• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

09-网络管理和监控配置指导

目录

03-NTP配置

本章节下载 03-NTP配置  (427.93 KB)

03-NTP配置


1 NTP

1.1  NTP简介

NTP(Network Time Protocol,网络时间协议)是由RFC 1305定义的时间同步协议,用来在分布式时间服务器和客户端之间进行时间同步。NTP基于UDP报文进行传输,使用的UDP端口号为123。

使用NTP的目的是对网络内所有具有时钟的设备进行时钟同步,使网络内所有设备的时钟保持一致,从而使设备能够提供基于统一时间的多种应用。

对于运行NTP的本地系统,既可以接受来自其他时钟源的同步,又可以作为时钟源同步其他的时钟,并且可以和其他设备互相同步。

1.1.1  NTP的应用

对于网络中的各台设备来说,如果依靠管理员手工输入命令来修改系统时钟是不可能的,不但工作量巨大,而且也不能保证时钟的精确性。通过NTP,可以很快将网络中设备的时钟同步,同时也能保证很高的精度。

NTP主要应用于需要网络中所有设备时钟保持一致的场合,比如:

·     在网络管理中,对于从不同设备采集来的日志信息、调试信息进行分析的时候,需要以时间作为参照依据。

·     计费系统要求所有设备的时钟保持一致。

·     完成某些功能,如定时重启网络中的所有设备,此时要求所有设备的时钟保持一致。

·     多个系统协同处理同一个比较复杂的事件时,为保证正确的执行顺序,多个系统必须参考同一时钟。

·     在备份服务器和客户端之间进行增量备份时,要求备份服务器和所有客户端之间的时钟同步。

NTP的优势如下:

·     采用分层的方法定义时钟的准确性,可以迅速同步网络中各台设备的时间。

·     支持访问控制和MD5验证。

·     可以选择采用单播、组播或广播的方式发送协议报文。

1.1.2  NTP工作原理

NTP的基本工作原理如图1-1所示。Device A和Device B通过网络相连,它们都有自己独立的系统时钟,需要通过NTP实现各自系统时钟的自动同步。为便于理解,作如下假设:

·     在Device A和Device B的系统时钟同步之前,Device A的时钟设定为10:00:00am,Device B的时钟设定为11:00:00am。

·     Device B作为NTP时间服务器,即Device A将使自己的时钟与Device B的时钟同步。

·     NTP报文在Device A和Device B之间单向传输所需要的时间为1秒。

图1-1 NTP基本原理图

 

系统时钟同步的工作过程如下:

·     Device A发送一个NTP报文给Device B,该报文带有它离开Device A时的时间戳,该时间戳为10:00:00am(T1)。

·     当此NTP报文到达Device B时,Device B加上自己的时间戳,该时间戳为11:00:01am(T2)。

·     当此NTP报文离开Device B时,Device B再加上自己的时间戳,该时间戳为11:00:02am(T3)。

·     当Device A接收到该响应报文时,Device A的本地时间为10:00:03am(T4)。

至此,Device A已经拥有足够的信息来计算两个重要的参数:

·     NTP报文的往返时延Delay=(T4-T1)-(T3-T2)=2秒。

·     Device A相对Device B的时间差offset=((T2-T1)+(T3-T4))/2=1小时。

这样,Device A就能够根据这些信息来设定自己的时钟,使之与Device B的时钟同步。

以上内容只是对NTP工作原理的一个粗略描述,详细内容请参阅RFC 1305。

1.1.3  NTP的报文格式

NTP有两种不同类型的报文,一种是时钟同步报文,另一种是控制报文。控制报文仅用于需要网络管理的场合,它对于时钟同步功能来说并不是必需的,这里不做介绍。

说明

本文中提到的NTP报文,均为NTP时钟同步报文。

 

时钟同步报文封装在UDP报文中,其格式如图1-2所示。

图1-2 时钟同步报文格式

 

主要字段的解释如下:

·     LI(Leap Indicator,闰秒指示):长度为2比特,值为“11”时表示告警状态,时钟未被同步。为其他值时NTP本身不做处理。

·     VN(Version Number,版本号):长度为3比特,表示NTP的版本号,目前的最新版本为4。

·     Mode:长度为3比特,表示NTP的工作模式。不同的值所表示的含义分别是:0未定义、1表示主动对等体模式、2表示被动对等体模式、3表示客户模式、4表示服务器模式、5表示广播模式或组播模式、6表示此报文为NTP控制报文、7预留给内部使用。

·     Stratum:系统时钟的层数,取值范围为1~16,它定义了时钟的准确度。层数为1的时钟准确度最高,准确度从1到16依次递减,层数为16的时钟处于未同步状态。

·     Poll:轮询时间,即两个连续NTP报文之间的时间间隔。

·     Precision:系统时钟的精度。

·     Root Delay:本地到主参考时钟源的往返时间。

·     Root Dispersion:系统时钟相对于主参考时钟的最大误差。

·     Reference Identifier:参考时钟源的标识。

·     Reference Timestamp:系统时钟最后一次被设定或更新的时间。

·     Originate Timestamp:NTP请求报文离开发送端时发送端的本地时间。

·     Receive Timestamp:NTP请求报文到达接收端时接收端的本地时间。

·     Transmit Timestamp:应答报文离开应答者时应答者的本地时间。

·     Authenticator:验证信息。

1.1.4  NTP的工作模式

设备可以采用多种NTP工作模式进行时间同步:

·     客户端/服务器模式

·     对等体模式

·     广播模式

·     组播模式

用户可以根据需要选择合适的工作模式。在不能确定服务器或对等体IP地址、网络中需要同步的设备很多等情况下,可以通过广播或组播模式实现时钟同步;客户端/服务器和对等体模式中,设备从指定的服务器或对等体获得时钟同步,增加了时钟的可靠性。

1. 客户端/服务器模式

图1-3 客户端/服务器模式

 

在客户端/服务器模式中,客户端向服务器发送时钟同步报文,报文中的Mode字段设置为3(客户模式)。服务器端收到报文后会自动工作在服务器模式,并发送应答报文,报文中的Mode字段设置为4(服务器模式)。客户端收到应答报文后,进行时钟过滤和选择,并同步到优选的服务器。

在该模式下,客户端能同步到服务器,而服务器无法同步到客户端。

2. 对等体模式

图1-4 对等体模式

 

