Gentoo（也许其他发行版也是？）中 "ntpq -p" 的 man page 只有简短的描述：“打印出该服务器已知的节点列表和它们的状态概要信息。”

我还没见到关于这个命令的说明文档，因此这里对此作一个总结，可以补充进 "man ntpq" man page 中。更多的细节见这里 “ntpq – 标准 NTP 请求程序”（原作者），和 其他关于 man ntpq 的例子.

NTP 是一个设计用于通过 udp 网络 (WAN 或者 LAN) 来同步计算机时钟的协议。引用 Wikipedia – NTP：

网络时间协议（英语：Network Time Protocol，NTP）一种协议和软件实现，用于通过使用有网络延迟的报文交换网络同步计算机系统间的时钟。最初由美国特拉华大学的 David L. Mills 设计，现在仍然由他和志愿者小组维护，它于 1985 年之前开始使用，是因特网中最老的协议之一。

想了解更多有关时间和 NTP 协议的知识，可以参考 “The NTP FAQ, Time, what Time?”和 RFCs for NTP。早期的“Network Time Protocol (Version 3) RFC” (txt, or pdf, Appendix E, The NTP Timescale and its Chronometry, p70) 包含了对过去 5000 年我们的计时系统的变化和关系的有趣解释。维基百科的文章 Time 和 Calendar 提供了更宏观的视角。

命令 "ntpq -q" 输出下面这样的一个表：

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 LOCAL(0)        .LOCL.          10 l  96h   64    0    0.000    0.000   0.000
*ns2.example.com 10.193.2.20      2 u  936 1024  377   31.234    3.353   3.096

更多细节

表头

• remote – 用于同步的远程节点或服务器。“LOCAL”表示本机 （当没有远程服务器可用时会出现）
• refid – 远程的服务器进行同步的更高一级服务器
• st – 远程节点或服务器的 Stratum（级别，NTP 时间同步是分层的）
• t – 类型 (u: unicast（单播） 或 manycast（选播） 客户端, b: broadcast（广播） 或 multicast（多播） 客户端, l: 本地时钟, s: 对称节点（用于备份）, A: 选播服务器, B: 广播服务器, M: 多播服务器, 参见“Automatic Server Discovery“)
• when – 最后一次同步到现在的时间 (默认单位为秒, “h”表示小时，“d”表示天)
• poll – 同步的频率：rfc5905建议在 NTPv4 中这个值的范围在 4 (16秒) 至 17 (36小时) 之间（即2的指数次秒），然而观察发现这个值的实际大小在一个小的多的范围内 ：64 (2 ⁶ )秒 至 1024 (2 ¹⁰ )秒
• reach – 一个8位的左移移位寄存器值，用来测试能否和服务器连接，每成功连接一次它的值就会增加，以 8 进制显示
• delay – 从本地到远程节点或服务器通信的往返时间（毫秒）
• offset – 主机与远程节点或服务器时间源的时间偏移量，offset 越接近于0，主机和 NTP 服务器的时间越接近(以方均根表示，单位为毫秒)
• jitter – 与远程节点同步的时间源的平均偏差（多个时间样本中的 offset 的偏差，单位是毫秒），这个数值的绝对值越小，主机的时间就越精确

字段的统计代码

表中第一个字符（统计代码）是状态标识（参见 Peer Status Word），包含 " "，"x"，"-"，"#"，"+"，"*"，"o"：

• " " – 无状态，表示:

  • 没有远程通信的主机
  • "LOCAL" 即本机
  • （未被使用的）高层级服务器
  • 远程主机使用的这台机器作为同步服务器
• “x” – 已不再使用
• “-” – 已不再使用
• “#” – 良好的远程节点或服务器但是未被使用 （不在按同步距离排序的前六个节点中，作为备用节点使用）
• “+” – 良好的且优先使用的远程节点或服务器（包含在组合算法中）
• “*” – 当前作为优先主同步对象的远程节点或服务器
• “o” – PPS 节点 (当优先节点是有效时)。实际的系统同步是源于秒脉冲信号（pulse-per-second，PPS），可能通过PPS 时钟驱动或者通过内核接口。

参考 Clock Select Algorithm.

