可用性 : 高可用性

网络时间协议:最佳实践白皮书

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

基于互联网协议的网络从尽力而为的传统传输模式迅速演变成性能和可靠性需要量化的模式,在许多情况下,可以保证符合服务水平协议(SLA)。需要更好地洞察网络特性,使得定义度量指标和测量功能时把目标对准重大研究成果,以描述网络行为。许多量度的方法学的基础是时间的测量。

背景信息

网络时间同步,对为现代性能分析要求的度,是一重要练习。根据商业模式和正在提供的服务,网络性能的描述特性可以被当作是重要的具有竞争力的业务微分器。在这些情况下,巨大费用可能导致配置网络管理系统和处理工程资源,以分析收集的性能数据。然而,如果没有对经常忽略的时间同步原理给予适当关注,那么那些努力可能是无用的。

本文描述执行的网络管理功能的一个假定进程定义网络时间协议(NTP)的。它打算将此假定程序用作情报示例,由组织定制,有助于实现内部目标。

本文提供的信息在以下几个主要部分有所陈述(描述如下)。

术语部分提供期限一般定义关于时间同步。

概述部分提供系统时间相关的网元硬件的背景信息、NTP技术概述、NTP体系结构的重要设计方面。

NTP配置示例部分提供NTP部署示例,供WAN、高层校园和低层校园时间分布式网络使用。

进程定义区分提供用于的进程定义的概述完成NTP管理。进程详细资料描述根据目标、指示器、输入、输出和单个任务。

任务定义区分提供详细的流程任务定义。每项任务的描述术语包括:目标、任务输入、任务输出、完成任务所需的资源和执行任务所需的工作技能。

数据标识部分描述NTP的数据识别。数据识别考虑信息的来源。例如,信息可能包含在简单网络管理协议(SNMP)管理信息库(MIB)和Syslog生成的日志文件中,或者包含在只能通过命令行界面(CLI)访问的内部数据结构中。

数据收集部分描述NTP数据的集。数据的收藏是密切相关对数据的位置。例如,SNMP MIB数据的收集采用几大机制,例如陷井、远程监控(RMON)告警与事件、或轮询。内部数据结构维护的数据通过自动脚本收集,或者由用户手动注册到系统,发出CLI命令,并作好输出记录。

Data Presentation部分提供报告格式示例如何可能提交数据。

术语

  • 准确性—时钟的绝对值的接近度与偏移量零。

  • 准确—当时钟的偏移量及时在一个特定时刻是零。

  • Drift(偏差)---对倾斜度偏差或关于时间的时钟偏移量的第二次派生的测量。

  • 共同决议案---与时钟进行比较时,这是C1和C2解决方法的总和。通过一个时钟生成的时间戳与其他时钟生成的时间戳相减,联合解决方案将显示任意时间间隔的准确性。

  • 节点—是指NTP协议的实例化在本地处理机的。节点可能也指设备。

  • 时钟报告时间和实际时间的差别,参见世界协调时间(UTC)定义。如果时钟报告时间Tc,并且真正的时间是Tt,那么时钟的抵销值是Tc - Tt。

  • 对等体 - 参见在由来自本地节点的网络路径连接的远程处理器上安装NTP协议的相关情况。

  • 比较二个时钟C1和C2时,时钟C1报告时间替代实际时间。例如,在一个特定时刻与C1相关的时钟C2的偏移量是Tc2 - Tc1,C2和C1报告瞬间时差。

  • 解决方法—时钟时间更新的小单元。解决方法定义根据秒钟。然而,解决方法是相对时钟的报告的时间和不对实时。例如,10毫秒解决方法表示时钟每隔0.01秒更新其时间,但并不表示该时间就是两次更新之间的实际时间数量。

    注意: 时钟可以有非常高解析度和仍然是不正确的。

  • 反称性—时钟的其关于时间的偏移量频率差或者最初倒数。

  • 同步—当两个时钟是准确的关于互相(相对偏移零),他们同步。时钟可以同步,并且不正确根据他们多么恰当告诉实时。

概述

设备概述

时钟服务的重点是系统时钟。系统时钟从系统启动的瞬间运行并且记录当前日期和时间。可以从一定数量的来源设置系统时钟,反过来,也可以通过多种机制向其他系统分配当前时间。一些路由器包含跟踪在系统重新启动和断电间的日期和时间的电池型日历系统。当重新启动系统时,总要使用此日历系统初始化系统时钟。如果没有其他来源可以使用,它还可以被当成一个授权的时间源,然后通过NTP重新分配。此外,如果NTP正在运行,日历可以从NTP上进行分阶段更新,补偿日历时间的内在偏差。当带有系统日历的路由器开始初始化时,系统时钟根据它内部电池供电日历的时间设置。在没有日历的型号上,系统时钟设置为预定时间常数。系统时钟可以从如下所示的来源设置。

  • NTP

  • 简单网络时间协议 (SNTP)

