• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

13-网络管理和监控配置指导

目录

03-NTP配置

本章节下载 03-NTP配置  (578.50 KB)

03-NTP配置


1 NTP

1.1  NTP简介

NTP(Network Time Protocol,网络时间协议)是由RFC 1305定义的时间同步协议,用来在分布式时间服务器和客户端之间进行时间同步。NTP基于UDP报文进行传输,使用的UDP端口号为123。

使用NTP的目的是对网络内所有具有时钟的设备进行时钟同步,使网络内所有设备的时钟保持一致,从而使设备能够提供基于统一时间的多种应用。

对于运行NTP的本地系统,既可以接收来自其他时钟源的同步,又可以作为时钟源同步其他的时钟,并且可以和其他设备互相同步。

1.1.1  NTP的应用

对于网络中的各台设备来说,如果依靠管理员手工输入命令来修改系统时钟是不可能的,不但工作量巨大,而且也不能保证时钟的精确性。通过NTP,可以很快将网络中设备的时钟同步,同时也能保证很高的精度。

NTP主要应用于需要网络中所有设备时钟保持一致的场合,比如:

·     在网络管理中,对于从不同设备采集来的日志信息、调试信息进行分析的时候,需要以时间作为参照依据。

·     计费系统要求所有设备的时钟保持一致。

·     完成某些功能,如定时重启网络中的所有设备,此时要求所有设备的时钟保持一致。

·     多个系统协同处理同一个比较复杂的事件时,为保证正确的执行顺序,多个系统必须参考同一时钟。

·     在备份服务器和客户端之间进行增量备份时,要求备份服务器和所有客户端之间的时钟同步。

NTP的优势如下:

·     采用分层的方法定义时钟的准确性,可以迅速同步网络中各台设备的时间。

·     支持访问控制和MD5验证。

·     可以选择采用单播、组播或广播的方式发送协议报文。

1.1.2  NTP工作原理

NTP的基本工作原理如图1-1所示。Device A和Device B通过网络相连,它们都有自己独立的系统时钟,需要通过NTP实现各自系统时钟的自动同步。为便于理解,作如下假设:

·     在Device A和Device B的系统时钟同步之前,Device A的时钟设定为10:00:00am,Device B的时钟设定为11:00:00am。

·     Device B作为NTP时间服务器,即Device A将使自己的时钟与Device B的时钟同步。

·     NTP报文在Device A和Device B之间单向传输所需要的时间为1秒。

图1-1 NTP基本原理图

 

系统时钟同步的工作过程如下:

·     Device A发送一个NTP报文给Device B,该报文带有它离开Device A时的时间戳,该时间戳为10:00:00am(T1)。

·     当此NTP报文到达Device B时,Device B加上自己的时间戳,该时间戳为11:00:01am(T2)。

·     当此NTP报文离开Device B时,Device B再加上自己的时间戳,该时间戳为11:00:02am(T3)。

·     当Device A接收到该响应报文时,Device A的本地时间为10:00:03am(T4)。

至此,Device A已经拥有足够的信息来计算两个重要的参数:

·     NTP报文的往返时延Delay=(T4-T1)-(T3-T2)=2秒。

·     Device A相对Device B的时间差offset=((T2-T1)+(T3-T4))/2=1小时。

这样,Device A就能够根据这些信息来设定自己的时钟,使之与Device B的时钟同步。

以上内容只是对NTP工作原理的一个粗略描述,详细内容请参阅RFC 1305。

1.1.3  NTP的报文格式

NTP有两种不同类型的报文,一种是时钟同步报文,另一种是控制报文。控制报文仅用于需要网络管理的场合,它对于时钟同步功能来说并不是必需的,这里不做介绍。

说明

本文中提到的NTP报文,均为NTP时钟同步报文。

 

时钟同步报文封装在UDP报文中,其格式如图1-2所示。

图1-2 时钟同步报文格式

 

主要字段的解释如下:

·     LI(Leap Indicator):长度为2比特,值为“11”时表示告警状态,时钟未被同步。为其他值时NTP本身不做处理。

·     VN(Version Number):长度为3比特,表示NTP的版本号,目前的最新版本为4。

·     Mode:长度为3比特,表示NTP的工作模式。不同的值所表示的含义分别是:0未定义、1表示主动对等体模式、2表示被动对等体模式、3表示客户模式、4表示服务器模式、5表示广播模式或组播模式、6表示此报文为NTP控制报文、7预留给内部使用。

·     Stratum:系统时钟的层数,取值范围为1~16,它定义了时钟的准确度。层数为1的时钟准确度最高,准确度从1到16依次递减,层数为16的时钟处于未同步状态,不能作为参考时钟。

·     Poll:轮询时间,即两个连续NTP报文之间的时间间隔。

·     Precision:系统时钟的精度。

·     Root Delay:本地到主参考时钟源的往返时间。

·     Root Dispersion:系统时钟相对于主参考时钟的最大误差。

·     Reference Identifier:参考时钟源的标识。

·     Reference Timestamp:系统时钟最后一次被设定或更新的时间。

·     Originate Timestamp:NTP请求报文离开发送端时发送端的本地时间。

·     Receive Timestamp:NTP请求报文到达接收端时接收端的本地时间。

·     Transmit Timestamp:应答报文离开应答者时应答者的本地时间。

·     Authenticator:验证信息。

1.1.4  NTP的工作模式

设备可以采用多种NTP工作模式进行时间同步:

