校園網時間同步技術（NTP網絡時間服務器）方案

校園網時間同步技術（NTP網絡時間服務器）方案

校園網時間同步技術（NTP網絡時間服務器）方案

京准電子科技官微——ahjzsz

摘要：隨着網絡的飛速發展，設備的日益增多，許多網絡應用和網絡安全對時間同步問題提出了迫切需求。因此基於NTP的時間同步解決方案成為解決這些問題的合理選擇。本文介紹了時間同步技術中的NTP協議的原理、工作模式和體系結構，並結合校園網的實際網絡結構討論了NTP在校園網中的應用, 

關鍵字：時間同步，網絡時間協議 

1、引言： 

隨着網絡的普及，許多單位都建了自己的園區網，使用的網絡設備和服務器日益增多。這些設備都有自己的時鍾，而且是可以調節的。但是無法保證網絡中的所有設備和主機的時間是同步的，因為這些時鍾每天會產生數秒、甚至數分鍾的誤差。經過長期運行，時間差會越來越大，這種偏差在單機中影響不太大，但在網絡環境下的應用中可能會引發意想不到的問題。如在分布式計算環境中，由於每個主機時間不一致，會造成同一操作在不同主機的記錄時間不一致，將導致服務無法正常地進行。隨着各種網絡應用的不斷發展，對時間的要求也越來越高，否則會引發許多的問題。 

2、時間同步概述 

將網絡環境中的各種設備或主機的時間信息(年月日時分秒)基於UTC（Universal Time Coordinated）時間偏差限定在足夠小的范圍內（如100ms），這種同步過程叫做時間同步[1]。 

目前，有兩種重要的時間同步技術，即網絡時間協議(Network Time Protocol，NTP)協議和直接連接時間傳輸技術。其中直接連接時間傳輸技術，需要所有客戶端直接連接到標准時間源。NTP適用於網絡環境下，可以在一個無序的網絡環境下提供精確和健壯的時間服務。這里我們只討論基於NTP原理的時間同步技術和應用。 

3、NTP工作原理和應用 

3．1、NTP協議概述 

NTP最早由美國Delaware大學的教授設計實現的，由時間協議、ICMP時間戳消息及IP時間戳選項發展而來[2]。NTP用於將計算機客戶或服務器的時間同步到另一服務器或參考時鍾源。它使用UTC作為時間標准，是基於無連接的IP 協議和UDP協議的應用層協議，使用層次式時間分布模型，所能取得的准確度依賴於本地時鍾硬件的精確度和對設備及進程延遲的嚴格控制。在配置時，NTP可以利用冗余服務器和多條網絡路徑來獲得時間的高准確性和高可靠性。實際應用中，又有確保秒級精度的簡單的網絡時間協議(Simple Network Time Protocol，SNTP)。 

圖1是一個UDP分組中的NTP信息。其中，LI是潤秒插入或刪除指示；VN是NTP協議版本號；Mode、Stratum和Precision分別代表工作模式、時鍾級別和本地鍾精度。Poll是當前發送NTP消息的時間間隔的期望值。Root Delay表示主要參考源的總延遲。Root Dispersion表示相對於主要參考源的正常差錯。Synchronizing Distance和Synchronizing Dispersion是當前往返延遲和相對於PRS的誤差范圍。Reference Timestamp代表當前時鍾參考源的種類和最近一次更新時間，為管理目的而設立。后面三個字段分別代表三個時間戳：Originate Timestamp發送方最后接觸包的時間，Receive Timestamp接收方收到包的時間，Transmit Timestamp接收方發送echo reply時最后接觸包的時間。Authenticator是密匙指示標志和加密的校驗盒。 

 

圖1：UDP分組中的NTP信息[4] 

3．2、NTP的工作原理 

影響NTP 協議精確度最關鍵的原因在於由網絡延遲的隨機性而引起的時鍾延遲計算的不准確。由於延遲不准確，所以無法依靠從時間服務器到客戶機的單邊傳輸來傳遞精確的時間信息。為了解決這個問題，在NTP協議中使用時間服務器和客戶機之間的雙向信息交換和時間戳（timestamp）的概念。圖2顯示了用這種方法確定延遲和偏移的基本原理。 