  • 虚拟集成网络服务(VINES)时钟服务

  • 手动配置

仅某低端Cisco设备支持SNTP。SNTP是NTP一个简化的,只客户端的版本。SNTP只能从NTP服务器上接收时间,并且不能用来向其他系统提供时钟服务。SNTP在准确的时间的100毫秒内典型地提供时间。另外,SNTP不验证数据流,虽然您能配置扩展访问控制列表,以提供一些防护。SNTP客户端比NTP客户端更容易受到攻击,只能在不需要严格鉴权的情况下使用。

系统时钟提供时间给如下所示的服务。

  • NTP

  • VINES时钟服务

  • 用户显示命令

  • 记录日志和调试消息

系统时钟记录根据UTC,亦称Greenwich Mean Time (GMT)内部地的时间。您可以配置关于本地时区和夏令时的信息,以便正确显示与本地时区相关的时间。系统时钟记录是否时间授权。如果它不是授权的,时间只用于显示目的,并且不会重新分配。

NTP 概述

NTP是设计的同步在机器网络的时间。NTP在用户数据协议(UDP)上运行,使用端口123作为源和目的地,它们反过来也在IP上运行。NTP版本3 RFC 1305用于在一套被分配的时钟服务器和客户端之中同步计时。leavingcisco.com 使用NTP和节点,识别和配置网上的一套节点,形成同步子网,有时则指重叠网络。当多个主设备(主服务器)时可能存在,没有选择协议的需求。

NTP网络通常从一个可信的时间源获得时间,例如附到时钟服务器上的无线时钟或原子时钟。NTP 然后在整个网络中分配此时间。NTP客户端在其轮询间隔(从64秒到1024秒)使用其服务器进行转换,其中不同时间的动态变化取决于NTP服务器和客户端之间的网络情况。另一个情况发生,当路由器连通对一坏Ntp server (例如,与大散射的Ntp server);路由器也增加投票间隔。不大于每分钟一NTP处理是需要的同步两台机器。调节在路由器的NTP投票间隔是不可能的。

NTP使用层的概念描述机器旁边有多少NTP 跳来自可信的时间源。例如,第1层时钟服务器有无线电或原子时钟直接与它连接。然后它将时间通过NTP发送到第2层时钟服务器,等等。运行NTP的机器自动选择带有最低层数的机器,该数字被配置来与NTP进行联络,并将NTP作为时钟源。此策略有效生成了 NTP 发言方的自行组织树。NTP可以在分组交换网络的非确定性路径中很好运行,是因为充分估算了客户端和时钟服务器之间的以下三个重要关系变量。

  • 网络延迟

  • 时间信息包交换散射—最大时钟错误测量在两台主机之间的。

  • 被抵消的时钟—更正应用对客户端的时钟同步它。

长距离广域网(WAN)(2000公里)10毫秒级别的时钟同步和局域网(LAN)1毫秒级别的时钟同步,通常都可以达到。

NTP避免同步到机器,它的时间可能用两种方式都不准确。首先, NTP从未同步对没有同步自己的计算机。其次,NTP比较几台机器报告的时间,不会与其他机器时间明显不同的服务器时间保持同步,即便其层级较低。

机器运行NTP (关联)之间的通信通常静态配置。将所有机器的IP地址给予每台机器,使它们通过此地址建立联系。准确的计时可以通过在每对机器之间与某个关联交换NTP消息完成。然而,在LAN环境, NTP可以配置使用IP广播消息。因为可以配置每台机器发送或接收广播消息,此选择减少了配置的复杂性。然而,计时精度,因为信息流只,是单程在边上地减少。

机器上保持的时间是重要资源,强烈建议您使用NTP安全功能,避免无意或恶意设置不正确时间。两安全功能联机是访问基于列表的限制机制和加密的身份验证机制。

NTP的思科的实施支持在某些Cisco IOS软件版本的stratum1服务。如果版本支持ntp refclock命令,可以连接无线或原子时钟。Cisco IOS的某些版本支持Trimble Palisade NTP同步工具包(仅Cisco 7200系列路由器提供)或电信解决方案全球定位系统(GPS) 设备。如果网络在互联网上使用公共时间服务器并且网络与互联网隔离,思科NTP实施方案则允许进行机器配置。以便使用其它方法确定实际时间时,能够通过NTP实现同步。其他机器然后同步对该计算机通过NTP。

NTP 设计准则

同步子网中的每个客户端,可以用作更高层客户端的服务器,选择其中一个可用服务器,进行同步。访问的这通常是从在最低的层服务器中。然而,这并不总是一种最佳配置,因为NTP也是在每个服务器时间应被视为带有一定不信任元素的前提下运行的。NTP更喜欢使用较低层时间(至少三层)的几个来源,因为它能够运用协议算法,检测到任意部分的失常。通常情况下,协定所有服务器时,按照最低层、距离最近(根据网络延迟)和要求精确度,NTP将选择最佳服务器。暗含意思是:您应该为每个客户端提供较低层时间的三个或多个源,只有几个客户端提供备份服务,并且网络延迟和层级的质量较差。例如,同层对等体也能提供好的备份服务,此同层对等体从本地服务器不直接访问的较低层源信息接收时间。

