Skip to content

Настройка синхронизации времени (NTP)

Функция синхронизации времени по протоколу NTP (Network Time Protocol) обеспечивает автоматическое поддержание корректного системного времени на коммутаторе за счет обмена с удаленными серверами времени по IPv4 и IPv6. Согласованное время используется для формирования временных меток в системном журнале, при работе протоколов мониторинга и управления, для корреляции событий между несколькими устройствами сети.

Настройка NTP позволяет:

  • исключить ручную корректировку времени на устройстве;

  • обеспечить единые временные метки на всех элементах инфраструктуры;

  • снизить вероятность ошибок при анализе инцидентов и аудите.

Необходимые условия и предварительные требования

Перед настройкой NTP необходимо:

  • настроить IP-связность коммутатора с NTP-серверами по IPv4 и/или IPv6;

  • задать локальный часовой пояс и время вручную (см. главу «Настройка времени и часового пояса»);

  • определить список NTP-серверов:

    • внешние (провайдер/публичные);

    • внутренние корпоративные;

  • при использовании аутентификации NTP - согласовать:

    • идентификаторы ключей (keyid);

    • строковые значения ключей;

    • список доверенных ключей.

Основная информация

Коммутатор поддерживает синхронизацию времени по протоколу NTP в режиме unicast:

  • по IPv4 - команды семейства ntp unicast-server и ntp unicast-peer;

  • по IPv6 - команды семейства ntp6 unicast-server и ntp6 unicast-peer.

Основные возможности:

  • настройка одного или нескольких NTP-серверов (unicast);

  • выбор версии протокола NTP (version <1-4>);

  • использование аутентификации по ключу (authentication-keyid, trusted-keyid, authentication enable);

  • выбор исходного интерфейса/адреса для NTP-запросов (source-interface, source-ip, source-ip6);

  • поддержка VPN-инстансов (vpn-instance NAME);

  • задание интервала обновления клиента (client update-interval);

  • настройка параметров рассылки NTP-сообщений в режиме сервера (server broadcast-interval);

  • возможность разовой синхронизации (oncesync enable);

  • работа в роли NTP-мастера с заданным уровнем страты (master, stratum).

Ручная установка времени (clock set) остается базовым механизмом и используется как начальное состояние; далее NTP поддерживает время в актуальном состоянии.

Назначение применяемой команды/конфигурации

Настройка NTP выполняется в режиме конфигурации NTP:

Switch(config)# ntp
Switch(config-ntp)#

Ниже приведены команды, используемые при настройке.

Аутентификация NTP

authentication (enable|disable)

Включает или отключает использование аутентификации NTP-сообщений.

  • authentication enable - NTP использует ключи аутентификации для проверки пакетов;

  • authentication disable - аутентификация NTP не используется.

authentication-keyid <1-4294967295> md5 key (cipher|plain) STRING
authentication-keyid <1-4294967295> md5 key STRING

Настраивает ключ аутентификации NTP с указанным идентификатором keyid.

Параметры:

  • <1-4294967295> - идентификатор ключа (keyid), числовое значение;

  • md5 - тип алгоритма аутентификации;

  • key (cipher|plain) STRING / key STRING - строковое значение ключа:

    • plain STRING - ключ задается в открытом виде;

    • cipher STRING - ключ задается в шифрованном/хэшированном виде.

Пример:

authentication-keyid 10 md5 key plain ntpKey123

no authentication-keyid <1-4294967295>

Удаляет ключ аутентификации с указанным идентификатором.

trusted-keyid <1-4294967295> (enable|disable)

Помечает ключ с указанным идентификатором как доверенный или снимает этот статус.

  • trusted-keyid 10 enable - ключ 10 помечается как доверенный и может использоваться для проверки NTP-сообщений;

  • trusted-keyid 10 disable - ключ 10 перестает считаться доверенным.

Настройка NTP-серверов (IPv4)

ntp unicast-server A.B.C.D

Добавляет IPv4-адрес сервера NTP, с которым коммутатор будет синхронизировать время в режиме unicast.

