NTP时钟同步配置

NTP在Linux下有两种时钟同步方式：

直接同步(也称跳跃同步)和平滑同步(也称微调同步)。

直接同步

使用ntpdate命令进行同步，直接进行时间变更。

如果服务器上存在一个12点运行的任务，当前服务器时间是13点，但标准时间时11点，使用此命令可能会造成任务重复执行。因此使用ntpdate同步可能会引发风险，因此该命令也多用于配置时钟同步服务时第一次同步时间时使用。

注意：如果NTP Client和NTP Server时间偏差太大，可能导致Client的ntpd进程退出。

平滑同步

使用ntpd进行时钟同步，可以保证一个时间不经历两次，它每次同步时间的偏移量不会太陡，是慢慢来的，这正因为这样，ntpd平滑同步可能耗费的时间比较长。刚开始可能时钟不同步，多等待时间后慢慢就同步了。

如果配置成平滑同步 ，vi /etc/sysconfig/ntpd，在OPTIONS选项中增加"-x"参数：
  SYNC_HWCLOCK=yes
  OPTIONS="-g -x"

 

快速同步/平滑同步的设置
Linux中ntpd的-x选项的说明

offset值	0~128ms	128ms~600s	600s~1000s	1000s以上
有-x参数	微调	微调(0.5ms/s，600s需14天)	跳跃	退出(加-g参数可忽略)
无-x参数	微调	跳跃	跳跃	退出(加-g参数可忽略)

Linux ntpd的访问间隔与调整时间没有联系，标准ntp服务不是step模式调整的，每次访问后经过计算滤波，最后得出offset偏差后，才进行策略的调整。

标准的时钟同步服务器

http://www.pool.ntp.org/zone/cn网站包含全球的标准时间同步服务，也包括对中国时间的同步，对应的URL为cn.pool.ntp.org，推荐的ntp配置文件中的格式：

server 3.cn.pool.ntp.org

server 1.asia.pool.ntp.org

server 3.asia.pool.ntp.org

 

NTP相关常用命令：

重启ntpd服务

#systemctl restart ntpd

 

直接进行时间同步变更

ntpdate命令用来设置调整本地日期和时间。它从指定的每个服务器获得了一些样本，并应用标准NTP时钟过滤器和选择算法来选择最好的样本。

* 如果它确定时钟偏差超过0.5秒，它通过调用settimeofday子例程设置时钟时间。在引导时间，这是一个首选的方法。
* 如果它确定时钟偏差小于0.5秒，它通过调用adjtime子例程和偏移量来调整时钟时间。此方法倾向于用牺牲一些稳定性来保持漂移时钟更加准确。当不是通过运行一个守护程序而是从cron命令有规则的运行ntpdate命令时，每一小时或两小时执行一次可以保证足够的走时精度，从而避免调整时钟。

 

使用多个NTP Server可以大幅度改善ntpdate命令的可靠性与精度。尽管允许使用单一NTP Server，但还是建议您通过配置至少3~4个NTP Server以获得更好的性能。

 

如果一个类似 xntpd 守护程序的 NTP 服务器守护程序正在同一主机上运行，命令将拒绝ntpdate 设置日期。

语法：
ntpdate [-46bBdqsuv] [-a key#] [-e delay] [-k file] [-p samples] [-o version#] [-t timeo] [-U username] server ...
-a keyid: 使用keyid来认证全部数据包。
-b: 通过调用settimeofday子例程来增加时钟的时间。
-d: 指定调试方式。判断ntpdate命令会产生什么结果（不产生实际的结果）。结果再现在屏幕上。这个标志使用无特权的端口。
-e delay: 指定延迟认证处理的时间秒数。
-k keyfile: 当不使用缺省值/etc/ntp.keys文件时，为包含密钥的文件指定一个不同的名称。
-o version: 当轮询它的发出数据包时，指定使用的NTP版本实现。 Version的值可以是1，2，3。缺省值是3。
-p samples: 指定从每个服务器获取的样本的数目。 Samples的值：1~8，它的缺省值是4。
-s: 指定日志操作syslog设施的使用，而不是使用标准输出。 当运行ntpdate命令和cron命令时，它是很有用的。
-t timeout: 指定等待响应的时间。给定timeout的值四舍五入为0.2秒的倍数。缺省值是1秒。
-u: 指定使用无特权的端口发送数据包。 当在一个对特权端口的输入流量进行阻拦的防火墙后是很有益的， 并希望在防火墙之外和主机同步。防火墙是一个系统或者计算机，它控制从外网对专用网的访问。

