2xGPS es 4x peer zavarasa

Sziasztok,

osszeallitottam 2xGPS forrasbol(lokalis es tavoli) es 4x peer gepbol (2 lokalis es 2 tavoli) allo ntp topologiat, ahol a peerek a stratum1-es 2 GPS forrasbol szedik az idot es egymastol kolcsonosen.
Azonban ha bekapcsolok meg egy peert lokalisan, megjelenik
a 2 lokalis peerem ntpq parancsara es "bezavarja" azok idejet.

LOKALIS A2: (a-eset)gps1 lokalis (.xx) xx.xx.xx.xx stratum1 gps2 tavoli (.yy) yy.yy.yy.yy stratum1 -------------------------------- lokalis.a1 xx.xx.xx.a1 stratum2 lokalis.a2 xx.xx.xx.a2 stratum2 tavoli.b1 yy.yy.yy.b1 stratum2 tavoli.b2 yy.yy.yy.b2 stratum2 ------------------------------- lok-zavar.c1 xx.xx.xx.c1 stratum2 lok-zavar.c2 xx.xx.xx.c2 stratum2 -------------------------------------- lokalis.test xx.xx.xx.t1 stratum3

root@lokalis.a2:~# ntpq -pn
remote refid st t when poll reach delay offset jitter
==============================================================================
*lokalis.xx .GPS. 1 u 1 16 377 0.344 -0.037 0.046
+tavoli.yy .GPS. 1 u - 16 377 34.258 -0.074 0.273
-lokalis.a1 xx.xx.xx.a1 2 u 12 16 377 0.286 0.043 0.015
+tavoli.b1 yy.yy.yy.b1 2 u 3 16 377 33.555 -0.016 0.055
-tavoli.b2 yy.yy.yy.b2 2 u 7 16 377 33.700 0.049 0.281
+lok-zavar.c1 yy.yy.yy.c1 2 u 12 16 377 0.216 0.043 0.044 <--miert jelenik meg?? letilthato?
+lok-zavar.c2 yy.yy.yy.c2 2 u 12 16 377 0.326 0.043 0.03 <--miert jelenik meg?? letilthato?

LOKALIS A2: (a-eset)
root@lokalis.a2:/etc# cat ntp.conf
#----------------------------
restrict default noquery nomodify notrap
restrict 127.0.0.1
driftfile /var/lib/ntp/ntp.drift
logfile /var/log/ntp
server xx.xx.xx.xx minpoll 4 maxpoll 4 prefer
restrict xx.xx.xx.xx
server yy.yy.yy.yy minpoll 4 maxpoll 4
restrict yy.yy.yy.yy
peer xx.xx.xx.a1 key 2 minpoll 4 maxpoll 4
peer yy.yy.yy.b1 key 2 minpoll 4 maxpoll 4
peer yy.yy.yy.b2 key 2 minpoll 4 maxpoll 4
trustedkey 2
keys /etc/ntp.keys

statsdir /var/log/ntpstats/
#statistics loopstats peerstats clockstats
statistics loopstats peerstats clockstats sysstats cryptostats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable
#----
filegen sysstats file sysstats type day enable
filegen cryptostats file cryptostats type day enable
root@lokalis.a2:/etc#
===================

a bezavaro lok-zavar.c1 beallitasa:

root@lok-zavar.c1:/etc# cat ntp.conf
restrict default noquery nomodify notrap
restrict 127.0.0.1
driftfile /var/lib/ntp/ntp.drift
logfile /var/log/ntp
server xx.xx.xx.xx key 88 minpoll 4 maxpoll 8 prefer
#-----------------------------------------------------------
restrict xx.xx.xx.xx
peer xx.xx.xx.a1 key 2 minpoll 4 maxpoll 8
peer xx.xx.xx.a2 key 2 minpoll 4 maxpoll 8
peer xx.xx.xx.c2 key 2 minpoll 4 maxpoll 8
trustedkey 2 666 88 77
requestkey 666
controlkey 666
keys /etc/ntp.keys

statsdir /var/log/ntpstats/
#statistics loopstats peerstats clockstats
statistics loopstats peerstats clockstats sysstats cryptostats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable
#----
filegen sysstats file sysstats type day enable
filegen cryptostats file cryptostats type day enable
root@lok-zavar.c1:/etc#