·     客户端/服务器模式

·     对等体模式

·     广播模式

·     组播模式

用户可以根据需要选择合适的工作模式。在不能确定服务器或对等体IP地址、网络中需要同步的设备很多等情况下,可以通过广播或组播模式实现时钟同步;客户端/服务器和对等体模式中,设备从指定的服务器或对等体获得时钟同步,增加了时钟的可靠性。

1. 客户端/服务器模式

图1-3 客户端/服务器模式

 

在客户端/服务器模式中,客户端向服务器发送时钟同步报文,报文中的Mode字段设置为3(客户模式)。服务器端收到报文后会自动工作在服务器模式,并发送应答报文,报文中的Mode字段设置为4(服务器模式)。客户端收到应答报文后,进行时钟过滤和选择,并同步到优选的服务器。

在该模式下,客户端能同步到服务器,而服务器无法同步到客户端。

2. 对等体模式

图1-4 对等体模式

 

在对等体模式中,主动对等体和被动对等体之间首先交互Mode字段为3(客户端模式)和4(服务器模式)的NTP报文。之后,主动对等体向被动对等体发送时钟同步报文,报文中的Mode字段设置为1(主动对等体),被动对等体收到报文后自动工作在被动对等体模式,并发送应答报文,报文中的Mode字段设置为2(被动对等体)。经过报文的交互,对等体模式建立起来。主动对等体和被动对等体可以互相同步。如果双方的时钟都已经同步,则以层数小的时钟为准。

3. 广播模式

图1-5 广播模式

 

在广播模式中,服务器端周期性地向广播地址255.255.255.255发送时钟同步报文,报文中的Mode字段设置为5(广播模式)。客户端侦听来自服务器的广播报文。当客户端接收到第一个广播报文后,客户端与服务器交互Mode字段为3(客户模式)和4(服务器模式)的NTP报文,以获得客户端与服务器间的网络延迟。之后,客户端就进入广播客户端模式,继续侦听广播报文的到来,根据到来的广播报文对系统时钟进行同步。

4. 组播模式

图1-6 组播模式

 

在组播模式中,服务器端周期性地向用户配置的组播地址(若用户没有配置组播地址,则使用默认的NTP组播地址224.0.1.1)发送时钟同步报文,报文中的Mode字段设置为5(组播模式)。客户端侦听来自服务器的组播报文。当客户端接收到第一个组播报文后,客户端与服务器交互Mode字段为3(客户模式)和4(服务器模式)的NTP报文,以获得客户端与服务器间的网络延迟。之后,客户端就进入组播客户模式,继续侦听组播报文的到来,根据到来的组播报文对系统时钟进行同步。

说明

在对等体模式、广播模式和组播模式中,客户端(或主动对等体)和服务器(或被动对等体)之间首先要交互Mode字段为3(客户端模式)和4(服务器模式)的NTP报文,之后,才能进入指定的NTP工作模式。在此报文交互过程中,可以实现时钟的同步。

 

1.1.5  NTP支持VPN多实例

设备作为NTP客户端或主动对等体时支持VPN多实例,实现设备与位于MPLS L3VPN中的NTP服务器或NTP被动对等体进行时钟同步。

如下图所示,私网VPN 1和VPN 2中的用户通过PE(Provider Edge,服务提供商网络边缘设备)接入MPLS骨干网,各VPN之间的业务相互隔离。配置PE设备工作在NTP客户端或NTP主动对等体模式,并指定NTP服务器或NTP被动对等体所属的VPN后,可以实现PE设备与各VPN中的CE设备进行时钟同步。

图1-7 NTP支持VPN多实例组网应用图

 

说明

MPLS L3VPN、VPN实例和PE的详细介绍,请参见“MPLS配置指导”中的“MPLS L3VPN”。

 

1.2  NTP配置任务简介

表1-1 NTP配置任务简介

配置任务

说明

详细配置

配置NTP工作模式

必选

1.3 

配置本地时钟作为参考时钟

可选

1.4 

配置NTP可选参数

可选

1.5 

配置访问控制权限

可选

1.6 

配置NTP验证功能

可选

1.7 

 

1.3  配置NTP工作模式

设备可以采用以下NTP工作模式进行时钟同步:

·     客户端/服务器模式

·     对等体模式

·     广播模式

·     组播模式

设备采用客户端/服务器模式或对等体模式时,只需要对客户端或主动对等体进行配置;设备采用广播模式或组播模式时,则需要在服务器端和客户端都进行配置。

说明

同一设备同一时间内存在的连接数目最多为128个,其中包括静态连接数和动态连接数。静态连接是用户手动配置NTP相关命令而建立的连接;动态连接是系统运行过程中建立的临时连接,若系统长期收不到报文就会删除该临时连接。例如,在客户端/服务器模式中,当用户在客户端配置向服务器端同步的命令的时候,系统会在客户端建立一个静态连接,服务器端在收到报文之后只是被动的响应报文,而不会建立连接(包括静态和动态连接);在对等体模式中,主动对等体端会建立静态连接,被动对等体端会建立动态连接;在组播和广播模式中,服务器端会建立静态连接,而在客户端会建立动态连接。

