1、引言　　
　　隨著網(wǎng)絡(luò)的普及，許多單位都建了自己的園區(qū)網(wǎng)，使用的網(wǎng)絡(luò)設(shè)備和服務(wù)器日益增多。這些設(shè)備都有自己的時(shí)鐘，而且是可以調(diào)節(jié)的。但是無(wú)法保證網(wǎng)絡(luò)中的所有設(shè)備和主機(jī)的時(shí)間是同步的，因?yàn)檫@些時(shí)鐘每天會(huì)產(chǎn)生數(shù)秒、甚至數(shù)分鐘的誤差。經(jīng)過(guò)長(zhǎng)期運(yùn)行，時(shí)間差會(huì)越來(lái)越大，這種偏差在單機(jī)中影響不太大，但在網(wǎng)絡(luò)環(huán)境下的應(yīng)用中可能會(huì)引發(fā)意想不到的問(wèn)題。如在分布式計(jì)算環(huán)境中，由于每個(gè)主機(jī)時(shí)間不一致，會(huì)造成同一操作在不同主機(jī)的記錄時(shí)間不一致，將導(dǎo)致服務(wù)無(wú)法正常地進(jìn)行。隨著各種網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，對(duì)時(shí)間的要求也越來(lái)越高，否則會(huì)引發(fā)許多的問(wèn)題，NTP服務(wù)器產(chǎn)品把這些問(wèn)題統(tǒng)統(tǒng)解決，NTP服務(wù)器介紹請(qǐng)參考：www.bjzxck.com

　　
　　2、時(shí)間同步概述
　　
　　將網(wǎng)絡(luò)環(huán)境中的各種設(shè)備或主機(jī)的時(shí)間信息（年月日時(shí)分秒）基于UTC（UniversalTimeCoordinated）時(shí)間偏差限定在足夠小的范圍內(nèi)（如100ms），這種同步過(guò)程叫做時(shí)間同步[1]。
　　
　　目前，有兩種重要的時(shí)間同步技術(shù)，即網(wǎng)絡(luò)時(shí)間協(xié)議（NetworkTimeProtocol，NTP）協(xié)議和直接連接時(shí)間傳輸技術(shù)。其中直接連接時(shí)間傳輸技術(shù)，需要所有客戶端直接連接到標(biāo)準(zhǔn)時(shí)間源。NTP適用于網(wǎng)絡(luò)環(huán)境下，可以在一個(gè)無(wú)序的網(wǎng)絡(luò)環(huán)境下提供和健壯的時(shí)間服務(wù)。這里我們只討論基于NTP原理的時(shí)間同步技術(shù)和應(yīng)用。
　　
　　3、NTP工作原理和應(yīng)用
　　
　　3.1、NTP協(xié)議概述
　　
　　NTPzui早由美國(guó)Delaware大學(xué)的教授設(shè)計(jì)實(shí)現(xiàn)的，由時(shí)間協(xié)議、ICMP時(shí)間戳消息及IP時(shí)間戳選項(xiàng)發(fā)展而來(lái)[2]。NTP用于將計(jì)算機(jī)客戶或服務(wù)器的時(shí)間同步到另一服務(wù)器或參考時(shí)鐘源。它使用UTC作為時(shí)間標(biāo)準(zhǔn)，是基于無(wú)連接的IP協(xié)議和UDP協(xié)議的應(yīng)用層協(xié)議，使用層次式時(shí)間分布模型，所能取得的準(zhǔn)確度依賴于本地時(shí)鐘硬件的度和對(duì)設(shè)備及進(jìn)程延遲的嚴(yán)格控制。在配置時(shí)，NTP可以利用冗余服務(wù)器和多條網(wǎng)絡(luò)路徑來(lái)獲得時(shí)間的高準(zhǔn)確性和高可靠性。實(shí)際應(yīng)用中，又有確保秒級(jí)精度的簡(jiǎn)單的網(wǎng)絡(luò)時(shí)間協(xié)議（SimpleNetworkTimeProtocol，SNTP）。