在对等体模式中,主动对等体和被动对等体之间首先交互Mode字段为3(客户端模式)和4(服务器模式)的NTP报文。之后,主动对等体向被动对等体发送时钟同步报文,报文中的Mode字段设置为1(主动对等体),被动对等体收到报文后自动工作在被动对等体模式,并发送应答报文,报文中的Mode字段设置为2(被动对等体)。经过报文的交互,对等体模式建立起来。主动对等体和被动对等体可以互相同步。如果双方的时钟都已经同步,则以层数小的时钟为准。

3. 广播模式

图1-5 广播模式

 

在广播模式中,服务器端周期性地向广播地址255.255.255.255发送时钟同步报文,报文中的Mode字段设置为5(广播模式)。客户端侦听来自服务器的广播报文。当客户端接收到第一个广播报文后,客户端与服务器交互Mode字段为3(客户模式)和4(服务器模式)的NTP报文,以获得客户端与服务器间的网络延迟。之后,客户端就进入广播客户端模式,继续侦听广播报文的到来,根据到来的广播报文对系统时钟进行同步。

4. 组播模式

图1-6 组播模式

 

在组播模式中,服务器端周期性地向用户配置的组播地址(若用户没有配置组播地址,则使用默认的NTP组播地址224.0.1.1)发送时钟同步报文,报文中的Mode字段设置为5(组播模式)。客户端侦听来自服务器的组播报文。当客户端接收到第一个组播报文后,客户端与服务器交互Mode字段为3(客户模式)和4(服务器模式)的NTP报文,以获得客户端与服务器间的网络延迟。之后,客户端就进入组播客户端模式,继续侦听组播报文的到来,根据到来的组播报文对系统时钟进行同步。

说明

在对等体模式、广播模式和组播模式中,客户端(或主动对等体)和服务器(或被动对等体)之间首先要交互Mode字段为3(客户端模式)和4(服务器模式)的NTP报文,之后,才能进入指定的NTP工作模式。在此报文交互过程中,可以实现时钟的同步。

 

1.2  NTP配置任务简介

表1-1 NTP配置任务简介

配置任务

说明

详细配置

配置NTP工作模式

必选

1.3 

配置本地时钟作为参考时钟

可选

1.4 

配置NTP可选参数

可选

1.5 

配置访问控制权限

可选

1.6 

配置NTP验证功能

可选

1.7 

 

1.3  配置NTP工作模式

设备可以采用以下NTP工作模式进行时钟同步:

·     客户端/服务器模式

·     对等体模式

·     广播模式

·     组播模式

设备采用客户端/服务器模式或对等体模式时,只需要对客户端或主动对等体进行配置;设备采用广播模式或组播模式时,则需要在服务器端和客户端都进行配置。

1.3.1  配置NTP客户端/服务器模式

当设备采用客户端/服务器模式时,请在客户端进行如下配置。

表1-2 在NTP客户端上指定NTP服务器

操作

命令

说明

进入系统视图

system-view

-

指定设备的NTP服务器

ntp-service unicast-server { ip-address | server-name } [ authentication-keyid keyid | priority | source-interface interface-type interface-number | version number ] *

必选

缺省情况下,没有为设备指定NTP服务器

 

说明

·     ntp-service unicast-server命令中的ip-address是一个单播地址,不能为广播地址、组播地址或本地时钟的IP地址。

·     通过source-interface参数指定NTP报文的源接口后,NTP报文的源IP地址将被设置为指定接口的主IP地址。

·     服务器端只有当其时钟被同步后,才能作为时间服务器去同步其他设备。当服务器端的时钟层数大于或等于客户端的时钟层数时,客户端将不会向其同步。

·     可以通过多次执行ntp-service unicast-server命令配置多个服务器,客户端依据时钟优选来选择最优的时钟源。

 

1.3.2  配置NTP对等体模式

当设备采用对等体模式时,需要在主动对等体上指定被动对等体。

表1-3 在主动对等体上指定被动对等体

操作

命令

说明

进入系统视图

system-view

-

指定设备的被动对等体

ntp-service unicast-peer { ip-address | peer-name } [ authentication-keyid keyid | priority | source-interface interface-type interface-number | version number ] *

必选

缺省情况下,没有为设备指定被动对等体

 

说明

·     在对等体模式中,被动对等体上需要执行ntp-service refclock-master或“配置NTP工作模式”中的任何一条NTP配置命令来使能NTP,否则被动对等体不会处理来自主动对等体的NTP报文。

·     ntp-service unicast-peer 命令中的ip-address是一个单播地址,不能为广播地址、组播地址或本地时钟的IP地址。

·     通过source-interface参数指定NTP报文的源接口后,NTP报文的源IP地址将被设置为指定接口的主IP地址。

·     通常,主、被动对等体中至少有一个处于同步状态,否则他们将都无法同步。

·     可以通过多次执行ntp-service unicast-peer命令配置多个被动对等体。

 

1.3.3  配置NTP广播模式

广播服务器周期性地向广播地址255.255.255.255发送NTP报文,工作在NTP广播客户端模式的设备将回应这个报文,从而开始时钟同步过程。

当设备采用广播模式时,需要在服务器端和客户端都进行配置。由于广播服务器上需要指定一个发送NTP广播报文的接口,广播客户端上也需要指定一个接收NTP广播报文的接口,所以广播模式的配置只能在具体的接口视图下进行。

1. 配置广播客户端

表1-4 配置广播客户端

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

进入要接收NTP广播报文的接口

配置设备工作在NTP广播客户端模式

ntp-service broadcast-client

必选

 

2. 配置广播服务器

表1-5 配置广播服务器

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

进入要发送NTP广播报文的接口

配置设备工作在NTP广播服务器模式

ntp-service broadcast-server [ authentication-keyid keyid | version number ] *

必选

 

说明

 

1.3.4  配置NTP组播模式

NTP组播服务器以组播形式周期性地发送时钟同步报文,工作在NTP组播客户端模式的设备将回应这个报文,从而开始时钟同步过程。

设备采用组播模式时,需要在服务器端和客户端都进行配置。组播模式的配置只能在具体的接口视图下进行。

1. 配置组播客户端

表1-6 配置组播客户端

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

进入要接收NTP组播报文的接口

配置设备工作在NTP组播客户端模式

ntp-service multicast-client [ ip-address ]

必选

 

2. 配置组播服务器

表1-7 配置组播服务器

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

进入要发送NTP组播报文的接口

配置设备工作在NTP组播服务器模式

ntp-service multicast-server [ ip-address ] [ authentication-keyid keyid | ttl ttl-number | version number ] *

必选

 

说明

 

