03-NTP配置
本章节下载: 03-NTP配置 (427.93 KB)
NTP(Network Time Protocol,网络时间协议)是由RFC 1305定义的时间同步协议,用来在分布式时间服务器和客户端之间进行时间同步。NTP基于UDP报文进行传输,使用的UDP端口号为123。
使用NTP的目的是对网络内所有具有时钟的设备进行时钟同步,使网络内所有设备的时钟保持一致,从而使设备能够提供基于统一时间的多种应用。
对于运行NTP的本地系统,既可以接受来自其他时钟源的同步,又可以作为时钟源同步其他的时钟,并且可以和其他设备互相同步。
对于网络中的各台设备来说,如果依靠管理员手工输入命令来修改系统时钟是不可能的,不但工作量巨大,而且也不能保证时钟的精确性。通过NTP,可以很快将网络中设备的时钟同步,同时也能保证很高的精度。
NTP主要应用于需要网络中所有设备时钟保持一致的场合,比如:
· 在网络管理中,对于从不同设备采集来的日志信息、调试信息进行分析的时候,需要以时间作为参照依据。
· 完成某些功能,如定时重启网络中的所有设备,此时要求所有设备的时钟保持一致。
· 多个系统协同处理同一个比较复杂的事件时,为保证正确的执行顺序,多个系统必须参考同一时钟。
· 在备份服务器和客户端之间进行增量备份时,要求备份服务器和所有客户端之间的时钟同步。
NTP的优势如下:
· 采用分层的方法定义时钟的准确性,可以迅速同步网络中各台设备的时间。
· 支持访问控制和MD5验证。
NTP的基本工作原理如图1-1所示。Device A和Device B通过网络相连,它们都有自己独立的系统时钟,需要通过NTP实现各自系统时钟的自动同步。为便于理解,作如下假设:
· 在Device A和Device B的系统时钟同步之前,Device A的时钟设定为10:00:00am,Device B的时钟设定为11:00:00am。
· Device B作为NTP时间服务器,即Device A将使自己的时钟与Device B的时钟同步。
· NTP报文在Device A和Device B之间单向传输所需要的时间为1秒。
图1-1 NTP基本原理图
· Device A发送一个NTP报文给Device B,该报文带有它离开Device A时的时间戳,该时间戳为10:00:00am(T1)。
· 当此NTP报文到达Device B时,Device B加上自己的时间戳,该时间戳为11:00:01am(T2)。
· 当此NTP报文离开Device B时,Device B再加上自己的时间戳,该时间戳为11:00:02am(T3)。
· 当Device A接收到该响应报文时,Device A的本地时间为10:00:03am(T4)。
至此,Device A已经拥有足够的信息来计算两个重要的参数:
· NTP报文的往返时延Delay=(T4-T1)-(T3-T2)=2秒。
· Device A相对Device B的时间差offset=((T2-T1)+(T3-T4))/2=1小时。
这样,Device A就能够根据这些信息来设定自己的时钟,使之与Device B的时钟同步。
以上内容只是对NTP工作原理的一个粗略描述,详细内容请参阅RFC 1305。
NTP有两种不同类型的报文,一种是时钟同步报文,另一种是控制报文。控制报文仅用于需要网络管理的场合,它对于时钟同步功能来说并不是必需的,这里不做介绍。
本文中提到的NTP报文,均为NTP时钟同步报文。
时钟同步报文封装在UDP报文中,其格式如图1-2所示。
· LI(Leap Indicator,闰秒指示):长度为2比特,值为“11”时表示告警状态,时钟未被同步。为其他值时NTP本身不做处理。
· VN(Version Number,版本号):长度为3比特,表示NTP的版本号,目前的最新版本为4。
· Mode:长度为3比特,表示NTP的工作模式。不同的值所表示的含义分别是:0未定义、1表示主动对等体模式、2表示被动对等体模式、3表示客户模式、4表示服务器模式、5表示广播模式或组播模式、6表示此报文为NTP控制报文、7预留给内部使用。
· Stratum:系统时钟的层数,取值范围为1~16,它定义了时钟的准确度。层数为1的时钟准确度最高,准确度从1到16依次递减,层数为16的时钟处于未同步状态。
· Poll:轮询时间,即两个连续NTP报文之间的时间间隔。
· Precision:系统时钟的精度。
· Root Delay:本地到主参考时钟源的往返时间。
· Root Dispersion:系统时钟相对于主参考时钟的最大误差。
· Reference Identifier:参考时钟源的标识。
· Reference Timestamp:系统时钟最后一次被设定或更新的时间。
· Originate Timestamp:NTP请求报文离开发送端时发送端的本地时间。
· Receive Timestamp:NTP请求报文到达接收端时接收端的本地时间。
· Transmit Timestamp:应答报文离开应答者时应答者的本地时间。
· Authenticator:验证信息。
设备可以采用多种NTP工作模式进行时间同步:
· 客户端/服务器模式
用户可以根据需要选择合适的工作模式。在不能确定服务器或对等体IP地址、网络中需要同步的设备很多等情况下,可以通过广播或组播模式实现时钟同步;客户端/服务器和对等体模式中,设备从指定的服务器或对等体获得时钟同步,增加了时钟的可靠性。
图1-3 客户端/服务器模式
在客户端/服务器模式中,客户端向服务器发送时钟同步报文,报文中的Mode字段设置为3(客户模式)。服务器端收到报文后会自动工作在服务器模式,并发送应答报文,报文中的Mode字段设置为4(服务器模式)。客户端收到应答报文后,进行时钟过滤和选择,并同步到优选的服务器。
在该模式下,客户端能同步到服务器,而服务器无法同步到客户端。
在对等体模式中,主动对等体和被动对等体之间首先交互Mode字段为3(客户端模式)和4(服务器模式)的NTP报文。之后,主动对等体向被动对等体发送时钟同步报文,报文中的Mode字段设置为1(主动对等体),被动对等体收到报文后自动工作在被动对等体模式,并发送应答报文,报文中的Mode字段设置为2(被动对等体)。经过报文的交互,对等体模式建立起来。主动对等体和被动对等体可以互相同步。如果双方的时钟都已经同步,则以层数小的时钟为准。
