高校NTP系統(tǒng)設計與配置研究

李坤倫 張魯 徐江

摘要：隨著高校信息化建設的推進，數(shù)據(jù)中心服務器數(shù)量不斷增加，各類信息化業(yè)務系統(tǒng)也越來越復雜。由于在網(wǎng)絡管理、數(shù)據(jù)通信、應用程序等方面都涉及時間同步，因此高校對準確時間的需求越來越迫切，為了解決這一問題通常選擇部署NTP系統(tǒng)。本文針對長安大學多校區(qū)的特點和實際應用需求，提出NTP系統(tǒng)設計方案，并給出詳細配置方法。

關鍵詞：NTP系統(tǒng);時間同步;服務器;客戶端

中圖分類號：TP393? ?文獻標識碼：A? ? ?文章編號：1007-9416（2020）04-0000-00

0 引言

NTP（Network Time Protocol）是當前使用最廣泛的網(wǎng)絡時間協(xié)議之一，基于用戶數(shù)據(jù)報協(xié)議（UDP，User Datagram Protocol）構建，通常采用的時間標準是國際協(xié)調(diào)時間（UTC，Coordinated Universal Time）0-0。NTP靈活性較高，適用于各種復雜的網(wǎng)絡環(huán)境，能夠自動校正時間并持續(xù)跟蹤時間的變化，即使發(fā)生網(wǎng)絡故障也能維持時間穩(wěn)定。

NTP對于高校各類信息化業(yè)務十分重要，例如時間同步可以有效避免文件共享系統(tǒng)和文件備份系統(tǒng)發(fā)生混亂;校園網(wǎng)計費和校園卡充值等金融服務需要精確的計時;時間同步影響校園電子郵件系統(tǒng)和其他網(wǎng)絡通信系統(tǒng)正常運轉(zhuǎn);高校身份認證系統(tǒng)中的密鑰管理等應用需要準確的編解碼時間戳0。

大多數(shù)高校服務器的電子時鐘都不夠準確，主要有幾個原因：由于信息化預算有限，采購高時間精度的服務器會增加成本;一些客觀因素，如制造缺陷、溫濕度變化、電磁干擾、硬件壽命等致使服務器時鐘發(fā)生變化;高校部分設備使用年限較長，造成電子時鐘的時間誤差不斷累加。綜上考慮，長安大學需要建設一套功能完善、統(tǒng)一標準的NTP系統(tǒng)，為學校信息化系統(tǒng)提供準確時間同步服務。

1 NTP原理

NTP系統(tǒng)由時間服務器和客戶端組成，其中時間服務器為客戶端提供準確的時間，所有客戶端都會運行一個后臺程序，該程序以指定時間間隔查詢服務器，通過獲取時間參考保持網(wǎng)絡的同步精度。NTP數(shù)據(jù)包在服務器和客戶端之間傳輸，包含4個時間戳0，順序為表1所示。

客戶端利用時間戳來確定其內(nèi)部時間與UTC時間基準之間的偏差，調(diào)整其本地時間保持與基準一致。時間偏差定義如下：

θ=（T_2-T_1）+（T_3-T_4） （1）

為了快速同步時間至較高精度，同時避免由于較大時間調(diào)整而造成的時間過沖，長安大學NTP系統(tǒng)采用先迅速做大調(diào)整，再隨時間進行細微調(diào)整的策略：對于較小的時間差進行逐步調(diào)整，即回轉(zhuǎn);對于較大的時差立即進行調(diào)整，即步進。客戶端還可以利用時間戳確定網(wǎng)絡延遲，延遲主要取決于網(wǎng)絡環(huán)境，但交換機、路由器等會增加延遲的因素。網(wǎng)絡延遲會降低時間同步的準確性，通常在幾毫秒的范圍內(nèi)0。網(wǎng)絡延遲定義如下：

δ=（T_4-T_1 ）-（T_3-T_2） （2）

長安大學NTP系統(tǒng)選擇將數(shù)次查詢的結果取平均值，以減少網(wǎng)絡延遲的影響，使時間同步更加準確。但該方法無法消除所有延遲，并且通常需要幾分鐘才能將系統(tǒng)的時間準確性調(diào)至最高。

2 NTP分層配置

為了避免配置大量客戶端導致時間服務器過載，長安大學NTP系統(tǒng)采用層次結構設計，減少與時間服務器交互的數(shù)量。在長安大學NTP系統(tǒng)的結構中，頂層是UTC準確時間源，每個時間服務器都被分配一個層單位。少量服務器將時間分配給大量客戶端，通常第1層直接訪問UTC時間源，第2層服務器接收第1層服務器時間，依此類推。長安大學NTP系統(tǒng)采用4層結構，結構如圖1所示。

3 NTP服務器配置

長安大學NTP系統(tǒng)遵循“廣播模式”的對時工作模式，該模式適用于高速局域網(wǎng)，尤其適合高校網(wǎng)絡環(huán)境，并且資源開銷較少，僅使用CPU容量的百分之幾即可為數(shù)百甚至數(shù)千個客戶端提供服務。

通常有幾種NTP服務器結構：（1）配置專門的NTP設備用作第1層服務器，這是最簡單的方法。（2）獲取外部時間源（例如GPS）作第1層服務器，該方法準確但難以配置。（3）從Internet上的公共服務器同步時間，該方法易受到攻擊且時間準確性較低。考慮到長安大學多校區(qū)，且校區(qū)間跨距較大的實際情況，以及高校部分業(yè)務涉密的特點，NTP系統(tǒng)采用第一種配置方案，業(yè)務覆蓋校園網(wǎng)、一卡通、高算中心、智慧教室等。涵蓋的硬件設備包括集群、交換機、路由器、存儲等。