　　
　　圖1是一個(gè)UDP分組中的NTP信息。其中，LI是潤(rùn)秒插入或刪除指示;VN是NTP協(xié)議版本號(hào);Mode、Stratum和Precision分別代表工作模式、時(shí)鐘級(jí)別和本地鐘精度。Poll是當(dāng)前發(fā)送NTP消息的時(shí)間間隔的期望值。RootDelay表示主要參考源的總延遲。RootDispersion表示相對(duì)于主要參考源的正常差錯(cuò)。SynchronizingDistance和SynchronizingDispersion是當(dāng)前往返延遲和相對(duì)于PRS的誤差范圍。ReferenceTimestamp代表當(dāng)前時(shí)鐘參考源的種類和zui近一次更新時(shí)間，為管理目的而設(shè)立。后面三個(gè)字段分別代表三個(gè)時(shí)間戳：OriginateTimestamp發(fā)送方zui后接觸包的時(shí)間，ReceiveTimestamp接收方收到包的時(shí)間，TransmitTimestamp接收方發(fā)送echoreply時(shí)zui后接觸包的時(shí)間。Authenticator是密匙指示標(biāo)志和加密的校驗(yàn)盒。
　　
　　3.2、NTP的工作原理
　　
　　影響NTP協(xié)議度zui關(guān)鍵的原因在于由網(wǎng)絡(luò)延遲的隨機(jī)性而引起的時(shí)鐘延遲計(jì)算的不準(zhǔn)確。由于延遲不準(zhǔn)確，所以無(wú)法依靠從時(shí)間服務(wù)器到客戶機(jī)的單邊傳輸來(lái)傳遞的時(shí)間信息。為了解決這個(gè)問(wèn)題，在NTP協(xié)議中使用時(shí)間服務(wù)器和客戶機(jī)之間的雙向信息交換和時(shí)間戳（timestamp）的概念。圖2顯示了用這種方法確定延遲和偏移的基本原理。
　　
　　如圖所示，Ti，Ti-1，Ti-2，Ti-3為A、B主機(jī)之間zui近的4個(gè)時(shí)間戳的值。假設(shè)：
　　
　　a=Ti-2-Ti-3;b=Ti-1-Ti。那么A、B主機(jī)之間的往返傳輸延遲δi和B相對(duì)于A在Ti時(shí)刻的時(shí)間偏移量θi應(yīng)該為：δi=a-b;θi=（a+b）/2
　　
　　由于在網(wǎng)絡(luò)傳輸中分組傳輸?shù)牧髁坎淮_定，可能時(shí)大時(shí)小，而且通常是以突發(fā)的方式到達(dá)客戶機(jī)，所以傳輸延遲不是一個(gè)穩(wěn)態(tài)隨機(jī)過(guò)程。但是，我們可以通過(guò)對(duì)傳輸延遲的測(cè)量來(lái)對(duì)完成偏差的修正。在圖2中，B相對(duì)于A的真實(shí)時(shí)間偏移是θ。假設(shè)用x表示從A到B的真實(shí)傳輸延遲，那么有：x+b=Ti-2CTi-3=a。由于x必須為正，即有x=aCθ≥0，所以θ≤a。同理，我們可得出b≤θ，所以有b≤θ≤a，即：b=（a+b）/2-（a-b）/2≤θ≤（a+b）/2+（a-b）/2=a。相當(dāng)于：θi-（δi）/2≤θ≤θi+（δi）/2。
　　
　　這意味著，真實(shí)的時(shí)鐘偏差值是以測(cè)量所得的偏差值為中心的，而其可能的變化范圍則等長(zhǎng)于測(cè)量所得的延遲。每一條NTP消息都包含的3個(gè)時(shí)間戳，第4個(gè)時(shí)間戳則由消息的到達(dá)時(shí)刻確定。因此，服務(wù)器和客戶機(jī)都可以單獨(dú)確定時(shí)間偏移。這種對(duì)稱的連續(xù)采樣的時(shí)間傳輸方法的優(yōu)點(diǎn)是對(duì)發(fā)送和接受的消息的順序沒有要求，因此不需要可靠的傳輸途徑。很顯然，zui終的準(zhǔn)確度將取決于發(fā)送和接受路徑的統(tǒng)計(jì)特性。