在广播模式中,服务器端周期性地向广播地址255.255.255.255发送时钟同步报文,报文中的Mode字段设置为5(广播模式)。客户端侦听来自服务器的广播报文。当客户端接收到第一个广播报文后,客户端与服务器交互Mode字段为3(客户模式)和4(服务器模式)的NTP报文,以获得客户端与服务器间的网络延迟。之后,客户端就进入广播客户端模式,继续侦听广播报文的到来,根据到来的广播报文对系统时钟进行同步。
在组播模式中,服务器端周期性地向用户配置的组播地址(若用户没有配置组播地址,则使用默认的NTP组播地址224.0.1.1)发送时钟同步报文,报文中的Mode字段设置为5(组播模式)。客户端侦听来自服务器的组播报文。当客户端接收到第一个组播报文后,客户端与服务器交互Mode字段为3(客户模式)和4(服务器模式)的NTP报文,以获得客户端与服务器间的网络延迟。之后,客户端就进入组播客户端模式,继续侦听组播报文的到来,根据到来的组播报文对系统时钟进行同步。
在对等体模式、广播模式和组播模式中,客户端(或主动对等体)和服务器(或被动对等体)之间首先要交互Mode字段为3(客户端模式)和4(服务器模式)的NTP报文,之后,才能进入指定的NTP工作模式。在此报文交互过程中,可以实现时钟的同步。
表1-1 NTP配置任务简介
配置NTP工作模式 |
||
配置NTP可选参数 |
||
配置NTP验证功能 |
设备可以采用以下NTP工作模式进行时钟同步:
· 客户端/服务器模式
设备采用客户端/服务器模式或对等体模式时,只需要对客户端或主动对等体进行配置;设备采用广播模式或组播模式时,则需要在服务器端和客户端都进行配置。
当设备采用客户端/服务器模式时,请在客户端进行如下配置。
表1-2 在NTP客户端上指定NTP服务器
指定设备的NTP服务器 |
· ntp-service unicast-server命令中的ip-address是一个单播地址,不能为广播地址、组播地址或本地时钟的IP地址。
· 通过source-interface参数指定NTP报文的源接口后,NTP报文的源IP地址将被设置为指定接口的主IP地址。
· 服务器端只有当其时钟被同步后,才能作为时间服务器去同步其他设备。当服务器端的时钟层数大于或等于客户端的时钟层数时,客户端将不会向其同步。
· 可以通过多次执行ntp-service unicast-server命令配置多个服务器,客户端依据时钟优选来选择最优的时钟源。
· 在对等体模式中,被动对等体上需要执行ntp-service refclock-master或“配置NTP工作模式”中的任何一条NTP配置命令来使能NTP,否则被动对等体不会处理来自主动对等体的NTP报文。
· ntp-service unicast-peer 命令中的ip-address是一个单播地址,不能为广播地址、组播地址或本地时钟的IP地址。
· 通过source-interface参数指定NTP报文的源接口后,NTP报文的源IP地址将被设置为指定接口的主IP地址。
· 通常,主、被动对等体中至少有一个处于同步状态,否则他们将都无法同步。
· 可以通过多次执行ntp-service unicast-peer命令配置多个被动对等体。
广播服务器周期性地向广播地址255.255.255.255发送NTP报文,工作在NTP广播客户端模式的设备将回应这个报文,从而开始时钟同步过程。
当设备采用广播模式时,需要在服务器端和客户端都进行配置。由于广播服务器上需要指定一个发送NTP广播报文的接口,广播客户端上也需要指定一个接收NTP广播报文的接口,所以广播模式的配置只能在具体的接口视图下进行。
进入要接收NTP广播报文的接口 |
||
配置设备工作在NTP广播客户端模式 |
进入要发送NTP广播报文的接口 |
||
配置设备工作在NTP广播服务器模式 |
ntp-service broadcast-server [ authentication-keyid keyid | version number ] * |
NTP组播服务器以组播形式周期性地发送时钟同步报文,工作在NTP组播客户端模式的设备将回应这个报文,从而开始时钟同步过程。
设备采用组播模式时,需要在服务器端和客户端都进行配置。组播模式的配置只能在具体的接口视图下进行。
进入要接收NTP组播报文的接口 |
||
配置设备工作在NTP组播客户端模式 |
进入要发送NTP组播报文的接口 |
||
配置设备工作在NTP组播服务器模式 |
· 目前最多可以配置1024个组播客户端,但同时起作用的最多为128个。
· 与网络中的其他设备进行同步:可以采用前面介绍的四种NTP工作模式中的任何一种。
如果同时配置了两种方式,设备将通过时钟优选来选择最优的时钟源。
· 实际网络中,通常将从权威时钟(如原子时钟)获得时钟同步的NTP服务器的层数设置为1,并将其作为主参考时钟源同步网络中其他设备的时钟。网络中的设备与主参考时钟源的NTP距离,即NTP同步链上NTP服务器的数目,决定了设备上时钟的层数。
· 配置本地时钟作为参考时钟后,本地设备可以作为时钟源同步网络中的其他设备。请谨慎使用本配置,以免导致网络中设备的时钟错误。
· 命令中的ip-address只能为127.127.1.u。u的取值范围为0~3,表示NTP的进程号。
如果指定了NTP报文的源接口,则设备在主动发送NTP报文时,将报文的源IP地址设置为指定接口的主IP地址。建议将Loopback接口指定为源接口,以避免设备上某个接口的状态变化而导致NTP报文无法接收。
设备对接收到的NTP请求报文进行应答时,应答报文的源IP地址始终为接收到NTP请求报文的目的地址。
表1-9 配置NTP报文的源接口
配置NTP报文的源接口 |
ntp-service source-interface interface-type interface-number |
缺省情况下,没有指定NTP报文的源接口,即根据路由选择NTP报文的源IP地址 |