refid

refid 有下面这些状态值

• 一个IP地址 – 远程节点或服务器的 IP 地址
• .LOCL. – 本机 (当没有远程节点或服务器可用时）
• .PPS. – 时间标准中的“Pulse Per Second”（秒脉冲）
• .IRIG. – Inter-Range Instrumentation Group 时间码
• .ACTS. – 美国 NIST 标准时间 电话调制器
• .NIST. –美国 NIST 标准时间电话调制器
• .PTB. – 德国 PTB 时间标准电话调制器
• .USNO. – 美国 USNO 标准时间 电话调制器
• .CHU. – CHU (HF, Ottawa, ON, Canada) 标准时间无线电接收器
• .DCFa. – DCF77 (LF, Mainflingen, Germany) 标准时间无线电接收器
• .HBG. – HBG (LF Prangins, Switzerland) 标准时间无线电接收器
• .JJY. – JJY (LF Fukushima, Japan) 标准时间无线电接收器
• .LORC. – LORAN-C station (MF) 标准时间无线电接收器，注： 不再可用 (被 eLORAN 废弃)
• .MSF. – MSF (LF, Anthorn, Great Britain) 标准时间无线电接收器
• .TDF. – TDF (MF, Allouis, France)标准时间无线电接收器
• .WWV. – WWV (HF, Ft. Collins, CO, America) 标准时间无线电接收器
• .WWVB. – WWVB (LF, Ft. Collins, CO, America) 标准时间无线电接收器
• .WWVH. – WWVH (HF, Kauai, HI, America) 标准时间无线电接收器
• .GOES. – 美国静止环境观测卫星;
• .GPS. – 美国 GPS;
• .GAL. – 伽利略定位系统欧洲 GNSS;
• .ACST. – 选播服务器
• .AUTH. – 认证错误
• .AUTO. – Autokey （NTP 的一种认证机制）顺序错误
• .BCST. – 广播服务器
• .CRYPT. – Autokey 协议错误
• .DENY. – 服务器拒绝访问;
• .INIT. – 关联初始化
• .MCST. – 多播服务器
• .RATE. – (轮询) 速率超出限定
• .TIME. – 关联超时
• .STEP. – 间隔时长改变，偏移量比危险阈值小(1000ms) 比间隔时间 (125ms)大

操作要点

一个时间服务器只会报告时间信息而不会从客户端更新时间（单向更新），而一个节点可以更新其他同级节点的时间，结合出一个彼此同意的时间（双向更新）。

初次启动时：

除非使用 iburst 选项，客户端通常需要花几分钟来和服务器同步。如果客户端在启动时时间与 NTP 服务器的时间差大于 1000 秒，守护进程会退出并在系统日志中记录，让操作者手动设置时间差小于 1000 秒后再重新启动。如果时间差小于 1000 秒，但是大于 128 秒，会自动矫正间隔，并自动重启守护进程。

当第一次启动时，时间频率文件（通常是 ntp.drift 文件，记录时间偏移）不存在，守护进程进入一个特殊模式来矫正频率。当时钟不符合规范时这会需要 900 秒。当校正完成后，守护进程创建时间频率文件进入普通模式，并分步校正剩余的偏差。

NTP 0 层（Stratum 0 ）的设备如原子钟（铯，铷），GPS 时钟或者其他标准时间的无线电时钟为 1 层（Stratum 1）的时间服务器提供时间信号。NTP 只报告UTC 时间（统一协调时，Coordinated Universal Time）。客户端程序使用时区从 UTC 导出本地时间。

NTP 协议是高精度的，使用的精度小于纳秒（2的 -32 次方）。主机的时间精度和其他参数（受硬件和操作系统限制）使用命令 “ntpq -c rl” 查看（参见 rfc1305 通用变量和 rfc5905）。

“ntpq -c rl”输出参数

• precision 为四舍五入值，且为 2 的幂数。因此精度为 2 ^precision （秒）
• rootdelay – 与同步网络中主同步服务器的总往返延时。注意这个值可以是正数或者负数，取决于时钟的精度。
• rootdisp – 相对于同步网络中主同步服务器的偏差(秒)
• tc – NTP 算法 PLL （phase locked loop，锁相环路） 或 FLL (frequency locked loop，锁频回路) 时间常量
• mintc – NTP 算法 PLL/FLL 最小时间常亮或“最快响应
• offset – 由结合算法得出的系统时钟偏移量（毫秒）
• frequency – 系统时钟频率
• sys\_jitter – 由结合算法得出的系统时钟平均偏差（毫秒）
• clk\_jitter – 硬件时钟平均偏差（毫秒）
• clk\_wander – 硬件时钟偏移(PPM – 百分之一)