1.4  配置本地时钟作为参考时钟

网络中的设备可以通过下面两种方式进行时间同步:

·     与本地时钟进行同步:即采用本地时钟作为参考时钟。

·     与网络中的其他设备进行同步:可以采用前面介绍的四种NTP工作模式中的任何一种。

如果同时配置了两种方式,设备将通过时钟优选来选择最优的时钟源。

表1-8 配置本地时钟作为参考时钟

操作

命令

说明

进入系统视图

system-view

-

配置本地时钟作为参考时钟

ntp-service refclock-master [ ip-address ] [ stratum ]

必选

 

说明

·     实际网络中,通常将从权威时钟(如原子时钟)获得时钟同步的NTP服务器的层数设置为1,并将其作为主参考时钟源同步网络中其他设备的时钟。网络中的设备与主参考时钟源的NTP距离,即NTP同步链上NTP服务器的数目,决定了设备上时钟的层数。

·     配置本地时钟作为参考时钟后,本地设备可以作为时钟源同步网络中的其他设备。请谨慎使用本配置,以免导致网络中设备的时钟错误。

·     命令中的ip-address只能为127.127.1.u。u的取值范围为0~3,表示NTP的进程号。

 

1.5  配置NTP可选参数

1.5.1  配置NTP报文的源接口

如果指定了NTP报文的源接口,则设备在主动发送NTP报文时,将报文的源IP地址设置为指定接口的主IP地址。建议将Loopback接口指定为源接口,以避免设备上某个接口的状态变化而导致NTP报文无法接收。

设备对接收到的NTP请求报文进行应答时,应答报文的源IP地址始终为接收到NTP请求报文的目的地址。

表1-9 配置NTP报文的源接口

操作

命令

说明

进入系统视图

system-view

-

配置NTP报文的源接口

ntp-service source-interface interface-type interface-number

必选

缺省情况下,没有指定NTP报文的源接口,即根据路由选择NTP报文的源IP地址

 

注意

·     如果在命令ntp-service unicast-serverntp-service unicast-peer中指定了NTP报文的源接口,则以ntp-service unicast-serverntp-service unicast-peer指定的为准。

·     如果在接口视图下配置了ntp-service broadcast-serverntp-service multicast-server,则NTP广播或组播模式报文的源接口为配置了上述命令的接口。

1.5.2  配置禁止接口接收NTP报文

使能NTP功能后,缺省情况下所有接口都可以接收NTP报文。可以通过本配置,禁止从某个接口接收NTP报文。

表1-10 配置禁止接口接收NTP报文

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置禁止接口接收NTP报文

ntp-service in-interface disable

必选

缺省情况下,允许接口接收NTP报文

 

1.5.3  配置允许建立的动态会话数目

NTP会话分为两种:

·     静态会话:用户手动配置NTP相关命令而建立的会话。

·     动态会话:NTP协议运行过程中建立的临时会话,若系统长期没有报文交互就会删除该临时会话。

各种模式中,会话的建立情况如下:

·     客户端/服务器模式中,在客户端上指定了NTP服务器后,客户端上会建立一个静态会话,服务器端在收到报文之后只是被动的响应报文,而不会建立会话(包括静态和动态会话)。

·     对等体模式中,在主动对等体上指定了被动对等体后,主动对等体上会建立静态会话,被动对等体端会建立动态会话。

·     广播模式和组播模式中,在广播/组播服务器端上会建立静态会话,而在广播/组播客户端上会建立动态会话。

设备同一时间内最多可以建立的会话数目为128个,其中包括静态会话数和动态会话数。

本配置用来限制动态会话的数目,以避免设备上维护过多的动态会话,占用过多的系统资源。

表1-11 配置允许建立的动态会话数目

操作

命令

说明

进入系统视图

system-view

-

配置允许建立的动态NTP会话数目

ntp-service max-dynamic-sessions number

必选

缺省情况下,允许建立的动态NTP会话的数目为100

 

1.6  配置访问控制权限

用户可以配置对本地设备NTP服务的访问控制权限。访问控制权限可以分为四种:

·     query:允许控制查询权限。该权限只允许对端设备对本地设备的NTP服务进行控制查询,但是不能向本地设备同步。所谓的控制查询,就是查询NTP的一些状态,比如告警信息,验证状态,时钟源信息等。

·     synchronization:只允许服务器访问权限。该权限只允许对端设备向本地设备同步,但不能进行控制查询。

·     server:允许服务器访问与查询权限。该权限允许对端设备向本地设备同步和控制查询,但本地设备不会同步到对端设备。

·     peer:完全访问权限。该权限既允许对端设备向本地设备同步和控制查询,同时本地设备也可以同步到对端设备。

NTP服务的访问控制权限从高到低依次为peerserversynchronizationquery。当设备接收到NTP服务请求报文时,会按照此顺序进行匹配,以第一个匹配的权限为准。如果没有匹配任何权限,则丢弃此NTP服务请求报文。

1.6.1  配置准备

在配置对本地设备NTP服务的访问控制权限之前,需要创建并配置与访问权限关联的ACL。ACL的配置方法请参见“ACL和QoS配置指导”中的“ACL”。

1.6.2  配置访问控制权限

表1-12 配置对本地设备NTP服务的访问控制权限

操作

命令

说明

进入系统视图

system-view

-

配置对端设备对本地设备NTP服务的访问控制权限

ntp-service access { peer | query | server | synchronization } acl-number

必选

缺省情况下,对端设备对本地设备NTP服务的访问控制权限为peer

 

说明

配置对本地设备NTP服务的访问控制权限,仅提供了一种最小限度的安全措施,更安全的方法是进行身份验证。

 

1.7  配置NTP验证功能

在一些对安全性要求较高的网络中,运行NTP协议时需要启用验证功能。通过客户端和服务器端的密码验证,保证客户端只与通过验证的设备进行同步,提高了网络安全性。

配置NTP验证功能分为以下几步:

·     使能NTP验证功能

·     配置验证密钥

·     将验证密钥设为可信密钥

·     指定与NTP服务器或对等体关联的密钥

上述步骤缺一不可,缺少任何一项配置都会导致NTP验证功能无法正常启用。

1.7.1  配置客户端/服务器模式的NTP验证功能

配置客户端/服务器模式的NTP验证功能时,需要在客户端和服务器上都使能NTP验证功能、配置验证密钥、将验证密钥设为可信密钥,并在客户端上指定与NTP服务器关联的密钥。