　　
　　3.3、NTP的工作模式
　　
　　NTP的工作模式有三種：
　　
　　客戶/服務(wù)器模式：客戶機(jī)周期性地向服務(wù)器請(qǐng)求時(shí)間信息，服務(wù)器用來(lái)同步客戶機(jī)但不能被客戶機(jī)同步?？蛻魴C(jī)首先向服務(wù)器發(fā)送一個(gè)NTP包，其中包含了該包離開客戶機(jī)時(shí)的時(shí)間戳，當(dāng)服務(wù)器接收到該包時(shí)，依次填入包到達(dá)時(shí)的時(shí)間戳、交換包的源地址和目的地址、填入包離開時(shí)的時(shí)間戳，然后立即把包返回給客戶機(jī)?？蛻魴C(jī)在接收到響應(yīng)包時(shí)再填入包返回時(shí)的時(shí)間戳?？蛻魴C(jī)用這些時(shí)間參數(shù)就能夠計(jì)算出2個(gè)關(guān)鍵參數(shù)：包交換的往返延遲和客戶機(jī)與服務(wù)器之間的時(shí)鐘偏移?？蛻魴C(jī)使用時(shí)鐘偏移來(lái)調(diào)整本地時(shí)鐘，以使其時(shí)間與服務(wù)器時(shí)間一致[2]。
　　
　　主/被動(dòng)對(duì)稱模式：與客戶/服務(wù)器模式基本相同。*區(qū)別在于雙方均可同步對(duì)方或被對(duì)方同步。
　　
　　廣播模式：沒有同步的發(fā)起方。在每個(gè)同步周期中，服務(wù)器向網(wǎng)絡(luò)廣播廣播帶有自己時(shí)間戳的消息包，所有的目標(biāo)節(jié)點(diǎn)被動(dòng)接收這些消息，以此調(diào)整自己的時(shí)間。一般用于網(wǎng)絡(luò)延時(shí)非常小，或者對(duì)時(shí)間精度要求不高的地方，如同局域網(wǎng)內(nèi)，使用廣播模式可節(jié)省帶寬。
　　
　　3.4、NTP系統(tǒng)體系結(jié)構(gòu)
　　
　　NTP采用層次式時(shí)間分布模型。網(wǎng)絡(luò)體系結(jié)構(gòu)主要包括主時(shí)間服務(wù)器、從時(shí)間服務(wù)器、客戶機(jī)和各節(jié)點(diǎn)之間的傳輸路徑。主時(shí)間服務(wù)器與高精度時(shí)間源進(jìn)行同步，為其他節(jié)點(diǎn)提供時(shí)間服務(wù)。各客戶端從時(shí)間服務(wù)器經(jīng)由主服務(wù)器獲得時(shí)間同步。正常情況下，節(jié)點(diǎn)（包括時(shí)間服務(wù)器和客戶機(jī)）只用zui可靠、zui準(zhǔn)確的服務(wù)器及傳輸路徑進(jìn)行同步，所以通常的同步路徑為一個(gè)層次結(jié)構(gòu)。其中，主時(shí)間服務(wù)器位于根節(jié)點(diǎn)，其他從時(shí)間服務(wù)器隨同步精度增加而位于靠近葉子節(jié)點(diǎn)的層上，主機(jī)和學(xué)校服務(wù)器處于葉子節(jié)點(diǎn)。NTP將傳輸路徑分為主動(dòng)同步路徑和備份同步路徑，兩者都同時(shí)進(jìn)行時(shí)間信息包的傳輸，但節(jié)點(diǎn)只用主動(dòng)同步路徑數(shù)據(jù)進(jìn)行同步處理[2]。
　　
　　圖3：客戶/服務(wù)器模式的一個(gè)實(shí)現(xiàn)模型[3]
　　