Расширенный синтаксис включает дополнительные параметры:

  • version <1-4> - версия протокола NTP (как правило, 4);

  • authentication-keyid <1-4294967295> - идентификатор ключа аутентификации для обмена с данным сервером;

  • source-interface ... - выбор исходного интерфейса для NTP-пакетов (Ethernet, Loopback, VLAN);

  • source-ip A.B.C.D - явное указание исходного IPv4-адреса;

  • vpn-instance NAME - указание VPN-инстанса (VRF) для доступа к серверу;

  • burst (enable|disable) - режим ускоренного опроса при первоначальной синхронизации;

  • preference (enable|disable) - пометка сервера как предпочтительного при наличии нескольких источников времени.

Пример:

ntp unicast-server 192.0.2.10 version 4 authentication-keyid 10
ntp unicast-server 192.0.2.20 version 4

no ntp unicast-server A.B.C.D

Удаляет из конфигурации указанный NTP-сервер.

Настройка NTP-пиров (IPv4)

ntp unicast-peer A.B.C.D [...]

Настраивает NTP-взаимодействие с указанным узлом в режиме «peer» (взаимный обмен).

Поддерживаются параметры:

  • version <1-4>;

  • authentication-keyid <1-4294967295>;

  • source-interface ...;

  • source-ip A.B.C.D;

  • vpn-instance NAME.

no ntp unicast-peer A.B.C.D

Удаляет настройки NTP-пира.

Настройка NTP-серверов и пиров по IPv6

ntp6 unicast-server X:X::X:X [...]
ntp6 unicast-peer X:X::X:X [...]

Аналогичны командам ntp unicast-server и ntp unicast-peer для IPv6-адресов.
Поддерживают те же принципы: version, authentication-keyid, source-interface, source-ip6, vpn-instance и их комбинации.

no ntp6 unicast-server X:X::X:X
no ntp6 unicast-peer X:X::X:X

Удаляют соответствующие записи.

Общие параметры работы NTP

client update-interval (<4-17>|default)

Задает интервал обновления NTP-клиента. Параметр указывается в виде логического значения в диапазоне 4-17 или default; фактический период опроса определяется внутренней реализацией, но команда позволяет регулировать частоту обращения к NTP-серверам.

server broadcast-interval (<4-17>|default)

Задает интервал отправки NTP-сообщений в режиме сервера (при использовании соответствующих функций рассылки). Также задается значение от 4 до 17 либо default.

Роль NTP-мастера и страта

master / no master

Включает или отключает режим работы коммутатора как NTP-мастера для других устройств. При включенном master коммутатор может выступать источником времени для клиентов в локальной сети.

stratum (<1-16>|default)

Задает уровень страты для устройства при работе в роли NTP-мастера. Более высокое значение означает большую удаленность от эталонного источника времени. При использовании значения default применяется значение по умолчанию, определенное прошивкой.

Разовая синхронизация

oncesync (enable|disable)

Управляет возможностью разовой (грубой) синхронизации времени при запуске или в отдельных сценариях.

  • oncesync enable - допускается разовая коррекция времени по NTP;

  • oncesync disable - разовая синхронизация не используется.

Таким образом, описанные команды позволяют:

  • определить список NTP-серверов и пиров;

  • настроить аутентификацию NTP-трафика;

  • задать интервалы обновления;

  • включить режим NTP-мастера и определить уровень страты;

  • управлять режимом разовой синхронизации.

Пример конфигурирования

Исходное состояние

  • Коммутатор имеет базовую IP-настройку и доступ к сети.

  • Часовой пояс и системное время заданы вручную.

  • NTP не настроен.

Задача

  • Настроить синхронизацию времени по NTP с двумя IPv4-серверами:

    • основной сервер: 192.0.2.10 с аутентификацией;

    • резервный сервер: 192.0.2.20 без аутентификации.

  • Использовать версию протокола NTPv4.

  • Включить аутентификацию NTP и задать ключ с идентификатором 10.

  • Настроить интервал обновления NTP-клиента.