·     如果客户端上使能了NTP验证功能、配置了验证密钥和可信密钥、指定了与NTP服务器关联的密钥,且关联的密钥为可信密钥,则只有服务器上也正常启用了NTP验证功能(使能NTP验证功能、配置验证密钥和可信密钥),客户端才能与服务器进行时间同步。

·     如果客户端上没有使能NTP验证功能,或客户端上没有指定与NTP服务器关联的密钥,则客户端与该服务器进行时间同步时不会进行身份验证,即无论服务器端是否正常启用验证功能,客户端都能与服务器进行时间同步。

·     如果客户端上使能了NTP验证功能、指定了与NTP服务器关联的密钥,但关联的密钥不是可信密钥,则无论服务器端是否正常启用验证功能,客户端都不能向该服务器同步。

1. 配置客户端的NTP验证

表1-13 配置客户端的NTP验证

操作

命令

说明

进入系统视图

system-view

-

使能NTP身份验证功能

ntp-service authentication enable

必选

缺省情况下,NTP身份验证功能处于关闭状态

配置NTP验证密钥

ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value [ acl ipv4-acl-number ] *

必选

缺省情况下,没有配置NTP验证密钥

配置指定密钥为可信密钥

ntp-service reliable authentication-keyid keyid

必选

缺省情况下,没有指定可信密钥

将指定密钥与对应的NTP服务器关联

ntp-service unicast-server { ip-address | server-name } authentication-keyid keyid

必选

可以将不存在的密钥与NTP服务器关联。但是若想成功启用NTP验证功能,则必须在关联密钥后,配置该密钥,并将其指定为可信密钥

 

说明

客户端使能NTP验证功能后,必须配置与服务器端相同的验证密钥,并且必须声明该密钥是可信的,否则无法与服务器同步。

 

2. 配置服务器端的NTP验证

表1-14 配置服务器端的NTP验证

操作

命令

说明

进入系统视图

system-view

-

使能NTP验证功能

ntp-service authentication enable

必选

缺省情况下,NTP身份验证功能处于关闭状态

配置NTP验证密钥

ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value [ acl ipv4-acl-number ] *

必选

缺省情况下,没有配置NTP验证密钥

配置指定密钥为可信密钥

ntp-service reliable authentication-keyid keyid

必选

缺省情况下,没有指定可信密钥

 

说明

 

1.7.2  配置对等体模式的NTP验证功能

配置对等体模式的NTP验证功能时,需要在主动对等体和被动对等体上都使能NTP验证功能、配置验证密钥、将验证密钥设为可信密钥,并在主动对等体上指定与被动对等体关联的密钥。

(1)     主动对等体的时钟层数大于被动对等体时

·     如果主动对等体上使能了NTP验证功能、配置了验证密钥和可信密钥、指定了与被动对等体关联的密钥、且关联的密钥为可信密钥,则只有被动对等体上也正常启用了NTP验证功能(使能NTP验证功能、配置验证密钥和可信密钥),主动对等体才能向被动对等体同步。

·     如果主动对等体上没有使能NTP验证功能,或主动对等体上没有指定与被动对等体关联的密钥,则只要被动对等体上没有使能NTP验证功能,主动对等体就可以向被动对等体同步。否则,不能向被动对等体同步。

·     如果主动对等体上使能了NTP验证功能、指定了与被动对等体关联的密钥,但关联的密钥不是可信密钥,则无论被动对等体是否正常启用验证功能,主动对等体都不能向该被动对等体同步。

(2)     被动对等体的时钟层数大于主动对等体时

·     如果主动对等体上使能了NTP验证功能、配置了验证密钥和可信密钥、指定了与被动对等体关联的密钥、且关联的密钥为可信密钥,则只有被动对等体上也正常启用了NTP验证功能(使能NTP验证功能、配置验证密钥和可信密钥),主动对等体才能为被动对等体提供时钟同步。

·     如果主动对等体上没有使能NTP验证功能、或主动对等体上没有指定与被动对等体关联的密钥、或关联的密钥不是可信密钥,则只要被动对等体上没有使能NTP验证功能,主动对等体就可以为被动对等体提供时钟同步。否则,不能为被动对等体提供时钟同步。

2. 配置主动对等体的NTP验证

表1-15 配置主动对等体的NTP验证

操作

命令

说明

进入系统视图

system-view

-

使能NTP身份验证功能

ntp-service authentication enable

必选

缺省情况下,NTP身份验证功能处于关闭状态

配置NTP验证密钥

ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value [ acl ipv4-acl-number ] *

必选

缺省情况下,没有配置NTP验证密钥

配置指定密钥为可信密钥

ntp-service reliable authentication-keyid keyid

必选

缺省情况下,没有指定可信密钥

将指定密钥与对应的被动对等体关联

ntp-service unicast-peer { ip-address | peer-name } authentication-keyid keyid

必选

可以将不存在的密钥与被动对等体关联。但是若想成功启用NTP验证功能,则必须在关联密钥后,配置该密钥,并将其指定为可信密钥

 

说明

主动对等体使能NTP验证功能后,必须配置与被动对等体相同的验证密钥,并且必须声明该密钥是可信的。

 

3. 配置被动对等体的NTP验证

表1-16 配置被动对等体的NTP验证

操作

命令

说明

进入系统视图

system-view

-

使能NTP验证功能

ntp-service authentication enable

必选

缺省情况下,NTP身份验证功能处于关闭状态

配置NTP验证密钥

ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value [ acl ipv4-acl-number ] *

必选

缺省情况下,没有配置NTP验证密钥

配置指定密钥为可信密钥

ntp-service reliable authentication-keyid keyid

必选

缺省情况下,没有指定可信密钥

 

说明

 

1.7.3  配置广播模式的NTP验证功能

配置广播模式的NTP验证功能时,需要在广播客户端和广播服务器上都使能NTP验证功能、配置验证密钥、将验证密钥设为可信密钥,并在广播服务器上指定与该服务器关联的密钥。

·     如果广播服务器上使能了NTP验证功能、配置了验证密钥和可信密钥、指定了与该服务器关联的密钥、且关联的密钥为可信密钥,则只有广播客户端上也正常启用了NTP验证功能(使能NTP验证功能、配置验证密钥和可信密钥),广播服务器才能为广播客户端提供时钟同步。

·     如果广播服务器上没有使能NTP验证功能、或广播服务器上没有指定与该服务器关联的密钥、或关联的密钥不是可信密钥,则只要广播客户端上没有使能NTP验证功能,广播服务器就可以为其提供时钟同步。否则,不能为其提供时钟同步。