查看网络中的NTP服务器

# ntpq -p
[root@abc ~]# ntpq  -p

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 ntpsrv01        .XFAC.          16 u    - 1024    0    0.000    0.000   0.000
*LOCAL(0)        .LOCL.          10 l   46   64  377    0.000    0.000   0.000
[root@abc ~]# 
配置了LOCAL作为Server。这个说明当前使用了本地时钟作为服务端同步。这样时钟可能和ntpsrv01的不一致。

[root@abc ~]# ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*ntpsrv01        101.201.72.121   4 u   32   64   17    0.161    0.119   0.093
[root@abc ~]# 
未配置LOCAL作为Server。这个说明使用ntpsrv01作为服务端同步。时钟和ntpsrv01的保持一致。

 

状态说明：
*表示目前使用的NTP Server，这里选择的本机；
st：即stratum阶层，值越小表示ntp serve的精准度越高；
when：单位秒，几秒前曾做过时间同步更新的操作；
poll表示，每隔多少毫秒与ntp server同步一次；
reach：已经向上层NTP服务器要求更新的次数；
delay：网络传输过程钟延迟的时间；
offset：时间补偿的结果；
jitter：Linux系统时间与BIOS硬件时间的差异时间
注意：
1)NTP Server端重启后，Client端需要等5分钟再与其进行时间同步，否则会提示“no server suitable for synchronization found”错误。等待的时间可以通过命令 watch ntpq -p来监控。
2)注意reach这个值，在启动NTP Server服务后，这个值就从0开始不断增加，当增加到17的时候，从0到17是5次的变更，每一次是poll的值的秒数，是64秒*5=320秒的时间。如果之后从NTP Client同步NTP Server还失败的话，用ntpdate –d来查询详细错误信息，再做判断。

 

ntpdate -d排查错误信息：

1)Server dropped: no data
  检查ntp的版本(ntpq -c version)，如果ntp版本>=4.2，在restrict的定义中使用了notrust的话，会导致以上错误。需要删除notrust。
2)检查NTP Server的防火墙，是否屏蔽了UDP 123端口。

 

查看同步状态

如果是内网，一般ntpstat很快就可以同步上

# ntpstat 

ntpstat 命令查看时间同步状态，这个一般需要5-10分钟后才能成功连接和同步。所以，服务器启动后需要稍等下。

[root@abc ~]# ntpstat 
synchronised to NTP server (192.168.111.254) at stratum 5 
   time correct to within 54 ms
   polling server every 64 s
[root@abc ~]#

 

如果ntp客户端和服务端同步有问题，可使用下面命令查看详细信息：

# ntpdate –d serverIP 

-d参数只是用于调试，显示效果而已，不会真实的改变系统的时间

restrict控制相关权限

语法为： restrict IP地址 mask 子网掩码 参数

 

其中IP地址也可以是default ，default就是指所有的IP

 

参数有以下几个：

ignore  ：关闭所有的 NTP 联机服务

nomodify：客户端不能更改服务端的时间参数，但是客户端可以通过服务端进行网络校时。

notrust ：客户端除非通过认证，否则该客户端来源将被视为不信任子网

noquery ：不提供客户端的时间查询：用户端不能使用ntpq，ntpc等命令来查询ntp服务器

notrap ：不提供trap远端登陆：拒绝为匹配的主机提供模式 6 控制消息陷阱服务。陷阱服务是 ntpdq 控制消息协议的子系统，用于远程事件日志记录程序。

nopeer ：用于阻止主机尝试与服务器对等，并允许欺诈性服务器控制时钟

kod ： 访问违规时发送 KoD 包。

restrict -6 表示IPV6地址的权限设置。

 

局域网内的NTP同步配置

局域网内1台服务器作为NTP Server，2台服务器作为NTP Client与服务器进行时钟同步：

IP                     描述

192.168.111.254        ntpd Server，用于和外部公共ntpd同步标准时间，同时作为内网的Server

192.168.111.129        ntpd Client，用于与ntpd Server同步时间

192.168.111.130        ntpd Client，用于与ntpd Server同步时间

 

