NTP (Network Time Protocol) - протокол, определяющий синхронизацию времени на вашем устройстве с публичным или частным сервером, который предоставляет данную информацию. На первый взгляд, установленное время на маршрутизаторе не играет большой роли, но, такие протоколы как IPSec или Kerberos постоянно обмениваются ключами и токенами, которые обладают тайм-стампами - т.е, если на одном роутере время не синхронизировано с другим с небольшой погрешностью, то ключи будут экспайрится быстрее и туннели будут постоянно менять свое состояние. Если же время кардинально отличается на двух устройствах, то IPSec туннели могут вообще не подняться - поэтому настройка NTP очень важна. Кроме того, необходимо настраивать NTP и для того, чтобы в случае взлома или проникновения злоумышленника в вашу сеть вы всегда могли определить точное время события, то есть в логах всегда должна быть точная информация.
НАСТРОЙКА NTP
Для настройки NTP серверов есть несколько вариантов - хостить NTP сервер в вашей сети, использовать публичный или приватный внешний NTP сервер или использовать сразу оба. В данной статье будет использован только один внешний NTP сервер, который хостится проектом https://www.pool.ntp.org/ru/use.html - данным сервером пользуются миллионы пользователей.
С помощью простой команды ниже вы сможете синхронизировать время на ваших маршрутизаторах с сервисом https://www.pool.ntp.org/ru/use.html , который балансируется по нагрузке и крайне надежен:
/system ntp client set enabled=yes server-dns-names=time.google.com,0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org,3.pool.ntp.org
Ваш маршрутизатор синхронизирует время с ближайшим NTP сервером, который находится в вышеуказанных пулах, и продолжит делать регулярные небольшие корректировки, если появится данная необходимость.
NTP
Пояснения по Broadcast, Multicast, Manycast
Broadcast mode. Клиенты NTP "слушают" широковещательные сообщения, рассылаемые сервером NTP. После получения первого широковещательного сообщения клиент синхронизирует часы локального узла с использованием режима unicast mode. После этого клиент NTP переходит в режим ожидания прихода следующего широковещательного сообщения. Широковещательные сообщения NTP отправляются на широковещательный адрес сети каждые 64 секунды.
В режиме unicast mode клиент NTP client соединяется с указанный сервером NTP. В настройках клиента NTP адрес IP сервера NTP должен быть определён как адрес первого или второго сервера NTP. Клиент синхронизирует своё время с сервером NTP. Далее каждые 64–1024 секунды клиент запрашивает время с сервера NTP. Режим unicast mode является единственным, который использует параметры настроек "первый" и "второй" серверы NTP.
Multicast mode работает аналогично режиму broadcast mode. При этом вместо широковещательных сообщений на адрес, например, 255.255.255.255 сообщения multicast принимаются с адреса 224.0.1.1. То есть, для доставки пакетов используются multicast-адреса сетей класса D адресного пространства IP-адресов. Для клиентов и серверов задается адрес multicast-группы, которую они используют для синхронизации времени. Это делает возможным синхронизацию групп машин, расположенных в различных подсетях, при условии, что соединяющие их маршрутизаторы поддерживают протокол IGMP и настроены на передачу группового трафика.
Manycast mode функционирует как режим unicast mode только с неизвестными адресами IP серверов NTP. Для обнаружения сервера NTP клиент отправляет сообщение multicast на адрес, например, IP 239.192.1.1. Другими словами, используются адреса multicast-групп (сети класса D). Клиенты и серверы, использующие один и тот же адрес, формируют одну ассоциацию. Количество ассоциаций определяется количеством используемых multicast-адресов.
Если сервер NTP настроен на то, чтобы "слушать" эти сообщения multicast (стоит галочка в поле Manycast), то он "отвечает" на такие сообщения.
После получения клиентом ответа клиень переходит в режим unicast mode и синхронизируется с ответившим ему сервером NTP. Одновременно с этим клиент продолжает поиск большего (ударение на букву о) числа серверов NTP, периодически отправляя сообщения multicast каждые 64 секунды.
Этот режим является нововведением 4-й версии протокола NTP. В manycast mode подразумевается поиск клиентом среди своих сетевых соседей manycast-серверов, получение от каждого из них образцов времени (с использованием криптографии) и на основании этих данных выбирается 3 «лучших» manycast-сервера, с которыми клиент будет производить синхронизацию. В случае выхода из строя одного из серверов клиент автоматически обновляет свой список.
Учтите, что если в момент настройки NTP у вас активны IPSeс сессии, то, они, вероятно, могут быть ненадолго прерваны.
ВРЕМЕННЫЕ ЗОНЫ
Необходимо упомянуть важность настройки различных временных поясов - в зависимости от вашей конфигурации, мы бы советовали установить везде одинаковый часовой пояс - в нашем случае Europe/Moscow. В этом случае вы можете быть уверены, что проблем с различным временем на ваших девайсах не возникнет. Итого, команда, которой устанавливается временной пояс:
/system clock set time-zone-name=UTC