  • Включить разовую синхронизацию при необходимости.

Пример конфигурации (CLI)

Switch# configure
!
! Переход в режим настройки NTP
!
Switch(config)# ntp
!
! Включение аутентификации NTP
!
Switch(config-ntp)# authentication enable
!
! Настройка ключа аутентификации:
! keyid 10, алгоритм MD5, ключ в открытом виде
!
Switch(config-ntp)# authentication-keyid 10 md5 key plain ntpKey123
!
! Пометка ключа 10 как доверенного
!
Switch(config-ntp)# trusted-keyid 10 enable
!
! Настройка основного NTP-сервера с аутентификацией и версией 4
!
Switch(config-ntp)# ntp unicast-server 192.0.2.10 version 4 authentication-keyid 10
!
! Настройка резервного NTP-сервера без аутентификации
!
Switch(config-ntp)# ntp unicast-server 192.0.2.20 version 4
!
! Настройка интервала обновления NTP-клиента
!
Switch(config-ntp)# client update-interval 10
!
! (Опционально) Разовая синхронизация при запуске
!
Switch(config-ntp)# oncesync enable
!
Switch(config-ntp)# end
Switch# write file

В результате выполнения конфигурации:

  • NTP-аутентификация включена;

  • задан ключ аутентификации с идентификатором 10 и помечен как доверенный;

  • коммутатор использует основной сервер 192.0.2.10 по протоколу NTPv4 с аутентификацией;

  • резервный сервер 192.0.2.20 используется без аутентификации;

  • настроен интервал обновления параметров времени;

  • включена возможность разовой синхронизации при необходимости.

Полный вывод выполненных конфигураций

Ниже приведен пример фрагмента конфигурации из show running-config, относящийся к настройке NTP:

Switch#show ntp config
!Device running configuration:
!version V1.0.2
!2025/12/09 18:25:43
!
hostname Switch
!
ntp
 authentication enable
 authentication-keyid 10 md5 key cipher $1$AbCdEfGhIjKlMnOp
 trusted-keyid 10 enable
 ntp unicast-server 192.0.2.10 version 4 authentication-keyid 10
 ntp unicast-server 192.0.2.20 version 4
 client update-interval 10
 oncesync enable
!
! другие разделы конфигурации
!

Для применения аналогичной настройки на другом устройстве достаточно скопировать блок ntp и при необходимости скорректировать список серверов и параметры аутентификации.

Изучение состояния устройства

Изучение состояния NTP рекомендуется выполнять в следующей последовательности: просмотр конфигурации, затем просмотр текущего состояния синхронизации.

Просмотр конфигурации

Конфигурация NTP в глобальном режиме

Для просмотра настроек NTP в конфигурации используйте:

Switch#show ntp config
ntp
 authentication enable
 authentication-keyid 10 md5 key cipher $1$AbCdEfGhIjKlMnOp
 trusted-keyid 10 enable
 ntp unicast-server 192.0.2.10 version 4 authentication-keyid 10
 ntp unicast-server 192.0.2.20 version 4
 client update-interval 10
 oncesync enable

Просмотр конфигурации

Для проверки настроенных параметров NTP используется команда:

Switch#show running-config
ntp
 authentication enable
 authentication-keyid 10 md5 key cipher $1$AbCdEfGhIjKlMnOp
 trusted-keyid 10 enable
 ntp unicast-server 192.0.2.10 version 4 authentication-keyid 10
 ntp unicast-server 192.0.2.20 version 4
 client update-interval 10
 oncesync enable

Обратите внимание:

  • включена аутентификация NTP: authentication enable;

  • настроен ключ authentication-keyid 10 и помечен как доверенный: trusted-keyid 10 enable;

  • задан основной сервер времени 192.0.2.10 с версией NTPv4 и аутентификацией по ключу 10;

  • задан резервный сервер 192.0.2.20 без аутентификации;

  • настроен интервал обновления клиента: client update-interval 10;

  • включена разовая синхронизация: oncesync enable.