除非较低层服务器时间较大不同, NTP通常更喜欢较低层服务器到更加高的层服务器。算法能检测,当时间源可能是完全错误的时,或者疯狂和在这些情况下防止同步,即使不正确的时钟在较低层级别。并且它不会同步设备到没有同步自己的另一个服务器。

为了宣称服务器是否可靠,它需要通过许多健全性检查,例如:

  • 实施应该包括防止陷阱发射的充分超时,如果监控程序不在一个较的间隔以后更新此信息。

  • 另外的健全性检查为验证包括,范围区域和避免使用非常旧有数据。

  • 检查被添加警告振荡器是太长,不用从参考源的更新。

  • peer.valid和sys.hold变量被添加避免不稳定性,当参考源更改迅速地由于大分散性延迟在严重网络拥塞的情况下。peer.config、peer.authenable和peer.authentic位被添加控制特殊功能和简单化配置。

如果那些检查之至少一失败,路由器宣称它疯狂。

关联模式

以下部分描述NTP服务器使用的联合模式,用于彼此联系。

  • 客户端/服务器

  • 对称主动/被动

  • 广播

客户端/服务器模式

从属客户端和服务器的运行通常采用客户端/服务器模式,客户端或从属服务器可以与组成员同步,但组成员不能与客户端或从属服务器同步。此提供防护故障或协议攻击。

客户端/服务器模式是最普通的互联网配置。它在经典Remote Procedure Call (RPC)示例运行用无状态的服务器。在此模式中,客户端向服务器发送请求,这样在未来某个时间将出现回复。在某些上下文中,则被描述为轮询操作,客户端从服务器轮询时间和鉴权数据。通过使用服务器命令和指定域名服务器(DNS)名称或地址,客户端配置采用客户端模式。服务器不要求前期配置。

在一个普通的客户端/服务器型号中,客户端向一个或多个服务器发送NTP信息,并且处理接收到的回复。服务器互换地址和端口,重写消息中的某些字段,重估检查和,并立即回复消息。包括在NTP消息中的信息允许客户端根据本地时间确定服务器时间,并根据本地时间进行相应的调整。此外,该消息包括计算预期计时准确性和可靠性的信息及选择最佳服务器的信息。

为数量相当大的客户端提供同步的服务器,通常使用三个或多个冗余服务器组,每台服务器与三个或多个采用客户端/服务器模式的第1层或第2层服务器一起运行,组中的其他服务器也采用对称模式。这提供保护措施,防护一个或多个服务器不能运行或者提供不正确的时间。NTP算法的设计是抵抗攻击,当配置的同步源的某个小部分偶然地或故意提供不正确的时间。在这些情况下,使用一个特殊投票程序来识别假的来源,并丢弃它们的数据。出于可靠性,所选主机可以配备外部时钟,以便在主服务器和/或备用服务器或者二者之间的通信路径发生故障时进行备份。

采用客户端模式配置关联性,通常由服务器公告在配置文件中,表示希望获得远程服务器的时间,但不愿意为远程服务器提供时间。

对称有源/无源模式

对称有源/无源模式的配置是:低层对等体组可以进行相互备份。每个对等体与一个或多个主参考源一起运行,例如无线时钟或者可靠的附属服务器的子集。如果其中一个对等体丢失所有参考源或简单停止操作,其他对等体将自动重配置,以便时间值能够从存活对等体流到其他类别的所有对等体。在某些上下文中,则被描述为推拉式操作,对等体根据特定配置增减时间和值。

采用对称活动模式配置关联性,通常由对等体公告在配置文件中,表示希望获得远程服务器的时间,如有必要也愿意为远程服务器提供时间。此模式是大量冗余时间服务器通过不同网络路径相互连接的适当配置,目前的代表案例是互联网上的大多数第1层和第2层服务器。

对称模式是最常用的在操作作为互相冗长组的两个或多个服务器之间。采用这些模式,组成员中的服务器可以根据网络抖动和传播延迟安排路径同步,从而最大限度地提高性能。如果一个或很多组成员出故障,剩余的成员自动地重新配置得如所需求。

通过使用对等体命令和指定另一个对等体的DNS名称或地址,对等体配置采用对称活动模式。另一对等体在对称激活模式这样也配置。

注意: 如果另一个对等体没有按照这种方式进行特别配置,一个对称的被动关联将在对称有源消息的到达时被激活。由于入侵者可以扮演具有对称有效性的对等体,并且可能注入错误的时间值,这时的对称模式必须经过验证。

广播和组播模式

在对准确性和可靠性要求不太严格的地方,可以配置客户端使用广播和/或组播模式。通常,这些模式没有由有从属的客户端的服务器使用。优点是客户端不需要为一个特定服务器配置,允许所有操作客户端使用相同的配置文件。广播模式要求在相同子网的一个广播服务器。因为路由器没有传播广播消息,所以只有相同子网上的广播服务器被使用。

