29-NTP操作
本章节下载 (436.1 KB)
目 录
NTP(Network Time Protocol,网络时间协议)是由RFC1305定义的时间同步协议,用于在分布式时间服务器和客户端之间进行时间同步。NTP基于UDP报文进行传输,使用的UDP端口号为123。
NTP的目标是对网络内所有具有时钟的设备进行时钟同步,使网络内所有设备的时钟基本保持一致,从而使设备能够提供基于统一时间的多种应用(参见1.1.1 )。
对于运行NTP的本地系统,既可以接受来自其他时钟源的同步,又可以作为时钟源同步其他时钟,并且可以通过交换NTP报文互相同步。
对于网络中的设备,依靠管理员手工输入命令来修改系统时钟是不可思议的,这不但工作量巨大,而且也不能保证时钟的精确性。但通过配置NTP,可以很快将网络中各设备的时钟同步,同时也能确保很高的精度。
NTP主要应用于需要网络中所有设备的时钟保持一致的场合,比如:
l 在网络管理中,对从不同设备采集而得的日志信息、调试信息进行分析时,需要以时间作为参照依据。
l 计费系统要求所有设备的时钟一致。
l 完成某些功能,如定时重新启动网络中的所有设备,要求所有设备的时钟保持一致。
l 多个系统协同处理同一个比较复杂的事件时,为保证正确的执行顺序,多个系统必须参考同一时钟。
l 在备份服务器和客户机之间进行增量备份时,要求备份服务器和所有客户机之间的时钟同步。
NTP的优势如下:
l 采用分层的方法来定义时钟的准确度,可以迅速同步网络中各设备的时间。
l 支持访问控制(参见1.4 )和MD5加密验证(参见1.5 )。
l 可以选择采用单播、组播或广播方式发送协议报文。
l 时钟的层数决定了时钟的准确度,其取值范围为1~16。参考时钟的层数取值范围为1~15,准确度从1到15依次递减。层数为16的时钟处于未同步状态,不能作为参考时钟。
l H3C S2000-EA系列以太网交换机不支持设置本身时钟为参考时钟,只有当其时钟被同步后,才能作为时钟源去同步其他设备。
NTP的基本工作原理如图1-1所示。
以太网交换机A(Device A)和以太网交换机B(Device B)通过以太网端口相连,它们都有自己独立的系统时钟,需要通过NTP实现各自系统时钟的自动同步。为便于理解,作如下假设:
l 在Device A和Device B的系统时钟同步之前,Device A的时钟设定为10:00:00am,Device B的时钟设定为11:00:00am。
l 把Device B作为NTP时间服务器,即Device A将使自己的时钟与Device B的时钟同步。
l 数据包在Device A和Device B之间单向传输所需要的时间为1秒。
图1-1 NTP基本原理图
系统时钟同步的工作过程如下:
l Device A发送一个NTP消息包给Device B,该消息包带有它离开Device A时的时间戳,该时间戳为10:00:00am(T1)。
l 当此NTP消息包到达Device B时,Device B加上自己的时间戳,该时间戳为11:00:01am(T2)。
l 当此NTP消息包离开Device B时,Device B再加上自己的时间戳,该时间戳为11:00:02am(T3)。
l 当Device A接收到该响应消息包时,Device A的本地时间为10:00:03am(T4)。
至此,Device A已经拥有足够的信息来计算两个重要的参数:
l NTP消息来回一个周期的时延Delay=(T4-T1)-(T3-T2)。
l Device A相对Device B的时间差offset=((T2-T1)+(T3-T4))/2。
这样,Device A就能够根据这些信息来设定自己的时钟,使之与Device B的时钟同步。
以上内容只是对NTP工作原理的粗略描述,详细内容请参阅RFC1305。
根据网络结构和以太网交换机在网络中的位置,本地以太网交换机可以采用多种NTP工作模式进行时间同步。
图1-2 服务器/客户端模式
主动对等体先发出时钟同步报文,其对等体自动工作在被动对等体模式。
如果对等体双方都有参考时钟,则以层数小的时钟为准。
H3C S2000-EA系列以太网交换机支持的NTP工作模式情况,如表1-1所示。
表1-1 H3C S2000-EA系列以太网交换机支持的NTP工作模式
NTP工作模式 |
H3C S2000-EA系列以太网交换机支持情况说明 |
服务器/客户端模式 |
S2000-EA上配置NTP客户端模式,即:把远程服务器作为本地时间服务器,本地以太网交换机作为客户端 |
对等体模式 |
S2000-EA上配置NTP对等体模式,即:把远程服务器作为本地以太网交换机的对等体,本地交换机作为主动对等体 |
广播模式 |
l S2000-EA上配置NTP广播服务器模式,即:本地以太网交换机的一个接口发送NTP的广播消息包 l S2000-EA上配置NTP广播客户端模式,即:本地以太网交换机的一个接口接收NTP的广播消息包 |
组播模式 |
l S2000-EA上配置NTP组播服务器模式,即:本地以太网交换机的一个接口发送NTP组播消息包 l S2000-EA上配置NTP组播客户端模式,即:本地以太网交换机的一个接口接收NTP组播消息包 |
l 当H3C S2000-EA系列以太网交换机工作于服务器模式或者被动对等体模式时,无需命令配置,只需在客户端或主动对等体配置即可;
l 只有H3C S2000-EA系列以太网交换机的本地时钟被同步后,NTP服务器模式、NTP广播服务器模式或NTP组播服务器模式才会生效;
l 当两台以太网交换机配置了对等体模式互相同步时钟时,必须至少有一台交换机的时钟已经处于同步状态,只有这样所作的配置才能生效。
表1-2 NTP配置任务简介
配置任务 |
说明 |
详细配置 |
