03-NTP配置
本章节下载: 03-NTP配置 (578.50 KB)
NTP(Network Time Protocol,网络时间协议)是由RFC 1305定义的时间同步协议,用来在分布式时间服务器和客户端之间进行时间同步。NTP基于UDP报文进行传输,使用的UDP端口号为123。
使用NTP的目的是对网络内所有具有时钟的设备进行时钟同步,使网络内所有设备的时钟保持一致,从而使设备能够提供基于统一时间的多种应用。
对于运行NTP的本地系统,既可以接收来自其他时钟源的同步,又可以作为时钟源同步其他的时钟,并且可以和其他设备互相同步。
对于网络中的各台设备来说,如果依靠管理员手工输入命令来修改系统时钟是不可能的,不但工作量巨大,而且也不能保证时钟的精确性。通过NTP,可以很快将网络中设备的时钟同步,同时也能保证很高的精度。
NTP主要应用于需要网络中所有设备时钟保持一致的场合,比如:
· 在网络管理中,对于从不同设备采集来的日志信息、调试信息进行分析的时候,需要以时间作为参照依据。
· 计费系统要求所有设备的时钟保持一致。
· 完成某些功能,如定时重启网络中的所有设备,此时要求所有设备的时钟保持一致。
· 多个系统协同处理同一个比较复杂的事件时,为保证正确的执行顺序,多个系统必须参考同一时钟。
· 在备份服务器和客户端之间进行增量备份时,要求备份服务器和所有客户端之间的时钟同步。
NTP的优势如下:
· 采用分层的方法定义时钟的准确性,可以迅速同步网络中各台设备的时间。
· 支持访问控制和MD5验证。
· 可以选择采用单播、组播或广播的方式发送协议报文。
NTP的基本工作原理如图1-1所示。Device A和Device B通过网络相连,它们都有自己独立的系统时钟,需要通过NTP实现各自系统时钟的自动同步。为便于理解,作如下假设:
· 在Device A和Device B的系统时钟同步之前,Device A的时钟设定为10:00:00am,Device B的时钟设定为11:00:00am。
· Device B作为NTP时间服务器,即Device A将使自己的时钟与Device B的时钟同步。
· NTP报文在Device A和Device B之间单向传输所需要的时间为1秒。
图1-1 NTP基本原理图
系统时钟同步的工作过程如下:
· Device A发送一个NTP报文给Device B,该报文带有它离开Device A时的时间戳,该时间戳为10:00:00am(T1)。
· 当此NTP报文到达Device B时,Device B加上自己的时间戳,该时间戳为11:00:01am(T2)。
· 当此NTP报文离开Device B时,Device B再加上自己的时间戳,该时间戳为11:00:02am(T3)。
· 当Device A接收到该响应报文时,Device A的本地时间为10:00:03am(T4)。
至此,Device A已经拥有足够的信息来计算两个重要的参数:
· NTP报文的往返时延Delay=(T4-T1)-(T3-T2)=2秒。
· Device A相对Device B的时间差offset=((T2-T1)+(T3-T4))/2=1小时。
这样,Device A就能够根据这些信息来设定自己的时钟,使之与Device B的时钟同步。
以上内容只是对NTP工作原理的一个粗略描述,详细内容请参阅RFC 1305。
NTP有两种不同类型的报文,一种是时钟同步报文,另一种是控制报文。控制报文仅用于需要网络管理的场合,它对于时钟同步功能来说并不是必需的,这里不做介绍。
本文中提到的NTP报文,均为NTP时钟同步报文。
时钟同步报文封装在UDP报文中,其格式如图1-2所示。
主要字段的解释如下:
· LI(Leap Indicator):长度为2比特,值为“11”时表示告警状态,时钟未被同步。为其他值时NTP本身不做处理。
· VN(Version Number):长度为3比特,表示NTP的版本号,目前的最新版本为4。
· Mode:长度为3比特,表示NTP的工作模式。不同的值所表示的含义分别是:0未定义、1表示主动对等体模式、2表示被动对等体模式、3表示客户模式、4表示服务器模式、5表示广播模式或组播模式、6表示此报文为NTP控制报文、7预留给内部使用。
· Stratum:系统时钟的层数,取值范围为1~16,它定义了时钟的准确度。层数为1的时钟准确度最高,准确度从1到16依次递减,层数为16的时钟处于未同步状态,不能作为参考时钟。
· Poll:轮询时间,即两个连续NTP报文之间的时间间隔。
· Precision:系统时钟的精度。
· Root Delay:本地到主参考时钟源的往返时间。
· Root Dispersion:系统时钟相对于主参考时钟的最大误差。
· Reference Identifier:参考时钟源的标识。
· Reference Timestamp:系统时钟最后一次被设定或更新的时间。
· Originate Timestamp:NTP请求报文离开发送端时发送端的本地时间。
· Receive Timestamp:NTP请求报文到达接收端时接收端的本地时间。
· Transmit Timestamp:应答报文离开应答者时应答者的本地时间。
· Authenticator:验证信息。
设备可以采用多种NTP工作模式进行时间同步:
· 客户端/服务器模式
· 对等体模式
· 广播模式
· 组播模式
用户可以根据需要选择合适的工作模式。在不能确定服务器或对等体IP地址、网络中需要同步的设备很多等情况下,可以通过广播或组播模式实现时钟同步;客户端/服务器和对等体模式中,设备从指定的服务器或对等体获得时钟同步,增加了时钟的可靠性。
图1-3 客户端/服务器模式
在客户端/服务器模式中,客户端向服务器发送时钟同步报文,报文中的Mode字段设置为3(客户模式)。服务器端收到报文后会自动工作在服务器模式,并发送应答报文,报文中的Mode字段设置为4(服务器模式)。客户端收到应答报文后,进行时钟过滤和选择,并同步到优选的服务器。
在该模式下,客户端能同步到服务器,而服务器无法同步到客户端。
图1-4 对等体模式
在对等体模式中,主动对等体和被动对等体之间首先交互Mode字段为3(客户端模式)和4(服务器模式)的NTP报文。之后,主动对等体向被动对等体发送时钟同步报文,报文中的Mode字段设置为1(主动对等体),被动对等体收到报文后自动工作在被动对等体模式,并发送应答报文,报文中的Mode字段设置为2(被动对等体)。经过报文的交互,对等体模式建立起来。主动对等体和被动对等体可以互相同步。如果双方的时钟都已经同步,则以层数小的时钟为准。
图1-5 广播模式
在广播模式中,服务器端周期性地向广播地址255.255.255.255发送时钟同步报文,报文中的Mode字段设置为5(广播模式)。客户端侦听来自服务器的广播报文。当客户端接收到第一个广播报文后,客户端与服务器交互Mode字段为3(客户模式)和4(服务器模式)的NTP报文,以获得客户端与服务器间的网络延迟。之后,客户端就进入广播客户端模式,继续侦听广播报文的到来,根据到来的广播报文对系统时钟进行同步。
图1-6 组播模式
在组播模式中,服务器端周期性地向用户配置的组播地址(若用户没有配置组播地址,则使用默认的NTP组播地址224.0.1.1)发送时钟同步报文,报文中的Mode字段设置为5(组播模式)。客户端侦听来自服务器的组播报文。当客户端接收到第一个组播报文后,客户端与服务器交互Mode字段为3(客户模式)和4(服务器模式)的NTP报文,以获得客户端与服务器间的网络延迟。之后,客户端就进入组播客户模式,继续侦听组播报文的到来,根据到来的组播报文对系统时钟进行同步。
在对等体模式、广播模式和组播模式中,客户端(或主动对等体)和服务器(或被动对等体)之间首先要交互Mode字段为3(客户端模式)和4(服务器模式)的NTP报文,之后,才能进入指定的NTP工作模式。在此报文交互过程中,可以实现时钟的同步。
设备作为NTP客户端或主动对等体时支持VPN多实例,实现设备与位于MPLS L3VPN中的NTP服务器或NTP被动对等体进行时钟同步。
如下图所示,私网VPN 1和VPN 2中的用户通过PE(Provider Edge,服务提供商网络边缘设备)接入MPLS骨干网,各VPN之间的业务相互隔离。配置PE设备工作在NTP客户端或NTP主动对等体模式,并指定NTP服务器或NTP被动对等体所属的VPN后,可以实现PE设备与各VPN中的CE设备进行时钟同步。