广播模式打算应用于牵涉一个或几个服务器、并且可能有大量客户端人口的配置中。使用broadcast命令和本地子网地址,广播服务器配置。广播客户端是使用broadcastclient命令配置的,允许广播客户端回应在所有接口上收到的广播消息。因为入侵者能模仿广播服务器,并注入错误的时间值,此模式应该被验证。

设置NTP闰秒

您能使用ntp闰年{请添加|删除}命令为了插入闰秒。有添加和删除的闰秒选项。有此的两限制条件能发生:

  • 时钟应该是同步的状态。

  • 在闰年是发生前,命令在月之内仅接受。如果当前时间是在闰年的出现的, 1个月前它不会设置闰年。

在您设置它后,闰秒添加或删除对最后第二如显示此处:

NTP leap second added :
Show clock given continuously
vl-7500-6#show clock
23:59:58.123 UTC Sun Dec 31 2006
vl-7500-6#show clock
23:59:58.619 UTC Sun Dec 31 2006
vl-7500-6#show clock
23:59:59.123 UTC Sun Dec 31 2006
vl-7500-6#show clock
23:59:59.627 UTC Sun Dec 31 2006
<< 59th second occuring twice
vl-7500-6#show clock
23:59:59.131 UTC Sun Dec 31 2006    
vl-7500-6#show clock
23:59:59.627 UTC Sun Dec 31 2006
vl-7500-6#show clock
00:00:00.127 UTC Mon Jan 1 2007
vl-7500-6#show clock
00:00:00.623 UTC Mon Jan 1 2007

NTP 结构

以下三个结构为NTP体系结构是可用的。

  • 平面对等结构

  • 层次结构

  • 星形结构

在平面对等结构中,所有路由器彼此成为对等体,少数在地理位置上分离的路由器配置指向外部系统。时间收敛变得长与NTP mesh的每新成员。

在层次结构,路由层次结构为NTP层级复制。核心路由器与外部时钟源存在客户端/服务器合作关系,内部时间服务器与核心路由器存在客户端/服务器合作关系,内部用户(非时钟服务器)路由器与内部时间服务器存在客户端/服务器关系,请见生成树。这些关系呼叫层级缩放比例。因为提供一致性、稳定性和可扩展性,层次结构是首选的技术。

可扩展NTP体系结构有一层次结构如在下图所示中看到。

/image/gif/paws/19643/ntpm-1.gif

在星形结构中,所有路由器在核心上与几个时钟服务器有客户端/服务器的关系。专用的时钟服务器是星形的中心,并且通常是与外部时钟源或它们自己的GPS 接收器同步的UNIX系统。

时钟技术和公共时间服务器

互联网NTP子网目前包括50个公共主服务器,通过无线电、卫星或调制解调器与UTC直接同步。通常,客户端数量相对较少的客户端工作站和服务器无法与主服务器同步。大约100个公共的辅助服务器同步到主要服务器上,为互联网上总数超出100,000的客户端和服务器提供同步服务。公共NTP时间服务器leavingcisco.com 列表频繁地更新。也有许多私有主要的和辅助服务器不通常提供对公共。

注意: PIX和ASA不可能配置作为Ntp server,但是他们可以配置作为NTP客户机。

在某些情况下,私营企业需要准确时间服务(如测量IP语音(VoIP)的单向度量指标)时,网络设计员可以选择部署专用外部时钟源。下图所示显示当前技术的相对准确性的一个比较图表。

/image/gif/paws/19643/ntpm-2.gif

直到最近, 由于高成本的质量外部时钟源,外部时钟源的使用没有在企业网络中广泛部署。然而,当服务质量(QoS)需求增加,时间技术费用继续下降时,企业网络的外部时钟源成为可行选择。

NTP 配置示例

WAN 时间分配网络

在下图所示中,公司自治系统(AS)从三个公共时间服务器得到时间信息。公司AS显示作为Area 0和区域1时间服务器。在本例中, NTP层级跟随开放最短路径优先(OSPF)层级。然而, OSPF不是一个前提对于NTP。它只使用作为说明性示例。NTP可能沿着其他逻辑层次配置,例如增强的内部网关路由协议(EIGRP)层次结构或标准的核心/分配/访问层次结构。

/image/gif/paws/19643/ntpm-4.gif

下列是设备A0-R1的Cisco IOS配置在上述图表中。

clock timezone CST -5
clock summer-time CDT recurring


!--- This router has a hardware calendar. 
!--- To configure a system as an
!--- authoritative time source for a network
!--- based on its hardware clock (calendar),
!--- use the clock calendar-valid global
!--- configuration command. Notice later that
!--- NTP will be allowed to update the calendar
!--- and Cisco IOS will be configured to be an
!--- NTP master clock source. 
!--- Cisco IOS will then obtain its clock from
!--- the hardware calendar.


clock calendar-valid


!--- This allows NTP to update the hardware
!--- calendar chip.


ntp update-calendar


!--- Configures the Cisco IOS software as an
!--- NTP master clock to which peers synchronize
!--- themselves when an external NTP source is
!--- not available. Cisco IOS will obtain the
!--- clock from the hardware calendar based on
!--- the previous line. This line will keep the
!--- whole network in Sync even if Router1 loses
!--- its signal from the Internet. Assume, for
!--- this example, that the Internet time servers
!--- are stratum 2.