 

如圖所示，Ti，Ti-1，Ｔi-2，Ｔi-3為A、B主機之間最近的4個時間戳的值。假設： 

a=Ｔi-2-Ｔi-3；b= Ti-1- Ti。那么A、B主機之間的往返傳輸延遲δi和B相對於A在Ti時刻的時間偏移量θi應該為：δi=a-b；θi=（a+b）/2 

由於在網絡傳輸中分組傳輸的流量不確定，可能時大時小，而且通常是以突發的方式到達客戶機，所以傳輸延遲不是一個穩態隨機過程。但是，我們可以通過對傳輸延遲的測量來對完成偏差的修正。在圖2中，B相對於A的真實時間偏移是θ。假設用ｘ表示從A到B的真實傳輸延遲，那么有：x+b=Ti-2–Ti-3=a。由於x必須為正，即有x=a–θ≥０，所以θ≤ａ。同理，我們可得出ｂ≤θ，所以有ｂ≤θ≤ａ，即：b=(a+b)/2-(a-b)/2≤θ≤(a+b)/2+(a-b)/2=a。相當於：θi -(δi)/2≤θ≤θi +(δi)/2。 

這意味着，真實的時鍾偏差值是以測量所得的偏差值為中心的，而其可能的變化范圍則等長於測量所得的延遲。每一條NTP消息都包含最新的３個時間戳，第４個時間戳則由消息的到達時刻確定。因此，服務器和客戶機都可以單獨確定時間偏移。這種對稱的連續采樣的時間傳輸方法的優點是對發送和接受的消息的順序沒有要求，因此不需要可靠的傳輸途徑。很顯然，最終的准確度將取決於發送和接受路徑的統計特性。 

3．3、NTP的工作模式 

NTP的工作模式有三種： 

客戶/服務器模式：客戶機周期性地向服務器請求時間信息，服務器用來同步客戶機但不能被客戶機同步。客戶機首先向服務器發送一個NTP 包，其中包含了該包離開客戶機時的時間戳，當服務器接收到該包時，依次填入包到達時的時間戳、交換包的源地址和目的地址、填入包離開時的時間戳，然后立即把包返回給客戶機。客戶機在接收到響應包時再填入包返回時的時間戳。客戶機用這些時間參數就能夠計算出2個關鍵參數：包交換的往返延遲和客戶機與服務器之間的時鍾偏移。客戶機使用時鍾偏移來調整本地時鍾，以使其時間與服務器時間一致[2]。 

主/被動對稱模式：與客戶/服務器模式基本相同。唯一區別在於雙方均可同步對方或被對方同步。 

廣播模式：沒有同步的發起方。在每個同步周期中，服務器向網絡廣播廣播帶有自己時間戳的消息包，所有的目標節點被動接收這些消息，以此調整自己的時間。一般用於網絡延時非常小，或者對時間精度要求不高的地方，如同局域網內，使用廣播模式可節省帶寬。 

3．4、NTP系統體系結構 

NTP采用層次式時間分布模型。網絡體系結構主要包括主時間服務器、從時間服務器、客戶機和各節點之間的傳輸路徑。主時間服務器與高精度時間源進行同步，為其他節點提供時間服務。各客戶端從時間服務器經由主服務器獲得時間同步。正常情況下，節點（包括時間服務器和客戶機）只用最可靠、最准確的服務器及傳輸路徑進行同步，所以通常的同步路徑為一個層次結構。其中，主時間服務器位於根節點，其他從時間服務器隨同步精度增加而位於靠近葉子節點的層上，主機和學校服務器處於葉子節點。NTP將傳輸路徑分為主動同步路徑和備份同步路徑，兩者都同時進行時間信息包的傳輸，但節點只用主動同步路徑數據進行同步處理[2]。 

 

圖3：客戶/服務器模式的一個實現模型[3] 