配置NTP工作模式 |
必选 |
参见1.3 |
配置访问控制权限 |
可选 |
参见1.4 |
配置NTP验证功能 |
可选 |
参见1.5 |
配置NTP可选参数 |
可选 |
参见1.6 |
NTP配置显示 |
可选 |
参见1.7 |
根据以太网交换机在网络中的位置和网络结构,交换机可设置的NTP工作模式有:
NTP工作模式 |
详细配置 |
NTP服务器/客户端模式 |
参见1.3.1 |
NTP对等体模式 |
参见1.3.2 |
NTP广播模式 |
参见1.3.3 |
NTP组播模式 |
参见1.3.4 |
H3C S2000-EA系列以太网交换机为防止恶意用户对未使用SOCKET的攻击,提高交换机的安全性,提供了如下功能:
l 在启动NTP功能时,才打开NTP使用的UDP 123端口。
l 在关闭NTP功能时,同时关闭UDP 123端口。
具体的实现是:
l 执行ntp-service unicast-server,ntp-service unicast-peer,ntp-service broadcast-client,ntp-service broadcast-server,ntp-service multicast-client,ntp-service multicast-server六条命令的其中一条,都可以启动NTP功能,同时打开NTP使用的UDP 123端口。
l 使用上面六条命令的undo命令来关闭NTP所有的工作模式,即可同时关闭UDP 123端口。
当交换机采用服务器/客户端模式时,只需在客户端进行配置,服务器端不需进行配置。
表1-3 配置NTP服务器/客户端模式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置NTP客户端模式 |
ntp-service unicast-server { remote-ip | server-name } [ authentication-keyid key-id | priority | source-interface Vlan-interface vlan-id | version number ]* |
必选 缺省情况下,没有配置以太网交换机工作在NTP客户端模式 |
l remote-ip或server-name所指定的远程服务器作为NTP时间服务器,本地以太网交换机作为客户端。客户端的时钟将以NTP服务器的时间为准进行同步,而NTP服务器的时钟不会被客户端的时钟同步。
l remote-ip不能为广播、组播地址或本地时钟的IP地址。
l 通过source-interface参数指定发送NTP报文的接口后,NTP报文的源IP地址将被设置为指定接口的主IP地址。
l 服务器端只有当其时钟被同步后,才能作为时间服务器去同步其他设备。当服务器端的时钟层数大于或等于客户端的时钟层数时,客户端将不会向其同步。
l 可以通过多次执行ntp-service unicast-server命令配置多个服务器,客户端依据时钟优选来选择最优的时钟源。
当交换机采用对等体模式时,需要在主动对等体上指定被动对等体。
表1-4 配置NTP对等体模式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置NTP对等体模式 |
ntp-service unicast-peer { remote-ip | peer-name } [ authentication-keyid key-id | priority | source-interface Vlan-interface vlan-id | version number ]* |
必选 缺省情况下,没有配置以太网交换机工作在对等体模式 |
l 在对等体模式中,被动对等体上需要执行NTP配置的相关命令(S2000-EA以太网交换机的相关命令请参见1.3 )来开启NTP,否则被动对等体不会处理来自主动对等体的NTP报文。
l remote-ip或peer-name所指定的远程设备作为本地以太网交换机的对等体,本地交换机运行在主动对等体模式。此时,本地交换机的时钟可以同步到远程设备,而远程设备的时钟也能同步到本地交换机。
l remote-ip不能为广播、组播地址或本地时钟的IP地址。
l 通过source-interface参数指定发送NTP报文的接口后,NTP报文的源IP地址将被设置为指定接口的IP地址。
l 通常,主/被动对等体的时钟中至少有一个处于同步状态,否则它们将都无法同步。
l 可以通过多次执行ntp-service unicast-peer命令为本地交换机配置多个被动对等体,本地时钟将选择层数最小的对等体的时钟进行同步。
当交换机采用广播模式时,需要在服务器端和客户端都进行配置。广播服务器周期性地向广播地址255.255.255.255发送NTP广播报文,配置了NTP广播客户端模式的设备将回应这个报文,从而开始时钟同步过程。
H3C S2000-EA系列以太网交换机支持广播服务器和广播客户端两种工作模式:
l 交换机工作于NTP广播服务器模式的配置参见表1-5
l 交换机工作于NTP广播客户端模式的配置参见表1-6
广播服务器只有当其时钟被同步后,才能去同步广播客户端。
表1-5 配置交换机工作于NTP广播服务器模式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface Vlan-interface vlan-id |
- |
配置交换机工作于NTP广播服务器模式 |
ntp-service broadcast-server [ authentication-keyid key-id | version number ]* |