· 如果在命令ntp-service unicast-server或ntp-service unicast-peer中指定了NTP报文的源接口,则以ntp-service unicast-server或ntp-service unicast-peer指定的为准。
· 如果在接口视图下配置了ntp-service broadcast-server或ntp-service multicast-server,则NTP广播或组播模式报文的源接口为配置了上述命令的接口。
使能NTP功能后,缺省情况下所有接口都可以接收NTP报文。可以通过本配置,禁止从某个接口接收NTP报文。
NTP会话分为两种:
· 静态会话:用户手动配置NTP相关命令而建立的会话。
· 动态会话:NTP协议运行过程中建立的临时会话,若系统长期没有报文交互就会删除该临时会话。
· 客户端/服务器模式中,在客户端上指定了NTP服务器后,客户端上会建立一个静态会话,服务器端在收到报文之后只是被动的响应报文,而不会建立会话(包括静态和动态会话)。
· 对等体模式中,在主动对等体上指定了被动对等体后,主动对等体上会建立静态会话,被动对等体端会建立动态会话。
· 广播模式和组播模式中,在广播/组播服务器端上会建立静态会话,而在广播/组播客户端上会建立动态会话。
设备同一时间内最多可以建立的会话数目为128个,其中包括静态会话数和动态会话数。
本配置用来限制动态会话的数目,以避免设备上维护过多的动态会话,占用过多的系统资源。
配置允许建立的动态NTP会话数目 |
缺省情况下,允许建立的动态NTP会话的数目为100 |
用户可以配置对本地设备NTP服务的访问控制权限。访问控制权限可以分为四种:
· query:允许控制查询权限。该权限只允许对端设备对本地设备的NTP服务进行控制查询,但是不能向本地设备同步。所谓的控制查询,就是查询NTP的一些状态,比如告警信息,验证状态,时钟源信息等。
· synchronization:只允许服务器访问权限。该权限只允许对端设备向本地设备同步,但不能进行控制查询。
· server:允许服务器访问与查询权限。该权限允许对端设备向本地设备同步和控制查询,但本地设备不会同步到对端设备。
· peer:完全访问权限。该权限既允许对端设备向本地设备同步和控制查询,同时本地设备也可以同步到对端设备。
NTP服务的访问控制权限从高到低依次为peer、server、synchronization、query。当设备接收到NTP服务请求报文时,会按照此顺序进行匹配,以第一个匹配的权限为准。如果没有匹配任何权限,则丢弃此NTP服务请求报文。
在配置对本地设备NTP服务的访问控制权限之前,需要创建并配置与访问权限关联的ACL。ACL的配置方法请参见“ACL和QoS配置指导”中的“ACL”。
表1-12 配置对本地设备NTP服务的访问控制权限
配置对端设备对本地设备NTP服务的访问控制权限 |
ntp-service access { peer | query | server | synchronization } acl-number |
缺省情况下,对端设备对本地设备NTP服务的访问控制权限为peer |
配置对本地设备NTP服务的访问控制权限,仅提供了一种最小限度的安全措施,更安全的方法是进行身份验证。
在一些对安全性要求较高的网络中,运行NTP协议时需要启用验证功能。通过客户端和服务器端的密码验证,保证客户端只与通过验证的设备进行同步,提高了网络安全性。
配置NTP验证功能分为以下几步:
· 使能NTP验证功能
· 指定与NTP服务器或对等体关联的密钥
上述步骤缺一不可,缺少任何一项配置都会导致NTP验证功能无法正常启用。
配置客户端/服务器模式的NTP验证功能时,需要在客户端和服务器上都使能NTP验证功能、配置验证密钥、将验证密钥设为可信密钥,并在客户端上指定与NTP服务器关联的密钥。
· 如果客户端上使能了NTP验证功能、配置了验证密钥和可信密钥、指定了与NTP服务器关联的密钥,且关联的密钥为可信密钥,则只有服务器上也正常启用了NTP验证功能(使能NTP验证功能、配置验证密钥和可信密钥),客户端才能与服务器进行时间同步。
· 如果客户端上没有使能NTP验证功能,或客户端上没有指定与NTP服务器关联的密钥,则客户端与该服务器进行时间同步时不会进行身份验证,即无论服务器端是否正常启用验证功能,客户端都能与服务器进行时间同步。
· 如果客户端上使能了NTP验证功能、指定了与NTP服务器关联的密钥,但关联的密钥不是可信密钥,则无论服务器端是否正常启用验证功能,客户端都不能向该服务器同步。
使能NTP身份验证功能 |
缺省情况下,NTP身份验证功能处于关闭状态 |
|
配置NTP验证密钥 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value [ acl ipv4-acl-number ] * |
缺省情况下,没有配置NTP验证密钥 |
将指定密钥与对应的NTP服务器关联 |
ntp-service unicast-server { ip-address | server-name } authentication-keyid keyid |
可以将不存在的密钥与NTP服务器关联。但是若想成功启用NTP验证功能,则必须在关联密钥后,配置该密钥,并将其指定为可信密钥 |
客户端使能NTP验证功能后,必须配置与服务器端相同的验证密钥,并且必须声明该密钥是可信的,否则无法与服务器同步。
使能NTP验证功能 |
缺省情况下,NTP身份验证功能处于关闭状态 |
|
配置NTP验证密钥 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value [ acl ipv4-acl-number ] * |
缺省情况下,没有配置NTP验证密钥 |
配置对等体模式的NTP验证功能时,需要在主动对等体和被动对等体上都使能NTP验证功能、配置验证密钥、将验证密钥设为可信密钥,并在主动对等体上指定与被动对等体关联的密钥。