ntp master 3


!--- When the system sends an NTP packet, the
!--- source IP address is normally set to the
!--- address of the interface through which the
!--- NTP packet is sent.
!--- Change this to use loopback0.


ntp source Loopback0


!--- Enables NTP authentication.


ntp authenticate
ntp authentication-key 1234 md5 104D000A0618 7
ntp trusted-key 1234


!--- Configures the access control groups for
!--- the public servers and peers for additional
!--- security.


access-list 5 permit <I-TS-1>
access-list 5 permit <I-TS-2>
access-list 5 permit <I-TS-3>
access-list 5 permit <A0-R2>
access-list 5 permit <A0-R3>
access-list 5 deny any


!--- Configures the access control groups for the
!--- clients to this node for additional security.


access-list 6 permit <A1-R1>
access-list 6 permit <A1-R2>
access-list 6 permit <A1-R3>
access-list 6 deny any


!--- Restricts the IP addresses for the peers
!--- and clients.

 
ntp access-group peer 5
ntp access-group serve-only 6


!--- Fault tolerant configuration polling for 3 NTP
!--- public servers, peering with 2 local servers.


ntp server <I-TS-1>
ntp server <I-TS-2>
ntp server <I-TS-3>
ntp peer <A0-R2> 
ntp peer <A0-R3>

高层校园时间分配网络

前面部分描述广域网时间分布式网络。此部分在层次结构中向下移动一步,以讨论在高层园区网络的时间分配。

主要的区别,当考虑在高层园区网络时的时间分配是广播协会模式的潜在的使用情况。如前所述,广播关联模式简化了LAN配置,但同时也降低了时间计算的准确性。所以,必须考虑折衷方案以维修费用在性能测定的准确性。

ntpm-5.gif

高层园区网络(如上图所示),源自标准的Cisco 园区网设计,包含三个组件。园区核心包括被标记CB-1和CB-2的两个第3层设备。位于图较低的部分的服务器组件有标记为SD-1和SD-2的二个L3路由器。在服务器块的其余设备是Layer2设备。在左上方,有一个标准的访问块,带有标记为dl-1和dl-2的二个L3分布设备。其余设备是第二层交换机。使用广播选项,在此客户端访问块中,时间被分配。在右上方,有使用客户端/服务器时间分配配置的另一个标准访问块。

园区网骨干网设备同步到在客户端/服务器模型的区域时间服务器。

dl-1第3层分布设备的配置如下所示。


!--- In this case, dl-1 will be a broadcast server
!--- for the Layer 2 LAN.


internet Ethernet0
ntp broadcast

clock timezone CST -5
clock summer-time CDT recurring


!--- When the system sends an NTP packet, the
!--- source IP address is normally set to the
!--- address of the interface through which the
!--- NTP packet is sent.
!--- Change this to use loopback0.


ntp source Loopback0


!--- Enables NTP authentication.


ntp authenticate
ntp authentication-key 1234 md5 104D000A0618 7
ntp trusted-key 1234


!--- Configures the access control groups for
!--- the public servers and peers for
!--- additional security.


access-list 5 permit <CB-1>
access-list 5 permit <CB-2>
access-list 5 permit <dl-2>
access-list 5 deny any



!--- Restricts the IP addresses for the peers
!--- and clients.


ntp access-group peer 5


!--- Fault tolerant configuration polling 2
!--- local time servers and 1 local peer.


ntp server <CB-1>
ntp server <CB-2>
ntp peer <dl-2>

低层校园时间分配网络

在下面的图表中,在中央数据中心提供GPS或Cesium时间源,供低层园区网络使用。这设置在私有网络的一stratum1时间源。如果专用网有多个GPS或Cesium时间源,那么应修改专用网时间分配,充分利用可用时间源的优势。

一般来说,同样原理和配置适用如同前面的示例。案例的主要区别是同步树的根是专用时间源而不是来自互联网的公共时钟源。这更改时间分布式网络的设计利用高精确度专用时间源。使用前面部分描述的分层和模块化原理,专用时间源被分配到整个专用网络。

/image/gif/paws/19643/ntpm-6.gif

进程定义

进程定义是代理执行的一系列连续动作、活动和变化,目的是满足目的或达到目标。

进程控制是规划和调控过程,以便采用有效和高效的方式执行进程目标。

如图解,这在下图所示中显示。

/image/gif/paws/19643/ospf_a.gif

流程的输出必须依照组织定义的操作规范,并且基于业务目标。如果程序依照某套标准,并且程序可以重复被执行、能被测量和被管理,并且对业务目标有用,程序则视为有效,如果活动以最少的力气进行,进程也被认为高效率。

进程所有者

进程跨过多种组织边界。所以,拥有负责流程定义的单个进程所有者很重要。所有者是确定和报告流程是否有效且高效的焦点。如果该进程无效,那么进程拥有者加建将执行进程修改。进程的修改由更改控制和复核进程管理。