1.检查ntp包是否已经安装

#rpm -q ntp

ntp-4.2.6p5-19.el7.centos.x86_64

如果没有安装，则需要先安装并设置开机自动启动ntpd服务

#yum -y install ntp

#systemctl enable ntpd

#systemctl start ntpd

 

2.防火墙配置

由于NTP服务需要使用到UDP端口号123，所以当系统的防火墙（Iptables）启动的情况下，必须开放UDP端口号123。

 

3.配置内网ntpd Server:192.168.111.254

1)配置前先使用命令同步时间,本机与外部时间服务器时间差距太大，让ntpd不能正常同步：

ntpdate -u cn.pool.ntp.org

2)修改/etc/ntp.conf文件，红色字体是修改的内容

# For more information about this file, see the man pages

# ntp.conf(5), ntp_acc(5), ntp_auth(5), ntp_clock(5), ntp_misc(5), ntp_mon(5).

driftfile /var/lib/ntp/drift

# Permit time synchronization with our time source, but do not

# permit the source to query or modify the service on this system.

restrict default nomodify notrap nopeer noquery

 

# Permit all access over the loopback interface.  This could

# be tightened as well, but to do so would effect some of

# the administrative functions.

restrict 127.0.0.1

restrict ::1

 

# Hosts on local network are less restricted.

#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

# 允许内网其他机器同步时间，如果不添加该约束默认允许所有IP访问本机同步服务

restrict 192.168.111.0 mask 255.255.255.0 nomodify notrap

 

# Use public servers from the pool.ntp.org project.

# Please consider joining the pool (http://www.pool.ntp.org/join.html).

#server 0.centos.pool.ntp.org iburst

#server 1.centos.pool.ntp.org iburst

#server 2.centos.pool.ntp.org iburst

#server 3.centos.pool.ntp.org iburst

 

# 配置和上游标准时间同步

server 101.201.72.121  # 中国国家授时中心

server 133.100.11.8  #日本[福冈大学]

server 3.cn.pool.ntp.org

server 1.asia.pool.ntp.org

server 3.asia.pool.ntp.org

 

# 配置允许上游时间服务器主动修改本机(内网ntp Server)的时间

restrict 101.201.72.121 nomodify notrap noquery

restrict 133.100.11.8 nomodify notrap noquery

restrict 3.cn.pool.ntp.org nomodify notrap noquery

restrict 1.asia.pool.ntp.org nomodify notrap noquery

restrict 3.asia.pool.ntp.org nomodify notrap noquery

 

# 确保localhost有足够权限，使用没有任何限制关键词的语法。

# 外部时间服务器不可用时，以本地时间作为时间服务。

# 注意：这里不能改，必须使用127.127.1.0，否则会导致无法

#在ntp客户端运行ntpdate serverIP，出现no server suitable for synchronization found的错误。

#在ntp客户端用ntpdate –d serverIP查看，发现有“Server dropped: strata too high”的错误，并且显示“stratum 16”。而正常情况下stratum这个值得范围是“0~15”。

#这是因为NTP server还没有和其自身或者它的server同步上。

#以下的定义是让NTP Server和其自身保持同步，如果在ntp.conf中定义的server都不可用时，将使用local时间作为ntp服务提供给ntp客户端。

#下面这个配置，建议NTP Client关闭，建议NTP Server打开。因为Client如果打开，可能导致NTP自动选择合适的最近的NTP Server、也就有可能选择了LOCAL作为Server进行同步，而不与远程Server进行同步。

 

server 127.127.1.0  # local clock

fudge 127.127.1.0  stratum 10

 

#broadcast 192.168.1.255 autokey        # broadcast server

#broadcastclient                        # broadcast client

#broadcast 224.0.1.1 autokey            # multicast server

#multicastclient 224.0.1.1              # multicast client

#manycastserver 239.255.254.254         # manycast server

#manycastclient 239.255.254.254 autokey # manycast client

 

# Enable public key cryptography.

#crypto

 

includefile /etc/ntp/crypto/pw

 

# Key file containing the keys and key identifiers used when operating

# with symmetric key cryptography. 

keys /etc/ntp/keys

 

# Specify the key identifiers which are trusted.

#trustedkey 4 8 42

 

# Specify the key identifier to use with the ntpdc utility.

#requestkey 8

 