該模型中，本地時鍾進程：處理由修正模塊得出的偏移量並且用NTP中專用算法對本地時鍾的相位和頻率進行調節。傳送進程：由和每個遠端實體對應的不同定時器觸發，用以從數據庫中收集信息，並向遠端實體發送NTP消息。每個消息包括發送時的本地時間戳，前一次收到的時間戳，還有用來判斷同步網絡層次結構以及管理連接的信息。接收進程：接收NTP消息，計算出遠端時鍾和本地時鍾之間的偏移量。修正模塊：處理與各個遠端實體之間的偏移量，並用NTP中的一個算法選擇最佳的一個。本地時鍾進程：處理由修正模塊得出的偏移量並且用NTP中專用算法對本地時鍾進行調節。 

4．NTP在校園網中的應用 

在我校校園網絡內，存在大量網絡設備、服務器和主機，它們承載了校園網中的計費、維護、管理等功能，對時間的准確度需求比較高，要求在網絡之間傳遞的信息能夠在時間上保持高度一致。 

時間同步在校園網內的應用主要集中在一下幾個方面： 

1、 網絡管理系統的日志審計：當網絡中出現惡意攻擊行為或網絡故障問題時，需要網絡管理員根據有關網絡設備中產生的日志進行分析和判斷，以便於查找攻擊源和對網絡造成的危害及產生的原因。但是如果網絡中時間不能同步，那么同一個行為在不同設備中產生的日志將不能序列化。也就無法對這些問題進行分析和解決。另外當網管中心采用多點日志記錄時，如果網絡各個節點時間不同步，也將造成日志記錄的混亂。若需要這些信息快速准確進行故障定位，准確的時間是必不可少的[1]。 

2、 應用認證過程：校園網內的一些應用系統及以后要建的一卡通系統，在進行用戶認證的時候，要求網絡中時間必須同步。因為認證中的數字時間戳服務要求客戶端使用本地時間作為參數與認證服務器端交換認證信息包。如果不能做到網絡中的時間同步，那么系統就會遇到問題，而且認證過程中還有可能受到重放攻擊。 

3、 與時間有關的應用系統：嚴格要求記錄數據提交時刻的網絡應用系統，必須保證提交時間的准確性和不可更改性。另外，對客戶端進行限時操作的應用系統也要求時間同步。 

4、 校園網備份系統：在備份服務器和客戶機之間進行增量備份要求這兩個系統之間的時間同步。 

5、 確保系統之間的遠程系統調用能夠正常進行：因為為了保證一個系統調用不會重復進行，該系統調用只在一個時間間隔內有效。如果系統間的時鍾不同步。該系統調用可能在還沒有發生之前就因為超時而不能進行 

6、 計費系統：網絡計費系統中也要用到數字時間戳服務，所以也要求精確的時間同步。 

校園網中各種應用系統及安全系統、網絡管理系統推動了網絡設備、服務器等對時間同步的需求。如果不能進行准確的時間同步，我們就得花費大量的時間來解決各種各樣的可能會出現的問題。 

總而言之，時間同步技術對網絡管理和網絡應用是非常重要的。為了保證校園網內各設備和系統之間時間的同步，我們需要解決三方面的問題：一是盡量選取非常精確的時間源；二是將精確的時間傳送到需要時間服務的網絡設備或主機，保證在傳輸過程中誤差盡量小；三是用絕對時間同步時間設備，充分利用設備各自的時間校准機制自動實現時間同步，盡量排除人工因素。 

為此結合校園網實際情況，按NTP的分層結構構建一個校園時間同步網，見圖4。目前，校園網網絡結構按物理范圍划分為幾個區域，各區域有一台三層交換機作為核心設備，這些核心設備通過網絡中心的一台核心三層交換機接入Internet。我們采用網絡中心的核心設備作為Internet上已公開的時間服務器（國際時間服務器見http://www.eesic.udel.edu/ntp/；中國教育網內時間服務器見http://www.time.edu.cn/mem.htm）的客戶端，直接從Internet上的時間服務器取得准確的時間，然后做為校園網內的一級時間服務器，為整個校園網絡提供時間服務；其他幾個區域內的核心設備作為網絡中心核心設備的客戶端，從網絡中心的核心設備上取得時間；校園網中分布層的網絡設備作為核心層的客戶端，從各自所處區域的核心設備上取得時間，並為校園網內終端用戶提供時間服務。設置上一級時間服務器的配置命令如下： 

