Quand utiliser NTPd broadcast / broadcastclient au lieu des modes client / serveur ou peer?

11

Le démon NTP est souvent utilisé dans son mode le plus simple, qui est client / serveur: vous spécifiez une ou plusieurs serverdirectives dans votre ntp.confet vos clients utiliseront ces serveurs.

En plus de cela, lorsque vous exécutez vos propres serveurs NTP, il est recommandé de peerles regrouper, donc si l'un d'entre eux perd la connectivité avec ses serveurs en amont, il obtiendra du temps de ses pairs.

Mais NTPd peut également fonctionner avec la distribution de diffusion et / ou de multidiffusion de données temporelles, la documentation indiquant:

les modes de diffusion et de multidiffusion sont destinés aux configurations impliquant un ou quelques serveurs et une population de clients potentiellement très importante

La documentation dit également ailleurs :

Il est possible et fréquemment utile de configurer un hôte en tant que client de diffusion et serveur de diffusion. Un certain nombre d'hôtes configurés de cette façon et partageant une adresse de diffusion commune s'organiseront automatiquement dans une configuration optimale basée sur la strate et la distance de synchronisation.

Je peux voir un avantage administratif évident: vous n'avez pas besoin de spécifier et de mettre à jour manuellement votre liste de serveurs NTP dans les clients ntp.conf, donc il me semble tentant d'utiliser le mode de diffusion même pour une petite population de clients (disons 5+ clients avec 3 ~ 4 serveurs). Je m'attends à ce que le trafic réseau soit un peu plus élevé avec les diffusions au lieu des associations client / serveur, mais étant donné le LAN Ethernet gigabit habituel, l'impact devrait être négligeable à moins que vous ayez un très très grand nombre d'hôtes dans le même domaine de diffusion.

En fin de compte, quand utiliser ou éviter le mode diffusion? Y a-t-il des avantages et des inconvénients que je n'ai pas vus?

ntp 
Luke404
source
La diffusion est une bouée de sauvetage lorsque les clients ne sont pas très bons. Une horloge murale Symmetricom ND-4 dérive de 2 secondes par jour tout en indiquant qu'elle est synchronisée avec les serveurs. L'envoi d'émissions est le seul moyen de faire les choses correctement.
George

Réponses:

3

Non, le mode client de diffusion n'est pas pris en charge sur la plupart des systèmes d'exploitation. Les modes de diffusion et de multidiffusion sont intrinsèquement moins précis et moins sécurisés (même avec authentification) que le mode serveur / client ordinaire et ils ne sont plus aussi utiles qu'avant.

Si vous êtes catégorique à ce sujet, vous pouvez continuer ...

Le système d'exploitation Linux prend en charge la diffusion / la diffusion multiple / la multidiffusion, mais il impose une surcharge du processeur en vertu de la mise en mode promiscuous de l'ancienne carte réseau Ethernet et de son interface (en lisant tous les paquets, y compris les paquets destinés à d'autres hôtes).

MacOSX (maintenant macos ) peut prendre en charge la multidiffusion NTP, mais aucune prise en charge n'est fournie pour cela. Vous pouvez utiliser la commande suivante pour l'activer:

sudo route -nv add -net 228.0.0.4 -interface en0

Le service de temps de Microsoft Windows ne prend pas en charge la multidiffusion / diffusion sur Windows 2000 Server, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, et encore moins les variantes de bureau Windows. Il prenait en charge la multidiffusion NTP (K9 de www.mingham-smith.com/k9.htm fournit la multidiffusion NTP pour Windows 3.1, 95, 98, ME, NT, 2000, XP, 2003, Windows Mobile 2003).

John Greene
source
1
Pourquoi faut-il faire le mode promiscuité?
LtWorf
De nombreux matériels NIC plus anciens n'ont pas la capacité de filtrer les paquets de multidiffusion (et même pour les plus anciens, de diffusion) sur la couche MAC Ethernet / 802.3. Cela a à voir avec les deux bits supérieurs de l'adresse MAC qui représentent les bits locaux globaux (diffusion) et «multicast» dont le matériel NIC plus ancien n'est pas capable de micrologiciel / FPGA de fureter hors du flux de trafic principal. L'absence de l'un des bits ou des deux entraîne la nécessité de définir le NIC en mode promiscuous (prenant ainsi en compte à la fois la multidiffusion / diffusion ainsi que le trafic unicast inutile).
John Greene
1

À mon avis, la diffusion / diffusion client doit être évitée à tout moment.

J'ai étudié cette option moi-même et je n'ai trouvé aucun moyen approprié de configurer le client uniquement pour accepter ces diffusions à partir de serveurs "officiels" uniquement.

Et le point suivant est: dans quelle mesure cette diffusion est-elle compatible avec les ordinateurs exécutant Windows / MacOS?

Bonsi Scott
source
6
moyen approprié de configurer la confiance du client = autokey
dfc
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.