　　該模型中，本地時(shí)鐘進(jìn)程：處理由修正模塊得出的偏移量并且用NTP中算法對(duì)本地時(shí)鐘的相位和頻率進(jìn)行調(diào)節(jié)。傳送進(jìn)程：由和每個(gè)遠(yuǎn)端實(shí)體對(duì)應(yīng)的不同定時(shí)器觸發(fā)，用以從數(shù)據(jù)庫(kù)中收集信息，并向遠(yuǎn)端實(shí)體發(fā)送NTP消息。每個(gè)消息包括發(fā)送時(shí)的本地時(shí)間戳，前一次收到的時(shí)間戳，還有用來(lái)判斷同步網(wǎng)絡(luò)層次結(jié)構(gòu)以及管理連接的信息。接收進(jìn)程：接收NTP消息，計(jì)算出遠(yuǎn)端時(shí)鐘和本地時(shí)鐘之間的偏移量。修正模塊：處理與各個(gè)遠(yuǎn)端實(shí)體之間的偏移量，并用NTP中的一個(gè)算法選擇*的一個(gè)。本地時(shí)鐘進(jìn)程：處理由修正模塊得出的偏移量并且用NTP中算法對(duì)本地時(shí)鐘進(jìn)行調(diào)節(jié)。
　　
　　4.NTP在校園網(wǎng)中的應(yīng)用
　　
　　在我校校園網(wǎng)絡(luò)內(nèi)，存在大量網(wǎng)絡(luò)設(shè)備、服務(wù)器和主機(jī)，它們承載了校園網(wǎng)中的計(jì)費(fèi)、維護(hù)、管理等功能，對(duì)時(shí)間的準(zhǔn)確度需求比較高，要求在網(wǎng)絡(luò)之間傳遞的信息能夠在時(shí)間上保持高度一致。
　　
　　時(shí)間同步在校園網(wǎng)內(nèi)的應(yīng)用主要集中在一下幾個(gè)方面：
　　
　　1、網(wǎng)絡(luò)管理系統(tǒng)的日志審計(jì)：當(dāng)網(wǎng)絡(luò)中出現(xiàn)惡意攻擊行為或網(wǎng)絡(luò)故障問(wèn)題時(shí)，需要網(wǎng)絡(luò)管理員根據(jù)有關(guān)網(wǎng)絡(luò)設(shè)備中產(chǎn)生的日志進(jìn)行分析和判斷，以便于查找攻擊源和對(duì)網(wǎng)絡(luò)造成的危害及產(chǎn)生的原因。但是如果網(wǎng)絡(luò)中時(shí)間不能同步，那么同一個(gè)行為在不同設(shè)備中產(chǎn)生的日志將不能序列化。也就無(wú)法對(duì)這些問(wèn)題進(jìn)行分析和解決。另外當(dāng)網(wǎng)管中心采用多點(diǎn)日志記錄時(shí)，如果網(wǎng)絡(luò)各個(gè)節(jié)點(diǎn)時(shí)間不同步，也將造成日志記錄的混亂。若需要這些信息快速準(zhǔn)確進(jìn)行故障定位，準(zhǔn)確的時(shí)間是*的[1]。
　　
　　2、應(yīng)用認(rèn)證過(guò)程：校園網(wǎng)內(nèi)的一些應(yīng)用系統(tǒng)及以后要建的一卡通系統(tǒng)，在進(jìn)行用戶認(rèn)證的時(shí)候，要求網(wǎng)絡(luò)中時(shí)間必須同步。因?yàn)檎J(rèn)證中的數(shù)字時(shí)間戳服務(wù)要求客戶端使用本地時(shí)間作為參數(shù)與認(rèn)證服務(wù)器端交換認(rèn)證信息包。如果不能做到網(wǎng)絡(luò)中的時(shí)間同步，那么系統(tǒng)就會(huì)遇到問(wèn)題，而且認(rèn)證過(guò)程中還有可能受到重放攻擊。
　　
　　3、與時(shí)間有關(guān)的應(yīng)用系統(tǒng)：嚴(yán)格要求記錄數(shù)據(jù)提交時(shí)刻的網(wǎng)絡(luò)應(yīng)用系統(tǒng)，必須保證提交時(shí)間的準(zhǔn)確性和不可更改性。另外，對(duì)客戶端進(jìn)行*操作的應(yīng)用系統(tǒng)也要求時(shí)間同步。
　　
　　4、校園網(wǎng)備份系統(tǒng)：在備份服務(wù)器和客戶機(jī)之間進(jìn)行增量備份要求這兩個(gè)系統(tǒng)之間的時(shí)間同步。
