒絕IPV6的用戶

內(nèi)容:在server部分添加以下部分，改動-注釋掉上級時間服務(wù)器地址。

server 203.107.6.88 prefer

//設(shè)置此服務(wù)器同上層服務(wù)器做時間同步的 IP地 址，prefer表示首選IP地址，203.107.6.88是阿里云NTP服務(wù)器。

server 0.centos.pool.ntp.org iburst

圖1 正常結(jié)果

圖2 客戶端與每個服務(wù)器關(guān)系

server 1.centos.pool.ntp.org iburst

server 2.centos.pool.ntp.org iburst

server 3.centos.pool.ntp.org iburst

內(nèi)容:在server部分添加以下部分，改動-注釋掉上級時間服務(wù)器地址。

server 127.127.1.0 #local clock

fudge 127.127.1.0 stratum 10

//指定階層編號為10，降低其優(yōu)先度。當外部時間服務(wù)器不可用時，以本地時間作為時間服務(wù)。

內(nèi)容:在server部分添加如下語句，設(shè)置NTP時間服務(wù)器日志的path。

statsdir /var/log/ntp/

內(nèi)容:在server部分添加如下語句，設(shè)置NTP時間服務(wù)器日志文件。

logfile /var/log/ntp/ntp.log

內(nèi)容:在server部分添加如下語句，設(shè)置記錄上次的NTP時間服務(wù)器與上層NTP時間服務(wù)器聯(lián)接所花費的時間。

driftfile /etc/ntp/drift

內(nèi)容:在server部分添加如下語句，設(shè)置允許上層時間服務(wù)器主動修改本機時間。

restrict 203.107.6.88 nomodify notrap noquery

CentOS系統(tǒng)NTP時間服務(wù)器運維

1.啟動或停止NTP時間服務(wù)器

命 令:service ntpd start

命 令:service ntpd stop

命 令:service ntpd restart

2.設(shè)置NTP時間服務(wù)器開機自動啟動

命令:chkconfig ntpd on

3.查看NTP時間服務(wù)器運行

命令:ntpstat

備注：查看NTP狀態(tài)時，可能會出現(xiàn)如下所示情況：

①unsynchronised time server re-starting polling server every 8 s

②unsynchronised polling server every 8 s

這種情況屬于正常，NTP時間服務(wù)器配置完畢后，一般需要等待5-10分鐘才能與/etc/ntp.conf中配置的標準時間服務(wù)器進行同步。等一段時間之后，再次使用ntpstat命令查看狀態(tài)，就會變成如圖1所示的正常結(jié)果。

4.查看網(wǎng)絡(luò)中的NTP時間服務(wù)器，同時顯示客戶端和每個服務(wù)器的關(guān)系。

命令:ntpq -p,具體如圖2所示。

remote：響應(yīng)這個請求的NTP時間服務(wù)器的名稱，“+”表示優(yōu)先響應(yīng)這個查詢請求的NTP服務(wù)器，“*”表示次優(yōu)先。

refid：NTP時 間服務(wù)器使用的更高一級服務(wù)器的名稱。

st：正在響應(yīng)請求的NTP時間服務(wù)器的級別（stratum階層）。

when：上一次成功請求之后到現(xiàn)在的秒數(shù)。

poll：本地和遠程服務(wù)器多少時間進行一次同步，單位秒，在一開始運行NTP的時候這個poll值會比較小，服務(wù)器同步的頻率大，可以盡快調(diào)整到正確的時間范圍，之后poll值會逐漸增大，同步的頻率也就會相應(yīng)減小。

reach：用來測試能否和服務(wù)器連接，是一個八進制值，每成功連接一次它的值就會增加。

delay：從本地機發(fā)送同步要求到NTP時間服務(wù)器的往返時間。

offset：主機通過NTP時鐘同步與所同步時間源的時間偏移量，單位為毫秒，offset越接近于0，主機和NTP時間服務(wù)器的時間越接近。

jitter：統(tǒng)計了在特定個連續(xù)的連接數(shù)里offset的分布情況。簡單地說這個數(shù)值的絕對值越小，主機的時間就越精確。

圖3 時間同步情況

5.查看時間同步狀況，如圖3所示。

命令:ntpq -p

終止:按 Ctrl+C 停止查看進程。

第一列中的字符指示源的質(zhì)量。星號 ( * ) 表示該源是當前引用。

remote：列出源的IP地址或主機名。

when：指出從輪詢源開始已過去的時間（秒）。

poll：指出輪詢間隔時間。該值會根據(jù)本地時鐘的精度相應(yīng)增加。

reach：是一個八進制數(shù)字，指出源的可存取性。值377 表示源已應(yīng)答了前八個連續(xù)輪詢。

offset：是源時鐘與本地時鐘的時間差（毫秒）。

6.更新NTP時間服務(wù)器的時間

命 令:ntpdate -u 203.107.6.88

備注：需要先關(guān)閉NTP時間服務(wù)。

7.運行ntpdate更新時間時，不能開啟NTP服務(wù)，否則會提示端口被占用；此時，可以利用crontab讓NTP時間服務(wù)器定時更新時間。

crontab文件簡要配置如下：

命令格式的前一部分是對時間的設(shè)定，后面一部分是要執(zhí)行的命令。時間的設(shè)定我們有一定的約定，前面五個*號代表五個數(shù)字，數(shù)字的取值范圍和含義如下：