必选 缺省情况下,没有配置以太网交换机工作在NTP广播服务器模式 |
表1-6 配置交换机工作于NTP广播客户端模式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface Vlan-interface vlan-id |
- |
配置交换机工作于NTP广播客户端模式 |
ntp-service broadcast-client |
必选 缺省情况下,没有配置以太网交换机工作在NTP广播客户端模式 |
交换机采用组播模式时,需要在服务器端和客户端都进行配置。NTP组播服务器将以组播形式周期性发送时钟同步报文,配置了NTP组播客户端模式的设备将回应这个报文,从而开始时钟同步过程。
H3C S2000-EA系列以太网交换机支持组播服务器和组播客户端两种工作模式:
l 交换机工作于NTP组播服务器模式的配置参见表1-7
l 交换机工作于NTP组播客户端模式的配置参见表1-8
l 组播服务器只有当其时钟被同步后,才能去同步组播客户端。
l 工作在组播服务器模式的S2000-EA系列交换机最多可以支持1024个组播客户端。
表1-7 配置交换机工作于NTP组播服务器模式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface Vlan-interface vlan-id |
- |
配置交换机工作于NTP组播服务器模式 |
ntp-service multicast-server [ ip-address ] [ authentication-keyid keyid | ttl ttl-number | version number ]* |
必选 缺省情况下,没有配置以太网交换机工作在NTP组播服务器模式 |
表1-8 配置交换机工作于NTP组播客户端模式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface Vlan-interface vlan-id |
- |
配置交换机工作于NTP组播客户端模式 |
ntp-service multicast-client [ ip-address ] |
必选 缺省情况下,没有配置以太网交换机工作在NTP组播客户端模式 |
用户可以配置远程设备对本地交换机NTP服务的访问控制权限。
访问控制权限可分为四种:
l query:控制查询权限。该权限只允许远程设备对本地交换机的NTP服务进行控制查询,但是不能向本地交换机同步时钟。所谓的控制查询,就是查询NTP的一些状态,比如告警信息,验证状态,时钟源信息等。
l synchronization:同步权限。该权限只允许远程设备向本地交换机同步时钟,但不能进行控制查询。
l server:服务器权限。该权限允许远程设备向本地交换机同步时钟和控制查询,但本地交换机不会向远程设备同步时钟。
l peer:对等体权限。该权限既允许远程设备向本地交换机同步时钟和控制查询,同时本地交换机把本地时钟同步到远程设备。
NTP服务的访问控制权限从高到低依次为peer、server、synchronization、query。当设备接收到一个NTP服务请求时,会按照此顺序进行匹配,以第一个匹配的权限为准。
在配置远程设备对本地交换机NTP服务的访问控制权限之前,需要创建并配置与访问权限相关联的ACL。ACL的配置方法请参见本手册的“ACL操作”部分。
表1-9 设置远程设备对本地交换机NTP服务的访问控制权限
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
设置远程设备对本地交换机NTP服务的访问控制权限 |
ntp-service access { peer | server | synchronization | query } acl-number |
可选 缺省情况下,远程设备对本地NTP服务器的访问控制权限为peer |
配置远程设备对本地交换机NTP服务的访问控制权限,仅对本地交换机提供了一种最小限度的安全措施,更安全的方法是进行身份验证。
在一些对安全性要求较高的网络中,运行NTP协议时需要开启验证功能。通过客户端和服务器端的密码验证,从而保证了客户端只与通过验证的设备进行时钟同步,提高了网络安全性。NTP验证功能角色分类如表1-10所示。
表1-10 NTP验证功能角色分类
设备角色 |
工作模式 |
客户端 |
服务器/客户端模式的客户端- |
广播模式的客户端 |
|
组播模式的客户端 |
|
对等体模式的主动对等体 |
|
服务器端 |
服务器/客户端模式的服务器端 |
广播模式的服务器端 |
|
组播模式的服务器端 |
|
对等体模式的被动对等体 |
配置NTP验证功能分为两个部分:客户端的NTP验证和服务器端的NTP验证。
在配置NTP验证功能时,应注意以下原则:
l 如果客户端没有开启NTP验证功能,不论服务器端是否开启NTP验证,客户端均可以与服务器端同步时钟(其他配置无误)。
l 服务器端和客户端开启了NTP验证功能后,还都需要配置可信的密钥。否则, NTP验证功能将不能生效。
l 客户端只会把本地时钟同步到提供可信密钥的服务器,如果服务器提供的密钥不是可信的密钥,那么客户端不会与其同步时钟。
l 对于服务器/客户端模式和对等体模式,还应在客户端(对等体模式中的主动对等体)将指定密钥与对应的NTP服务器(对等体模式的被动对等体)关联;对于NTP广/组播模式,应在广/组播服务器端将指定密钥与对应NTP广/组播客户端关联。否则,无法正常启用NTP验证功能。
l 服务器的配置与客户端的配置应保持一致。
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启NTP验证功能 |