 

1.3.1  配置NTP客户端/服务器模式

当设备采用客户端/服务器模式时,请在客户端进行如下配置。

表1-2 在NTP客户端上指定NTP服务器

操作

命令

说明

进入系统视图

system-view

-

指定设备的NTP服务器

ntp-service unicast-server [ vpn-instance vpn-instance-name ] { ip-address | server-name } [ authentication-keyid keyid | priority | source-interface interface-type interface-number | version number ] *

必选

缺省情况下,没有为设备指定NTP服务器

 

说明

·     ntp-service unicast-server命令中的ip-address是一个单播地址,不能为广播地址、组播地址或本地时钟的IP地址。

·     通过source-interface参数指定NTP报文的源接口后,NTP报文的源IP地址将被设置为指定接口的主IP地址。

·     服务器端只有当其时钟被同步后,才能作为时间服务器去同步其他设备。当服务器端的时钟层数大于或等于客户端的时钟层数时,客户端将不会向其同步。

·     可以通过多次执行ntp-service unicast-server命令配置多个服务器,客户端依据时钟优选来选择最优的时钟源。

 

1.3.2  配置NTP对等体模式

当设备采用对等体模式时,需要在主动对等体上指定被动对等体。

表1-3 在主动对等体上指定被动对等体

操作

命令

说明

进入系统视图

system-view

-

指定设备的被动对等体

ntp-service unicast-peer [ vpn-instance vpn-instance-name ] { ip-address | peer-name } [ authentication-keyid keyid | priority | source-interface interface-type interface-number | version number ] *

必选

缺省情况下,没有为设备指定被动对等体

 

说明

·     在对等体模式中,被动对等体上需要执行ntp-service refclock-master或“1.3  配置NTP工作模式”中的任何一条NTP配置命令来使能NTP,否则被动对等体不会处理来自主动对等体的NTP报文。

·     ntp-service unicast-peer 命令中的ip-address是一个单播地址,不能为广播地址、组播地址或本地时钟的IP地址。

·     通过source-interface参数指定NTP报文的源接口后,NTP报文的源IP地址将被设置为指定接口的主IP地址。

·     通常,主、被动对等体中至少有一个处于同步状态,否则他们都将无法同步。

·     可以通过多次执行ntp-service unicast-peer命令配置多个被动对等体。

 

1.3.3  配置NTP广播模式

广播服务器周期性地向广播地址255.255.255.255发送NTP报文,工作在NTP广播客户端模式的设备将回应这个报文,从而开始时钟同步过程。

当设备采用广播模式时,需要在服务器端和客户端都进行配置。由于广播服务器上需要指定一个发送NTP广播报文的接口,广播客户端上也需要指定一个接收NTP广播报文的接口,所以广播模式的配置只能在具体的接口视图下进行。

说明

Tunnel接口不支持NTP广播模式的配置,有关Tunnel接口的详细介绍,请参见“三层技术-IP业务配置指导”中的“隧道”。

 

1. 配置广播客户端

表1-4 配置广播客户端

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

进入要接收NTP广播报文的接口

配置设备工作在NTP广播客户端模式

ntp-service broadcast-client

必选

 

2. 配置广播服务器

表1-5 配置广播服务器

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

进入要发送NTP广播报文的接口

配置设备工作在NTP广播服务器模式

ntp-service broadcast-server [ authentication-keyid keyid | version number ] *

必选

 

说明

广播服务器只有当其时钟同步后,才能去同步广播客户端。

 

1.3.4  配置NTP组播模式

NTP组播服务器以组播形式周期性地发送时钟同步报文,工作在NTP组播客户端模式的设备将回应这个报文,从而开始时钟同步过程。

设备采用组播模式时,需要在服务器端和客户端都进行配置。组播模式的配置只能在具体的接口视图下进行。

说明

Tunnel接口不支持NTP组播模式的配置,有关Tunnel接口的详细介绍,请参见“三层技术-IP业务配置指导”中的“隧道”。

 

1. 配置组播客户端

表1-6 配置组播客户端

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

进入要接收NTP组播报文的接口

配置设备工作在NTP组播客户端模式

ntp-service multicast-client [ ip-address ]

必选

 

2. 配置组播服务器

表1-7 配置组播服务器

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

进入要发送NTP组播报文的接口

配置设备工作在NTP组播服务器模式

ntp-service multicast-server [ ip-address ] [ authentication-keyid keyid | ttl ttl-number | version number ] *

必选

 

说明

·     组播服务器只有当其时钟同步后,才能去同步组播客户端。

·     目前最多可以配置1024个组播客户端,但同时起作用的最多为128个。

 

1.4  配置本地时钟作为参考时钟

网络中的设备可以通过下面两种方式进行时间同步:

·     与本地时钟进行同步:即采用本地时钟作为参考时钟。

·     与网络中的其他设备进行同步:可以采用前面介绍的四种NTP工作模式中的任何一种。

如果同时配置了两种方式,设备将通过时钟优选来选择最优的时钟源。

表1-8 配置本地时钟作为参考时钟

操作

命令

说明

进入系统视图

system-view

-

配置本地时钟作为参考时钟

ntp-service refclock-master [ ip-address ] [ stratum ]

必选

 

说明

·     实际网络中,通常将从权威时钟(如原子时钟)获得时钟同步的NTP服务器的层数设置为1,并将其作为主参考时钟源同步网络中其他设备的时钟。网络中的设备与主参考时钟源的NTP距离,即NTP同步链上NTP服务器的数目,决定了设备上时钟的层数。

·     配置本地时钟作为参考时钟后,本地设备可以作为时钟源同步网络中的其他设备。请谨慎使用本配置,以免导致网络中设备的时钟错误。

 

1.5  配置NTP可选参数

1.5.1  配置NTP报文的源接口

如果指定了NTP报文的源接口,则设备在主动发送NTP报文时,将报文的源IP地址设置为指定接口的主IP地址。

设备对接收到的NTP请求报文进行应答时,应答报文的源IP地址始终为接收到NTP请求报文的接口的IP地址。

表1-9 配置NTP报文的源接口

操作

命令

说明

进入系统视图

system-view

-

配置NTP报文的源接口

ntp-service source-interface interface-type interface-number

必选

缺省情况下,没有指定NTP报文的源接口

 

注意

·     如果在命令ntp-service unicast-serverntp-service unicast-peer中指定了NTP报文的源接口,则以ntp-service unicast-serverntp-service unicast-peer指定的为准。

·     如果在接口视图下配置了ntp-service broadcast-serverntp-service multicast-server,则NTP广播或组播模式报文的源接口为配置了上述命令的接口。

·     如果指定的NTP源接口处于down状态,则发送的NTP报文源IP地址为该报文出接口的主IP地址。

 

1.5.2  配置禁止接口接收NTP报文

使能NTP功能后,缺省情况下所有接口都可以接收NTP报文。可以通过本配置,禁止从某个接口接收NTP报文。

表1-10 配置禁止接口接收NTP报文

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置禁止接口接收NTP报文

ntp-service in-interface disable

必选

缺省情况下,允许接口接收NTP报文

 

1.5.3  配置允许建立的动态会话数目

表1-11 配置允许建立的动态会话数目

操作

命令

说明

进入系统视图

system-view

-

配置允许建立的动态NTP会话数目

ntp-service max-dynamic-sessions number

必选

缺省情况下,允许建立的动态NTP会话的数目为100

 

1.6  配置访问控制权限

用户可以配置对本地设备NTP服务的访问控制权限。访问控制权限可以分为四种:

·     query:允许控制查询权限。该权限只允许对端设备对本地设备的NTP服务进行控制查询,但是不能向本地设备同步。所谓的控制查询,就是查询NTP的一些状态,比如告警信息,验证状态,时钟源信息等。

·     synchronization:只允许服务器访问权限。该权限只允许对端设备向本地设备同步,但不能进行控制查询。

·     server:允许服务器访问与查询权限。该权限允许对端设备向本地设备同步和控制查询,但本地设备不会同步到对端设备。

·     peer:完全访问权限。该权限既允许对端设备向本地设备同步和控制查询,同时本地设备也可以同步到对端设备。

NTP服务的访问控制权限从高到低依次为peerserversynchronizationquery。当设备接收到NTP服务请求报文时,会按照此顺序进行匹配,以第一个匹配的权限为准。如果没有匹配任何权限,则丢弃此NTP服务请求报文。

1.6.1  配置准备

在配置对本地设备NTP服务的访问控制权限之前,需要创建并配置与访问权限关联的ACL。ACL的配置方法请参见“ACL和QoS配置指导”中的“ACL”。

1.6.2  配置访问控制权限

表1-12 配置对本地设备NTP服务的访问控制权限

操作

命令

说明

进入系统视图

system-view

-

配置对端设备对本地设备NTP服务的访问控制权限

ntp-service access { peer | query | server | synchronization } acl-number

必选

缺省情况下,对端设备对本地设备NTP服务的访问控制权限为peer

 

说明

配置对本地设备NTP服务的访问控制权限,仅提供了一种最小限度的安全措施,更安全的方法是进行身份验证。

 

1.7  配置NTP验证功能

在一些对安全性要求较高的网络中,运行NTP协议时需要启用验证功能。通过客户端和服务器端的密码验证,保证客户端只与通过验证的设备进行同步,提高了网络安全性。

配置NTP验证功能分为以下几步:

·     使能NTP验证功能

·     配置验证密钥

·     将验证密钥设为可信密钥

·     指定与NTP服务器或对等体关联的密钥

上述步骤缺一不可,缺少任何一项配置都会导致NTP验证功能无法正常启用。

1.7.1  配置客户端/服务器模式的NTP验证功能

配置客户端/服务器模式的NTP验证功能时,需要在客户端和服务器上都使能NTP验证功能、配置验证密钥、将验证密钥设为可信密钥,并在客户端上指定与NTP服务器关联的密钥。