Просмотр параметров работы

Команда show ntp

Команда show ntp отображает общие параметры работы NTP и список настроенных узлов.

Пример вывода:

Switch#show ntp 
 Version                       : NTP_VB3.00.00.00
 ntp once sync                 : enable
 ntp client update-interval    : 1024s
 ntp server broadcast-interval : 64s
 ntp stratum                   : 3
 ntp master                    : false
 ntp authentication            : enable


 Index Mode             Host                Source              Version key-id         Ttl  Vpn-instance                  
 1     unicast-client   0.0.0.0             192.0.2.10          4       10             none none                          
 2     unicast-client   0.0.0.0             192.0.2.20          4       none           none none

Описание ключевых полей:

  • Version - версия реализованной службы NTP на устройстве.

  • ntp once sync - состояние механизма разовой синхронизации:

    • enable - разовая грубая синхронизация разрешена.

  • ntp client update-interval - интервал опроса NTP-серверов клиентом.
    Значение в секундах соответствует ранее заданному параметру client update-interval.

  • ntp server broadcast-interval - интервал рассылки NTP-пакетов в серверном режиме (если используется).

  • ntp stratum - текущий уровень страты коммутатора.

  • ntp master - признак работы устройства в режиме NTP-мастера:

    • false - устройство работает только как клиент.

  • ntp authentication - состояние аутентификации NTP:

    • enable - используется аутентификация NTP-сообщений.

Таблица ниже отображает список активных NTP-узлов:

  • Index - порядковый номер записи.

  • Mode - режим работы по отношению к удаленному узлу:

    • unicast-client - устройство выступает как клиент, обращающийся к серверу по unicast.

  • Host - адрес удаленного узла (в данном выводе может отображаться как 0.0.0.0).

  • Source - адрес сервера NTP, с которым ведется взаимодействие (192.0.2.10, 192.0.2.20).

  • Version - используемая версия протокола NTP (4).

  • key-id - идентификатор ключа аутентификации:

    • 10 - используется keyid 10 для сервера 192.0.2.10;

    • none - аутентификация для сервера 192.0.2.20 не настроена.

  • Ttl, Vpn-instance - вспомогательные параметры (в примере none).

Команда show ntp service

Команда show ntp service отображает сводную информацию о состоянии синхронизации с каждым NTP-узлом, включая смещение и задержку.

Пример вывода:

Switch#show ntp service         
Mode              Source              Version key-id          Offset(s)                     Delay(s)                      Disper(s)                     
unicast-client    192.0.2.10          4       10              0.001234                      0.010000                      0.005000                    
unicast-client    192.0.2.20          4       none            0.002500                      0.015000                      0.006000

Описание полей:

  • Mode - режим работы по отношению к удаленному узлу (unicast-client).

  • Source - адрес NTP-сервера (192.0.2.10, 192.0.2.20).

  • Version - версия NTP (4).

  • key-id - идентификатор ключа аутентификации (10 для основного сервера, none для резервного).

  • Offset(s) - текущее смещение локального времени коммутатора относительно сервера, в секундах. Небольшое по модулю значение указывает на хорошую точность синхронизации.

  • Delay(s) - задержка обмена с сервером, в секундах.

  • Disper(s) - дисперсия (расброс) временных измерений, характеризующая стабильность получаемого времени.

По этим значениям оценивается качество синхронизации: чем меньше Offset, Delay и Disper, тем стабильнее источник времени.

Команда show ntp service verbose

Команда show ntp service verbose предоставляет подробную информацию о текущем состоянии NTP, включая источник времени, страту и временные метки обмена.

Пример вывода:

Switch#show ntp service verbose 
 clock source: 192.0.2.10
 clock stratum: 3
 reference clock ID: 192.0.2.10
 local mode: client, local poll: 10
 peer mode: server, peer poll: 10
 offset: 0.001234s, delay: 0.010000s, disper: 0.005000s
 root delay: 0.010000s, root disper: 0.020000s
 precision: -18, version: 4, peer interface: wildcard 
 reftime: 13:05:00 UTC Dec 11 2025 (ece51500.00000000)
 orgtime: 13:05:00 UTC Dec 11 2025 (ece51500.00000000)
 rcvtime: 13:05:01 UTC Dec 11 2025 (ece51501.00000000)
 xmttime: 13:05:02 UTC Dec 11 2025 (ece51502.6dbb16c2)

Описание полей:

  • clock source - адрес текущего опорного NTP-сервера (192.0.2.10).