进程目标

进程目标设立设置方向和范围进程定义的。目标也用于定义用来测量进程效果的尺度。

该流程的目标是在NTP设计阶段提供备有文件记录的标准,为所配置的NTP体系结构提供审计功能,保证长期符合预计设计。

进程性能指示器

进程性能指示器用于测量进程定义的效果。指示器应该是可测量和可计量的。例如,如下所示的指示器是数字或测量在时间之前。

  • 要求的时间长度通过整个过程循环。

  • 在影响用户之前,所需的执行频率,以便提前发现NTP问题。

  • 网络负载关联与进程的执行。

  • 进程推荐的纠正措施数量。

  • 由于进程实现的纠正措施数量。

  • 要求的时间长度实现纠正措施。

  • 纠正措施积压。

  • 在故障排除或问题诊断的错误归因于NTP相关问题。

  • 在种子文件添加,删除或者修改的项目数量。这是准确性和稳定性的征兆。

进程输入

进程输入用于定义标准和前提对于进程。许多次,进程输入的识别在外部条件提供信息。下面提供与NTP管理涉及的输入列表。

  • NTP设计文档

  • NTP SNMP轮询收集的MIB数据

进程输出

进程输出定义如下:

任务定义

以下部分定义了初始化和重复任务关联与NTP管理。

初始化任务

初始任务在程序执行期间一次性完成,不应该在程序的每次过程中执行。

创建NTP设计

检验必备任务时,如果确定任何某项任务不能实施,也不能提供充足的信息,来有效满足该程序的需求,程序所有者则应当文件记录该事实,并提交给管理人员。表下面的概述事先需要的初始化任务。

前期任务 说明
任务目的 创建符合设计需求和成本目标的NTP体系结构的一个详细的设计文件
任务输入
  • 设计技术和经济需求
  • 现有网络设计文档
  • 定义需要的方面的标准将记录在设计启用管理功能
  • IT应用程序部署信息
  • 性能监控要求
任务输出 NTP设计文档
任务资源 网络工程师建筑师网络操作建筑师
任务角色 工程和运作审核人批准网络设计,负责预算的管理者批准网络设计费用。

创建种子文件

NTP管理进程需要使用种子文件,取消对网络发现功能的需要。种子文件将记录受NTP程序监管的路由器集,用作一个焦点,与组织中的变化管理程序一起调整。例如,如果新节点输入到网络中,它们需要添加到NTP种子文件。如果由于安全需求而变更SNMP属性名称,那些修改应反映在种子文件中。表下面的概述创建的种子文件进程。

前期任务 说明
任务目的 创建识别网络设备三个类别的种子文件
  1. 重要设备—频繁轮询为配置信息
  2. 有趣的设备—频繁地轮询较少
  3. 所有NTP已启用设备—轮询了最少数量
任务输入 NTP设计文档网络拓扑文档
任务输出 种子文件
任务资源 用于识别和优先节点的设计准则包含在NTP体系结构中。

基准NTP性能参数

数参数可用为监控NTP网络展览一些正常的期望变化。设立基线的流程用来标明正常的预期变化,并设置定义意外或异常状况的门限值。此任务用于基准设置的变量参数NTP体系结构。对于基线更多详细讨论技术看到基本程序:最佳实践白皮书

进程 说明
任务目的 基准可变参数
任务输入 识别可变参数cntpSysRootDelay cntpSysRootDispersion cntpPeersRootDelay cntpPeersRootDispersion cntpPeersOffset cntpPeersDelay cntpPeersDispersion
任务输出 基线值和阈值
任务资源 收集的SNMP数据和计算的基准工具
任务角色 网络工程师NMS工程师

重复任务

流程反复或者它们频率已经确定、并进行修改后,请执行迭代任务,以改进性能指数。

维护种子文件

种子文件为NTP管理进程的有效的应用是关键。所以,种子文件的当前状态必须积极地被管理。更改影响种子文件内容的网络需要由NTP管理流程所有者跟踪。

进程 说明
任务目的 保存种子文件的准确性
任务输入 关于网络更改的信息
任务输出 种子文件
任务资源 报告,通知,会议关于更改
任务角色 网络工程师NMS工程师

执行NTP节点扫描

收集了关于此步骤定义的关键,有趣的和配置扫瞄的信息。运行这三扫瞄以不同的频率。

重要节点是被看到如非常重要对性能集数据点的设备。经常执行重要节点扫瞄,例如每小时或者根据改变前后的需求。触发节点视为NTP体系结构整体完整性的重要设备,但可能不是重要性能数据收集的时间同步树。此报告周期地被生成得,例如,每天或每月。配置报告是完整的资源密集型报告,用来表现设计记录的整个NTP部署配置。此报告频繁地被生成较少,例如,每周或每季度。要考虑的重点是,报告的收集频率可以根据NTP体系结构和业务需要的稳定性进行调整。