图1-7 NTP支持VPN多实例组网应用图
MPLS L3VPN、VPN实例和PE的详细介绍,请参见“MPLS配置指导”中的“MPLS L3VPN”。
表1-1 NTP配置任务简介
配置任务 |
说明 |
详细配置 |
配置NTP工作模式 |
必选 |
|
配置本地时钟作为参考时钟 |
可选 |
|
配置NTP可选参数 |
可选 |
|
配置访问控制权限 |
可选 |
|
配置NTP验证功能 |
可选 |
设备可以采用以下NTP工作模式进行时钟同步:
· 客户端/服务器模式
· 对等体模式
· 广播模式
· 组播模式
设备采用客户端/服务器模式或对等体模式时,只需要对客户端或主动对等体进行配置;设备采用广播模式或组播模式时,则需要在服务器端和客户端都进行配置。
同一设备同一时间内存在的连接数目最多为128个,其中包括静态连接数和动态连接数。静态连接是用户手动配置NTP相关命令而建立的连接;动态连接是系统运行过程中建立的临时连接,若系统长期收不到报文就会删除该临时连接。例如,在客户端/服务器模式中,当用户在客户端配置向服务器端同步的命令的时候,系统会在客户端建立一个静态连接,服务器端在收到报文之后只是被动的响应报文,而不会建立连接(包括静态和动态连接);在对等体模式中,主动对等体端会建立静态连接,被动对等体端会建立动态连接;在组播和广播模式中,服务器端会建立静态连接,而在客户端会建立动态连接。
当设备采用客户端/服务器模式时,请在客户端进行如下配置。
表1-2 在NTP客户端上指定NTP服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
指定设备的NTP服务器 |
ntp-service unicast-server [ vpn-instance vpn-instance-name ] { ip-address | server-name } [ authentication-keyid keyid | priority | source-interface interface-type interface-number | version number ] * |
必选 缺省情况下,没有为设备指定NTP服务器 |
· ntp-service unicast-server命令中的ip-address是一个单播地址,不能为广播地址、组播地址或本地时钟的IP地址。
· 通过source-interface参数指定NTP报文的源接口后,NTP报文的源IP地址将被设置为指定接口的主IP地址。
· 服务器端只有当其时钟被同步后,才能作为时间服务器去同步其他设备。当服务器端的时钟层数大于或等于客户端的时钟层数时,客户端将不会向其同步。
· 可以通过多次执行ntp-service unicast-server命令配置多个服务器,客户端依据时钟优选来选择最优的时钟源。
当设备采用对等体模式时,需要在主动对等体上指定被动对等体。
表1-3 在主动对等体上指定被动对等体
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
指定设备的被动对等体 |
ntp-service unicast-peer [ vpn-instance vpn-instance-name ] { ip-address | peer-name } [ authentication-keyid keyid | priority | source-interface interface-type interface-number | version number ] * |
必选 缺省情况下,没有为设备指定被动对等体 |
· 在对等体模式中,被动对等体上需要执行ntp-service refclock-master或“1.3 配置NTP工作模式”中的任何一条NTP配置命令来使能NTP,否则被动对等体不会处理来自主动对等体的NTP报文。
· ntp-service unicast-peer 命令中的ip-address是一个单播地址,不能为广播地址、组播地址或本地时钟的IP地址。
· 通过source-interface参数指定NTP报文的源接口后,NTP报文的源IP地址将被设置为指定接口的主IP地址。
· 通常,主、被动对等体中至少有一个处于同步状态,否则他们都将无法同步。
· 可以通过多次执行ntp-service unicast-peer命令配置多个被动对等体。
广播服务器周期性地向广播地址255.255.255.255发送NTP报文,工作在NTP广播客户端模式的设备将回应这个报文,从而开始时钟同步过程。
当设备采用广播模式时,需要在服务器端和客户端都进行配置。由于广播服务器上需要指定一个发送NTP广播报文的接口,广播客户端上也需要指定一个接收NTP广播报文的接口,所以广播模式的配置只能在具体的接口视图下进行。
Tunnel接口不支持NTP广播模式的配置,有关Tunnel接口的详细介绍,请参见“三层技术-IP业务配置指导”中的“隧道”。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
进入要接收NTP广播报文的接口 |
配置设备工作在NTP广播客户端模式 |
ntp-service broadcast-client |
必选 |
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
进入要发送NTP广播报文的接口 |
配置设备工作在NTP广播服务器模式 |
ntp-service broadcast-server [ authentication-keyid keyid | version number ] * |
必选 |
广播服务器只有当其时钟同步后,才能去同步广播客户端。
NTP组播服务器以组播形式周期性地发送时钟同步报文,工作在NTP组播客户端模式的设备将回应这个报文,从而开始时钟同步过程。
设备采用组播模式时,需要在服务器端和客户端都进行配置。组播模式的配置只能在具体的接口视图下进行。
Tunnel接口不支持NTP组播模式的配置,有关Tunnel接口的详细介绍,请参见“三层技术-IP业务配置指导”中的“隧道”。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- 进入要接收NTP组播报文的接口 |
配置设备工作在NTP组播客户端模式 |
ntp-service multicast-client [ ip-address ] |
必选 |
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- 进入要发送NTP组播报文的接口 |
配置设备工作在NTP组播服务器模式 |
ntp-service multicast-server [ ip-address ] [ authentication-keyid keyid | ttl ttl-number | version number ] * |
必选 |
· 组播服务器只有当其时钟同步后,才能去同步组播客户端。
· 目前最多可以配置1024个组播客户端,但同时起作用的最多为128个。
网络中的设备可以通过下面两种方式进行时间同步:
· 与本地时钟进行同步:即采用本地时钟作为参考时钟。
· 与网络中的其他设备进行同步:可以采用前面介绍的四种NTP工作模式中的任何一种。
如果同时配置了两种方式,设备将通过时钟优选来选择最优的时钟源。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置本地时钟作为参考时钟 |
ntp-service refclock-master [ ip-address ] [ stratum ] |
必选 |
· 实际网络中,通常将从权威时钟(如原子时钟)获得时钟同步的NTP服务器的层数设置为1,并将其作为主参考时钟源同步网络中其他设备的时钟。网络中的设备与主参考时钟源的NTP距离,即NTP同步链上NTP服务器的数目,决定了设备上时钟的层数。
· 配置本地时钟作为参考时钟后,本地设备可以作为时钟源同步网络中的其他设备。请谨慎使用本配置,以免导致网络中设备的时钟错误。
如果指定了NTP报文的源接口,则设备在主动发送NTP报文时,将报文的源IP地址设置为指定接口的主IP地址。
设备对接收到的NTP请求报文进行应答时,应答报文的源IP地址始终为接收到NTP请求报文的接口的IP地址。