(config)#ntp server x.x.x.x：其中x.x.x.x是要保持一致的上一級時間服務器的ip地址。 

為了保持時間的准確性，校園網內的各種服務器一般可根據連接情況直接從最近連接的核心設備來取得時間，而各核心設備之間可以采用主/被動對稱模式工作，它們同時可以互相之間進行協調，以保持時間的一致性。設置對等關系的配置命令如下：(config)#ntp peer x.x.x.x 其中x.x.x.x為對等地位的時間服務器的ip地址 

校園內的服務器根據操作系統不同，分別采用不同配置命令或軟件：對於Windows2000，可以使用Windows自帶的命令，在命令行方式下輸入：net time/set sntp :x.x.x.x 其中:x.x.x.x為時間服務器ip地址，可以有一個或多個，之間用空格分開。也可使用免費軟件，如：ntptime等。對於Linux，可采用rdate或netdate與時間服務器進行時間同步。 

核心層設備的時間服務非常重要，如果受到攻擊，將會影響很大范圍的服務。所以我們可以采用設置授時驗證要求和訪問控制策略來防止對核心設備的非授權訪問和改動，以確保校園網內時間的准確、可靠和安全。對時間服務器端和對應客戶端進行的NTP配置步驟如下： 

1、啟用NTP認證： 

(switch-config)#ntp authenticate 

2、配置NTP認證用的密碼，使用MD5加密，需要和ntp server保持一致 

(switch-config)#ntp authentication key 1 md5 keyword 

3、配置雙方信任的key 

(switch-config)#ntp trusted – key 1 

4、配置訪問控制策略，只允許對符合access-list listnumber條件主機提供時間服務 

(switch-config)#ntp acess-group peer listnumber 

以上命令必須在需要認證的核心設備和對應客戶端同時部署，而且配置命令必須一致： 

 

圖4 校園時間同步網 

5．總結 

本文討論了NTP協議的工作原理和工作模式。並針對校園網對時間服務的需求結合校園網的實際情況提出了采用NTP協議分層模式的校園時間同步網的解決辦法。以后隨着校園網的建設，對時間服務有要求的網絡應用會越來越多。在網絡安全方面對時間服務的要求也會越來越高，這方面的研究還有待於深入。 

 

 

 

摘要：隨着網絡的飛速發展，設備的日益增多，許多網絡應用和網絡安全對時間同步問題提出了迫切需求。因此基於NTP的時間同步解決方案成為解決這些問題的合理選擇。本文介紹了時間同步技術中的NTP協議的原理、工作模式和體系結構，並結合校園網的實際網絡結構討論了NTP在校園網中的應用,

關鍵字：時間同步，網絡時間協議

1、引言：

隨着網絡的普及，許多單位都建了自己的園區網，使用的網絡設備和服務器日益增多。這些設備都有自己的時鍾，而且是可以調節的。但是無法保證網絡中的所有設備和主機的時間是同步的，因為這些時鍾每天會產生數秒、甚至數分鍾的誤差。經過長期運行，時間差會越來越大，這種偏差在單機中影響不太大，但在網絡環境下的應用中可能會引發意想不到的問題。如在分布式計算環境中，由於每個主機時間不一致，會造成同一操作在不同主機的記錄時間不一致，將導致服務無法正常地進行。隨着各種網絡應用的不斷發展，對時間的要求也越來越高，否則會引發許多的問題。

2、時間同步概述

將網絡環境中的各種設備或主機的時間信息(年月日時分秒)基於UTC（Universal Time Coordinated）時間偏差限定在足夠小的范圍內（如100ms），這種同步過程叫做時間同步[1]。

目前，有兩種重要的時間同步技術，即網絡時間協議(Network Time Protocol，NTP)協議和直接連接時間傳輸技術。其中直接連接時間傳輸技術，需要所有客戶端直接連接到標准時間源。NTP適用於網絡環境下，可以在一個無序的網絡環境下提供精確和健壯的時間服務。這里我們只討論基於NTP原理的時間同步技術和應用。