　　
　　5、確保系統(tǒng)之間的遠(yuǎn)程系統(tǒng)調(diào)用能夠正常進(jìn)行：因?yàn)闉榱吮ＷC一個(gè)系統(tǒng)調(diào)用不會(huì)重復(fù)進(jìn)行，該系統(tǒng)調(diào)用只在一個(gè)時(shí)間間隔內(nèi)有效。如果系統(tǒng)間的時(shí)鐘不同步。該系統(tǒng)調(diào)用可能在還沒有發(fā)生之前就因?yàn)槌瑫r(shí)而不能進(jìn)行
　　
　　6、計(jì)費(fèi)系統(tǒng)：網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng)中也要用到數(shù)字時(shí)間戳服務(wù)，所以也要求的時(shí)間同步。
　　
　　校園網(wǎng)中各種應(yīng)用系統(tǒng)及安全系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)推動(dòng)了網(wǎng)絡(luò)設(shè)備、服務(wù)器等對(duì)時(shí)間同步的需求。如果不能進(jìn)行準(zhǔn)確的時(shí)間同步，我們就得花費(fèi)大量的時(shí)間來(lái)解決各種各樣的可能會(huì)出現(xiàn)的問(wèn)題。
　　
　　總而言之，時(shí)間同步技術(shù)對(duì)網(wǎng)絡(luò)管理和網(wǎng)絡(luò)應(yīng)用是非常重要的。為了保證校園網(wǎng)內(nèi)各設(shè)備和系統(tǒng)之間時(shí)間的同步，我們需要解決三方面的問(wèn)題：一是盡量選取非常的時(shí)間源;二是將的時(shí)間傳送到需要時(shí)間服務(wù)的網(wǎng)絡(luò)設(shè)備或主機(jī)，保證在傳輸過(guò)程中誤差盡量小;三是用時(shí)間同步時(shí)間設(shè)備，充分利用設(shè)備各自的時(shí)間校準(zhǔn)機(jī)制自動(dòng)實(shí)現(xiàn)時(shí)間同步，盡量排除人工因素。
　　
　　為此結(jié)合校園網(wǎng)實(shí)際情況，按NTP的分層結(jié)構(gòu)構(gòu)建一個(gè)校園時(shí)間同步網(wǎng)，見圖4。目前，校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)按物理范圍劃分為幾個(gè)區(qū)域，各區(qū)域有一臺(tái)三層交換機(jī)作為核心設(shè)備，這些核心設(shè)備通過(guò)網(wǎng)絡(luò)中心的一臺(tái)核心三層交換機(jī)接入Internet。我們采用網(wǎng)絡(luò)中心的核心設(shè)備作為Internet上已公開的時(shí)間服務(wù)器（時(shí)間服務(wù)器見http://www.eesic.udel.edu/ntp/;中國(guó)教育網(wǎng)內(nèi)時(shí)間服務(wù)器見http://www.time.edu.cn/mem.htm）的客戶端，直接從Internet上的時(shí)間服務(wù)器取得準(zhǔn)確的時(shí)間，然后做為校園網(wǎng)內(nèi)的一級(jí)時(shí)間服務(wù)器，為整個(gè)校園網(wǎng)絡(luò)提供時(shí)間服務(wù);其他幾個(gè)區(qū)域內(nèi)的核心設(shè)備作為網(wǎng)絡(luò)中心核心設(shè)備的客戶端，從網(wǎng)絡(luò)中心的核心設(shè)備上取得時(shí)間;校園網(wǎng)中分布層的網(wǎng)絡(luò)設(shè)備作為核心層的客戶端，從各自所處區(qū)域的核心設(shè)備上取得時(shí)間，并為校園網(wǎng)內(nèi)終端用戶提供時(shí)間服務(wù)。設(shè)置上一級(jí)時(shí)間服務(wù)器的配置命令如下：