Reszleges megoldas:LOKALIS A2: (b-eset)

root@lokalis.a2:/etc# cat ntp.conf
restrict default ignore
restrict 127.0.0.1
driftfile /var/lib/ntp/ntp.drift
logfile /var/log/ntp
server xx.xx.xx.xx minpoll 4 maxpoll 4 prefer
restrict xx.xx.xx.xx
server yy.yy.yy.yy minpoll 4 maxpoll 4
restrict yy.yy.yy.yy
peer xx.xx.xx.a1 key 2 minpoll 4 maxpoll 4
peer yy.yy.yy.b1 key 2 minpoll 4 maxpoll 4
peer yy.yy.yy.b2 key 2 minpoll 4 maxpoll 4
restrict xx.xx.xx.a1
restrict yy.yy.yy.b1
restrict yy.yy.yy.b2
trustedkey 2
keys /etc/ntp.keys

statsdir /var/log/ntpstats/
#statistics loopstats peerstats clockstats
statistics loopstats peerstats clockstats sysstats cryptostats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable
#----
filegen sysstats file sysstats type day enable
filegen cryptostats file cryptostats type day enable
root@lokalis.a2:/etc# /etc/init.d/ntp restart

ilyenkor azonban a teszt gep hibat jelez:
lokalis.test xx.xx.xx.t1

ntpq> pee
remote refid st t when poll reach delay offset jitter
==============================================================================
xx.xx.xx.a2 .INIT. 16 u - 16 0 0.000 0.000 0.000 <---------nem kap idot xx.xx.xx.a2-tol!!!!
*xx.xx.xx.a1 xx.xx.xx.xx 2 u 1030 1024 377 0.322 -0.165 1.022 (xx.xx.xx.a1 beallitasa LOKALIS A2: (a-eset) szerint)
ntpq> termeszetesen .a2 peer-re allitva es a 2 tavolira

lokalis.test # cat ntp.conf|grep -v '^$'|grep -v ^\#
driftfile /var/lib/ntp/ntp.drift
logfile /var/log/ntp
statsdir /var/log/ntpstats/
statistics loopstats peerstats clockstats sysstats cryptostats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable
filegen sysstats file sysstats type day enable
filegen cryptostats file cryptostats type day enable
server xx.xx.xx.a2 minpoll 4 maxpoll 4 prefer
server xx.xx.xx.a1
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery
restrict 127.0.0.1
restrict ::1
lokalis.test#

Bocsi, hogy ily hosszura sikeredett, de megprobaltam mindent beletenni.
Remelem, ertheto a leirasom.
Hogyan kuszobolhetem ki ezt a hibat?

koszonom elore a segitseget.

ardi

Azért jelenik meg az A2-n peerként, mert engedélyezted rajta, hogy bárki peerelhet, a "zavaró" gép konfigjában pedig felvetted peernek.

A második esetben meg azért nem kap időt A2-től, mert teljesen letiltottad róla.

Mi ez a barom^H^H^Hérdekes topológia egyébként?

0 szavazat

A hozzászóláshoz be kell jelentkezni

>>"a "zavaró" gép konfigjában pedig felvetted peernek."

nos a zavaro gepek azert jelentek meg, mert a multban azok voltak eredetileg peerben a 2 lokalis geppel.
csak veletlenul kapcsoltam be oket s vettem eszre, hogy "zavarnak"
(ezert is van ugyanaz a /etc/ntp.keys kulcs rajtuk).

de ha nem is lenne kulcs (key 2 ) parameter /etc/ntp.conf konfiguracios fajljaikban,
akkor is zavarhatnak a 2 lokalis gepet.

epp ez a problema, hogy ha valaki ismeri a 2 lokalis gep ip cimet, akkor zavarhatja idejuket.
epp arrol van szo, hogy ugy kene beallitani a 4 peer ntp.conf konfigjat, hogy ilyen helyzetek ne alljanak fel.

