某公司IT近期反馈,办公室内多台电脑无法通过网络时间协议(NTP)同步时间。公司采用宽带专线接入,IT部门发现,如果绕过出口路由器(即电脑直连光猫),时间同步就能恢复正常。
本期分享的案例,与有线网络中的时间同步故障有关。
【背景介绍】
近期,某公司IT部门发现内部办公电脑无法正常进行NTP时间同步。公司网络为宽带专线,据IT人员描述,如果电脑不经过出口路由器(直连光猫),时间同步则一切正常:
故障现象(IT人员描述):
专线光猫—路由器—交换机—PC,NTP时间同步失败。专线光猫—PC,NTP时间同步正常。
【全网拓扑】
网络采用典型的三层架构(路由—核心—汇聚—接入),无线部分为AC加面板AP组网,所有设备均为某品牌;
并启用1条2000兆宽带专线接入,完成整网部署。
【分析思路】
针对这台电脑时间同步的问题,首先要明确它是通过NTP协议进行同步的,并且需要确认时间服务器的域名是否可达。排查思路如下:
确认时间服务器可达性;定位NTP丢包节点;对比电脑直连光猫和经过路由器的情况,判断是否存在异常流量导致NTP丢包。【排查分析】
(1) 第一步:确认时间服务器可达性
在电脑的时间同步设置页面,可以看到默认服务器地址为time.windows.com,我们尝试ping测试一下:
看起来DNS解析和网络连通性似乎没有太大问题。接下来,检查路由器是否存在拦截NTP报文的情况。
(2) 第二步:关闭出口路由器相关防护功能观察
通常,某些网络设备的安全防护功能可能会误拦截特定报文。现场尝试关闭该品牌出口路由器的攻击防护功能:
关闭后,发现时间同步依旧失败,看来可能和路由器拦截关系不大。下面我们通过监控WAN口抓包,观察NTP交互情况。
(3) 第三步:抓包确认NTP报文交互
现场同时监控路由器LAN侧和WAN侧流量,以IP地址为192.168.10.8的电脑进行测试,情况如下:
【LAN侧抓包】:
【WAN侧抓包】:
从上述情况可以明显看到:
NTP请求已经通过路由器正常NAT转发出去,但是没有得到前端光猫的响应,因此不存在路由器拦截NTP报文的问题,丢包出现在专线侧。
(4) 第四步:确认内网是否存在异常流量
通常,线路存在丢包等问题可能与内网异常流量有关。我们再次向IT人员了解情况,发现网络中有设备在运行PCDN业务,但如果整网运行正常,这种业务按理不应影响NTP这类基础功能才对:
于是请其暂停PCDN业务,结果电脑依旧无法完成NTP时间同步。综合来看,问题还是出在专线上。
【原理及解决方案】
问题原因:并非出口路由器拦截导致,而是宽带专线侧未响应NTP请求。
解决方案:上报网络运营商,由其对宽带线路异常进行处理。