进程 说明
任务目的 箴言报NTP体系结构
任务输入 网络设备数据
任务输出 报告
任务资源 软件应用收集数据和提供报告
任务角色 网络工程师

查看NTP节点报告

此任务需要关键,有趣的和配置报告查看并且被分析。如果问题检测,则应该启动纠正措施。

进程 说明
任务输入 扫描报告
任务输出 稳定性分析纠正措施
任务资源 对网络设备的访问进一步调查和验证的
任务角色 网络工程师

数据识别

一般数据特性

下表描述被认为有趣的为分析NTP体系结构的数据。

数据 说明
节点ID 有配置的NTP的设备
对等体 设备的配置的对等体
同步源 同步的选定对等体
NTP配置数据 用于的参数判断NTP设计的一致性
NTP质量数据 用于的参数分析NTP关联的质量

SNMP 数据识别

Cisco NTP MIB系统组

NTP SNMP数据由Cisco-NTP-MIB定义。欲知支持该MIB的版本信息,请使用CCO Feature Navigator(CCO功能导航)工具,选择MIB Locator(MIB定位器)选项。此工具通过语音、电话和消息技术页的TAC工具访问。

Cisco NTP MIB的系统组为运行NTP的目标节点提供信息。目标节点是SNMP查询的目的地。

对象名称 对象说明
cntpSysStratum 本地时钟的层。如果值设置为1,主要参考---即第3.4.6部分描述的主要时钟程序则可以在RFC-1305中调用。leavingcisco.com : := {cntpsystem 2}对象标识符= .1.3.6.1.4.1.9.9.168.1.1.2
cntpSysPrecision 签名的整数以秒钟显示系统时钟的精确度,最接近的功率为二。必须舍入值到下大功率两。例如,50赫兹(20毫秒)或60赫兹(16.67毫秒) 功率频率时钟被赋予值-5 (31.25毫秒),而1000赫兹(1毫秒)晶体控制时钟被赋予值-9 (1.95毫秒)。: := {cntpsystem 3}对象标识符= .1.3.6.1.4.1.9.9.168.1.1.3
cntpSysRootDelay 符号定点数说明在很短的时间内的总往返延迟到同步子网根的主要参考源。: := {cntpsystem 4}对象标识符= .1.3.6.1.4.1.9.9.168.1.1.4
cntpSysRootDispersion 用秒钟表示的最大错误与同步化子网根的主要参考源相关。极大仅正值比零是可能的。: := {cntpsystem 5}对象标识符= .1.3.6.1.4.1.9.9.168.1.1.4
cntpSysRefTime 本地时间,当本地时钟是最近更新时。如果本地时钟从未同步,值是零。: := {cntpsystem 7}对象标识符= .1.3.6.1.4.1.9.9.168.1.1.7
cntpSysPeer 在充当同步源的对等体的cntpPeersVarTable中,当前同步源包含对应的对等体条目的唯一的关联标识符cntpPeersAssocId 。如果没有对等体,值是零。: := {cntpsystem 9}对象标识符= .1.3.6.1.4.1.9.9.168.1.1.9
cntpSysClock 当前本地时间。按照所用设计,本地时间每隔一段时间从特定机器与附件的硬件时钟中派生。: := {cntpsystem 10}对象标识符= .1.3.6.1.4.1.9.9.168.1.1.10

