BIG-IP系统时钟未显示正确的时区,或日期和时间未正确同步,可能是由于NTP配置不正确或与有效NTP对等服务器的通信问题造成的。本文中的过程展示了如何检查NTP守护进程、验证NTP配置、查询NTP对等服务器,以及检查到NTP对等服务器的网络连接。

1、验证 NTP 守护进程是否正常🐸

​ 验证 NTP 守护进程是否正常使用以下命令,如果出现active(running)则进程正在正常运行。

1
2
3
4
5
6
7
8
9
10
11
# tmsh show sys service ntpd

# 正常运行输出如下:
* ntpd.service - start and stop ntpd
   Loaded: loaded (/etc/rc.d/init.d/ntpd; enabled; vendor preset: enabled)
   Active: active (running) since Sun 2022-03-06 17:48:45 CST; 1 weeks 0 days ago
  Process: 4031 ExecStart=/etc/rc.d/init.d/ntpd start (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/ntpd.service
           `-4052 ntpd -g
# 未正常运行输出如下:
Warning: Journal has been rotated since unit was started. Log output is incomplete or unavailable.

​ 如果进程未正常运行,输出 NTP 通信连接时,则输出如下错误:

1
2
3
4
# ntpq -p

# 异常输出如下:
ntpq: read: Connection refused

2、验证 NTP 配置🐢

(1)F5 GUI 查看 NTP 配置

​ 导航至System ›› Configuration : Device : NTP路径下,查看 NTP 地址是否正确。

image-20220313210542977

(2)F5 CLI 查看 NTP 配置

通过命令行登录 F5 , 检测 NTP 配置是否正常。

1
2
3
4
5
6
# tmsh list sys ntp servers 

# 输出配置信息如下:
sys ntp {
    servers { 1.1.1.2 }
}

3、验证 BIG-IP 系统与 NTP 对等服务器之间的通信🐳

​ 要 BIG-IP 系统与 NTP 对等服务器通信,请输入命令: ntpq -np,输出参数解释如下所示:

参数 说明
remote 远程 NTP 服务器的地址
refid 用于同步的下一个较低层服务器的地址
st 远程对等层。主服务器(带有外部参考时钟(如GPS)的服务器)被分配到第1层。与第1层服务器同步的辅助NTP服务器被分配给第2层。与第2层服务器同步的次要NTP服务器被分配给第3层。地层16被称为MAXSTRAT,通常被映射到地层值0,因此表示它不同步。第17层至255层为保留层。
t 远程 NTP 类型:本地、单播、多播或广播。
when 自上次收到轮询响应以来的时间(秒)。
poll 轮询间隔(以秒为单位)。该值开始时较低(示例:64),随着时间的推移,如果未检测到任何更改,则该轮询值将递增至配置的最大轮询值(示例:1024)。
reach 可达性寄存器。八进制移位寄存器记录最近八次轮询尝试的结果。
delay 当前估计的延迟,即这些 NTP 服务器之间的传输时间(毫秒)。
offset 当前估计的偏移量,即这些 NTP 服务器之间的时间差(以毫秒为单位)。
jitter 当前估计的离散度,即这些 NTP 服务器之间的延迟变化(以毫秒为单位)。

NTP服务连接异常示例:

1
2
3
4
# ntpq -np
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 1.1.1.2         .INIT.          16 u    -   64    0    0.000    0.000   0.000

NTP服务连接正常示例:

1
2
3
4
 # ntpq -np
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*114.118.7.163   123.139.33.3     2 u   42   64  357    6.240   20.008   6.171

4、抓包分析🦖

​ 通过抓包来分析,是否发送了同步请求,以及是否收到了 NTP 服务器的响应,抓包命令如下:

1
# tcpdump -nni 0.0:nnnp -s0 -vvv port 123 and udp

5、参考文档🐟

[button color=“primary” url=“https://support.f5.com/csp/article/K10240” outline=“” target=“_blank”]1️⃣ Verifying NTP peer server communications[/button]