ntp-service authentication enable |
必选 缺省情况下,NTP身份验证功能处于关闭状态 |
|
配置NTP验证密钥 |
ntp-service authentication-keyid key-id authentication-mode md5 value |
必选 缺省情况下,没有设置NTP验证密钥 |
|
配置指定密钥为可信密钥 |
ntp-service reliable authentication-keyid key-id |
必选 缺省情况下,没有设置可信验证密钥 |
|
将指定密钥与对应的NTP服务器关联 |
NTP服务器/客户端模式的客户端 |
ntp-service unicast-server { remote-ip | server-name } authentication-keyid key-id |
必选 对于NTP广/组播模式的客户端,无需此项配置,只需在对应服务器端将密钥和NTP客户端关联 |
NTP对等体模式的主动对等体端 |
ntp-service unicast-peer { remote-ip | peer-name } authentication-keyid key-id |
客户端开启NTP验证功能后,必须配置与服务器端相同的验证密钥,并且必须声明该密钥是可信的,否则无法与服务器同步时钟。
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启NTP验证功能 |
ntp-service authentication enable |
必选 缺省情况下, NTP身份验证功能处于关闭状态 |
|
配置NTP验证密钥 |
ntp-service authentication-keyid key-id authentication-mode md5 value |
必选 缺省情况下,没有设置NTP验证密钥 |
|
配置指定密钥为可信密钥 |
ntp-service reliable authentication-keyid key-id |
必选 缺省情况下,没有设置可信验证密钥 |
|
进入VLAN接口视图 |
interface Vlan-interface vlan-id |
- |
|
将指定密钥与对应的NTP广/组播客户端关联 |
NTP广播服务器端 |
ntp-service broadcast-server authentication-keyid key-id |
l 对于NTP广播服务器模式和NTP组播服务器模式,必须在服务器端将指定密钥与对应的NTP广/组播客户端进行关联 l 可以在配置NTP工作模式的同时,将NTP服务器与验证密钥进行关联;也可以在配置好NTP工作模式后,通过本命令进行关联操作 |
NTP组播服务器端 |
ntp-service multicast-server authentication-keyid key-id |
服务器端的NTP验证配置步骤与客户端的相同,并且两端必须配置相同的密钥。
表1-13 NTP可选参数配置任务简介
配置任务 |
说明 |
详细配置 |
配置本地交换机发送NTP报文的接口 |
可选 |
参见1.6.1 |
配置本地交换机允许建立的动态会话数目 |
可选 |
参见1.6.2 |
配置禁止接口接收NTP报文 |
可选 |
参见1.6.3 |
表1-14 配置本地交换机发送NTP报文的接口
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
设置本地交换机发送NTP消息的接口 |
ntp-service source-interface Vlan-interface vlan-id |
必选 |
如果在ntp-service unicast-server命令或ntp-service unicast-peer命令中也指定了发送接口,则报文中的源IP地址以这些命令指定的为准。
同一设备同一时间内存在的连接数目最多为128个,其中包括静态连接数和动态连接数。静态连接是用户手动配置NTP相关命令而建立的连接;动态连接是系统运行过程中建立的临时连接,若系统长期收不到报文就会删除该临时连接。例如,在服务器/客户端模式中,当用户在客户端配置向服务器端同步的命令的时候,系统会在客户端建立一个静态连接,服务器端在收到报文之后只是被动的响应报文,而不会建立连接(包括静态和动态连接);在对等体模式中,主动对等体端会建立静态连接,被动对等体端会建立动态连接;在组播和广播模式中,服务器端会建立静态连接,而在客户端会建立动态连接。
表1-15 配置本地交换机允许建立的动态会话数目
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
设置本地交换机允许建立的动态会话数目 |
ntp-service max-dynamic-sessions number |
必选 缺省情况下,本地允许建立的动态会话数目为100 |
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface Vlan-interface vlan-id |
- |
设置禁止接口接收NTP报文 |
ntp-service in-interface disable |
必选 缺省情况下,接口接收NTP报文 |
完成上述配置后,在任意视图下执行display命令,可以显示交换机配置NTP后的运行情况。通过查看显示信息,用户可以验证配置的效果。
表1-17 NTP配置显示
操作 |
命令 |
说明 |
显示NTP服务的状态信息 |
display ntp-service status |
display命令可以在任意视图下执行 |