· 如果主动对等体上使能了NTP验证功能、配置了验证密钥和可信密钥、指定了与被动对等体关联的密钥、且关联的密钥为可信密钥,则只有被动对等体上也正常启用了NTP验证功能(使能NTP验证功能、配置验证密钥和可信密钥),主动对等体才能向被动对等体同步。
· 如果主动对等体上没有使能NTP验证功能,或主动对等体上没有指定与被动对等体关联的密钥,则只要被动对等体上没有使能NTP验证功能,主动对等体就可以向被动对等体同步。否则,不能向被动对等体同步。
· 如果主动对等体上使能了NTP验证功能、指定了与被动对等体关联的密钥,但关联的密钥不是可信密钥,则无论被动对等体是否正常启用验证功能,主动对等体都不能向该被动对等体同步。
· 如果主动对等体上使能了NTP验证功能、配置了验证密钥和可信密钥、指定了与被动对等体关联的密钥、且关联的密钥为可信密钥,则只有被动对等体上也正常启用了NTP验证功能(使能NTP验证功能、配置验证密钥和可信密钥),主动对等体才能为被动对等体提供时钟同步。
· 如果主动对等体上没有使能NTP验证功能、或主动对等体上没有指定与被动对等体关联的密钥、或关联的密钥不是可信密钥,则只要被动对等体上没有使能NTP验证功能,主动对等体就可以为被动对等体提供时钟同步。否则,不能为被动对等体提供时钟同步。
使能NTP身份验证功能 |
缺省情况下,NTP身份验证功能处于关闭状态 |
|
配置NTP验证密钥 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value [ acl ipv4-acl-number ] * |
缺省情况下,没有配置NTP验证密钥 |
ntp-service unicast-peer { ip-address | peer-name } authentication-keyid keyid |
可以将不存在的密钥与被动对等体关联。但是若想成功启用NTP验证功能,则必须在关联密钥后,配置该密钥,并将其指定为可信密钥 |
主动对等体使能NTP验证功能后,必须配置与被动对等体相同的验证密钥,并且必须声明该密钥是可信的。
使能NTP验证功能 |
缺省情况下,NTP身份验证功能处于关闭状态 |
|
配置NTP验证密钥 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value [ acl ipv4-acl-number ] * |
缺省情况下,没有配置NTP验证密钥 |
配置广播模式的NTP验证功能时,需要在广播客户端和广播服务器上都使能NTP验证功能、配置验证密钥、将验证密钥设为可信密钥,并在广播服务器上指定与该服务器关联的密钥。
· 如果广播服务器上使能了NTP验证功能、配置了验证密钥和可信密钥、指定了与该服务器关联的密钥、且关联的密钥为可信密钥,则只有广播客户端上也正常启用了NTP验证功能(使能NTP验证功能、配置验证密钥和可信密钥),广播服务器才能为广播客户端提供时钟同步。
· 如果广播服务器上没有使能NTP验证功能、或广播服务器上没有指定与该服务器关联的密钥、或关联的密钥不是可信密钥,则只要广播客户端上没有使能NTP验证功能,广播服务器就可以为其提供时钟同步。否则,不能为其提供时钟同步。
使能NTP身份验证功能 |
缺省情况下,NTP身份验证功能处于关闭状态 |
|
配置NTP验证密钥 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value [ acl ipv4-acl-number ] * |
缺省情况下,没有配置NTP验证密钥 |
广播客户端使能NTP验证功能后,必须配置与广播服务器端相同的验证密钥,并且必须声明该密钥是可信的。
使能NTP验证功能 |
缺省情况下,NTP身份验证功能处于关闭状态 |
|
配置NTP验证密钥 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value [ acl ipv4-acl-number ] * |
缺省情况下,没有配置NTP验证密钥 |
可以将不存在的密钥与广播服务器关联。但是若想成功启用NTP验证功能,则必须在关联密钥后,配置该密钥,并将其指定为可信密钥 |
配置组播模式的NTP验证功能时,需要在组播客户端和组播服务器上都使能NTP验证功能、配置验证密钥、将验证密钥设为可信密钥,并在组播服务器上指定与该服务器关联的密钥。
· 如果组播服务器上使能了NTP验证功能、配置了验证密钥和可信密钥、指定了与该服务器关联的密钥,且关联的密钥为可信密钥,则只有组播客户端上也正常启用了NTP验证功能(使能NTP验证功能、配置验证密钥和可信密钥),组播服务器才能为组播客户端提供时钟同步。
· 如果组播服务器上没有使能NTP验证功能、或组播服务器上没有指定与该服务器关联的密钥、或关联的密钥不是可信密钥,则只要组播客户端上没有使能NTP验证功能,组播服务器就可以为其提供时钟同步。否则,不能为其提供时钟同步。
使能NTP身份验证功能 |
缺省情况下,NTP身份验证功能处于关闭状态 |
|
配置NTP验证密钥 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value [ acl ipv4-acl-number ] * |
缺省情况下,没有配置NTP验证密钥 |
组播客户端使能NTP验证功能后,必须配置与组播服务器端相同的验证密钥,并且必须声明该密钥是可信的。
使能NTP验证功能 |
缺省情况下,NTP身份验证功能处于关闭状态 |
|
配置NTP验证密钥 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value [ acl ipv4-acl-number ] * |
缺省情况下,没有配置NTP验证密钥 |
ntp-service multicast-server [ ip-address ] authentication-keyid keyid |
可以将不存在的密钥与组播服务器关联。但是若想成功启用NTP验证功能,则必须在关联密钥后,配置该密钥,并将其指定为可信密钥 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后NTP的运行情况,通过查看显示信息验证配置的效果。