1. 配置广播客户端的NTP验证

表1-17 配置广播客户端的NTP验证

操作

命令

说明

进入系统视图

system-view

-

使能NTP身份验证功能

ntp-service authentication enable

必选

缺省情况下,NTP身份验证功能处于关闭状态

配置NTP验证密钥

ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value [ acl ipv4-acl-number ] *

必选

缺省情况下,没有配置NTP验证密钥

配置指定密钥为可信密钥

ntp-service reliable authentication-keyid keyid

必选

缺省情况下,没有指定可信密钥

 

说明

广播客户端使能NTP验证功能后,必须配置与广播服务器端相同的验证密钥,并且必须声明该密钥是可信的。

 

2. 配置广播服务器端的NTP验证

表1-18 配置广播服务器端的NTP验证

操作

命令

说明

进入系统视图

system-view

-

使能NTP验证功能

ntp-service authentication enable

必选

缺省情况下,NTP身份验证功能处于关闭状态

配置NTP验证密钥

ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value [ acl ipv4-acl-number ] *

必选

缺省情况下,没有配置NTP验证密钥

配置指定密钥为可信密钥

ntp-service reliable authentication-keyid keyid

必选

缺省情况下,没有指定可信密钥

进入接口视图

interface interface-type interface-number

-

将指定密钥与对应的广播服务器关联

ntp-service broadcast-server authentication-keyid keyid

必选

可以将不存在的密钥与广播服务器关联。但是若想成功启用NTP验证功能,则必须在关联密钥后,配置该密钥,并将其指定为可信密钥

 

说明

 

1.7.4  配置组播模式的NTP验证功能

配置组播模式的NTP验证功能时,需要在组播客户端和组播服务器上都使能NTP验证功能、配置验证密钥、将验证密钥设为可信密钥,并在组播服务器上指定与该服务器关联的密钥。

·     如果组播服务器上使能了NTP验证功能、配置了验证密钥和可信密钥、指定了与该服务器关联的密钥,且关联的密钥为可信密钥,则只有组播客户端上也正常启用了NTP验证功能(使能NTP验证功能、配置验证密钥和可信密钥),组播服务器才能为组播客户端提供时钟同步。

·     如果组播服务器上没有使能NTP验证功能、或组播服务器上没有指定与该服务器关联的密钥、或关联的密钥不是可信密钥,则只要组播客户端上没有使能NTP验证功能,组播服务器就可以为其提供时钟同步。否则,不能为其提供时钟同步。

1. 配置组播客户端的NTP验证

表1-19 配置组播客户端的NTP验证

操作

命令

说明

进入系统视图

system-view

-

使能NTP身份验证功能

ntp-service authentication enable

必选

缺省情况下,NTP身份验证功能处于关闭状态

配置NTP验证密钥

ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value [ acl ipv4-acl-number ] *

必选

缺省情况下,没有配置NTP验证密钥

配置指定密钥为可信密钥

ntp-service reliable authentication-keyid keyid

必选

缺省情况下,没有指定可信密钥

 

说明

组播客户端使能NTP验证功能后,必须配置与组播服务器端相同的验证密钥,并且必须声明该密钥是可信的。

 

2. 配置组播服务器端的NTP验证

表1-20 配置组播服务器端的NTP验证

操作

命令

说明

进入系统视图

system-view

-

使能NTP验证功能

ntp-service authentication enable

必选

缺省情况下,NTP身份验证功能处于关闭状态

配置NTP验证密钥

ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value [ acl ipv4-acl-number ] *

必选

缺省情况下,没有配置NTP验证密钥

配置指定密钥为可信密钥

ntp-service reliable authentication-keyid keyid

必选

缺省情况下,没有指定可信密钥

进入接口视图

interface interface-type interface-number

-

将指定密钥与对应的组播服务器关联

ntp-service multicast-server [ ip-address ] authentication-keyid keyid

必选

可以将不存在的密钥与组播服务器关联。但是若想成功启用NTP验证功能,则必须在关联密钥后,配置该密钥,并将其指定为可信密钥

 

说明

 

1.8  NTP显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后NTP的运行情况,通过查看显示信息验证配置的效果。

表1-21 NTP显示与维护

操作

命令

显示NTP服务的状态信息

display ntp-service status [ | { begin | exclude | include } regular-expression ]

显示NTP服务维护的会话信息

display ntp-service sessions [ verbose ] [ | { begin | exclude | include } regular-expression ]

显示从本地设备回溯到主参考时钟源的各个NTP时间服务器的简要信息

display ntp-service trace [ | { begin | exclude | include } regular-expression ]

 

1.9  NTP典型配置举例

1.9.1  配置NTP客户端/服务器模式

1. 组网需求

为了实现AC的时钟与Switch的时钟同步,需要进行以下配置:

·     在Switch上设置本地时钟作为参考时钟,层数为2;

·     AC工作在客户端模式,指定Switch为NTP服务器。

2. 组网图

图1-7 配置NTP客户端/服务器模式组网图

 

3. 配置步骤

(1)     按照图1-7配置各接口的IP地址,具体配置过程略。

(2)     配置Switch

# 设置本地时钟作为参考时钟,层数为2。

<Switch> system-view

[Switch] ntp-service refclock-master 2

(3)     配置AC

# 同步前查看AC的NTP状态。

<AC> display ntp-service status

 Clock status: unsynchronized

 Clock stratum: 16

 Reference clock ID: none

 Nominal frequency: 100.0000 Hz

 Actual frequency: 100.0000 Hz

 Clock precision: 2^17

 Clock offset: 0.0000 ms

 Root delay: 0.00 ms

 Root dispersion: 0.00 ms

 Peer dispersion: 0.00 ms

 Reference time: 00:00:00.000 UTC Jan 1 1900 (00000000.00000000)

# 设置Switch为AC的NTP服务器。

<AC> system-view

[AC] ntp-service unicast-server 1.0.1.11

# 以上配置将AC向Switch进行时间同步,同步后查看AC的NTP状态。

[AC] display ntp-service status

 Clock status: synchronized

 Clock stratum: 3

 Reference clock ID: 1.0.1.11

 Nominal frequency: 100.0000 Hz

 Actual frequency: 100.0000 Hz

 Clock precision: 2^17

 Clock offset: 0.0000 ms

 Root delay: 31.00 ms

 Root dispersion: 1.05 ms

 Peer dispersion: 7.81 ms

 Reference time: 14:53:27.371 UTC Sep 19 2005 (C6D94F67.5EF9DB22)