表1-9 配置NTP报文的源接口
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置NTP报文的源接口 |
ntp-service source-interface interface-type interface-number |
必选 缺省情况下,没有指定NTP报文的源接口 |
· 如果在命令ntp-service unicast-server或ntp-service unicast-peer中指定了NTP报文的源接口,则以ntp-service unicast-server或ntp-service unicast-peer指定的为准。
· 如果在接口视图下配置了ntp-service broadcast-server或ntp-service multicast-server,则NTP广播或组播模式报文的源接口为配置了上述命令的接口。
· 如果指定的NTP源接口处于down状态,则发送的NTP报文源IP地址为该报文出接口的主IP地址。
使能NTP功能后,缺省情况下所有接口都可以接收NTP报文。可以通过本配置,禁止从某个接口接收NTP报文。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置禁止接口接收NTP报文 |
ntp-service in-interface disable |
必选 缺省情况下,允许接口接收NTP报文 |
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置允许建立的动态NTP会话数目 |
ntp-service max-dynamic-sessions number |
必选 缺省情况下,允许建立的动态NTP会话的数目为100 |
用户可以配置对本地设备NTP服务的访问控制权限。访问控制权限可以分为四种:
· query:允许控制查询权限。该权限只允许对端设备对本地设备的NTP服务进行控制查询,但是不能向本地设备同步。所谓的控制查询,就是查询NTP的一些状态,比如告警信息,验证状态,时钟源信息等。
· synchronization:只允许服务器访问权限。该权限只允许对端设备向本地设备同步,但不能进行控制查询。
· server:允许服务器访问与查询权限。该权限允许对端设备向本地设备同步和控制查询,但本地设备不会同步到对端设备。
· peer:完全访问权限。该权限既允许对端设备向本地设备同步和控制查询,同时本地设备也可以同步到对端设备。
NTP服务的访问控制权限从高到低依次为peer、server、synchronization、query。当设备接收到NTP服务请求报文时,会按照此顺序进行匹配,以第一个匹配的权限为准。如果没有匹配任何权限,则丢弃此NTP服务请求报文。
在配置对本地设备NTP服务的访问控制权限之前,需要创建并配置与访问权限关联的ACL。ACL的配置方法请参见“ACL和QoS配置指导”中的“ACL”。
表1-12 配置对本地设备NTP服务的访问控制权限
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置对端设备对本地设备NTP服务的访问控制权限 |
ntp-service access { peer | query | server | synchronization } acl-number |
必选 缺省情况下,对端设备对本地设备NTP服务的访问控制权限为peer |
配置对本地设备NTP服务的访问控制权限,仅提供了一种最小限度的安全措施,更安全的方法是进行身份验证。
在一些对安全性要求较高的网络中,运行NTP协议时需要启用验证功能。通过客户端和服务器端的密码验证,保证客户端只与通过验证的设备进行同步,提高了网络安全性。
配置NTP验证功能分为以下几步:
· 使能NTP验证功能
· 配置验证密钥
· 将验证密钥设为可信密钥
· 指定与NTP服务器或对等体关联的密钥
上述步骤缺一不可,缺少任何一项配置都会导致NTP验证功能无法正常启用。
配置客户端/服务器模式的NTP验证功能时,需要在客户端和服务器上都使能NTP验证功能、配置验证密钥、将验证密钥设为可信密钥,并在客户端上指定与NTP服务器关联的密钥。
· 如果客户端上使能了NTP验证功能、配置了验证密钥和可信密钥、指定了与NTP服务器关联的密钥,且关联的密钥为可信密钥,则只有服务器上也正常启用了NTP验证功能(使能NTP验证功能、配置验证密钥和可信密钥),客户端才能与服务器进行时间同步。
· 如果客户端上没有使能NTP验证功能,或客户端上没有指定与NTP服务器关联的密钥,则客户端与该服务器进行时间同步时不会进行身份验证,即无论服务器端是否正常启用验证功能,客户端都能与服务器进行时间同步。
· 如果客户端上使能了NTP验证功能、指定了与NTP服务器关联的密钥,但关联的密钥不是可信密钥,则无论服务器端是否正常启用验证功能,客户端都不能向该服务器同步。
表1-13 配置客户端的NTP验证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能NTP身份验证功能 |
ntp-service authentication enable |
必选 缺省情况下,NTP身份验证功能处于关闭状态 |
配置NTP验证密钥 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value |
必选 缺省情况下,没有配置NTP验证密钥 |
配置指定密钥为可信密钥 |
ntp-service reliable authentication-keyid keyid |
必选 缺省情况下,没有指定可信密钥 |
将指定密钥与对应的NTP服务器关联 |
ntp-service unicast-server { ip-address | server-name } authentication-keyid keyid |
必选 可以将不存在的密钥与NTP服务器关联。但是若想成功启用NTP验证功能,则必须在关联密钥后,配置该密钥,并将其指定为可信密钥 |
客户端使能NTP验证功能后,必须配置与服务器端相同的验证密钥,并且必须声明该密钥是可信的,否则无法与服务器同步。
表1-14 配置服务器端的NTP验证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能NTP验证功能 |
ntp-service authentication enable |
必选 缺省情况下,NTP身份验证功能处于关闭状态 |
配置NTP验证密钥 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value |
必选 缺省情况下,没有配置NTP验证密钥 |
配置指定密钥为可信密钥 |
ntp-service reliable authentication-keyid keyid |
必选 缺省情况下,没有指定可信密钥 |
服务器端和客户端必须配置相同的验证密钥。
配置对等体模式的NTP验证功能时,需要在主动对等体和被动对等体上都使能NTP验证功能、配置验证密钥、将验证密钥设为可信密钥,并在主动对等体上指定与被动对等体关联的密钥。
(1) 主动对等体的时钟层数大于被动对等体时
· 如果主动对等体上使能了NTP验证功能、配置了验证密钥和可信密钥、指定了与被动对等体关联的密钥、且关联的密钥为可信密钥,则只有被动对等体上也正常启用了NTP验证功能(使能NTP验证功能、配置验证密钥和可信密钥),主动对等体才能向被动对等体同步。
· 如果主动对等体上没有使能NTP验证功能,或主动对等体上没有指定与被动对等体关联的密钥,则只要被动对等体上没有使能NTP验证功能,主动对等体就可以向被动对等体同步。否则,不能向被动对等体同步。
· 如果主动对等体上使能了NTP验证功能、指定了与被动对等体关联的密钥,但关联的密钥不是可信密钥,则无论被动对等体是否正常启用验证功能,主动对等体都不能向该被动对等体同步。
(2) 被动对等体的时钟层数大于主动对等体时
· 如果主动对等体上使能了NTP验证功能、配置了验证密钥和可信密钥、指定了与被动对等体关联的密钥、且关联的密钥为可信密钥,则只有被动对等体上也正常启用了NTP验证功能(使能NTP验证功能、配置验证密钥和可信密钥),主动对等体才能为被动对等体提供时钟同步。