分鐘（0-59）小時（0-23）日期（1-31）月份（1-12）星期 （0-6，0代表星期日）

除了數(shù)字還有幾個個特殊的符號就是“*”、“/”和“-”、“,”，其中“*”代表所有的取值范圍內(nèi)的數(shù)字，“/”代表每的意思，“-”代表從某個數(shù)字到某個數(shù)字,“,”分開幾個離散的數(shù)字。下面舉幾個例子說明問題：

每天早上6點：0 6 * ** command

每兩個小時：0 */2 * ** command

晚上11點到早上8點之間每兩個小時，早上八點：0 23-7/2,8 * * * command

每個月的4號和每個星期的星期一到星期三的早 上 11 點 ：0 11 4 * 1-3 command

1月1日早上4點：0 4 1 1 * command

8.用來追蹤某臺時間服務(wù)器的時間對應(yīng)關(guān)系

命令:ntptrace

9.配置iptable規(guī)則允許客戶端訪問內(nèi)網(wǎng)NTP時間服務(wù)器

命 令:vim /etc/sysconfig/iptables

增加一行（NTP時間服務(wù)器使用UDP 123端口）

-A INPUT -m state--state NEW -m udp -p udp--dport 123 -j ACCEPT

重啟iptables服務(wù)

命令:service iptables restart

Linux系統(tǒng)NTP客戶端配置

1.檢查安裝NTP服務(wù)有沒有安裝，如果未安裝的話，請安裝。

2.NTP客戶端配置文件編輯

命 令:vim /etc/ntp.conf

內(nèi)容:在server部分添加以下部分，設(shè)置時間服務(wù)器名或者是IP地址。

server ntp1.ceshi.com

3.向NTP時間服務(wù)器同步時間。

命 令:ntpdate 192.168.1.3

4.將系統(tǒng)時間設(shè)置為硬件時間

命令:hwclock -systohc

小知識：hwclock命令的作用是查看Linux中的硬件時間，也就是主板上BIOS的時間，由主板電池供電來維持運行，系統(tǒng)開機時要讀取這個時間，并根據(jù)它來設(shè)定系統(tǒng)時間

Hwclock：查看硬件時間。

hwclock -s：將當前的硬件時間設(shè)置為系統(tǒng)時間。

hwclock -w：將當前的系統(tǒng)時間設(shè)置為硬件時間（允許BIOS與系統(tǒng)時間同步）。

5.設(shè)置通過NTP服務(wù)同時同步硬件時間

命 令:vim /etc/sysconfig/ntpd

添 加“SYNC_HWCLOCK=yes”，可實現(xiàn)硬件時間與系統(tǒng)時間一起同步。

備注：NTP服務(wù)，默認只會同步系統(tǒng)時間。

6.如果想定時進行時間校準，可以使用crond服務(wù)來定時執(zhí)行。

命令:vim /etc/crontab

加入內(nèi)容：30 8 * * *root /usr/sbin/ntpdate 192.168.1.3; /sbin/hwclock -w

//192.168.1.3是NTP時間服務(wù)器的IP地址。

命 令:service crond restart

//重啟crond服務(wù)

這樣，每天8:30 Linux系統(tǒng)就會自動的進行網(wǎng)絡(luò)時間校準。

Windows系統(tǒng)NTP客戶端配置

1.通過組策略開啟NTP服務(wù)

①點擊“開始”——“運行”，輸入“gpedit.msc”，彈出組策略窗口。

②選擇“計算機配置”——“管理模板”——“系統(tǒng)”——“Windows時間服務(wù)”，在右邊選擇“全局配置設(shè)置”，雙擊鼠標左鍵，在彈出窗口上選擇“已啟用”后，點擊“確定”。

③選擇“計算機配置”——“管理模板”——“系 統(tǒng)” ——“Windows時間服務(wù)”——

“時間提供程序”，在右邊選擇“配置 Windows NTP客 戶 端”，雙擊鼠標左鍵，在彈出窗口 上 選 擇“已 啟 用”；在Ntp Server對應(yīng)欄位輸入時間同步服務(wù)器的地址；在類型項選擇“NTP”后；SpecialPollInterval欄位輸入需要同步的時間周期，單位：秒，如：每10分鐘同步一次，輸入600；設(shè)置完成后點擊“確定”按鈕。

2.點 擊“開 始” ——“運行”，輸入“gpupdate /force”，強制刷新策略。

3.雙擊日期和時間，選擇internet時間，輸入NTP時間服務(wù)器IP地址，點擊“立即更新”，完成同步。

網(wǎng)絡(luò)設(shè)備NTP客戶端配置

1.H3C及華為系列網(wǎng)絡(luò)設(shè)備

命 令:ntp-service unicast-server 192.168.1.3

2.思科及銳捷系列網(wǎng)絡(luò)設(shè)備

命 令:ntp server 192.168.1.3