表1-21 NTP显示与维护
为了实现AC的时钟与Switch的时钟同步,需要进行以下配置:
· 在Switch上设置本地时钟作为参考时钟,层数为2;
· AC工作在客户端模式,指定Switch为NTP服务器。
图1-7 配置NTP客户端/服务器模式组网图
(2) 配置Switch
# 设置本地时钟作为参考时钟,层数为2。
[Switch] ntp-service refclock-master 2
(3) 配置AC
# 同步前查看AC的NTP状态。
<AC> display ntp-service status
Clock status: unsynchronized
Clock stratum: 16
Reference clock ID: none
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^17
Clock offset: 0.0000 ms
Root delay: 0.00 ms
Root dispersion: 0.00 ms
Peer dispersion: 0.00 ms
Reference time: 00:00:00.000 UTC Jan 1 1900 (00000000.00000000)
# 设置Switch为AC的NTP服务器。
[AC] ntp-service unicast-server 1.0.1.11
# 以上配置将AC向Switch进行时间同步,同步后查看AC的NTP状态。
[AC] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 1.0.1.11
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^17
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 1.05 ms
Peer dispersion: 7.81 ms
Reference time: 14:53:27.371 UTC Sep 19 2005 (C6D94F67.5EF9DB22)
此时AC已经与Switch同步,层数比AC的层数大1,为3。
# 查看AC的NTP会话信息,可以看到AC与Switch建立了连接。
[AC] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[12345] 1.0.1.11 127.127.1.0 2 63 64 3 -75.5 31.0 16.5
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
· 在Switch上设置本地时钟作为参考时钟,层数为2;
· 在AC2上设置本地时钟作为参考时钟,层数为1;
· AC 1工作在客户端模式,指定Switch为NTP服务器;
· AC 2工作在对等体模式,将AC 1设为对等体。AC 2为主动对等体,AC 1为被动对等体。
图1-8 配置NTP对等体模式组网图
(2) 配置Switch
# 设置本地时钟作为参考时钟,层数为2。
[Switch] ntp-service refclock-master 2
(3) 配置AC 1
# 设置Switch为AC 1的NTP服务器。
[AC1] ntp-service unicast-server 3.0.1.31
(4) 配置AC 2(AC 1向Switch同步后)
# 设置本地时钟作为参考时钟,层数为1。
[AC2] ntp-service refclock-master 1
# 本地同步后,设置AC 1为对等体。
[AC2] ntp-service unicast-peer 3.0.1.32
以上配置将AC 1和AC 2配置为对等体,AC 2处于主动对等体模式,AC 1处于被动对等体模式,由于AC 2系统时钟的层数为1,而AC 1的层数为3,所以AC 1向AC 2同步。
# 同步后查看AC 1的状态。
[AC1] display ntp-service status
Clock status: synchronized
Clock stratum: 2
Reference clock ID: 3.0.1.33
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^17
Clock offset: -21.1982 ms
Root delay: 15.00 ms
Root dispersion: 775.15 ms
Peer dispersion: 34.29 ms
Reference time: 15:22:47.083 UTC Sep 19 2005 (C6D95647.153F7CED)
此时AC 1已经与AC 2同步,层数比AC 2的层数大1,为2。
# 查看AC 1的NTP会话信息,可以看到AC 1与AC 2建立了连接。
[AC1] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[245] 3.0.1.31 127.127.1.0 2 15 64 24 10535.0 19.6 14.5
[1234] 3.0.1.33 LOCL 1 14 64 27 -77.0 16.0 14.8
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 2
AC2作为同一网段中多个设备的NTP服务器,同时同步多个设备的时钟。为了实现该需求,需要进行以下配置:
· 在AC 2上设置本地时钟作为参考时钟,层数为2;
· AC 2工作在广播服务器模式,从VLAN接口2向外发送广播报文;
· AC 1和AC 3工作在广播客户端模式,AC 1从VLAN接口3监听广播报文,AC 3从VLAN接口2监听广播报文。
图1-9 配置NTP广播模式组网图
(2) 配置AC 2
# 设置本地时钟作为参考时钟,层数为2。
[AC2] ntp-service refclock-master 2