· 如果主动对等体上没有使能NTP验证功能、或主动对等体上没有指定与被动对等体关联的密钥、或关联的密钥不是可信密钥,则只要被动对等体上没有使能NTP验证功能,主动对等体就可以为被动对等体提供时钟同步。否则,不能为被动对等体提供时钟同步。
表1-15 配置主动对等体的NTP验证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能NTP身份验证功能 |
ntp-service authentication enable |
必选 缺省情况下,NTP身份验证功能处于关闭状态 |
配置NTP验证密钥 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value |
必选 缺省情况下,没有配置NTP验证密钥 |
配置指定密钥为可信密钥 |
ntp-service reliable authentication-keyid keyid |
必选 缺省情况下,没有指定可信密钥 |
将指定密钥与对应的被动对等体关联 |
ntp-service unicast-peer { ip-address | peer-name } authentication-keyid keyid |
必选 可以将不存在的密钥与被动对等体关联。但是若想成功启用NTP验证功能,则必须在关联密钥后,配置该密钥,并将其指定为可信密钥 |
主动对等体使能NTP验证功能后,必须配置与被动对等体相同的验证密钥,并且必须声明该密钥是可信的。
表1-16 配置被动对等体的NTP验证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能NTP验证功能 |
ntp-service authentication enable |
必选 缺省情况下,NTP身份验证功能处于关闭状态 |
配置NTP验证密钥 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value |
必选 缺省情况下,没有配置NTP验证密钥 |
配置指定密钥为可信密钥 |
ntp-service reliable authentication-keyid keyid |
必选 缺省情况下,没有指定可信密钥 |
被动对等体和主动对等体必须配置相同的验证密钥。
配置广播模式的NTP验证功能时,需要在广播客户端和广播服务器上都使能NTP验证功能、配置验证密钥、将验证密钥设为可信密钥,并在广播服务器上指定与该服务器关联的密钥。
· 如果广播客户端上使能了NTP验证功能、配置了验证密钥和可信密钥,则只有广播服务器上也正常启用了NTP验证功能(使能NTP验证功能、配置验证密钥和可信密钥、指定了与该服务器关联的密钥、且关联的密钥为可信密钥),广播客户端才能与该服务器进行时间同步。
· 如果广播客户端上没有使能NTP验证功能,则广播客户端与广播服务器进行时间同步时不会进行身份验证,即无论广播服务器是否正常启用验证功能,广播客户端都能与该服务器进行时间同步。
表1-17 配置广播客户端的NTP验证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能NTP身份验证功能 |
ntp-service authentication enable |
必选 缺省情况下,NTP身份验证功能处于关闭状态 |
配置NTP验证密钥 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value |
必选 缺省情况下,没有配置NTP验证密钥 |
配置指定密钥为可信密钥 |
ntp-service reliable authentication-keyid keyid |
必选 缺省情况下,没有指定可信密钥 |
广播客户端使能NTP验证功能后,必须配置与广播服务器端相同的验证密钥,并且必须声明该密钥是可信的。
表1-18 配置广播服务器端的NTP验证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能NTP验证功能 |
ntp-service authentication enable |
必选 缺省情况下,NTP身份验证功能处于关闭状态 |
配置NTP验证密钥 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value |
必选 缺省情况下,没有配置NTP验证密钥 |
配置指定密钥为可信密钥 |
ntp-service reliable authentication-keyid keyid |
必选 缺省情况下,没有指定可信密钥 |
进入接口视图 |
interface interface-type interface-number |
- |
将指定密钥与对应的广播服务器关联 |
ntp-service broadcast-server authentication-keyid keyid |
必选 可以将不存在的密钥与广播服务器关联。但是若想成功启用NTP验证功能,则必须在关联密钥后,配置该密钥,并将其指定为可信密钥 |
广播服务器端和广播客户端必须配置相同的密钥。
配置组播模式的NTP验证功能时,需要在组播客户端和组播服务器上都使能NTP验证功能、配置验证密钥、将验证密钥设为可信密钥,并在组播服务器上指定与该服务器关联的密钥。
· 如果组播客户端上使能了NTP验证功能、配置了验证密钥和可信密钥,则只有组播服务器上也正常启用了NTP验证功能(使能NTP验证功能、配置验证密钥和可信密钥、指定了与该服务器关联的密钥、且关联的密钥为可信密钥),组播客户端才能与该服务器进行时间同步。
· 如果组播客户端上没有使能NTP验证功能,则组播客户端与组播服务器进行时间同步时不会进行身份验证,即无论组播服务器是否正常启用验证功能,组播客户端都能与该服务器进行时间同步。
表1-19 配置组播客户端的NTP验证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能NTP身份验证功能 |
ntp-service authentication enable |
必选 缺省情况下,NTP身份验证功能处于关闭状态 |
配置NTP验证密钥 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value |
必选 缺省情况下,没有配置NTP验证密钥 |
配置指定密钥为可信密钥 |
ntp-service reliable authentication-keyid keyid |
必选 缺省情况下,没有指定可信密钥 |
组播客户端使能NTP验证功能后,必须配置与组播服务器端相同的验证密钥,并且必须声明该密钥是可信的。
表1-20 配置组播服务器端的NTP验证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能NTP验证功能 |
ntp-service authentication enable |
必选 缺省情况下,NTP身份验证功能处于关闭状态 |
配置NTP验证密钥 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value |
必选 缺省情况下,没有配置NTP验证密钥 |
配置指定密钥为可信密钥 |
ntp-service reliable authentication-keyid keyid |
必选 缺省情况下,没有指定可信密钥 |
进入接口视图 |
interface interface-type interface-number |
- |
将指定密钥与对应的组播服务器关联 |
ntp-service multicast-server [ ip-address ] authentication-keyid keyid |
必选 可以将不存在的密钥与组播服务器关联。但是若想成功启用NTP验证功能,则必须在关联密钥后,配置该密钥,并将其指定为可信密钥 |
组播服务器端和组播客户端必须配置相同的密钥。
在完成上述配置后,在任意视图下执行display命令可以显示配置后NTP的运行情况,通过查看显示信息验证配置的效果。
表1-21 NTP显示与维护
操作 |
命令 |
显示NTP服务的状态信息 |