# Specify the key identifier to use with the ntpq utility.

#controlkey 8

 

# Enable writing of statistics records.

#statistics clockstats cryptostats loopstats peerstats

 

# Disable the monitoring facility to prevent amplification attacks using ntpdc

# monlist command when default restrict does not include the noquery flag. See

# CVE-2013-5211 for more details.

# Note: Monitoring will not be disabled with the limited restriction flag.

disable monitor

 

修改完成后重启ntpd服务:

systemctl restart ntpd

 

查看网络中的NTP服务器，同时显示客户端和每个服务器的关系:

#ntpq -p 

 

查看时间同步状态

#ntpstat

synchronised to local net at stratum 11 

   time correct to within 7948 ms

   polling server every 64 s

这个一般需要5-10分钟后才能成功连接和同步。所以，服务器启动后需要稍等下。

刚启动的时候，执行ntpstat，会显示unsynchronised：

#ntpstat 

unsynchronised

  time server re-starting

   polling server every 64 s

同步成功以后，会显示:

# ntpstat 

synchronised to NTP server (202.112.10.36) at stratum 3

   time correct to within 275 ms

   polling server every 256 s

 

配置内网ntpd Client:192.168.111.129、130

1)检查ntp是否安装，以及是否设置了自启动，参考ntpd Server的ntp安装检查。

2)修改/etc/ntp.conf文件，红色字体是修改的内容:

 

# For more information about this file, see the man pages

# ntp.conf(5), ntp_acc(5), ntp_auth(5), ntp_clock(5), ntp_misc(5), ntp_mon(5).

 

driftfile /var/lib/ntp/drift

 

# Permit time synchronization with our time source, but do not

# permit the source to query or modify the service on this system.

restrict default nomodify notrap nopeer noquery

 

# Permit all access over the loopback interface.  This could

# be tightened as well, but to do so would effect some of

# the administrative functions.

restrict 127.0.0.1

restrict ::1

 

# Hosts on local network are less restricted.

#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

 

# Use public servers from the pool.ntp.org project.

# Please consider joining the pool (http://www.pool.ntp.org/join.html).

#server 0.centos.pool.ntp.org iburst

#server 1.centos.pool.ntp.org iburst

#server 2.centos.pool.ntp.org iburst

#server 3.centos.pool.ntp.org iburst

 

#配置上游时间服务器为本地的ntpd Server服务器

server 192.168.111.254

 

# 配置允许上游时间服务器主动修改本机的时间

restrict 192.168.111.254 nomodify notrap noquery

 

#下面这个配置，建议NTP Client关闭，建议NTP Server打开。因为Client如果打开，可能导致NTP自动选择合适的最近的NTP Server、也就有可能选择了LOCAL作为Server进行同步，而不与远程Server进行同步。

#server 127.127.1.0  # local clock

#fudge 127.127.1.0  stratum 10

 

#broadcast 192.168.1.255 autokey        # broadcast server

#broadcastclient                        # broadcast client

#broadcast 224.0.1.1 autokey            # multicast server

#multicastclient 224.0.1.1              # multicast client

#manycastserver 239.255.254.254         # manycast server

#manycastclient 239.255.254.254 autokey # manycast client

 

# Enable public key cryptography.

#crypto

includefile /etc/ntp/crypto/pw

    

# Key file containing the keys and key identifiers used when operating

# with symmetric key cryptography. 

keys /etc/ntp/keys 

    

# Specify the key identifiers which are trusted.

#trustedkey 4 8 42

 

# Specify the key identifier to use with the ntpdc utility.

#requestkey 8

 

# Specify the key identifier to use with the ntpq utility.

#controlkey 8

 

# Enable writing of statistics records.

#statistics clockstats cryptostats loopstats peerstats

 

# Disable the monitoring facility to prevent amplification attacks using ntpdc

# monlist command when default restrict does not include the noquery flag. See

# CVE-2013-5211 for more details.

# Note: Monitoring will not be disabled with the limited restriction flag.

disable monitor

 

先和本地ntpd Server同步一下

#ntpdate -u 192.168.111.254

 

重启ntpd服务

#systemctl restart ntpd

 

查看状态

# ntpq -p

     remote           refid      st t when poll reach   delay   offset  jitter

==============================================================================

 *192.168.111.254      LOCAL(0)        11 u   24   64    1    1.626  5182468   0.000