Jitter (也叫 timing jitter) 表示短期变化大于10HZ 的频率， wander 表示长期变化大于10HZ 的频率 （Stability 表示系统的频率随时间的变化，和 aging, drift, trends 等是同义词）

操作要点（续）

NTP 软件维护一系列连续更新的频率变化的校正值。对于设置正确的稳定系统，在非拥塞的网络中，现代硬件的 NTP 时钟同步通常与 UTC 标准时间相差在毫秒内。（在千兆 LAN 网络中可以达到何种精度？）

对于 UTC 时间，闰秒 leap second 可以每两年插入一次用于同步地球自传的变化。注意本地时间为夏令时时时间会有一小时的变化。在重同步之前客户端设备会使用独立的 UTC 时间，除非客户端使用了偏移校准。

闰秒发生时会怎样

闰秒发生时，会对当天时间增加或减少一秒。闰秒的调整在 UTC 时间当天的最后一秒。如果增加一秒，UTC 时间会出现 23:59:60。即 23:59:59 到 0:00:00 之间实际上需要 2 秒钟。如果减少一秒，时间会从 23:59:58 跳至 0:00:00 。另见 The Kernel Discipline.

那么… 间隔阈值（step threshold）的真实值是多少: 125ms 还是 128ms？ PLL/FLL tc 的单位是什么 (log2 s? ms?)？在非拥塞的千兆 LAN 中时间节点间的精度能达到多少？

感谢 Camilo M 和 Chris B的评论。 欢迎校正错误和更多细节的探讨。

谢谢 Martin

附录

• NTP 的纪元 从 1900 开始而 UNIX 的从 1970开始.
• 时间校正 是逐渐进行的，因此时间的完全同步可能会画上几个小时。
• 节点状态 可以被记录到 summarise/plot time offsets and errors
• RMS – 均方根
• PLL – 锁相环路
• FLL – 锁频回路
• PPM – 百万分之一，用于描述频率的变化
• man ntpq (Gentoo 简明版本)
• man ntpq (长期维护版本)
• man ntpq (Gentoo 长期维护版本)

另见

• ntpq – 标准 NTP 查询程序
• The Network Time Protocol (NTP) 分布
• NTP 的简明历史
• 一个更多细节的简明历史 “Mills, D.L., A brief history of NTP time: confessions of an Internet timekeeper. Submitted for publication; please do not cite or redistribute” (pdf)
• NTP RFC 标准文档
• Network Time Protocol (Version 3) RFC – txt, or pdf. Appendix E, The NTP Timescale and its Chronometry, p70, 包含了对过去 5000 年我们的计时系统的变化和关系的有趣解释。
• 维基百科: Time 和 Calendar
• John Harrison and the Longitude problem
• Clock of the Long Now – The 10,000 Year Clock
• John C Taylor – Chronophage
• Orders of magnitude of time
• Greenwich Time Signal

其他

SNTP （Simple Network Time Protocol, RFC 4330，简单网络协议）基本上也是NTP，但是少了一些基于 RFC 1305 实现的 NTP 的一些不再需要的内部算法。

Win32 时间 Windows Time Service 是 SNTP 的非标准实现，没有精度的保证，并假设精度几乎有 1-2 秒的范围。（因为没有系统时间变化校正）

还有一个PTP (IEEE 1588) Precision Time Protocol（精准时间协议）。见维基百科：Precision Time Protocol。软件程序为 PTPd。虫咬的功能是这是一个 LAN 高精度主从同步系统，精度在毫秒级，使用 International Atomic Time (TAI， monotonic，无闰秒)。数据报时间戳需要在网卡中启用。支持 PTP 的网络会对数据报记录时间戳以减少交换机路由器的影响。也可以在不记录时间戳的网络中使用 PTP 但可能应为时间偏差太大而无法同步。因此使用这个需要对网络进行设置。