显示NTP服务维护的会话信息 |
display ntp-service sessions [ verbose ] |
|
显示从本地设备回溯到参考时钟源的各个NTP时间服务器的简要信息 |
display ntp-service trace |
l Device A是支持本地时钟作为主时钟的交换机,并已设置本地时钟作为NTP主时钟,层数为2。
l Device B是一台S2000-EA以太网交换机,以Device A作为时间服务器。
l 配置Device B工作于客户端模式,则Device A将自动工作于服务器模式。
图1-6 NTP服务器/客户端模式配置组网图
以下配置都是在Device B上进行。
# 同步前查看Device B的NTP状态。
<DeviceB> display ntp-service status
Clock status: unsynchronized
Clock stratum: 16
Reference clock ID: none
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^18
Clock offset: 0.0000 ms
Root delay: 0.00 ms
Root dispersion: 0.00 ms
Peer dispersion: 0.00 ms
Reference time: 00:00:00.000 UTC Jan 1 1900 (00000000.00000000)
# 设置Device B以Device A作为时间服务器。
<DeviceB> system-view
[DeviceB] ntp-service unicast-server 1.0.1.11
# 以上配置将使Device B向Device A进行时间同步,同步后查看Device B的NTP状态。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 1.0.1.11
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^18
Clock offset: 0.66 ms
Root delay: 27.47 ms
Root dispersion: 208.39 ms
Peer dispersion: 9.63 ms
Reference time: 17:03:32.022 UTC Apr 2 2007 (BF422AE4.05AEA86C)
此时,Device B的时钟已经与Device A的时钟同步,层数为3(比Device A的层数大1)。
# 查看Device B的NTP会话信息,可以看到Device B与Device A建立了连接。
[DeviceB] display ntp-service sessions
source reference stra reach poll now offset delay disper
*************************************************************************
[12345]1.0.1.11 127.127.1.0 2 1 64 1 350.1 15.1 0.0
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured Total associations : 1
l Device A是支持本地时钟作为主时钟的交换机,并已设置本地时钟作为NTP主时钟,层数为2。
l Device C是一台S2000-EA以太网交换机,以Device A作为时间服务器,此时Device A自动工作于服务器模式。
l Device B是支持本地时钟作为主时钟的交换机,并设置本地时钟作为NTP主时钟,层数为1。设置Device B将Device C设为对等体。
图1-7 NTP对等体模式配置组网图
(1) 配置Device C
# 设置Device A为时间服务器。
<DeviceC> system-view
[DeviceC] ntp-service unicast-server 3.0.1.31
(2) 配置Device B(Device C向Device A同步后)
# 进入系统视图。
<DeviceB> system-view
# 设置Device C为对等体。
[DeviceB] ntp-service unicast-peer 3.0.1.33
以上配置将Device C和Device B配置为对等体,Device B处于主动对等体模式,Device C处于被动对等体模式。由于Device B本地时钟的层数为1,而Device C的层数为3,所以Device C向Device B同步时钟。
同步时钟后查看Device C的状态为:
[DeviceC] display ntp-service status
Clock status: synchronized
Clock stratum: 2
Reference clock ID: 3.0.1.32
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^18
Clock offset: 0.66 ms
Root delay: 27.47 ms
Root dispersion: 208.39 ms
Peer dispersion: 9.63 ms
Reference time: 17:03:32.022 UTC Apr 2 2007 (BF422AE4.05AEA86C)
此时Device C已经与Device B同步时钟,层数为2,比Device B大1。