此时AC已经与Switch同步,层数比AC的层数大1,为3。

# 查看AC的NTP会话信息,可以看到AC与Switch建立了连接。

[AC] display ntp-service sessions

      source      reference   stra  reach  poll  now  offset  delay  disper

**************************************************************************

[12345] 1.0.1.11  127.127.1.0    2    63    64    3    -75.5    31.0  16.5

note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured

Total associations :  1

1.9.2  配置NTP对等体模式

1. 组网需求

为了实现设备之间的时钟同步,需要进行以下配置:

·     在Switch上设置本地时钟作为参考时钟,层数为2;

·     在AC2上设置本地时钟作为参考时钟,层数为1;

·     AC 1工作在客户端模式,指定Switch为NTP服务器;

·     AC 2工作在对等体模式,将AC 1设为对等体。AC 2为主动对等体,AC 1为被动对等体。

2. 组网图

图1-8 配置NTP对等体模式组网图

 

3. 配置步骤

(1)     按照图1-8配置各接口的IP地址,具体配置过程略。

(2)     配置Switch

# 设置本地时钟作为参考时钟,层数为2。

<Switch> system-view

[Switch] ntp-service refclock-master 2

(3)     配置AC 1

# 设置Switch为AC 1的NTP服务器。

<AC1> system-view

[AC1] ntp-service unicast-server 3.0.1.31

(4)     配置AC 2AC 1向Switch同步后)

# 设置本地时钟作为参考时钟,层数为1。

<AC2> system-view

[AC2] ntp-service refclock-master 1

# 本地同步后,设置AC 1为对等体。

[AC2] ntp-service unicast-peer 3.0.1.32

以上配置将AC 1和AC 2配置为对等体,AC 2处于主动对等体模式,AC 1处于被动对等体模式,由于AC 2系统时钟的层数为1,而AC 1的层数为3,所以AC 1向AC 2同步。

# 同步后查看AC 1的状态。

[AC1] display ntp-service status

 Clock status: synchronized

 Clock stratum: 2

 Reference clock ID: 3.0.1.33

 Nominal frequency: 100.0000 Hz

 Actual frequency: 100.0000 Hz

 Clock precision: 2^17

 Clock offset: -21.1982 ms

 Root delay: 15.00 ms

 Root dispersion: 775.15 ms

 Peer dispersion: 34.29 ms

 Reference time: 15:22:47.083 UTC Sep 19 2005 (C6D95647.153F7CED)

此时AC 1已经与AC 2同步,层数比AC 2的层数大1,为2。

# 查看AC 1的NTP会话信息,可以看到AC 1与AC 2建立了连接。

[AC1] display ntp-service sessions

       source     reference   stra  reach  poll  now   offset delay  disper

**************************************************************************

[245] 3.0.1.31  127.127.1.0    2    15    64   24   10535.0  19.6   14.5

[1234] 3.0.1.33   LOCL          1    14    64   27    -77.0   16.0   14.8

note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured

Total associations :  2

1.9.3  配置NTP广播模式

1. 组网需求

AC2作为同一网段中多个设备的NTP服务器,同时同步多个设备的时钟。为了实现该需求,需要进行以下配置:

·     在AC 2上设置本地时钟作为参考时钟,层数为2;

·     AC 2工作在广播服务器模式,从VLAN接口2向外发送广播报文;

·     AC 1和AC 3工作在广播客户端模式,AC 1从VLAN接口3监听广播报文,AC 3从VLAN接口2监听广播报文。

2. 组网图

图1-9 配置NTP广播模式组网图

 

3. 配置步骤

(1)     按照图1-9配置各接口的IP地址,具体配置过程略。

(2)     配置AC 2

# 设置本地时钟作为参考时钟,层数为2。

<AC2> system-view

[AC2] ntp-service refclock-master 2

# 设置AC2为广播服务器,从VLAN接口2发送广播报文。

[AC2] interface vlan-interface 2

[AC2-Vlan-interface2] ntp-service broadcast-server

(3)     配置AC 3

# 设置AC 3为广播客户端,从VLAN接口2监听广播报文。

<AC3> system-view

[AC3] interface vlan-interface 2

[AC3-Vlan-interface2] ntp-service broadcast-client

(4)     配置AC 1

# 设置AC 1为广播客户端,从VLAN接口3监听广播报文。

<AC1> system-view

[AC1] interface vlan-interface 3

[AC1-Vlan-interface3] ntp-service broadcast-client

由于AC 1与AC 2不在相同的网段,所以接收不到AC 2发出的广播报文,而AC 3接收到AC 2发出的广播报文后与其同步。

# 同步后查看AC 3的状态。

[AC3-Vlan-interface2] display ntp-service status

 Clock status: synchronized

 Clock stratum: 3

 Reference clock ID: 3.0.1.31

 Nominal frequency: 100.0000 Hz

 Actual frequency: 100.0000 Hz

 Clock precision: 2^17

 Clock offset: 0.0000 ms

 Root delay: 31.00 ms

 Root dispersion: 8.31 ms

 Peer dispersion: 34.30 ms

 Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)

此时AC 3已经与AC 2同步,层数比AC 2的层数大1,为3。

# 查看AC 3的NTP会话信息,可以看到AC 3与AC 2建立了连接。

[AC3-Vlan-interface2] display ntp-service sessions

      source    reference   stra  reach  poll  now    offset delay  disper

**************************************************************************

[1234] 3.0.1.31  127.127.1.0   2   254     64    62   -16.0    32.0   16.6

note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured

Total associations :  1

1.9.4  配置NTP组播模式

说明

该配置举例中对于以太网接口的配置,请参见表1-22。本配置举例以GigabitEthernet接口为例,实际使用中请以设备实际情况为准。

 

表1-22 AC以太网接口配置说明

硬件及型号

以太网接口配置说明

安装在交换机上的无线控制器业务板

LSQM1WCMB0

LSQM1WCMD0

LSBM1WCM2A0

LSRM1WCM2A1

LSRM1WCM3A1

LSUM3WCMD0

LSWM1WCM10

LSWM1WCM20

LSUM1WCME0

请直接在无线控制器业务板与交换机相连的内部以太网接口上配置(无线控制器业务板插在交换机的扩展插槽上)