更老的时间同步协议

• DTSS – DEC公司的数字时间同步服务， 被 NTP 所取代。例子： DTSS VMS C code c2000。 （哪里有关于 DTSS 的文章或文档吗？）
• DAYTIME protocol，使用 TCP 或 UDP 13 端口同步
• ICMP Timestamp 和 ICMP Timestamp Reply，使用 ICMP 协议同步
• Time Protocol，使用 TCP 或 UDP 37 号端口同步

via: http://nlug.ml1.co.uk/2012/01/ntpq-p-output/831

作者：Martin L 译者：Liao 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

问题：在桌面版Ubuntu中，我经常遇到一些弹窗窗口，警告我Ubuntu发生了内部错误，问我要不要发送错误报告。每次软件崩溃都要烦扰我，我如何才能关掉这个错误报告功能呢？

Ubuntu桌面版预装了Apport，它是一个错误收集系统，会收集软件崩溃、未处理异常和其他，包括程序bug，并为调试目的生成崩溃报告。当一个应用程序崩溃或者出现Bug时候，Apport就会通过弹窗警告用户并且询问用户是否提交崩溃报告。你也许也看到过下面的消息。

• "Sorry, the application XXXX has closed unexpectedly."
• "对不起，应用程序XXXX意外关闭了。"
• "Sorry, Ubuntu XX.XX has experienced an internal error."
• "对不起，Ubuntu XX.XX 发生了一个内部错误。"
• "System program problem detected."
• "检测到系统程序问题。"

也许因为应用一直崩溃，频繁的错误报告会使人心烦。也许你担心Apport会收集和上传你的Ubuntu系统的敏感信息。无论什么原因，你想关掉Apport的错误报告功能。

临时关闭Apport错误报告

如果你想要临时关闭Apport，使用下列命令

$ sudo service apport stop 

注意重启Ubuntu系统Apport会继续开启

永久关闭Apport错误报告

为了永久关闭Apport，编辑/etc/default/apport，修改下列参数

enabled=0

重启你的Ubuntu系统，Apport将会自动关闭

如果你再也不会用Apport，有一种简单的方法完全移除它

$ sudo apt-get purge apport 

via: http://ask.xmodulo.com/disable-apport-internal-error-reporting-ubuntu.html

译者：VicYu/Vic020 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

供图: Shutterstock

有多种技术在竞争成为实现Linux内核热补丁的最优方案。

没人喜欢重启机器，尤其是涉及到一个内核问题的最新补丁程序。

为达到不重启的目的，目前有3个项目在朝这方面努力，将为大家提供内核升级时打热补丁的机制，这样就可以做到完全不重启机器。

Ksplice项目

首先要介绍的项目是Ksplice，它是热补丁技术的创始者，并于2008年建立了与项目同名的公司。Ksplice在替换新内核时，不需要预先修改；只需要一个diff文件，列出内核即将接受的修改即可。Ksplice公司免费提供软件，但技术支持是需要收费的，目前能够支持大部分常用的Linux发行版本。

但在2011年Oracle收购了这家公司后，情况发生了变化。 这项功能被合入到Oracle自己的Linux发行版本中，只对Oralcle自己提供技术更新。 这就导致，其他内核hacker们开始寻找替代Ksplice的方法，以避免缴纳Oracle税。

Kgraft项目

2014年2月，Suse提供了一个很好的解决方案：Kgraft，该内核更新技术以GPLv2/GPLv3混合许可证发布，且Suse不会将其作为一个专有发明封闭起来。Kgraft被提交到Linux内核主线，很有可能被内核主线采用。目前Suse已经把此技术集成到Suse Linux Enterprise Server 12。

Kgraft和Ksplice在工作原理上很相似，都是使用一组diff文件来计算内核中需要修改的部分。但与Ksplice不同的是，Kgraft在做替换时，不需要完全停止内核。 在打补丁时，正在运行的函数可以先使用老版本或新内核中对应的部分，当补丁打完后就可以完全切换新的版本。

Kpatch项目

Red Hat也提出了他们的内核热补丁技术。同样是在2014年初 -- 与Suse在这方面的工作差不多 -- Kpatch的工作原理也和Kgraft相似。

主要的区别点在于，正如Red Hat的Josh Poimboeuf总结的那样，Kpatch并不将内核调用重定向到老版本。相反，它会等待所有函数调用都停止时，再切换到新内核。Red Hat的工程师认为这种方法更为安全，且更容易维护，缺点就是在打补丁的过程中会带来更大的延迟。

和Kgraft一样，Kpatch不仅仅可以在Red Hat的发行版本上使用，同时也被提交到了内核主线，作为一个可能的候选。 坏消息是Red Hat还未将此技术集成到产品中。 它只是被合入到了Red Hat Enterprise Linux 7的技术预览版中。

...也许 Kgraft + Kpatch更合适?