·     如果客户端上使能了NTP验证功能、配置了验证密钥和可信密钥、指定了与NTP服务器关联的密钥,且关联的密钥为可信密钥,则只有服务器上也正常启用了NTP验证功能(使能NTP验证功能、配置验证密钥和可信密钥),客户端才能与服务器进行时间同步。

·     如果客户端上没有使能NTP验证功能,或客户端上没有指定与NTP服务器关联的密钥,则客户端与该服务器进行时间同步时不会进行身份验证,即无论服务器端是否正常启用验证功能,客户端都能与服务器进行时间同步。

·     如果客户端上使能了NTP验证功能、指定了与NTP服务器关联的密钥,但关联的密钥不是可信密钥,则无论服务器端是否正常启用验证功能,客户端都不能向该服务器同步。

1. 配置客户端的NTP验证

表1-13 配置客户端的NTP验证

操作

命令

说明

进入系统视图

system-view

-

使能NTP身份验证功能

ntp-service authentication enable

必选

缺省情况下,NTP身份验证功能处于关闭状态

配置NTP验证密钥

ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value

必选

缺省情况下,没有配置NTP验证密钥

配置指定密钥为可信密钥

ntp-service reliable authentication-keyid keyid

必选

缺省情况下,没有指定可信密钥

将指定密钥与对应的NTP服务器关联

ntp-service unicast-server { ip-address | server-name } authentication-keyid keyid

必选

可以将不存在的密钥与NTP服务器关联。但是若想成功启用NTP验证功能,则必须在关联密钥后,配置该密钥,并将其指定为可信密钥

 

说明

客户端使能NTP验证功能后,必须配置与服务器端相同的验证密钥,并且必须声明该密钥是可信的,否则无法与服务器同步。

 

2. 配置服务器端的NTP验证

表1-14 配置服务器端的NTP验证

操作

命令

说明

进入系统视图

system-view

-

使能NTP验证功能

ntp-service authentication enable

必选

缺省情况下,NTP身份验证功能处于关闭状态

配置NTP验证密钥

ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value

必选

缺省情况下,没有配置NTP验证密钥

配置指定密钥为可信密钥

ntp-service reliable authentication-keyid keyid

必选

缺省情况下,没有指定可信密钥

 

说明

服务器端和客户端必须配置相同的验证密钥。

 

1.7.2  配置对等体模式的NTP验证功能

配置对等体模式的NTP验证功能时,需要在主动对等体和被动对等体上都使能NTP验证功能、配置验证密钥、将验证密钥设为可信密钥,并在主动对等体上指定与被动对等体关联的密钥。

(1)     主动对等体的时钟层数大于被动对等体时

·     如果主动对等体上使能了NTP验证功能、配置了验证密钥和可信密钥、指定了与被动对等体关联的密钥、且关联的密钥为可信密钥,则只有被动对等体上也正常启用了NTP验证功能(使能NTP验证功能、配置验证密钥和可信密钥),主动对等体才能向被动对等体同步。

·     如果主动对等体上没有使能NTP验证功能,或主动对等体上没有指定与被动对等体关联的密钥,则只要被动对等体上没有使能NTP验证功能,主动对等体就可以向被动对等体同步。否则,不能向被动对等体同步。

·     如果主动对等体上使能了NTP验证功能、指定了与被动对等体关联的密钥,但关联的密钥不是可信密钥,则无论被动对等体是否正常启用验证功能,主动对等体都不能向该被动对等体同步。

(2)     被动对等体的时钟层数大于主动对等体时

·     如果主动对等体上使能了NTP验证功能、配置了验证密钥和可信密钥、指定了与被动对等体关联的密钥、且关联的密钥为可信密钥,则只有被动对等体上也正常启用了NTP验证功能(使能NTP验证功能、配置验证密钥和可信密钥),主动对等体才能为被动对等体提供时钟同步。

·     如果主动对等体上没有使能NTP验证功能、或主动对等体上没有指定与被动对等体关联的密钥、或关联的密钥不是可信密钥,则只要被动对等体上没有使能NTP验证功能,主动对等体就可以为被动对等体提供时钟同步。否则,不能为被动对等体提供时钟同步。

1. 配置主动对等体的NTP验证

表1-15 配置主动对等体的NTP验证

操作

命令

说明

进入系统视图

system-view

-

使能NTP身份验证功能

ntp-service authentication enable

必选

缺省情况下,NTP身份验证功能处于关闭状态

配置NTP验证密钥

ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value

必选

缺省情况下,没有配置NTP验证密钥

配置指定密钥为可信密钥

ntp-service reliable authentication-keyid keyid

必选

缺省情况下,没有指定可信密钥

将指定密钥与对应的被动对等体关联

ntp-service unicast-peer { ip-address | peer-name } authentication-keyid keyid

必选

可以将不存在的密钥与被动对等体关联。但是若想成功启用NTP验证功能,则必须在关联密钥后,配置该密钥,并将其指定为可信密钥

 