# 设置AC2为广播服务器,从VLAN接口2发送广播报文。
[AC2] interface vlan-interface 2
[AC2-Vlan-interface2] ntp-service broadcast-server
(3) 配置AC 3
# 设置AC 3为广播客户端,从VLAN接口2监听广播报文。
[AC3] interface vlan-interface 2
[AC3-Vlan-interface2] ntp-service broadcast-client
(4) 配置AC 1
# 设置AC 1为广播客户端,从VLAN接口3监听广播报文。
[AC1] interface vlan-interface 3
[AC1-Vlan-interface3] ntp-service broadcast-client
由于AC 1与AC 2不在相同的网段,所以接收不到AC 2发出的广播报文,而AC 3接收到AC 2发出的广播报文后与其同步。
# 同步后查看AC 3的状态。
[AC3-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 3.0.1.31
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^17
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 8.31 ms
Peer dispersion: 34.30 ms
Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
此时AC 3已经与AC 2同步,层数比AC 2的层数大1,为3。
# 查看AC 3的NTP会话信息,可以看到AC 3与AC 2建立了连接。
[AC3-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 2 254 64 62 -16.0 32.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
该配置举例中对于以太网接口的配置,请参见表1-22。本配置举例以GigabitEthernet接口为例,实际使用中请以设备实际情况为准。
表1-22 AC以太网接口配置说明
LSUM1WCME0 |
||
WX3510E WX3540E |
||
WX5510E |
||
WX2540E |
对于无线相关的特性,请直接在设备的LAN口上配置 对于路由相关的特性,比如PPPoE、RIP等,请直接在设备的WAN口配置 |
|
WAC360 WAC361 |
||
WX6100E(包括EWPXM2WCMD0、EWPXM3WCMD0、EWPXM1WCME0) |
请直接在WX6100E的无线控制器业务板与交换板相连的内部以太网接口上配置(无线控制器业务板插在WX6100E无线控制器的扩展插槽上) |
AC2作为不同网段中多个设备的NTP服务器,同时同步多个设备的时钟。为了实现该需求,需要进行以下配置:
· AC 2设置本地时钟作为参考时钟,层数为2;
· AC 2工作在组播服务器模式,从VLAN接口2向外发送组播报文;
· AC 1和AC 3工作在组播客户端模式,AC 1从VLAN接口3监听组播报文,AC 3从VLAN接口2监听组播报文。
图1-10 配置NTP组播模式组网图
(1) 按照图1-10配置各接口的IP地址,具体配置过程略。
(2) 配置AC 2
# 设置本地时钟作为参考时钟,层数为2。
[AC2] ntp-service refclock-master 2
# 设置AC 2为组播服务器,从VLAN接口2发送组播报文。
[AC2] interface vlan-interface 2
[AC2-Vlan-interface2] ntp-service multicast-server
(3) 配置AC 3
# 设置AC 3为组播客户端,从VLAN接口2监听组播报文。
[AC3] interface vlan-interface 2
[AC3-Vlan-interface2] ntp-service multicast-client
由于AC 3和AC 2在同一个网段,不需要配置组播功能,AC 3就可以收到AC 2发出的组播报文,并与其同步。
# 同步后查看AC 3的状态。
[AC3-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 3.0.1.31
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^17
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 8.31 ms
Peer dispersion: 34.30 ms
Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
此时AC 3已经与AC 2同步,层数比AC 2的层数大1,为3。
# 查看AC 3的NTP会话信息,可以看到AC 3与AC 2建立了连接。
[AC3-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 2 254 64 62 -16.0 31.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
(4) 配置Switch
由于AC 1与AC 2不在同一网段,所以Switch上需要配置组播功能,否则AC 1收不到AC 2发出的组播报文。
# 配置组播功能。
[Switch] multicast routing-enable
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] pim dm
[Switch-Vlan-interface2] quit
[Switch] vlan 3
[Switch-vlan3] port gigabitethernet 1/0/1