3、NTP工作原理和應用

3．1、NTP協議概述

NTP最早由美國Delaware大學的教授設計實現的，由時間協議、ICMP時間戳消息及IP時間戳選項發展而來[2]。NTP用於將計算機客戶或服務器的時間同步到另一服務器或參考時鍾源。它使用UTC作為時間標准，是基於無連接的IP 協議和UDP協議的應用層協議，使用層次式時間分布模型，所能取得的准確度依賴於本地時鍾硬件的精確度和對設備及進程延遲的嚴格控制。在配置時，NTP可以利用冗余服務器和多條網絡路徑來獲得時間的高准確性和高可靠性。實際應用中，又有確保秒級精度的簡單的網絡時間協議(Simple Network Time Protocol，SNTP)。

圖1是一個UDP分組中的NTP信息。其中，LI是潤秒插入或刪除指示；VN是NTP協議版本號；Mode、Stratum和Precision分別代表工作模式、時鍾級別和本地鍾精度。Poll是當前發送NTP消息的時間間隔的期望值。Root Delay表示主要參考源的總延遲。Root Dispersion表示相對於主要參考源的正常差錯。Synchronizing Distance和Synchronizing Dispersion是當前往返延遲和相對於PRS的誤差范圍。Reference Timestamp代表當前時鍾參考源的種類和最近一次更新時間，為管理目的而設立。后面三個字段分別代表三個時間戳：Originate Timestamp發送方最后接觸包的時間，Receive Timestamp接收方收到包的時間，Transmit Timestamp接收方發送echo reply時最后接觸包的時間。Authenticator是密匙指示標志和加密的校驗盒。

圖1：UDP分組中的NTP信息[4]

3．2、NTP的工作原理

影響NTP 協議精確度最關鍵的原因在於由網絡延遲的隨機性而引起的時鍾延遲計算的不准確。由於延遲不准確，所以無法依靠從時間服務器到客戶機的單邊傳輸來傳遞精確的時間信息。為了解決這個問題，在NTP協議中使用時間服務器和客戶機之間的雙向信息交換和時間戳（timestamp）的概念。圖2顯示了用這種方法確定延遲和偏移的基本原理。

如圖所示，Ti，Ti-1，Ｔi-2，Ｔi-3為A、B主機之間最近的4個時間戳的值。假設：

a=Ｔi-2-Ｔi-3；b= Ti-1- Ti。那么A、B主機之間的往返傳輸延遲δi和B相對於A在Ti時刻的時間偏移量θi應該為：δi=a-b；θi=（a+b）/2

由於在網絡傳輸中分組傳輸的流量不確定，可能時大時小，而且通常是以突發的方式到達客戶機，所以傳輸延遲不是一個穩態隨機過程。但是，我們可以通過對傳輸延遲的測量來對完成偏差的修正。在圖2中，B相對於A的真實時間偏移是θ。假設用ｘ表示從A到B的真實傳輸延遲，那么有：x+b=Ti-2–Ti-3=a。由於x必須為正，即有x=a–θ≥０，所以θ≤ａ。同理，我們可得出ｂ≤θ，所以有ｂ≤θ≤ａ，即：b=(a+b)/2-(a-b)/2≤θ≤(a+b)/2+(a-b)/2=a。相當於：θi -(δi)/2≤θ≤θi +(δi)/2。

這意味着，真實的時鍾偏差值是以測量所得的偏差值為中心的，而其可能的變化范圍則等長於測量所得的延遲。每一條NTP消息都包含最新的３個時間戳，第４個時間戳則由消息的到達時刻確定。因此，服務器和客戶機都可以單獨確定時間偏移。這種對稱的連續采樣的時間傳輸方法的優點是對發送和接受的消息的順序沒有要求，因此不需要可靠的傳輸途徑。很顯然，最終的准確度將取決於發送和接受路徑的統計特性。

3．3、NTP的工作模式

NTP的工作模式有三種：

客戶/服務器模式：客戶機周期性地向服務器請求時間信息，服務器用來同步客戶機但不能被客戶機同步。客戶機首先向服務器發送一個NTP 包，其中包含了該包離開客戶機時的時間戳，當服務器接收到該包時，依次填入包到達時的時間戳、交換包的源地址和目的地址、填入包離開時的時間戳，然后立即把包返回給客戶機。客戶機在接收到響應包時再填入包返回時的時間戳。客戶機用這些時間參數就能夠計算出2個關鍵參數：包交換的往返延遲和客戶機與服務器之間的時鍾偏移。客戶機使用時鍾偏移來調整本地時鍾，以使其時間與服務器時間一致[2]。