>>"Azért jelenik meg az A2-n peerként, mert engedélyezted rajta, hogy bárki peerelhet"

hogy lehetne azt beallitani, hogy a stratum2 gepek (4x peer es ne tobb) csak a GPS forrasokbol es egymastol kapjak az idot es lefele, azaz a stratum3 iranyaba pedig "nyomjak az idot"??

a 2. esetet ertem - ott tenyleg csak a GPS forrasokat es a 3 peert engedelyeztem.
de ekkor beallithato egyaltalan vmi ntp csomagok kuldesere stratum3 iranyaba es lejjebb?

amugy meg teszrendszernek raktam ossze az egeszet...

Ardi

0 szavazat

A hozzászóláshoz be kell jelentkezni

nopeer restrikció. és a stratum1 -ek se peereljenek lefelé.

de ne nagyon törd rajta magad, ennek a setupnak így nem sok értelme

0 szavazat

A hozzászóláshoz be kell jelentkezni

nos nem ertem, hova irjak nopeert.
en csupan azt akarom kikuszobolni, hogy senki se tehessen onkenyesen (vagy veletlenul) ntp
demonnal felszerelt gepet a halozatra - es ismerve a letezo 4 peer ip cimet - azokat osszezavarja...

nincs peer sor s stratum1 szervereken...ezek csak sugarozzak az idot a halozatban.
a stratum2-es gepeknel pedig a restrict-tel engedelyeztem, hogy csak a 2 GPS-tol es a 3 fennmarado stratum2 geptol kapja az idot.

miert nem jo szerinted ez a felallitas?

0 szavazat

A hozzászóláshoz be kell jelentkezni

> nos nem ertem, hova irjak nopeert.

Mondjuk a default restrikcióba.

> en csupan azt akarom kikuszobolni, hogy senki se tehessen onkenyesen (vagy veletlenul) ntp demonnal felszerelt gepet a halozatra - es ismerve a letezo 4 peer ip cimet - azokat osszezavarja...

Nem zavarja össze, de man ntp.conf, restrictions

> nincs peer sor s stratum1 szervereken...ezek csak sugarozzak az idot a halozatban.

Sugározni csak multicasttal sugároz. :)

> a stratum2-es gepeknel pedig a restrict-tel engedelyeztem, hogy csak a 2 GPS-tol es a 3 fennmarado stratum2 geptol kapja az idot.

De nem azt csináltad. :) A végén lévő konfig, valami default Debian ntp.conf, azt másold át a többire, és indulj ki abból, és jó lesz.

> miert nem jo szerinted ez a felallitas?

Ha elolvastad, hogy működik az NTP, mi kell, hogy pontos, megbízható legyen, és továbbra is ezt a felállást képzeled el, akkor majd írd meg az üzleti igényeket: pl. valami zárt rendszernek kell fasza időt csinálni, vagy large scale céges hálózatban kell megbízható központi NTP szolgáltatást nyújtani (pl. ntp.cég.com), ha utóbbi, akkor kinek, behatárolható szervereknek korrekt ntp daemonnal helyben, vagy ismeretlen számú hálózati/desktop eszköznek -akár sntp, és a műszaki paramétereket: ez a két site, ez két telephely-e, milyen a hálózati kapcsolat közöttük, a kliensek honnan fogják használni, ezekről a telephelyekről lokálisan, vagy ez valami nagy céges/ISP hálózat, amin belül ez a két site az két központi valami 300 db pop közül, de mindenhonnan használni fogják. Utána megírom, hogy miért jó vagy nem jó, most hirtelen nem tudok olyan use case-t, amire jó ötletnek tűnik.

0 szavazat