display ntp-service status [ | { begin | exclude | include } regular-expression ] |
显示NTP服务维护的会话信息 |
display ntp-service sessions [ verbose ] [ | { begin | exclude | include } regular-expression ] |
显示从本地设备回溯到主参考时钟源的各个NTP时间服务器的简要信息 |
display ntp-service trace [ | { begin | exclude | include } regular-expression ] |
缺省情况下,以太网接口、VLAN接口及聚合接口处于DOWN状态。如果要对这些接口进行配置,请先使用undo shutdown命令使接口状态处于UP。
为了实现Device B的时钟与Device A的时钟同步,需要进行以下配置:
· 在Device A上设置本地时钟作为参考时钟,层数为2;
· Device B工作在客户端模式,指定Device A为NTP服务器。
图1-8 配置NTP客户端/服务器模式组网图
(1) 按照图1-8配置各接口的IP地址,具体配置过程略。
(2) 配置Device A
# 设置本地时钟作为参考时钟,层数为2。
<DeviceA> system-view
[DeviceA] ntp-service refclock-master 2
(3) 配置Device B
# 同步前查看Device B的NTP状态。
<DeviceB> display ntp-service status
Clock status: unsynchronized
Clock stratum: 16
Reference clock ID: none
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 0.00 ms
Root dispersion: 0.00 ms
Peer dispersion: 0.00 ms
Reference time: 00:00:00.000 UTC Jan 1 1900 (00000000.00000000)
# 设置Device A为Device B的NTP服务器。
<DeviceB> system-view
[DeviceB] ntp-service unicast-server 1.0.1.11
# 以上配置将Device B向Device A进行时间同步,同步后查看Device B的NTP状态。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 1.0.1.11
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 1.05 ms
Peer dispersion: 7.81 ms
Reference time: 14:53:27.371 UTC Sep 19 2005 (C6D94F67.5EF9DB22)
此时Device B已经与Device A同步,层数比Device A的层数大1,为3。
# 查看Device B的NTP会话信息,可以看到Device B与Device A建立了连接。
[DeviceB] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[12345] 1.0.1.11 127.127.1.0 2 63 64 3 -75.5 31.0 16.5
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
为了实现设备之间的时钟同步,需要进行以下配置:
· 在Device A上设置本地时钟作为参考时钟,层数为2;
· 在Device C上设置本地时钟作为参考时钟,层数为1;
· Device B工作在客户端模式,指定Device A为NTP服务器;
· Device C工作在对等体模式,将Device B设为对等体。Device C为主动对等体,Device B为被动对等体。
图1-9 配置NTP对等体模式组网图
(1) 按照图1-9配置各接口的IP地址,具体配置过程略。
(2) 配置Device A
# 设置本地时钟作为参考时钟,层数为2。
<DeviceA> system-view
[DeviceA] ntp-service refclock-master 2
(3) 配置Device B
# 设置Device A为Device B的NTP服务器。
<DeviceB> system-view
[DeviceB] ntp-service unicast-server 3.0.1.31
(4) 配置Device C(Device B向Device A同步后)
# 设置本地时钟作为参考时钟,层数为1。
<DeviceC> system-view
[DeviceC] ntp-service refclock-master 1
# 本地同步后,设置Device B为对等体。
[DeviceC] ntp-service unicast-peer 3.0.1.32
以上配置将Device B和Device C配置为对等体,Device C处于主动对等体模式,Device B处于被动对等体模式,由于Device C系统时钟的层数为1,而Device B的层数为3,所以Device B向Device C同步。
# 同步后查看Device B的状态。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 2
Reference clock ID: 3.0.1.33
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: -21.1982 ms
Root delay: 15.00 ms
Root dispersion: 775.15 ms
Peer dispersion: 34.29 ms
Reference time: 15:22:47.083 UTC Sep 19 2005 (C6D95647.153F7CED)
此时Device B已经与Device C同步,层数比Device C的层数大1,为2。
# 查看Device B的NTP会话信息,可以看到Device B与Device C建立了连接。
[DeviceB] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[245] 3.0.1.31 127.127.1.0 2 15 64 24 10535.0 19.6 14.5
[1234] 3.0.1.33 LOCL 1 14 64 27 -77.0 16.0 14.8
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 2
Switch C作为同一网段中多个设备的NTP服务器,同时同步多个设备的时钟。为了实现该需求,需要进行以下配置:
· 在Switch C上设置本地时钟作为参考时钟,层数为2;
· Switch C工作在广播服务器模式,从VLAN接口2向外发送广播报文;
· Switch A和Switch B工作在广播客户端模式,分别从各自的VLAN接口2监听广播报文。
图1-10 配置NTP广播模式组网图
(1) 按照图1-10配置各接口的IP地址,具体配置过程略。
(2) 配置Switch C
# 设置本地时钟作为参考时钟,层数为2。
<SwitchC> system-view
[SwitchC] ntp-service refclock-master 2
# 设置Switch C为广播服务器,从VLAN接口2发送广播报文。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ntp-service broadcast-server
(3) 配置Switch A
# 设置Switch A为广播客户端,从VLAN接口2监听广播报文。
<SwitchA> system-view
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ntp-service broadcast-client
(4) 配置Switch B
# 设置Switch B为广播客户端,从VLAN接口2监听广播报文。
<SwitchB> system-view