主/被動對稱模式：與客戶/服務器模式基本相同。唯一區別在於雙方均可同步對方或被對方同步。

廣播模式：沒有同步的發起方。在每個同步周期中，服務器向網絡廣播廣播帶有自己時間戳的消息包，所有的目標節點被動接收這些消息，以此調整自己的時間。一般用於網絡延時非常小，或者對時間精度要求不高的地方，如同局域網內，使用廣播模式可節省帶寬。

3．4、NTP系統體系結構

NTP采用層次式時間分布模型。網絡體系結構主要包括主時間服務器、從時間服務器、客戶機和各節點之間的傳輸路徑。主時間服務器與高精度時間源進行同步，為其他節點提供時間服務。各客戶端從時間服務器經由主服務器獲得時間同步。正常情況下，節點（包括時間服務器和客戶機）只用最可靠、最准確的服務器及傳輸路徑進行同步，所以通常的同步路徑為一個層次結構。其中，主時間服務器位於根節點，其他從時間服務器隨同步精度增加而位於靠近葉子節點的層上，主機和學校服務器處於葉子節點。NTP將傳輸路徑分為主動同步路徑和備份同步路徑，兩者都同時進行時間信息包的傳輸，但節點只用主動同步路徑數據進行同步處理[2]。

圖3：客戶/服務器模式的一個實現模型[3]

該模型中，本地時鍾進程：處理由修正模塊得出的偏移量並且用NTP中專用算法對本地時鍾的相位和頻率進行調節。傳送進程：由和每個遠端實體對應的不同定時器觸發，用以從數據庫中收集信息，並向遠端實體發送NTP消息。每個消息包括發送時的本地時間戳，前一次收到的時間戳，還有用來判斷同步網絡層次結構以及管理連接的信息。接收進程：接收NTP消息，計算出遠端時鍾和本地時鍾之間的偏移量。修正模塊：處理與各個遠端實體之間的偏移量，並用NTP中的一個算法選擇最佳的一個。本地時鍾進程：處理由修正模塊得出的偏移量並且用NTP中專用算法對本地時鍾進行調節。

4．NTP在校園網中的應用

在我校校園網絡內，存在大量網絡設備、服務器和主機，它們承載了校園網中的計費、維護、管理等功能，對時間的准確度需求比較高，要求在網絡之間傳遞的信息能夠在時間上保持高度一致。

時間同步在校園網內的應用主要集中在一下幾個方面：

1、網絡管理系統的日志審計：當網絡中出現惡意攻擊行為或網絡故障問題時，需要網絡管理員根據有關網絡設備中產生的日志進行分析和判斷，以便於查找攻擊源和對網絡造成的危害及產生的原因。但是如果網絡中時間不能同步，那么同一個行為在不同設備中產生的日志將不能序列化。也就無法對這些問題進行分析和解決。另外當網管中心采用多點日志記錄時，如果網絡各個節點時間不同步，也將造成日志記錄的混亂。若需要這些信息快速准確進行故障定位，准確的時間是必不可少的[1]。

2、應用認證過程：校園網內的一些應用系統及以后要建的一卡通系統，在進行用戶認證的時候，要求網絡中時間必須同步。因為認證中的數字時間戳服務要求客戶端使用本地時間作為參數與認證服務器端交換認證信息包。如果不能做到網絡中的時間同步，那么系統就會遇到問題，而且認證過程中還有可能受到重放攻擊。

3、與時間有關的應用系統：嚴格要求記錄數據提交時刻的網絡應用系統，必須保證提交時間的准確性和不可更改性。另外，對客戶端進行限時操作的應用系統也要求時間同步。

4、校園網備份系統：在備份服務器和客戶機之間進行增量備份要求這兩個系統之間的時間同步。

5、確保系統之間的遠程系統調用能夠正常進行：因為為了保證一個系統調用不會重復進行，該系統調用只在一個時間間隔內有效。如果系統間的時鍾不同步。該系統調用可能在還沒有發生之前就因為超時而不能進行