有线无线一体化交换机

WX3024

WX3010

WX3008

WX3024E

WX3010E

请直接在无线控制引擎与交换引擎相连的内部以太网接口上配置

无线控制器

WX6103

请直接在主控板与交换板相连的内部以太网接口上配置

WX5002V2

WX5004

请直接在设备的以太网接口上配置

WX3510E

WX3540E

WX5510E

WX2540E

对于无线相关的特性,请直接在设备的LAN口上配置

对于路由相关的特性,比如PPPoE、RIP等,请直接在设备的WAN口配置

WAC360

WAC361

WX5540E

请直接在无线控制引擎与交换引擎相连的内部以太网接口上配置

WX6100E(包括EWPXM2WCMD0、EWPXM3WCMD0、EWPXM1WCME0)

请直接在WX6100E的无线控制器业务板与交换板相连的内部以太网接口上配置(无线控制器业务板插在WX6100E无线控制器的扩展插槽上)

 

2. 组网需求

AC2作为不同网段中多个设备的NTP服务器,同时同步多个设备的时钟。为了实现该需求,需要进行以下配置:

·     AC 2设置本地时钟作为参考时钟,层数为2;

·     AC 2工作在组播服务器模式,从VLAN接口2向外发送组播报文;

·     AC 1和AC 3工作在组播客户端模式,AC 1从VLAN接口3监听组播报文,AC 3从VLAN接口2监听组播报文。

3. 组网图

图1-10 配置NTP组播模式组网图

 

4. 配置步骤

(1)     按照图1-10配置各接口的IP地址,具体配置过程略。

(2)     配置AC 2

# 设置本地时钟作为参考时钟,层数为2。

<AC2> system-view

[AC2] ntp-service refclock-master 2

# 设置AC 2为组播服务器,从VLAN接口2发送组播报文。

[AC2] interface vlan-interface 2

[AC2-Vlan-interface2] ntp-service multicast-server

(3)     配置AC 3

# 设置AC 3为组播客户端,从VLAN接口2监听组播报文。

<AC3> system-view

[AC3] interface vlan-interface 2

[AC3-Vlan-interface2] ntp-service multicast-client

由于AC 3和AC 2在同一个网段,不需要配置组播功能,AC 3就可以收到AC 2发出的组播报文,并与其同步。

# 同步后查看AC 3的状态。

[AC3-Vlan-interface2] display ntp-service status

 Clock status: synchronized

 Clock stratum: 3

 Reference clock ID: 3.0.1.31

 Nominal frequency: 100.0000 Hz

 Actual frequency: 100.0000 Hz

 Clock precision: 2^17

 Clock offset: 0.0000 ms

 Root delay: 31.00 ms

 Root dispersion: 8.31 ms

 Peer dispersion: 34.30 ms

 Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)

此时AC 3已经与AC 2同步,层数比AC 2的层数大1,为3。

# 查看AC 3的NTP会话信息,可以看到AC 3与AC 2建立了连接。

[AC3-Vlan-interface2] display ntp-service sessions

      source    reference   stra  reach  poll  now    offset delay  disper

**************************************************************************

[1234] 3.0.1.31  127.127.1.0   2   254     64    62   -16.0    31.0   16.6

note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured

Total associations :  1

(4)     配置Switch

由于AC 1与AC 2不在同一网段,所以Switch上需要配置组播功能,否则AC 1收不到AC 2发出的组播报文。

# 配置组播功能。

<Switch> system-view

[Switch] multicast routing-enable

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] pim dm

[Switch-Vlan-interface2] quit

[Switch] vlan 3

[Switch-vlan3] port gigabitethernet 1/0/1

[Switch-vlan3] quit

[Switch] interface vlan-interface 3

[Switch-Vlan-interface3] igmp enable

[Switch-Vlan-interface3] quit

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] igmp-snooping static-group 224.0.1.1 vlan 3

(5)     配置AC 1

<AC1> system-view

[AC1] interface vlan-interface 3

# 设置AC 1为组播客户端,从VLAN接口3监听组播报文。

[AC1-Vlan-interface3] ntp-service multicast-client

# 同步后查看AC 1的状态。

[AC1-Vlan-interface3] display ntp-service status

 Clock status: synchronized

 Clock stratum: 3

 Reference clock ID: 3.0.1.31

 Nominal frequency: 100.0000 Hz

 Actual frequency: 100.0000 Hz

 Clock precision: 2^17

 Clock offset: 0.0000 ms

 Root delay: 40.00 ms

 Root dispersion: 10.83 ms

 Peer dispersion: 34.30 ms

 Reference time: 16:02:49.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)

此时AC 1已经与AC 2同步,层数比AC 2的层数大1,为3。

# 查看AC 1的NTP会话信息,可以看到AC 1与AC 2建立了连接。

[AC1-Vlan-interface3] display ntp-service sessions

      source    reference   stra  reach  poll  now    offset delay  disper

**************************************************************************

[1234] 3.0.1.31  127.127.1.0    2   255     64    26   -16.0    40.0   16.6

note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured

Total associations :  1

1.9.5  配置带身份验证的NTP客户端/服务器模式

1. 组网需求

为了实现AC的时钟与Switch的时钟同步,并保证时钟同步的安全性,需要进行以下配置:

·     在Switch上设置本地时钟作为参考时钟,层数为2;

·     AC工作在客户端模式,指定Switch为NTP服务器;

·     Switch和AC上同时配置NTP验证。

2. 组网图

图1-11 配置带身份验证的NTP客户端/服务器模式组网图

 

3. 配置步骤

(1)     按照图1-11配置各接口的IP地址,具体配置过程略。

(2)     配置Switch

# 设置本地时钟作为参考时钟,层数为2。

<Switch> system-view

[Switch] ntp-service refclock-master 2

(3)     配置AC

<AC> system-view

# 在AC上启动身份验证。

[AC] ntp-service authentication enable

# 设置密钥。

[AC] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey

# 指定密钥为可信密钥。

[AC] ntp-service reliable authentication-keyid 42

# 设置Switch为AC的NTP服务器。

[AC] ntp-service unicast-server 1.0.1.11 authentication-keyid 42

以上配置将AC向Switch进行时间同步,但由于Switch没有使能NTP身份验证,所以,AC还是无法向Switch同步。

现在,向Switch增加以下配置:

# 在Switch上启动身份验证。

[Switch] ntp-service authentication enable

# 设置密钥。

[Switch] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey

# 指定密钥为可信密钥。

[Switch] ntp-service reliable authentication-keyid 42

此时,AC可以向Switch同步。

# 同步后查看AC的状态。

[AC] display ntp-service status

 Clock status: synchronized

 Clock stratum: 3

 Reference clock ID: 1.0.1.11

 Nominal frequency: 100.0000 Hz

 Actual frequency: 100.0000 Hz

 Clock precision: 2^17

 Clock offset: 0.0000 ms

 Root delay: 31.00 ms

 Root dispersion: 1.05 ms

 Peer dispersion: 7.81 ms

 Reference time: 14:53:27.371 UTC Sep 19 2005 (C6D94F67.5EF9DB22)