Red Hat的工程师Seth Jennings在2014年11月初，提出了第四种解决方案。将Kgraft和Kpatch结合起来, 补丁包用这两种方式都可以。在新的方法中，Jennings提出，“热补丁核心为其他内核模块提供了一个热补丁的注册接口”， 通过这种方法，打补丁的过程 -- 更准确的说，如何处理运行时内核调用 --可以被更加有序的组织起来。

这项新建议也意味着两个方案都还需要更长的时间，才能被linux内核正式采纳。尽管Suse步子迈得更快，并把Kgraft应用到了最新的enterprise版本中。让我们也关注一下Red Hat和Canonical近期是否会跟进。

via: http://www.infoworld.com/article/2851028/linux/four-ways-linux-is-headed-for-no-downtime-kernel-patching.html

作者：Serdar Yegulalp 译者：coloka 校对：tinyeyeser

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Hello，大家好！我是——邪恶君子！

今天，给大家分享一下解决源码包编译安装 LEMP 环境下开启 OpenSSL 功能问题的过程。前几天，在访问页面时，突然报错，要求开启 openssl 功能。那怎么办呢，首先想到的是 yum 安装，但是，安装后还是没解决，因为 LEMP 的环境是源码包编译安装的，所以，还需要编译安装 openssl。

经过邪恶不懈的努力，终于找到了解决办法，而且真的成功了，下面就给大家分享一下！

首先，要确保 LEMP 环境是源码包编译安装的，并且要清楚 PHP 的安装目录在哪里。

其次，可以通过 yum 源的方式或者源码包编译安装 OpenSSL、OpenSSL-devel 两个包。

然后，进入到 PHP 解压出来的目录里面，我这里的目录是 PHP-5.4.24。在 PHP 目录下，会有一个 ext 的扩展目录，进入里面，找到并进入 openssl 的目录。这时，我们所在的目录是：/root/php-5.4.24/ext/openssl

这个目录下会有如下文件，看图：

然后，执行 /usr/local/php5/bin/phpize 命令（在执行前要确保已安装 m4 和 autoconf 两个工具，否则会报错）。

注意：这里是我的phpize路径，根据自己的安装路径执行；如果找不到，使用 whereis phpize 查找。如果执行时报错无法找到 config.m4 文件，那么就把目录下面的 config0.m4 重命名 config.m4，因为 config0.m4就是config.m4 的模版。

如果命令成功执行完毕，那么目录下面就会自动多出个 configure 文件，这时，只需要编译安装就行了。过程如下：

# ./configure --with-openssl --with-php-config=/usr/local/php5/bin/php-config
# make && make install

耐心等候，安装完成后，会在当前的modules目录下面多出一个openssl.so文件；然后在php.ini配置文件最后面加上如下一行内容：

extension=openssl.so

然后，重启nginx服务和php-fpm，就可以了！

至此，在源码编译安装LNMP环境下开启openssl功能成功解决！

如果有在操作中遇到啥问题，可以留言交流一下，共同学习，共同进步！

Personal Home Page：http://linux.cn/space/16475

提问:我在安装一个设备驱动前先要安装内核头文件。怎样安装合适的内核头文件？

当你在编译一个设备驱动模块时，你需要在系统中安装内核头文件。内核头文件同样在你编译与内核直接链接的用户空间程序时需要。当你在这些情况下安装内核头文件时，你必须确保内核头文件精确地与你当前内核版本匹配（比如：3.13.0-24-generic）。

如果你的内核是发行版自带的内核版本，或者使用默认的包管理器的基础仓库升级的（比如：apt-ger、aptitude或者yum），你也可以使用包管理器来安装内核头文件。另一方面，如果下载的是kernel源码并且手动编译的，你可以使用make命令来安装匹配的内核头文件。