　　
　?。╟onfig）#ntpserverx.x.x.x：其中x.x.x.x是要保持一致的上一級(jí)時(shí)間服務(wù)器的ip地址。
　　
　　為了保持時(shí)間的準(zhǔn)確性，校園網(wǎng)內(nèi)的各種服務(wù)器一般可根據(jù)連接情況直接從zui近連接的核心設(shè)備來(lái)取得時(shí)間，而各核心設(shè)備之間可以采用主/被動(dòng)對(duì)稱模式工作，它們同時(shí)可以互相之間進(jìn)行協(xié)調(diào)，以保持時(shí)間的一致性。設(shè)置對(duì)等關(guān)系的配置命令如下：（config）#ntppeerx.x.x.x其中x.x.x.x為對(duì)等地位的時(shí)間服務(wù)器的ip地址
　　
　　校園內(nèi)的服務(wù)器根據(jù)操作系統(tǒng)不同，分別采用不同配置命令或軟件：對(duì)于Windows2000，可以使用Windows自帶的命令，在命令行方式下輸入：nettime/setsntp:x.x.x.x其中:x.x.x.x為時(shí)間服務(wù)器ip地址，可以有一個(gè)或多個(gè)，之間用空格分開。也可使用免費(fèi)軟件，如：ntptime等。對(duì)于Linux，可采用rdate或netdate與時(shí)間服務(wù)器進(jìn)行時(shí)間同步。
　　
　　核心層設(shè)備的時(shí)間服務(wù)非常重要，如果受到攻擊，將會(huì)影響很大范圍的服務(wù)。所以我們可以采用設(shè)置授時(shí)驗(yàn)證要求和訪問(wèn)控制策略來(lái)防止對(duì)核心設(shè)備的非*訪問(wèn)和改動(dòng)，以確保校園網(wǎng)內(nèi)時(shí)間的準(zhǔn)確、可靠和安全。對(duì)時(shí)間服務(wù)器端和對(duì)應(yīng)客戶端進(jìn)行的NTP配置步驟如下：
　　
　　1、啟用NTP認(rèn)證：
　　
　　（switch-config）#ntpauthenticate
　　
　　2、配置NTP認(rèn)證用的密碼，使用MD5加密，需要和ntpserver保持一致
　　
　?。╯witch-config）#ntpauthenticationkey1md5keyword
　　
　　3、配置雙方信任的key
　　
　　（switch-config）#ntptrustedCkey1
　　
　　4、配置訪問(wèn)控制策略，只允許對(duì)符合access-listlistnumber條件主機(jī)提供時(shí)間服務(wù)
　　
　　（switch-config）#ntpacess-grouppeerlistnumber
　　
　　以上命令必須在需要認(rèn)證的核心設(shè)備和對(duì)應(yīng)客戶端同時(shí)部署，而且配置命令必須一致：
　　
　　5、總結(jié)
　　
　　本文討論了NTP協(xié)議的工作原理和工作模式。并針對(duì)校園網(wǎng)對(duì)時(shí)間服務(wù)的需求結(jié)合校園網(wǎng)的實(shí)際情況提出了采用NTP協(xié)議分層模式的校園時(shí)間同步網(wǎng)的解決辦法。以后隨著校園網(wǎng)的建設(shè)，對(duì)時(shí)間服務(wù)有要求的網(wǎng)絡(luò)應(yīng)用會(huì)越來(lái)越多。在網(wǎng)絡(luò)安全方面對(duì)時(shí)間服務(wù)的要求也會(huì)越來(lái)越高，這方面的研究還有待于深入。
　　
　　：王