# 查看Device C的NTP会话信息,可以看到Device C与Device B建立了连接。
[DeviceC] display ntp-service sessions
source reference stra reach poll now offset delay disper
*************************************************************************
[1234]3.0.1.32 LOCL 1 95 64 42 -14.3 12.9 2.7
[25]3.0.1.31 127.127.1.0 2 1 64 1 4408.6 38.7 0.0
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 2
l Device C是支持本地时钟作为主时钟的交换机,并设置本地时钟作为NTP主时钟,层数为2。设置Device C工作于广播服务器模式,由Vlan-interface2向外发送广播消息包。
l Device A和Device D是两台S2000-EA以太网交换机。设置Device A和Device D工作于广播客户端模式,分别从各自的Vlan-interface2监听广播消息。
图1-8 NTP广播模式配置组网图
(1) 配置Device C
# 进入系统视图。
<DeviceC> system-view
# 设置为广播服务器,从Vlan-interface2发送广播消息包。
[DeviceC] interface Vlan-interface 2
[DeviceC-Vlan-interface2] ntp-service broadcast-server
(2) 配置Device A(在Device D上做同样配置)
# 进入系统视图。
<DeviceA> system-view
# 设置为广播客户端,从Vlan-interface2监听广播消息。
[DeviceA] interface Vlan-interface 2
[DeviceA-Vlan-interface2] ntp-service broadcast-client
以上配置将Device A和Device D配置为从Vlan-interface2监听广播消息,而Device C从Vlan-interface2发送广播消息包。由于Device A与Device C不在相同的网段,所以接收不到Device C发出的广播包,而Device D接收到Device C发出的广播包后与其同步时钟。
同步时钟后查看Device D的NTP状态为:
[DeviceD] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 3.0.1.31
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^18
Clock offset: 198.7425 ms
Root delay: 27.47 ms
Root dispersion: 208.39 ms
Peer dispersion: 9.63 ms
Reference time: 17:03:32.022 UTC Apr 2 2007 (BF422AE4.05AEA86C)
此时Device D已经与Device C同步,层数为3(比Device C大1)。
# 查看Device D的NTP会话信息情况,可以看到Device D与Device C建立了连接。
[DeviceD] display ntp-service sessions
source reference stra reach poll now offset delay disper
*************************************************************************
[1234]3.0.1.31 127.127.1.0 2 1 64 377 26.1 199.53 9.7
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured Total associations : 1
l Device C是支持本地时钟作为主时钟的交换机,并设置本地时钟作为NTP主时钟,层数为2。设置Device C工作于组播服务器模式,从Vlan-interface2向外发送组播消息包。
l Device A和Device D是两台S2000-EA以太网交换机。设置Device A和Device D工作于组播客户端模式,分别从各自的Vlan-interface2监听组播消息。
图1-9 NTP组播模式配置组网图
(1) 配置Device C
# 进入系统视图。
<DeviceC> system-view
# 设置Device C为组播服务器, 从Vlan-interface2发送组播消息包。
[DeviceC] interface Vlan-interface 2
[DeviceC-Vlan-interface2] ntp-service multicast-server
(2) 配置Device A(在Device D上做同样配置)
# 进入系统视图。
<DeviceA> system-view
# 设置Device A为组播客户端,从Vlan-interface2监听组播消息。
[DeviceA] interface Vlan-interface 2
[DeviceA-Vlan-interface2] ntp-service multicast-client