现在我们假设你的内核是发行版自带的，让我们看下该如何安装匹配的头文件。

在 Debian、Ubuntu 或者 Linux Mint 上安装内核头文件

假设你没有手动编译内核，你可以使用apt-get命令来安装匹配的内核头文件。

首先，使用dpkg-query命令检查是否有可用的内核头文件。

$ dpkg-query -s linux-headers-$(uname -r) 

dpkg-query: package 'linux-headers-3.11.0-26-generic' is not installed and no information is available

接着使用下面的命令安装匹配的内核头文件。

$ sudo apt-get install linux-headers-$(uname -r) 

验证头文件是否成功安装。

$ dpkg-query -s linux-headers-$(uname -r) 

Package: linux-headers-3.11.0-26-generic
Status: install ok installed

Debian、Ubuntu、Linux Mint默认头文件在/usr/src下。

在 Fedora、CentOS 或者 RHEL 上安装内核头文件

假设你没有手动编译内核，你可以使用yum命令来安装匹配的内核头文件。

首先，用下面的命令检查系统是否已经安装了头文件。如果下面的命令没有任何输出，这就意味着还没有头文件。

$ rpm -qa | grep kernel-headers-$(uname -r)

接着用yum命令安装头文件。这个命令会自动找出合适的头文件并安装。

$ sudo yum install kernel-headers 

验证包安装的状态。

$ rpm -qa | grep kernel-headers-$(uname -r) 

kernel-headers-3.10.0-123.9.3.el7.x86_64

Fedora、CentOS 或者 RHEL上默认内核头文件的位置是/usr/include/linux。

via: http://ask.xmodulo.com/install-kernel-headers-linux.html

译者：geekpi 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

在之前的教程中，我对如何简单地使用Quagga把CentOS系统变成一个不折不扣地OSPF路由器做了一些介绍。Quagga是一个开源路由软件套件。在这个教程中，我将会重点讲讲如何把一个Linux系统变成一个BGP路由器，还是使用Quagga，演示如何建立BGP与其它BGP路由器对等。

在我们进入细节之前，一些BGP的背景知识还是必要的。边界网关协议（即BGP）是互联网的域间路由协议的实际标准。在BGP术语中，全球互联网是由成千上万相关联的自治系统(AS)组成，其中每一个AS代表每一个特定运营商提供的一个网络管理域（据说，美国前总统乔治.布什都有自己的 AS 编号）。

为了使其网络在全球范围内路由可达，每一个AS需要知道如何在英特网中到达其它的AS。这时候就需要BGP出来扮演这个角色了。BGP是一个AS去与相邻的AS交换路由信息的语言。这些路由信息通常被称为BGP线路或者BGP前缀。包括AS号(ASN；全球唯一号码)以及相关的IP地址块。一旦所有的BGP线路被当地的BGP路由表学习和记录，每一个AS将会知道如何到达互联网的任何公网IP。

在不同域(AS)之间路由的能力是BGP被称为外部网关协议(EGP)或者域间协议的主要原因。就如一些路由协议，例如OSPF、IS-IS、RIP和EIGRP都是内部网关协议(IGPs)或者域内路由协议，用于处理一个域内的路由.

测试方案

在这个教程中，让我们来使用以下拓扑。

我们假设运营商A想要建立一个BGP来与运营商B对等交换路由。它们的AS号和IP地址空间的细节如下所示：

• 运营商 A: ASN (100)， IP地址空间 (100.100.0.0/22)， 分配给BGP路由器eth1网卡的IP地址(100.100.1.1)
• 运营商 B: ASN (200)， IP地址空间 (200.200.0.0/22)， 分配给BGP路由器eth1网卡的IP地址(200.200.1.1)

路由器A和路由器B使用100.100.0.0/30子网来连接到对方。从理论上来说，任何子网从运营商那里都是可达的、可互连的。在真实场景中，建议使用掩码为30位的公网IP地址空间来实现运营商A和运营商B之间的连通。

在 CentOS中安装Quagga

如果Quagga还没安装好，我们可以使用yum来安装Quagga。

# yum install quagga 

如果你正在使用的是CentOS7系统，你需要应用一下策略来设置SELinux。否则，SElinux将会阻止Zebra守护进程写入它的配置目录。如果你正在使用的是CentOS6，你可以跳过这一步。

# setsebool -P zebra_write_config 1 

Quagga软件套件包含几个守护进程，这些进程可以协同工作。关于BGP路由，我们将把重点放在建立以下2个守护进程。

• Zebra:一个核心守护进程用于内核接口和静态路由.
• BGPd:一个BGP守护进程.