4 NTP安全配置

目前，長安大學越來越多大量信息化業(yè)務開始依賴NTP，面臨篡改和阻塞的風險，即服務器受到意外或惡意程序的修改，或服務器被破壞無法提供NTP服務。針對上述安全問題，長安大學NTP系統(tǒng)的設計方案充分考慮到對時間源的保護，以避免各種威脅的侵害，主要的安全策略包括：通過限制可以從特定主機或網(wǎng)絡訪問哪些NTP功能實現(xiàn)訪問控制;通過安裝在NTP服務器和客戶端上的對稱密鑰提供身份驗證實現(xiàn)免受威脅。

5 NTP組件配置

長安大學NTP系統(tǒng)由xntpd、ntpdate、ntpq、xntpdc、ntptrace等幾個組件組成0，以IMB Aix6.1系統(tǒng)為例（Linux、Windows等系統(tǒng)同理）0，長安大學NTP系統(tǒng)配置方案如5.1節(jié)至5.2節(jié)所示。（1）xntpd是NTP守護程序，服務器和客戶端使用相同的守護程序。高級選項可實現(xiàn)訪問控制，身份驗證，監(jiān)視，遠程管理等功能。（2）ntpdate允許客戶端從服務器設置其日期，而無需永久運行NTP守護程序。此外ntpdate還可以指定多個服務器，以選擇最佳時間源。（3）xntpdc可以查詢本地或遠程NTP守護程序的狀態(tài)，也可以向遠程計算機發(fā)送配置請求。（4）ntptrace用于跟蹤給定客戶端時間的來源。

5.1 Aix系統(tǒng)NTP服務器配置

（1）編輯/etc/ntp.conf文件，文件末尾注釋掉“broadcastclient”，添加“server ip.address”，該IP地址表示NTP主服務器與自身的系統(tǒng)時鐘同步：

#broadcastclient

server ip.address

driftfile /etc/ntp.drift

tracefile /etc/ntp.trace

（2）重新啟動NTP進程：

stopsrc -s xntpd

startsrc -s xntpd

（3）如果NTP服務器上存在數(shù)據(jù)庫，必須使用"-x"參數(shù)，防止始反方向運行：

startsrc -s xntpd -a "-x"

（4）檢查NTP進程是否正常啟動：

lssrc -ls xntpd

5.2 Aix系統(tǒng)NTP客戶端配置

（1）查詢NTP客戶端與服務器的時間差：

ntpdate -d ip.address

（2）編輯NTP 客戶端的/etc/ntp.conf文件，文件末尾注釋掉“broadcastclient”，添加“server ip.address”，即NTP 服務器的IP地址：

#broadcastclient

server ip.address

driftfile /etc/ntp.drift

tracefile /etc/ntp.trace

（3）啟動NTP進程：

stopsrc -s xntpd

startsrc -s xntpd

（4）如果NTP服務器上存在數(shù)據(jù)庫，需要添加"-x"參數(shù)，防止反方向運行：

startsrc -s xntpd -a "-x"

（5）編輯NTP客戶端的/etc/rc.tcpip文件，去掉start/usr/sbin/xntpd "$src_running"一行的注釋：

vi /etc/rc.tcpip

（6）系統(tǒng)啟動時能自動啟動NTP進程，如果使用數(shù)據(jù)庫的話，需要添加"-x"參數(shù)：

start /usr/sbin/xntpd "$src_running" –a “-x”

（7）檢查NTP客戶端是否與NTP服務器同步：

lssrc -ls xntpd

（8）查看同步的時間間隔：

xntpdc -c peers

（9）查看NTP進程狀態(tài)：

lssrc -a |grep ntp

（10）查看123端口網(wǎng)絡通信：

netstat -an |grep 123

6 結語

本文提出的NTP系統(tǒng)設計和配置方案相對易于實施，非常適合長安大學各校區(qū)部署，有效保證學校各個業(yè)務系統(tǒng)時間同步的準確性、穩(wěn)定性、安全性，對其他高校和企業(yè)等具有啟發(fā)和借鑒意義。

參考文獻

[1]陳敏.基于NTP協(xié)議的網(wǎng)絡時間同步系統(tǒng)的研究與實現(xiàn)[D].華中科技大學，2005.

[2]宋妍，朱爽.基于NTP的網(wǎng)絡時間服務系統(tǒng)的研究[J].計算機工程與應用，2003（36）：147-149+152.

[3]黃沛芳.基于NTP的高精度時鐘同步系統(tǒng)實現(xiàn)[J].電子技術應用，2009，35（07）：122-124+127.

[4]Public Domain.NTP：The Network Time Protocol[EB/OL].（2010-09-22）[2020-02-10]. http：//www.ntp.org/.

收稿日期：2020-02-15

作者簡介：李坤倫（1983—），男，陜西周至人，博士研究生，工程師，研究方向：計算機軟件和計算機網(wǎng)絡。

Research on the Design and Configuration of University NTP System

LI Kun-lun1.2， ZHANG Lu1， XU Jiang1

（1.Educational Technology and Network Center， Changan University， Xian? Shaanxi 710064;

2.School of Electronic Control， Changan University， Xian? Shaanxi 710064）

Abstract： With the advancement of informatization construction in colleges and universities， the number of servers in the data center continues to increase， and various IT systems are becoming more and more complex. Since time synchronization is involved in network， communication， and application， the demand for accurate time in colleges and universities is becoming more and more urgent. In order to solve this problem， the NTP system is usually selected. For multiple campuses and actual needs of Changan University， this paper proposed the design scheme of NTP system and gives detailed configuration.

Keywords： NTP system; time synchronization; server; client