Cisco NTP MIB对等组-对等体变量表

Cisco NTP MIB提供信息的对等组关于目标节点的对等体的。

对象名称 对象说明
cntpPeersVarTable 此表在本地NTP服务器有关联的对等体提供信息。对等体也是运行在不同的主机的NTP服务器。这是cntpPeersVarEntry表: := {cntppeers 1}对象标识符= .1.3.6.1.4.1.9.9.168.1.2.1
cntpPeersVarEntry 每个对等体的条目提供从特定对等体Ntp server获取的NTP信息。每对等体由唯一关联标识符识别。当用户配置NTP服务器与远端对等体相连时,自动创建条目。同样地,当用户从Ntp server时,取消对等体关联条目删除。条目也可以由管理站创建,方法是为cntpPeersPeerAddress、cntpPeersHostAddress和cntpPeersMode设置值,将cntpPeersEntryStatus设置为活动(1)。至少,管理站必须为cntpPeersPeerAddress设置值,使行激活。索引{cntpPeersAssocId} : := {cntppeersvartable 1}对象标识符= .1.3.6.1.4.1.9.9.168.1.2.1.1
cntpPeersAssocId 大于零的整数值能独特识别本地NTP服务器连接的对等体。: := {cntppeersvarentry 1}对象标识符= .1.3.6.1.4.1.9.9.168.1.2.1.1.1
cntpPeersConfigured 这里有一个位表明关联是从配置信息创建的,并且即使对等体不能到达,也不能解除关联。: := {cntppeersvarentry 2}对象标识符= .1.3.6.1.4.1.9.9.168.1.2.1.1.2
cntpPeersPeerAddress 对等体的IP地址。当创建一个新的联系时,此对象的值应该在行被激活之前设置。: := {cntppeersvarentry 3}对象标识符= .1.3.6.1.4.1.9.9.168.1.2.1.1.3
cntpPeersMode SYNTAX整数{未指定(0), symmetricActive (1), symmetricPassive (2),客户端(3),服务器(4),广播(5), reservedControl (6), reservedPrivate (7)},当创建一个新的对等体关联,如果值没有为此对象时指定,默认到symmetricActive (1)。: := {cntppeersvarentry 8}对象标识符= .1.3.6.1.4.1.9.9.168.1.2.1.1.8
cntpPeersStratum 对等体时钟的层。: := {cntppeersvarentry 9}对象标识符= .1.3.6.1.4.1.9.9.168.1.2.1.1.9
cntpPeersRootDelay 标明固定点数字显示对等体到同步子网的根的主要参考源进行往返时总共延迟的时间(以秒钟表示)。: := {cntppeersvarentry 13}对象标识符= .1.3.6.1.4.1.9.9.168.1.2.1.1.13
cntpPeersRootDispersion 对等体时钟的最大错误(以秒表示)与同步子网的根的主要参考源相关。极大仅正值比零是可能的。: := {cntppeersvarentry 14}对象标识符= .1.3.6.1.4.1.9.9.168.1.2.1.1.14
cntpPeersRefTime 在对等体的本地时间,当其时钟是最近更新。如果对等体时钟从未同步,值是零。: := {cntppeersvarentry 16}对象标识符= .1.3.6.1.4.1.9.9.168.1.2.1.1.16
cntpPeersReach 移位寄存器曾经确定对等体的可到达性状态,同时提供最不明显(最右边)的末端位。如果该寄存器中至少有一个比特设置为1(对象为非零),对等体则被视为可达。在移位寄存器的数据由NTP协议步骤填充。: := {cntppeersvarentry 21}对象标识符= .1.3.6.1.4.1.9.9.168.1.2.1.1.21
cntpPeersOffset 对等体时钟的预计的偏移量相对本地时钟的,以秒钟。使用NTP时钟过滤器算法,主机确定值此对象。: := {cntppeersvarentry 23}对象标识符= .1.3.6.1.4.1.9.9.168.1.2.1.1.21
cntpPeersDelay 估计得出的对等体时钟的最大错误与它们之间的网络路径的本地时钟相关(用秒钟表示)。使用NTP时钟过滤器算法,主机确定值此对象。: := {cntppeersvarentry 24}对象标识符= .1.3.6.1.4.1.9.9.168.1.2.1.1.24
cntpPeersDispersion 估计得出的对等体时钟的最大错误与它们之间的网络路径的本地时钟相关(用秒钟表示)。使用NTP时钟过滤器算法,主机确定值此对象。: := {cntppeersvarentry 25}对象标识符= .1.3.6.1.4.1.9.9.168.1.2.1.1.25

数据收集

SNMP 数据收集

此程序需要的所有信息可以通过SNMP查询收集。为了解析数据并提供报告,必须开发自定义脚本或软件程序。

数据表示

NTP 临界节点报告

重要节点是重要在选定性能数据数据收集点同步树的设备。如果这里有一个被监控的高收入VOIP服务,并且正在收集单向延迟变量权值,那么记录时间戳的源及目的地节点被认为重要节点。

根据示例OSPF层级,在本例中, NTP设计设立了。因此,下面描述的报告都根据设备的OSPF区域进行了格式化,以便对设备进行分组。节点在多个区域具有接口时,必须由报表生成软件做出以下决定:出于报告目的,节点将在哪个区域列出。如前面提到, OSPF不是一个前提对于NTP。只用于本文作为说明性示例。

区域 设备 设备数据
AreaId -n DeviceId #1 cntpSysStratum  
cntpSysPrecision  
cntpSysRootDelay  
cntpSysRootDispersion  
cntpSysRefTime  
cntpSysPeer  
cntpSysClock  
DeviceId -n cntpSysStratum  
cntpSysPrecision  
cntpSysRootDelay  
cntpSysRootDispersion  
cntpSysRefTime  
cntpSysPeer  
cntpSysClock  

NTP 有趣节点报告

有趣的节点报告的格式是相同的象重要节点报告的格式。触发节点视为NTP体系结构整体完整性的重要节点,但可能不是重要性能数据收集的时间同步树。

NTP 配置报告

收集关于整体NTP体系结构的信息的配置报告是全面报告。此报告用于记录和验证NTP部署设计记录。

区域 设备 对等体 对等体数据
AreaId -n DeviceId -n PeerId #1 cntpPeersAssocId  
cntpPeersConfigured  
cntpPeersPeerAddress  
cntpPeersMode  
cntpPeersStratum  
cntpPeersRootDelay  
cntpPeersRootDispersion  
cntpPeersRefTime  
cntpPeersReach  
cntpPeersOffset  
cntpPeersDelay  
cntpPeersDispersion  
PeerId -n cntpPeersAssocId  
cntpPeersConfigured  
cntpPeersPeerAddress  
cntpPeersMode  
cntpPeersStratum  
cntpPeersRootDelay  
cntpPeersRootDispersion  
cntpPeersRefTime  
cntpPeersReach  
cntpPeersOffset  
cntpPeersDelay  
cntpPeersDispersion  

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 19643