配置日志记录

在Quagga被安装后，下一步就是配置Zebra来管理BGP路由器的网络接口。我们通过创建一个Zebra配置文件和启用日志记录来开始第一步。

# cp /usr/share/doc/quagga-XXXXX/zebra.conf.sample /etc/quagga/zebra.conf 

在CentOS6系统中：

# service zebra start
# chkconfig zebra on

在CentOS7系统中:

# systemctl start zebra
# systemctl enable zebra 

Quagga提供了一个叫做vtysh特有的命令行工具，你可以输入与路由器厂商(例如Cisco和Juniper)兼容和支持的命令。我们将使用vtysh shell来配置BGP路由在教程的其余部分。

启动vtysh shell 命令，输入：

# vtysh

提示将被改成该主机名，这表明你是在vtysh shell中。

Router-A#

现在我们将使用以下命令来为Zebra配置日志文件：

Router-A# configure terminal
Router-A(config)# log file /var/log/quagga/quagga.log
Router-A(config)# exit

永久保存Zebra配置：

Router-A# write

在路由器B操作同样的步骤。

配置对等的IP地址

下一步，我们将在可用的接口上配置对等的IP地址。

Router-A# show interface   #显示接口信息

Interface eth0 is up, line protocol detection is disabled
. . . . .
Interface eth1 is up, line protocol detection is disabled
. . . . .

配置eth0接口的参数：

site-A-RTR# configure terminal
site-A-RTR(config)# interface eth0
site-A-RTR(config-if)# ip address 100.100.0.1/30
site-A-RTR(config-if)# description "to Router-B"
site-A-RTR(config-if)# no shutdown
site-A-RTR(config-if)# exit

继续配置eth1接口的参数：

site-A-RTR(config)# interface eth1
site-A-RTR(config-if)# ip address 100.100.1.1/24
site-A-RTR(config-if)# description "test ip from provider A network"
site-A-RTR(config-if)# no shutdown
site-A-RTR(config-if)# exit

现在确认配置：

Router-A# show interface 

Interface eth0 is up, line protocol detection is disabled
  Description: "to Router-B"
  inet 100.100.0.1/30 broadcast 100.100.0.3
Interface eth1 is up, line protocol detection is disabled
  Description: "test ip from provider A network"
  inet 100.100.1.1/24 broadcast 100.100.1.255

Router-A# show interface description   #显示接口描述

Interface       Status  Protocol  Description
eth0            up      unknown   "to Router-B"
eth1            up      unknown   "test ip from provider A network"

如果一切看起来正常，别忘记保存配置。

Router-A# write

同样地，在路由器B重复一次配置。

在我们继续下一步之前，确认下彼此的IP是可以ping通的。

Router-A# ping 100.100.0.2 

PING 100.100.0.2 (100.100.0.2) 56(84) bytes of data.
64 bytes from 100.100.0.2: icmp_seq=1 ttl=64 time=0.616 ms

下一步，我们将继续配置BGP对等和前缀设置。

配置BGP对等

Quagga守护进程负责BGP的服务叫bgpd。首先我们来准备它的配置文件。

# cp /usr/share/doc/quagga-XXXXXXX/bgpd.conf.sample /etc/quagga/bgpd.conf 

在CentOS6系统中：

# service bgpd start
# chkconfig bgpd on

在CentOS7中：

# systemctl start bgpd
# systemctl enable bgpd

现在，让我们来进入Quagga 的shell。

# vtysh

第一步，我们要确认当前没有已经配置的BGP会话。在一些版本，我们可能会发现一个AS号为7675的BGP会话。由于我们不需要这个会话，所以把它移除。

Router-A# show running-config 

... ... ...
router bgp 7675
 bgp router-id 200.200.1.1
... ... ... 