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ntp-service broadcast-client
Switch A和Switch B接收到Switch C发出的广播报文后,与其同步。
# 以Switch A为例,同步后查看Switch A的状态。
[SwitchA-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 3.0.1.31
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 8.31 ms
Peer dispersion: 34.30 ms
Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
此时Switch A已经与Switch C同步,层数比Switch C的层数大1,为3。
# 查看Switch A的NTP会话信息,可以看到Switch A与Switch C建立了连接。
[SwitchA-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 2 254 64 62 -16.0 32.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
Switch C作为不同网段中多个设备的NTP服务器,同时同步多个设备的时钟。为了实现该需求,需要进行以下配置:
· 在Switch C上设置本地时钟作为参考时钟,层数为2;
· Switch C工作在组播服务器模式,从VLAN接口2向外发送组播报文;
· Switch A和Switch D工作在组播客户端模式,Switch A从VLAN接口3监听组播报文,Switch D从VLAN接口2监听组播报文。
图1-11 配置NTP组播模式组网图
(1) 按照图1-11配置各接口的IP地址,具体配置过程略。
(2) 配置Switch C
# 设置本地时钟作为参考时钟,层数为2。
<SwitchC> system-view
[SwitchC] ntp-service refclock-master 2
# 设置Switch C为组播服务器,从VLAN接口2发送组播报文。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ntp-service multicast-server
(3) 配置Switch D
# 设置Switch D为组播客户端,从VLAN接口2监听组播报文。
<SwitchD> system-view
[SwitchD] interface vlan-interface 2
[SwitchD-Vlan-interface2] ntp-service multicast-client
由于Switch D和Switch C在同一个网段,不需要配置组播功能,Switch D就可以收到Switch C发出的组播报文,并与其同步。
# 同步后查看Switch D的状态。
[SwitchD-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 3.0.1.31
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 8.31 ms
Peer dispersion: 34.30 ms
Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
此时Switch D已经与Switch C同步,层数比Switch C的层数大1,为3。
# 查看Switch D的NTP会话信息,可以看到Switch D与Switch C建立了连接。
[SwitchD-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 2 254 64 62 -16.0 31.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
(4) 配置Switch B
由于Switch A与Switch C不在同一网段,所以Switch B上需要配置组播功能,否则Switch A收不到Switch C发出的组播报文。
# 配置组播功能。
<SwitchB> system-view
[SwitchB] multicast routing-enable
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] pim dm
[SwitchB-Vlan-interface2] quit
[SwitchB] vlan 3
[SwitchB-vlan3] port GigabitEthernet 3/0/1
[SwitchB-vlan3] quit
[SwitchB] interface vlan-interface 3
[SwitchB-Vlan-interface3] igmp enable
[SwitchB-Vlan-interface3] igmp static-group 224.0.1.1
[SwitchB-Vlan-interface3] quit
[SwitchB] interface GigabitEthernet 3/0/1
[SwitchB-GigabitEthernet3/0/1] igmp-snooping static-group 224.0.1.1 vlan 3
(5) 配置Switch A
<SwitchA> system-view
[SwitchA] interface vlan-interface 3
# 设置Switch A为组播客户端,从VLAN接口3监听组播报文。
[SwitchA-Vlan-interface3] ntp-service multicast-client
# 同步后查看Switch A的状态。
[SwitchA-Vlan-interface3] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 3.0.1.31
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 40.00 ms
Root dispersion: 10.83 ms
Peer dispersion: 34.30 ms
Reference time: 16:02:49.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
此时Switch A已经与Switch C同步,层数比Switch C的层数大1,为3。
# 查看Switch A的NTP会话信息,可以看到Switch A与Switch C建立了连接。
[SwitchA-Vlan-interface3] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 2 255 64 26 -16.0 40.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
组播功能的详细介绍请参见“IP组播配置指导”中的“IGMP”和“PIM”。
为了实现Device B的时钟与Device A的时钟同步,并保证时钟同步的安全性,需要进行以下配置:
· 在Device A上设置本地时钟作为参考时钟,层数为2;
· Device B工作在客户端模式,指定Device A为NTP服务器;
· Device A和Device B上同时配置NTP验证。
图1-12 配置带身份验证的NTP客户端/服务器模式组网图
(1) 按照图1-12配置各接口的IP地址,具体配置过程略。
(2) 配置Device A
# 设置本地时钟作为参考时钟,层数为2。
<DeviceA> system-view
[DeviceA] ntp-service refclock-master 2
(3) 配置Device B
<DeviceB> system-view
# 在Device B上启动身份验证。
[DeviceB] ntp-service authentication enable