以上配置将Device A和Device D配置为从Vlan-interface2监听组播消息,而Device C从Vlan-interface2发送组播消息包。由于Device A与Device C不在同一网段,所以Device A收不到Device C发出的组播包,而Device D接收到Device C发出的组播包后与其同步时钟。
同步时钟后查看Device D的状态为:
[DeviceD] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 3.0.1.31
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^18
Clock offset: 198.7425 ms
Root delay: 27.47 ms
Root dispersion: 208.39 ms
Peer dispersion: 9.63 ms
Reference time: 17:03:32.022 UTC Apr 2 2007 (BF422AE4.05AEA86C)
此时Device D已经与Device C同步,层数为3(比Device C大1)。
# 查看Device D的NTP会话信息,可以看到Device D与Device C建立了连接。
[DeviceD] display ntp-service sessions
source reference stra reach poll now offset delay disper
*************************************************************************
[1234]3.0.1.31 127.127.1.0 2 1 64 377 26.1 199.53 9.7
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured Total associations : 1
l Device A是支持本地时钟作为主时钟的交换机,并设置本地时钟作为NTP主时钟,层数为2。
l Device B是一台S2000-EA以太网交换机,以Device A作为时间服务器,将自己设置为客户端模式,此时Device A将自动工作于服务器模式。
l 在Device A和Device B之间配置NTP验证。
图1-10 带身份验证的NTP服务器/客户端模式配置组网图
(1) 配置Device B
# 进入系统视图。
<DeviceB> system-view
# 开启NTP验证功能。
[DeviceB] ntp-service authentication enable
# 设置编号为42的MD5密钥,内容为“aNiceKey”。
[DeviceB] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey
# 指定42号密钥为可信密钥。
[DeviceB] ntp-service reliable authentication-keyid 42
# 关联可信密钥和NTP时间服务器Device A。
[DeviceB] ntp-service unicast-server 1.0.1.11 authentication-keyid 42
以上配置将Device B向Device A进行时间同步,但由于Device A没有开启NTP身份验证,所以Device B还是无法向Device A同步时钟。
(2) 现在,在Device A上做如下配置:
# 开启身份验证功能。
<DeviceA> system-view
[DeviceA] ntp-service authentication enable
# 设置编号为42的MD5密钥,内容为“aNiceKey”。
[DeviceA] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey
# 指定42号密钥为可信密钥。
[DeviceA] ntp-service reliable authentication-keyid 42
此时,Device B可以向Device A同步时钟,同步时钟后查看Device B的状态为:
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 1.0.1.11
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^18
Clock offset: 0.66 ms
Root delay: 27.47 ms
Root dispersion: 208.39 ms
Peer dispersion: 9.63 ms
Reference time: 17:03:32.022 UTC Apr 2 2007 (BF422AE4.05AEA86C)
可以看出,Device B已经与Device A同步时钟,层数为3(比Device A大1)。
# 查看Device B的NTP会话信息,可以看到Device B与Device A建立了连接。
<DeviceB> display ntp-service sessions
source reference stra reach poll now offset delay disper
************************************************************************* [12345] 1.0.1.11 127.127.1.0 2 255 64 8 2.8 17.7 1.2
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!