  • clock stratum - текущий уровень страты устройства. Значение 3 означает, что коммутатор синхронизирован от сервера более высокой точности.

  • reference clock ID - идентификатор опорного источника времени (как правило, совпадает с адресом сервера).

  • local mode - режим работы локального устройства (client).

  • local poll - текущий интервал опроса сервера (логическое значение, связанное с client update-interval).

  • peer mode - роль удаленного узла по отношению к устройству (server).

  • peer poll - интервалы опроса, используемые в отношениях с данным источником.

  • offset - смещение времени, сек (аналогично полю Offset в show ntp service).

  • delay - задержка распространения сигнала до сервера и обратно.

  • disper - дисперсия измерений, характеризующая стабильность синхронизации.

  • root delay - суммарная задержка до корневого (исходного) источника времени.

  • root disper - суммарная дисперсия относительно корневого источника.

  • precision - оценка точности локальных часов (в степени 2).

  • version - версия протокола NTP, используемая при обмене (4).

  • peer interface - интерфейс, через который осуществляется обмен (в примере wildcard).

Поля reftime, orgtime, rcvtime, xmttime содержат временные метки:

  • reftime - момент времени, к которому относится последнее обновление системных часов;

  • orgtime - время отправки последнего запроса;

  • rcvtime - время получения последнего ответа;

  • xmttime - время отправки последнего NTP-пакета.

Эти значения используются для детального анализа работы алгоритмов синхронизации.

Рекомендации

Рекомендуется:

  • использовать не менее двух NTP-серверов для повышения отказоустойчивости;

  • по возможности настраивать аутентификацию NTP (authentication, authentication-keyid, trusted-keyid) для защиты от подмены источника времени;

  • при наличии разделения на VPN-инстансы (VRF) указывать vpn-instance для серверов, доступных через отдельные таблицы маршрутизации;

  • задавать разумный интервал обновления клиента (client update-interval), учитывая требуемую точность времени и нагрузку на сеть;

  • не использовать коммутатор в роли NTP-мастера (master, stratum), если в сети уже есть выделенные серверы времени;

  • при анализе логов всегда учитывать настроенный часовой пояс и состояние синхронизации NTP.

История возникновения команды

Команды и конфигурации, приведенные в данной главе, применимы для:

  • аппаратных платформ CIT серии L3200 с установленной версией ПО v1.0.2;

  • являются актуальными начиная с версии программного обеспечения v1.0.2.

При использовании других серий оборудования или иных версий ПО необходимо уточнить поддерживаемый синтаксис команд NTP и формат диагностических выводов в соответствующей документации производителя.

Ссылка на внешнюю документацию

  • RFC 5905 – Network Time Protocol Version 4: Protocol and Algorithms Specification
    Базовое описание протокола NTPv4, форматы пакетов, алгоритмы синхронизации и модель работы клиентов/серверов.

  • RFC 5906 – Network Time Protocol Version 4: Autokey Specification
    Описание механизмов аутентификации и безопасности в NTPv4 (Autokey).

  • RFC 5907 – Definitions of Managed Objects for Network Time Protocol Version 4 (NTPv4)
    Определения MIB-объектов для мониторинга и управления NTPv4 по SNMP.

  • RFC 4330 – Simple Network Time Protocol (SNTP) Version 4 for IPv4, IPv6 and OSI
    Упрощенная версия протокола синхронизации времени (SNTPv4), совместимая с NTPv4.

  • RFC 1305 – Network Time Protocol (Version 3)
    Исторический документ по NTPv3; может использоваться для понимания эволюции протокола и совместимости.