说明

主动对等体使能NTP验证功能后,必须配置与被动对等体相同的验证密钥,并且必须声明该密钥是可信的。

 

2. 配置被动对等体的NTP验证

表1-16 配置被动对等体的NTP验证

操作

命令

说明

进入系统视图

system-view

-

使能NTP验证功能

ntp-service authentication enable

必选

缺省情况下,NTP身份验证功能处于关闭状态

配置NTP验证密钥

ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value

必选

缺省情况下,没有配置NTP验证密钥

配置指定密钥为可信密钥

ntp-service reliable authentication-keyid keyid

必选

缺省情况下,没有指定可信密钥

 

说明

被动对等体和主动对等体必须配置相同的验证密钥。

 

1.7.3  配置广播模式的NTP验证功能

配置广播模式的NTP验证功能时,需要在广播客户端和广播服务器上都使能NTP验证功能、配置验证密钥、将验证密钥设为可信密钥,并在广播服务器上指定与该服务器关联的密钥。

·     如果广播客户端上使能了NTP验证功能、配置了验证密钥和可信密钥,则只有广播服务器上也正常启用了NTP验证功能(使能NTP验证功能、配置验证密钥和可信密钥、指定了与该服务器关联的密钥、且关联的密钥为可信密钥),广播客户端才能与该服务器进行时间同步。

·     如果广播客户端上没有使能NTP验证功能,则广播客户端与广播服务器进行时间同步时不会进行身份验证,即无论广播服务器是否正常启用验证功能,广播客户端都能与该服务器进行时间同步。

1. 配置广播客户端的NTP验证

表1-17 配置广播客户端的NTP验证

操作

命令

说明

进入系统视图

system-view

-

使能NTP身份验证功能

ntp-service authentication enable

必选

缺省情况下,NTP身份验证功能处于关闭状态

配置NTP验证密钥

ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value

必选

缺省情况下,没有配置NTP验证密钥

配置指定密钥为可信密钥

ntp-service reliable authentication-keyid keyid

必选

缺省情况下,没有指定可信密钥

 

说明

广播客户端使能NTP验证功能后,必须配置与广播服务器端相同的验证密钥,并且必须声明该密钥是可信的。

 

2. 配置广播服务器端的NTP验证

表1-18 配置广播服务器端的NTP验证

操作

命令

说明

进入系统视图

system-view

-

使能NTP验证功能

ntp-service authentication enable

必选

缺省情况下,NTP身份验证功能处于关闭状态

配置NTP验证密钥

ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value

必选

缺省情况下,没有配置NTP验证密钥

配置指定密钥为可信密钥

ntp-service reliable authentication-keyid keyid

必选

缺省情况下,没有指定可信密钥

进入接口视图

interface interface-type interface-number

-

将指定密钥与对应的广播服务器关联

ntp-service broadcast-server authentication-keyid keyid

必选

可以将不存在的密钥与广播服务器关联。但是若想成功启用NTP验证功能,则必须在关联密钥后,配置该密钥,并将其指定为可信密钥

 

说明

广播服务器端和广播客户端必须配置相同的密钥。

 

1.7.4  配置组播模式的NTP验证功能

配置组播模式的NTP验证功能时,需要在组播客户端和组播服务器上都使能NTP验证功能、配置验证密钥、将验证密钥设为可信密钥,并在组播服务器上指定与该服务器关联的密钥。

·     如果组播客户端上使能了NTP验证功能、配置了验证密钥和可信密钥,则只有组播服务器上也正常启用了NTP验证功能(使能NTP验证功能、配置验证密钥和可信密钥、指定了与该服务器关联的密钥、且关联的密钥为可信密钥),组播客户端才能与该服务器进行时间同步。

·     如果组播客户端上没有使能NTP验证功能,则组播客户端与组播服务器进行时间同步时不会进行身份验证,即无论组播服务器是否正常启用验证功能,组播客户端都能与该服务器进行时间同步。

1. 配置组播客户端的NTP验证

表1-19 配置组播客户端的NTP验证

操作

命令

说明

进入系统视图

system-view

-

使能NTP身份验证功能

ntp-service authentication enable

必选

缺省情况下,NTP身份验证功能处于关闭状态

配置NTP验证密钥

ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value

必选

缺省情况下,没有配置NTP验证密钥

配置指定密钥为可信密钥

ntp-service reliable authentication-keyid keyid

必选

缺省情况下,没有指定可信密钥

 

说明

组播客户端使能NTP验证功能后,必须配置与组播服务器端相同的验证密钥,并且必须声明该密钥是可信的。

 

2. 配置组播服务器端的NTP验证

表1-20 配置组播服务器端的NTP验证

操作

命令

说明

进入系统视图

system-view

-

使能NTP验证功能

ntp-service authentication enable

必选

缺省情况下,NTP身份验证功能处于关闭状态

配置NTP验证密钥

ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value

必选

缺省情况下,没有配置NTP验证密钥

配置指定密钥为可信密钥

ntp-service reliable authentication-keyid keyid

必选

缺省情况下,没有指定可信密钥

进入接口视图

interface interface-type interface-number

-

将指定密钥与对应的组播服务器关联

ntp-service multicast-server [ ip-address ] authentication-keyid keyid

必选

可以将不存在的密钥与组播服务器关联。但是若想成功启用NTP验证功能,则必须在关联密钥后,配置该密钥,并将其指定为可信密钥

 