[Switch-vlan3] quit
[Switch] interface vlan-interface 3
[Switch-Vlan-interface3] igmp enable
[Switch-Vlan-interface3] quit
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] igmp-snooping static-group 224.0.1.1 vlan 3
(5) 配置AC 1
[AC1] interface vlan-interface 3
# 设置AC 1为组播客户端,从VLAN接口3监听组播报文。
[AC1-Vlan-interface3] ntp-service multicast-client
# 同步后查看AC 1的状态。
[AC1-Vlan-interface3] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 3.0.1.31
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^17
Clock offset: 0.0000 ms
Root delay: 40.00 ms
Root dispersion: 10.83 ms
Peer dispersion: 34.30 ms
Reference time: 16:02:49.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
此时AC 1已经与AC 2同步,层数比AC 2的层数大1,为3。
# 查看AC 1的NTP会话信息,可以看到AC 1与AC 2建立了连接。
[AC1-Vlan-interface3] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 2 255 64 26 -16.0 40.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
为了实现AC的时钟与Switch的时钟同步,并保证时钟同步的安全性,需要进行以下配置:
· 在Switch上设置本地时钟作为参考时钟,层数为2;
· AC工作在客户端模式,指定Switch为NTP服务器;
· Switch和AC上同时配置NTP验证。
图1-11 配置带身份验证的NTP客户端/服务器模式组网图
(1) 按照图1-11配置各接口的IP地址,具体配置过程略。
(2) 配置Switch
# 设置本地时钟作为参考时钟,层数为2。
[Switch] ntp-service refclock-master 2
(3) 配置AC
# 在AC上启动身份验证。
[AC] ntp-service authentication enable
# 设置密钥。
[AC] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey
# 指定密钥为可信密钥。
[AC] ntp-service reliable authentication-keyid 42
# 设置Switch为AC的NTP服务器。
[AC] ntp-service unicast-server 1.0.1.11 authentication-keyid 42
以上配置将AC向Switch进行时间同步,但由于Switch没有使能NTP身份验证,所以,AC还是无法向Switch同步。
现在,向Switch增加以下配置:
# 在Switch上启动身份验证。
[Switch] ntp-service authentication enable
# 设置密钥。
[Switch] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey
# 指定密钥为可信密钥。
[Switch] ntp-service reliable authentication-keyid 42
此时,AC可以向Switch同步。
# 同步后查看AC的状态。
[AC] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 1.0.1.11
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^17
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 1.05 ms
Peer dispersion: 7.81 ms
Reference time: 14:53:27.371 UTC Sep 19 2005 (C6D94F67.5EF9DB22)
可以看出,AC已经与Switch同步,层数比Switch的层数大1,为3。
# 查看AC的NTP会话信息,可以看到AC与Switch建立了连接。
[AC] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[12345] 1.0.1.11 127.127.1.0 2 63 64 3 -75.5 31.0 16.5
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
AC 2作为同一网段中多个设备的NTP服务器,同时同步多个设备的时钟。AC 3要求对时钟源进行验证,以保证时钟同步的安全性。为了实现上述需求,需要进行以下配置:
· 在AC 2上设置本地时钟作为参考时钟,层数为3;
· AC 2工作在广播服务器模式,从VLAN接口2向外发送广播报文;
· AC 1和AC 3工作在广播客户端模式,AC 1从VLAN接口3监听广播报文,AC 3从VLAN接口2监听广播报文;
· 在AC 3和AC 2上配置NTP验证功能。
图1-12 配置带身份验证的NTP广播模式组网图
(1) 按照图1-12配置各接口的IP地址,具体配置过程略。
(2) 配置AC 1
# 设置AC 1为NTP广播客户端,从VLAN接口2监听广播报文。
[AC1] interface vlan-interface 3