6、計費系統：網絡計費系統中也要用到數字時間戳服務，所以也要求精確的時間同步。

校園網中各種應用系統及安全系統、網絡管理系統推動了網絡設備、服務器等對時間同步的需求。如果不能進行准確的時間同步，我們就得花費大量的時間來解決各種各樣的可能會出現的問題。

總而言之，時間同步技術對網絡管理和網絡應用是非常重要的。為了保證校園網內各設備和系統之間時間的同步，我們需要解決三方面的問題：一是盡量選取非常精確的時間源；二是將精確的時間傳送到需要時間服務的網絡設備或主機，保證在傳輸過程中誤差盡量小；三是用絕對時間同步時間設備，充分利用設備各自的時間校准機制自動實現時間同步，盡量排除人工因素。

為此結合校園網實際情況，按NTP的分層結構構建一個校園時間同步網，見圖4。目前，校園網網絡結構按物理范圍划分為幾個區域，各區域有一台三層交換機作為核心設備，這些核心設備通過網絡中心的一台核心三層交換機接入Internet。我們采用網絡中心的核心設備作為Internet上已公開的時間服務器（國際時間服務器見http://www.eesic.udel.edu/ntp/；中國教育網內時間服務器見http://www.time.edu.cn/mem.htm）的客戶端，直接從Internet上的時間服務器取得准確的時間，然后做為校園網內的一級時間服務器，為整個校園網絡提供時間服務；其他幾個區域內的核心設備作為網絡中心核心設備的客戶端，從網絡中心的核心設備上取得時間；校園網中分布層的網絡設備作為核心層的客戶端，從各自所處區域的核心設備上取得時間，並為校園網內終端用戶提供時間服務。設置上一級時間服務器的配置命令如下：

(config)#ntp server x.x.x.x：其中x.x.x.x是要保持一致的上一級時間服務器的ip地址。

為了保持時間的准確性，校園網內的各種服務器一般可根據連接情況直接從最近連接的核心設備來取得時間，而各核心設備之間可以采用主/被動對稱模式工作，它們同時可以互相之間進行協調，以保持時間的一致性。設置對等關系的配置命令如下：(config)#ntp peer x.x.x.x 其中x.x.x.x為對等地位的時間服務器的ip地址

校園內的服務器根據操作系統不同，分別采用不同配置命令或軟件：對於Windows2000，可以使用Windows自帶的命令，在命令行方式下輸入：net time/set sntp :x.x.x.x 其中:x.x.x.x為時間服務器ip地址，可以有一個或多個，之間用空格分開。也可使用免費軟件，如：ntptime等。對於Linux，可采用rdate或netdate與時間服務器進行時間同步。

核心層設備的時間服務非常重要，如果受到攻擊，將會影響很大范圍的服務。所以我們可以采用設置授時驗證要求和訪問控制策略來防止對核心設備的非授權訪問和改動，以確保校園網內時間的准確、可靠和安全。對時間服務器端和對應客戶端進行的NTP配置步驟如下：

1、啟用NTP認證：

(switch-config)#ntp authenticate

2、配置NTP認證用的密碼，使用MD5加密，需要和ntp server保持一致

(switch-config)#ntp authentication key 1 md5 keyword

3、配置雙方信任的key

(switch-config)#ntp trusted – key 1

4、配置訪問控制策略，只允許對符合access-list listnumber條件主機提供時間服務

(switch-config)#ntp acess-group peer listnumber

以上命令必須在需要認證的核心設備和對應客戶端同時部署，而且配置命令必須一致：

圖4 校園時間同步網

5．總結

本文討論了NTP協議的工作原理和工作模式。並針對校園網對時間服務的需求結合校園網的實際情況提出了采用NTP協議分層模式的校園時間同步網的解決辦法。以后隨着校園網的建設，對時間服務有要求的網絡應用會越來越多。在網絡安全方面對時間服務的要求也會越來越高，這方面的研究還有待於深入。