说明

组播服务器端和组播客户端必须配置相同的密钥。

 

1.8  NTP显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后NTP的运行情况,通过查看显示信息验证配置的效果。

表1-21 NTP显示与维护

操作

命令

显示NTP服务的状态信息

display ntp-service status [ | { begin | exclude | include } regular-expression ]

显示NTP服务维护的会话信息

display ntp-service sessions [ verbose ] [ | { begin | exclude | include } regular-expression ]

显示从本地设备回溯到主参考时钟源的各个NTP时间服务器的简要信息

display ntp-service trace [ | { begin | exclude | include } regular-expression ]

 

1.9  NTP典型配置举例

说明

缺省情况下,以太网接口、VLAN接口及聚合接口处于DOWN状态。如果要对这些接口进行配置,请先使用undo shutdown命令使接口状态处于UP。

 

1.9.1  配置NTP客户端/服务器模式

1. 组网需求

为了实现Device B的时钟与Device A的时钟同步,需要进行以下配置:

·     在Device A上设置本地时钟作为参考时钟,层数为2;

·     Device B工作在客户端模式,指定Device A为NTP服务器。

2. 组网图

图1-8 配置NTP客户端/服务器模式组网图

 

3. 配置步骤

(1)     按照图1-8配置各接口的IP地址,具体配置过程略。

(2)     配置Device A

# 设置本地时钟作为参考时钟,层数为2。

<DeviceA> system-view

[DeviceA] ntp-service refclock-master 2

(3)     配置Device B

# 同步前查看Device B的NTP状态。

<DeviceB> display ntp-service status

 Clock status: unsynchronized

 Clock stratum: 16

 Reference clock ID: none

 Nominal frequency: 64.0000 Hz

 Actual frequency: 64.0000 Hz

 Clock precision: 2^7

 Clock offset: 0.0000 ms

 Root delay: 0.00 ms

 Root dispersion: 0.00 ms

 Peer dispersion: 0.00 ms

 Reference time: 00:00:00.000 UTC Jan 1 1900 (00000000.00000000)

# 设置Device A为Device B的NTP服务器。

<DeviceB> system-view

[DeviceB] ntp-service unicast-server 1.0.1.11

# 以上配置将Device B向Device A进行时间同步,同步后查看Device B的NTP状态。

[DeviceB] display ntp-service status

 Clock status: synchronized

 Clock stratum: 3

 Reference clock ID: 1.0.1.11

 Nominal frequency: 64.0000 Hz

 Actual frequency: 64.0000 Hz

 Clock precision: 2^7

 Clock offset: 0.0000 ms

 Root delay: 31.00 ms

 Root dispersion: 1.05 ms

 Peer dispersion: 7.81 ms

 Reference time: 14:53:27.371 UTC Sep 19 2005 (C6D94F67.5EF9DB22)

此时Device B已经与Device A同步,层数比Device A的层数大1,为3。

# 查看Device B的NTP会话信息,可以看到Device B与Device A建立了连接。

[DeviceB] display ntp-service sessions

      source      reference   stra  reach  poll  now  offset  delay  disper

**************************************************************************

[12345] 1.0.1.11  127.127.1.0    2    63    64    3    -75.5    31.0  16.5

note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured

Total associations :  1

1.9.2  配置NTP对等体模式

1. 组网需求

为了实现设备之间的时钟同步,需要进行以下配置:

·     在Device A上设置本地时钟作为参考时钟,层数为2;

·     在Device C上设置本地时钟作为参考时钟,层数为1;

·     Device B工作在客户端模式,指定Device A为NTP服务器;

·     Device C工作在对等体模式,将Device B设为对等体。Device C为主动对等体,Device B为被动对等体。

2. 组网图

图1-9 配置NTP对等体模式组网图

 

3. 配置步骤

(1)     按照图1-9配置各接口的IP地址,具体配置过程略。

(2)     配置Device A

# 设置本地时钟作为参考时钟,层数为2。

<DeviceA> system-view

[DeviceA] ntp-service refclock-master 2

(3)     配置Device B

# 设置Device A为Device B的NTP服务器。

<DeviceB> system-view

[DeviceB] ntp-service unicast-server 3.0.1.31

(4)     配置Device CDevice BDevice A同步后)

# 设置本地时钟作为参考时钟,层数为1。

<DeviceC> system-view

[DeviceC] ntp-service refclock-master 1

# 本地同步后,设置Device B为对等体。

[DeviceC] ntp-service unicast-peer 3.0.1.32

以上配置将Device B和Device C配置为对等体,Device C处于主动对等体模式,Device B处于被动对等体模式,由于Device C系统时钟的层数为1,而Device B的层数为3,所以Device B向Device C同步。