# 设置密钥。
[DeviceB] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey
# 指定密钥为可信密钥。
[DeviceB] ntp-service reliable authentication-keyid 42
# 设置Device A为Device B的NTP服务器。
[DeviceB] ntp-service unicast-server 1.0.1.11 authentication-keyid 42
以上配置将Device B向Device A进行时间同步,但由于Device A没有使能NTP身份验证,所以,Device B还是无法向Device A同步。
现在,向Device A增加以下配置:
# 在Device A上启动身份验证。
[DeviceA] ntp-service authentication enable
# 设置密钥。
[DeviceA] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey
# 指定密钥为可信密钥。
[DeviceA] ntp-service reliable authentication-keyid 42
此时,Device B可以向Device A同步。
# 同步后查看Device B的状态。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 1.0.1.11
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 1.05 ms
Peer dispersion: 7.81 ms
Reference time: 14:53:27.371 UTC Sep 19 2005 (C6D94F67.5EF9DB22)
可以看出,Device B已经与Device A同步,层数比Device A的层数大1,为3。
# 查看Device B的NTP会话信息,可以看到Device B与Device A建立了连接。
[DeviceB] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[12345] 1.0.1.11 127.127.1.0 2 63 64 3 -75.5 31.0 16.5
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
Switch C作为同一网段中多个设备的NTP服务器,同时同步多个设备的时钟。Switch B要求对时钟源进行验证,以保证时钟同步的安全性。为了实现上述需求,需要进行以下配置:
· 在Switch C上设置本地时钟作为参考时钟,层数为3;
· Switch C工作在广播服务器模式,从VLAN接口2向外发送广播报文;
· Switch A和Switch B工作在广播客户端模式,从VLAN接口2监听广播报文;
· 在Switch B和Switch C上配置NTP验证功能。
图1-13 配置带身份验证的NTP广播模式组网图
(1) 按照图1-13配置各接口的IP地址,具体配置过程略。
(2) 配置Switch A
# 设置Switch A为NTP广播客户端,从VLAN接口2监听广播报文。
<SwitchA> system-view
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ntp-service broadcast-client
(3) 配置Switch B
# 使能NTP验证功能,创建ID为88的NTP验证密钥,密钥值为123456,并将密钥88指定为可信密钥。
<SwitchB> system-view
[SwitchB] ntp-service authentication enable
[SwitchB] ntp-service authentication-keyid 88 authentication-mode md5 123456
[SwitchB] ntp-service reliable authentication-keyid 88
# 设置Switch B为NTP广播客户端,从VLAN接口2监听广播报文。
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ntp-service broadcast-client
(4) 配置Switch C
# 设置本地时钟作为参考时钟,层数为3。
<SwitchC> system-view
[SwitchC] ntp-service refclock-master 3
# 设置Switch C为NTP广播服务器,从VLAN接口2向外发送广播报文。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ntp-service broadcast-server
[SwitchC-Vlan-interface2] quit
# Switch A接收到Switch C发出的广播报文后与其同步。在Switch A上查看NTP服务的状态信息,可以看到Switch A已经与Switch C同步,层数比Switch C的层数大1,为4。
[SwitchA-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 4
Reference clock ID: 3.0.1.31
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 8.31 ms
Peer dispersion: 34.30 ms
Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
# 查看Switch A的NTP会话信息,可以看到Switch A与Switch C建立了连接。
[SwitchA-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 3 254 64 62 -16.0 32.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
# 由于Switch B上使能了NTP验证功能,Switch C上没有使能NTP验证功能。因此,Switch B无法向Switch C同步。
[SwitchB-Vlan-interface2] display ntp-service status
Clock status: unsynchronized
Clock stratum: 16
Reference clock ID: none
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^18
Clock offset: 0.0000 ms
Root delay: 0.00 ms
Root dispersion: 0.00 ms
Peer dispersion: 0.00 ms
Reference time: 00:00:00.000 UTC Jan 1 1900(00000000.00000000)
# 在Switch C上使能NTP验证功能,创建ID为88的NTP验证密钥,密钥值为123456,并将密钥88指定为可信密钥。
[SwitchC] ntp-service authentication enable
[SwitchC] ntp-service authentication-keyid 88 authentication-mode md5 123456
[SwitchC] ntp-service reliable authentication-keyid 88
# 设置Switch C为NTP广播服务器并指定关联的密钥编号为88。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ntp-service broadcast-server authentication-keyid 88
# 在Switch C上使能NTP验证功能后,Switch B可以向Switch C同步。在Switch B上查看NTP服务的状态信息,可以看到Switch B已经与Switch C同步,层数比Switch C的层数大1,为4。
[SwitchB-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 4