我们将移除一些预先配置好的BGP会话，并建立我们所需的会话取而代之。

Router-A# configure terminal
Router-A(config)# no router bgp 7675
Router-A(config)# router bgp 100
Router-A(config)# no auto-summary
Router-A(config)# no synchronizaiton
Router-A(config-router)# neighbor 100.100.0.2 remote-as 200
Router-A(config-router)# neighbor 100.100.0.2 description "provider B"
Router-A(config-router)# exit
Router-A(config)# exit
Router-A# write 

路由器B将用同样的方式来进行配置，以下配置提供作为参考。

Router-B# configure terminal
Router-B(config)# no router bgp 7675
Router-B(config)# router bgp 200
Router-B(config)# no auto-summary
Router-B(config)# no synchronizaiton
Router-B(config-router)# neighbor 100.100.0.1 remote-as 100
Router-B(config-router)# neighbor 100.100.0.1 description "provider A"
Router-B(config-router)# exit
Router-B(config)# exit
Router-B# write 

当相关的路由器都被配置好，两台路由器之间的对等将被建立。现在让我们通过运行下面的命令来确认：

Router-A# show ip bgp summary 

从输出中，我们可以看到"State/PfxRcd"部分。如果对等关闭，输出将会显示"Idle"或者"Active'。请记住，单词'Active'这个词在路由器中总是不好的意思。它意味着路由器正在积极地寻找邻居、前缀或者路由。当对等是up状态，"State/PfxRcd"下的输出状态将会从特殊邻居接收到前缀号。

在这个例子的输出中，BGP对等只是在AS100和AS200之间呈up状态。因此没有前缀被更改，所以最右边列的数值是0。

配置前缀通告

正如一开始提到，AS 100将以100.100.0.0/22作为通告，在我们的例子中AS 200将同样以200.200.0.0/22作为通告。这些前缀需要被添加到BGP配置如下。

在路由器-A中：

Router-A# configure terminal
Router-A(config)# router bgp 100
Router-A(config)# network 100.100.0.0/22
Router-A(config)# exit
Router-A# write

在路由器-B中：

Router-B# configure terminal
Router-B(config)# router bgp 200
Router-B(config)# network 200.200.0.0/22
Router-B(config)# exit
Router-B# write 

在这一点上，两个路由器会根据需要开始通告前缀。

测试前缀通告

首先，让我们来确认前缀的数量是否被改变了。

Router-A# show ip bgp summary 

为了查看所接收的更多前缀细节，我们可以使用以下命令，这个命令用于显示邻居100.100.0.2所接收到的前缀总数。

 Router-A# show ip bgp neighbors 100.100.0.2 advertised-routes 

查看哪一个前缀是我们从邻居接收到的：

Router-A# show ip bgp neighbors 100.100.0.2 routes 

我们也可以查看所有的BGP路由器：

Router-A# show ip bgp 

以上的命令都可以被用于检查哪个路由器通过BGP在路由器表中被学习到。

Router-A# show ip route 

代码: K - 内核路由, C - 已链接 , S - 静态 , R - 路由信息协议 , O - 开放式最短路径优先协议,

       I - 中间系统到中间系统的路由选择协议, B - 边界网关协议, > - 选择路由, * - FIB 路由

C>* 100.100.0.0/30 is directly connected, eth0
C>* 100.100.1.0/24 is directly connected, eth1
B>* 200.200.0.0/22 [20/0] via 100.100.0.2, eth0, 00:06:45

Router-A# show ip route bgp 

B>* 200.200.0.0/22 [20/0] via 100.100.0.2, eth0, 00:08:13

BGP学习到的路由也将会在Linux路由表中出现。

[root@Router-A~]# ip route 

100.100.0.0/30 dev eth0  proto kernel  scope link  src 100.100.0.1
100.100.1.0/24 dev eth1  proto kernel  scope link  src 100.100.1.1
200.200.0.0/22 via 100.100.0.2 dev eth0  proto zebra

最后，我们将使用ping命令来测试连通。结果将成功ping通。

[root@Router-A~]# ping 200.200.1.1 -c 2

总而言之，本教程将重点放在如何在CentOS系统中运行一个基本的BGP路由器。这个教程让你开始学习BGP的配置，一些更高级的设置例如设置过滤器、BGP属性调整、本地优先级和预先路径准备等，我将会在后续的教程中覆盖这些主题。

希望这篇教程能给大家一些帮助。

via: http://xmodulo.com/centos-bgp-router-quagga.html

作者：Sarmed Rahman 译者：disylee 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出