[AC1-Vlan-interface3] ntp-service broadcast-client
(3) 配置AC 3
# 使能NTP验证功能,创建ID为88的NTP验证密钥,密钥值为123456,并将密钥88指定为可信密钥。
[AC3] ntp-service authentication enable
[AC3] ntp-service authentication-keyid 88 authentication-mode md5 123456
[AC3] ntp-service reliable authentication-keyid 88
# 设置AC 3为NTP广播客户端,从VLAN接口2监听广播报文。
[AC3] interface vlan-interface 2
[AC3-Vlan-interface2] ntp-service broadcast-client
(4) 配置AC 2
# 设置本地时钟作为参考时钟,层数为3。
[AC2] ntp-service refclock-master 3
# 设置AC 2为NTP广播服务器,从VLAN接口2向外发送广播报文。
[AC2] interface vlan-interface 2
[AC2-Vlan-interface2] ntp-service broadcast-server
[AC2-Vlan-interface2] quit
# AC 1接收到AC 2发出的广播报文后与其同步。在AC 1上查看NTP服务的状态信息,可以看到AC 1已经与AC 2同步,层数比AC 2的层数大1,为4。
[AC1-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 4
Reference clock ID: 3.0.1.31
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 8.31 ms
Peer dispersion: 34.30 ms
Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
# 查看AC 1的NTP会话信息,可以看到AC 1与AC 2建立了连接。
[AC1-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 3 254 64 62 -16.0 32.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
# 由于AC 3上使能了NTP验证功能,AC 2上没有使能NTP验证功能。因此,AC 3无法向AC 2同步。
[AC3-Vlan-interface2] display ntp-service status
Clock status: unsynchronized
Clock stratum: 16
Reference clock ID: none
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^18
Clock offset: 0.0000 ms
Root delay: 0.00 ms
Root dispersion: 0.00 ms
Peer dispersion: 0.00 ms
Reference time: 00:00:00.000 UTC Jan 1 1900(00000000.00000000)
# 在AC 2上使能NTP验证功能,创建ID为88的NTP验证密钥,密钥值为123456,并将密钥88指定为可信密钥。
[AC2] ntp-service authentication enable
[AC2] ntp-service authentication-keyid 88 authentication-mode md5 123456
[AC2] ntp-service reliable authentication-keyid 88
# 设置AC 2为NTP广播服务器并指定关联的密钥编号为88。
[AC2] interface vlan-interface 2
[AC2-Vlan-interface2] ntp-service broadcast-server authentication-keyid 88
# 在AC 2上使能NTP验证功能后,AC 3可以向AC 2同步。在AC 3上查看NTP服务的状态信息,可以看到AC 3已经与AC 2同步,层数比AC 2的层数大1,为4。
[AC3-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 4
Reference clock ID: 3.0.1.31
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 8.31 ms
Peer dispersion: 34.30 ms
Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
# 查看AC 3的NTP会话信息,可以看到AC 3与AC 2建立了连接。
[AC3-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 3 254 64 62 -16.0 32.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
# 在AC 2上配置NTP验证功能后,不会对AC 1造成影响。AC 1仍然处于同步状态。
[AC1-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 4
Reference clock ID: 3.0.1.31
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 8.31 ms
Peer dispersion: 34.30 ms
Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!