可以看出,AC已经与Switch同步,层数比Switch的层数大1,为3。

# 查看AC的NTP会话信息,可以看到AC与Switch建立了连接。

[AC] display ntp-service sessions

      source      reference   stra  reach  poll  now  offset  delay  disper

**************************************************************************

[12345] 1.0.1.11  127.127.1.0    2    63    64    3    -75.5    31.0  16.5

note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured

Total associations :  1

1.9.6  配置带身份验证的NTP广播模式

1. 组网需求

AC 2作为同一网段中多个设备的NTP服务器,同时同步多个设备的时钟。AC 3要求对时钟源进行验证,以保证时钟同步的安全性。为了实现上述需求,需要进行以下配置:

·     在AC 2上设置本地时钟作为参考时钟,层数为3;

·     AC 2工作在广播服务器模式,从VLAN接口2向外发送广播报文;

·     AC 1和AC 3工作在广播客户端模式,AC 1从VLAN接口3监听广播报文,AC 3从VLAN接口2监听广播报文;

·     在AC 3和AC 2上配置NTP验证功能。

2. 组网图

图1-12 配置带身份验证的NTP广播模式组网图

 

3. 配置步骤

(1)     按照图1-12配置各接口的IP地址,具体配置过程略。

(2)     配置AC 1

# 设置AC 1为NTP广播客户端,从VLAN接口2监听广播报文。

<AC1> system-view

[AC1] interface vlan-interface 3

[AC1-Vlan-interface3] ntp-service broadcast-client

(3)     配置AC 3

# 使能NTP验证功能,创建ID为88的NTP验证密钥,密钥值为123456,并将密钥88指定为可信密钥。

<AC3> system-view

[AC3] ntp-service authentication enable

[AC3] ntp-service authentication-keyid 88 authentication-mode md5 123456

[AC3] ntp-service reliable authentication-keyid 88

# 设置AC 3为NTP广播客户端,从VLAN接口2监听广播报文。

[AC3] interface vlan-interface 2

[AC3-Vlan-interface2] ntp-service broadcast-client

(4)     配置AC 2

# 设置本地时钟作为参考时钟,层数为3。

<AC2> system-view

[AC2] ntp-service refclock-master 3

# 设置AC 2为NTP广播服务器,从VLAN接口2向外发送广播报文。

[AC2] interface vlan-interface 2

[AC2-Vlan-interface2] ntp-service broadcast-server

[AC2-Vlan-interface2] quit

# AC 1接收到AC 2发出的广播报文后与其同步。在AC 1上查看NTP服务的状态信息,可以看到AC 1已经与AC 2同步,层数比AC 2的层数大1,为4。

[AC1-Vlan-interface2] display ntp-service status

 Clock status: synchronized

 Clock stratum: 4

 Reference clock ID: 3.0.1.31

 Nominal frequency: 64.0000 Hz

 Actual frequency: 64.0000 Hz

 Clock precision: 2^7

 Clock offset: 0.0000 ms

 Root delay: 31.00 ms

 Root dispersion: 8.31 ms

 Peer dispersion: 34.30 ms

 Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)

# 查看AC 1的NTP会话信息,可以看到AC 1与AC 2建立了连接。

[AC1-Vlan-interface2] display ntp-service sessions

      source    reference   stra  reach  poll  now    offset delay  disper

**************************************************************************

[1234] 3.0.1.31  127.127.1.0  3   254     64    62   -16.0    32.0   16.6

note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured

Total associations :  1

# 由于AC 3上使能了NTP验证功能,AC 2上没有使能NTP验证功能。因此,AC 3无法向AC 2同步。

[AC3-Vlan-interface2] display ntp-service status

 Clock status: unsynchronized

 Clock stratum: 16

 Reference clock ID: none

 Nominal frequency: 100.0000 Hz

 Actual frequency: 100.0000 Hz

 Clock precision: 2^18

 Clock offset: 0.0000 ms

 Root delay: 0.00 ms

 Root dispersion: 0.00 ms

 Peer dispersion: 0.00 ms

 Reference time: 00:00:00.000 UTC Jan 1 1900(00000000.00000000)

# 在AC 2上使能NTP验证功能,创建ID为88的NTP验证密钥,密钥值为123456,并将密钥88指定为可信密钥。

[AC2] ntp-service authentication enable

[AC2] ntp-service authentication-keyid 88 authentication-mode md5 123456

[AC2] ntp-service reliable authentication-keyid 88

# 设置AC 2为NTP广播服务器并指定关联的密钥编号为88。

[AC2] interface vlan-interface 2

[AC2-Vlan-interface2] ntp-service broadcast-server authentication-keyid 88

# 在AC 2上使能NTP验证功能后,AC 3可以向AC 2同步。在AC 3上查看NTP服务的状态信息,可以看到AC 3已经与AC 2同步,层数比AC 2的层数大1,为4。

[AC3-Vlan-interface2] display ntp-service status

 Clock status: synchronized

 Clock stratum: 4

 Reference clock ID: 3.0.1.31

 Nominal frequency: 64.0000 Hz

 Actual frequency: 64.0000 Hz

 Clock precision: 2^7

 Clock offset: 0.0000 ms

 Root delay: 31.00 ms

 Root dispersion: 8.31 ms

 Peer dispersion: 34.30 ms

 Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)

# 查看AC 3的NTP会话信息,可以看到AC 3与AC 2建立了连接。

[AC3-Vlan-interface2] display ntp-service sessions

      source    reference   stra  reach  poll  now    offset delay  disper

**************************************************************************

[1234] 3.0.1.31  127.127.1.0   3   254     64    62   -16.0    32.0   16.6

note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured

Total associations :  1

# 在AC 2上配置NTP验证功能后,不会对AC 1造成影响。AC 1仍然处于同步状态。

[AC1-Vlan-interface2] display ntp-service status

 Clock status: synchronized

 Clock stratum: 4

 Reference clock ID: 3.0.1.31

 Nominal frequency: 64.0000 Hz

 Actual frequency: 64.0000 Hz

 Clock precision: 2^7

 Clock offset: 0.0000 ms

 Root delay: 31.00 ms

 Root dispersion: 8.31 ms

 Peer dispersion: 34.30 ms

 Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们