Reference clock ID: 3.0.1.31
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 8.31 ms
Peer dispersion: 34.30 ms
Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
# 查看Switch B的NTP会话信息,可以看到Switch B与Switch C建立了连接。
[SwitchB-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 3 254 64 62 -16.0 32.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
# 在Switch C上配置NTP验证功能后,不会对Switch A造成影响。Switch A仍然处于同步状态。
[SwitchA-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 4
Reference clock ID: 3.0.1.31
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 8.31 ms
Peer dispersion: 34.30 ms
Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
PE 1和PE 2上同时存在两个VPN:VPN 1和VPN 2。CE 1和CE 3是VPN 1内的设备。为了实现PE 2与VPN 1内的CE 1时钟同步,需要进行以下配置:
· 在CE 1上设置本地时钟作为参考时钟,层数为1;
· 采用客户端/服务器模式实现PE 2向CE 1进行时间同步,并指定VPN为VPN 1。
目前只有单播方式(客户端/服务器模式或者对等体模式)的NTP时间同步支持MPLS L3VPN,组播和广播模式的时间同步暂时不支持MPLS L3VPN。
图1-14 配置MPLS VPN网络的时间同步组网图
设备 |
接口 |
IP地址 |
设备 |
接口 |
IP地址 |
CE 1 |
POS2/1/1 |
10.1.1.1/24 |
PE 1 |
POS2/1/1 |
10.1.1.2/24 |
CE 2 CE 3 |
POS2/1/1 POS2/1/1 |
10.2.1.1/24 10.3.1.1/24 |
|
POS2/1/2 POS2/1/3 |
172.1.1.1/24 10.2.1.2/24 |
CE 4 |
POS2/1/1 |
10.4.1.1/24 |
PE 2 |
POS2/1/1 |
10.3.1.2/24 |
P |
POS2/1/1 |
172.1.1.2/24 |
|
POS2/1/2 |
172.2.1.2/24 |
|
POS2/1/2 |
172.2.1.1/24 |
|
POS2/1/3 |
10.4.1.2/24 |
在下面的配置之前,MPLS VPN的相关配置必须完成,CE 1和PE 1之间、PE 1和PE 2之间、PE 2和CE 3之间都必须有路由可达。MPLS VPN的配置方法请参见“MPLS配置指导”中的“MPLS L3VPN”。
(1) 按照图1-14配置各接口的IP地址,具体配置过程略。
(2) 配置CE 1
# 设置本地时钟作为参考时钟,层数为1。
<CE1> system-view
[CE1] ntp-service refclock-master 1
(3) 配置PE 2
# 设置VPN 1中的CE 1为PE 2的NTP服务器。
<PE2> system-view
[PE2] ntp-service unicast-server vpn-instance vpn1 10.1.1.1
# 经过一段时间之后在PE 2上可以查看NTP的会话信息、状态信息等,可以看出PE 2已经同步到CE 1了,层数为2。
[PE2] display ntp-service status
Clock status: synchronized
Clock stratum: 2
Reference clock ID: 10.1.1.1
Nominal frequency: 63.9100 Hz
Actual frequency: 63.9100 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 47.00 ms
Root dispersion: 0.18 ms
Peer dispersion: 34.29 ms
Reference time: 02:36:23.119 UTC Jan 1 2001(BDFA6BA7.1E76C8B4)
[PE2] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[12345]10.1.1.1 LOCL 1 7 64 15 0.0 47.0 7.8
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
[PE2] display ntp-service trace
server 127.0.0.1,stratum 2, offset -0.013500, synch distance 0.03154
server 10.1.1.1,stratum 1, offset -0.506500, synch distance 0.03429
refid 127.127.1.0
PE 1和PE 2上同时存在两个VPN:VPN 1和VPN 2。CE 1和CE 3是VPN 1内的设备。为了实现PE 1与VPN 1内的CE 1时钟同步,需要进行以下配置:
· 在CE 1上设置本地时钟作为参考时钟,层数为1;
· 采用对等体模式实现PE 1向CE 1进行时间同步,并指定VPN为VPN 1。
如图1-14所示。
(1) 按照图1-14配置各接口的IP地址,具体配置过程略。
(2) 配置CE 1
# 设置本地时钟作为参考时钟,层数为1。
<CE1> system-view
[CE1] ntp-service refclock-master 1
(3) 配置PE 1
# 设置VPN 1中的CE 1为PE 1的被动对等体。
<PE1> system-view
[PE1] ntp-service unicast-peer vpn-instance vpn1 10.1.1.1
# 经过一段时间之后在PE 1上可以查看NTP的会话信息、状态信息等,可以看出PE 1已经同步到CE 1了,层数为2。
[PE1] display ntp-service status
Clock status: synchronized
Clock stratum: 2
Reference clock ID: 10.1.1.1
Nominal frequency: 63.9100 Hz
Actual frequency: 63.9100 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 32.00 ms
Root dispersion: 0.60 ms
Peer dispersion: 7.81 ms
Reference time: 02:44:01.200 UTC Jan 1 2001(BDFA6D71.33333333)
[PE1] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[12345]10.1.1.1 LOCL 1 1 64 29 -12.0 32.0 15.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
[PE1] display ntp-service trace
server 127.0.0.1,stratum 2, offset -0.012000, synch distance 0.02448
server 10.1.1.1,stratum 1, offset 0.003500, synch distance 0.00781
refid 127.127.1.0
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!