# 同步后查看Device B的状态。

[DeviceB] display ntp-service status

 Clock status: synchronized

 Clock stratum: 2

 Reference clock ID: 3.0.1.33

 Nominal frequency: 64.0000 Hz

 Actual frequency: 64.0000 Hz

 Clock precision: 2^7

 Clock offset: -21.1982 ms

 Root delay: 15.00 ms

 Root dispersion: 775.15 ms

 Peer dispersion: 34.29 ms

 Reference time: 15:22:47.083 UTC Sep 19 2005 (C6D95647.153F7CED)

此时Device B已经与Device C同步,层数比Device C的层数大1,为2。

# 查看Device B的NTP会话信息,可以看到Device B与Device C建立了连接。

[DeviceB] display ntp-service sessions

       source     reference   stra  reach  poll  now   offset delay  disper

**************************************************************************

[245] 3.0.1.31  127.127.1.0    2    15    64   24   10535.0  19.6   14.5

[1234] 3.0.1.33   LOCL          1    14    64   27    -77.0   16.0   14.8

note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured

Total associations :  2

1.9.3  配置NTP广播模式

1. 组网需求

Switch C作为同一网段中多个设备的NTP服务器,同时同步多个设备的时钟。为了实现该需求,需要进行以下配置:

·     在Switch C上设置本地时钟作为参考时钟,层数为2;

·     Switch C工作在广播服务器模式,从VLAN接口2向外发送广播报文;

·     Switch A和Switch B工作在广播客户端模式,分别从各自的VLAN接口2监听广播报文。

2. 组网图

图1-10 配置NTP广播模式组网图

 

3. 配置步骤

(1)     按照图1-10配置各接口的IP地址,具体配置过程略。

(2)     配置Switch C

# 设置本地时钟作为参考时钟,层数为2。

<SwitchC> system-view

[SwitchC] ntp-service refclock-master 2

# 设置Switch C为广播服务器,从VLAN接口2发送广播报文。

[SwitchC] interface vlan-interface 2

[SwitchC-Vlan-interface2] ntp-service broadcast-server

(3)     配置Switch A

# 设置Switch A为广播客户端,从VLAN接口2监听广播报文。

<SwitchA> system-view

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] ntp-service broadcast-client

(4)     配置Switch B

# 设置Switch B为广播客户端,从VLAN接口2监听广播报文。

<SwitchB> system-view

[SwitchB] interface vlan-interface 2

[SwitchB-Vlan-interface2] ntp-service broadcast-client

Switch A和Switch B接收到Switch C发出的广播报文后,与其同步。

# 以Switch A为例,同步后查看Switch A的状态。

[SwitchA-Vlan-interface2] display ntp-service status

 Clock status: synchronized

 Clock stratum: 3

 Reference clock ID: 3.0.1.31

 Nominal frequency: 64.0000 Hz

 Actual frequency: 64.0000 Hz

 Clock precision: 2^7

 Clock offset: 0.0000 ms

 Root delay: 31.00 ms

 Root dispersion: 8.31 ms

 Peer dispersion: 34.30 ms

 Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)

此时Switch A已经与Switch C同步,层数比Switch C的层数大1,为3。

# 查看Switch A的NTP会话信息,可以看到Switch A与Switch C建立了连接。

[SwitchA-Vlan-interface2] display ntp-service sessions

      source    reference   stra  reach  poll  now    offset delay  disper

**************************************************************************

[1234] 3.0.1.31  127.127.1.0   2   254     64    62   -16.0    32.0   16.6

note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured

Total associations :  1

1.9.4  配置NTP组播模式

1. 组网需求

Switch C作为不同网段中多个设备的NTP服务器,同时同步多个设备的时钟。为了实现该需求,需要进行以下配置:

·     在Switch C上设置本地时钟作为参考时钟,层数为2;

·     Switch C工作在组播服务器模式,从VLAN接口2向外发送组播报文;

·     Switch A和Switch D工作在组播客户端模式,Switch A从VLAN接口3监听组播报文,Switch D从VLAN接口2监听组播报文。

2. 组网图

图1-11 配置NTP组播模式组网图

 

3. 配置步骤

(1)     按照图1-11配置各接口的IP地址,具体配置过程略。

(2)     配置Switch C

# 设置本地时钟作为参考时钟,层数为2。

<SwitchC> system-view

[SwitchC] ntp-service refclock-master 2

# 设置Switch C为组播服务器,从VLAN接口2发送组播报文。

[SwitchC] interface vlan-interface 2

[SwitchC-Vlan-interface2] ntp-service multicast-server

(3)     配置Switch D

# 设置Switch D为组播客户端,从VLAN接口2监听组播报文。

<SwitchD> system-view

[SwitchD] interface vlan-interface 2

[SwitchD-Vlan-interface2] ntp-service multicast-client

由于Switch D和Switch C在同一个网段,不需要配置组播功能,Switch D就可以收到Switch C发出的组播报文,并与其同步。

# 同步后查看Switch D的状态。

[SwitchD-Vlan-interface2] display ntp-service status

 Clock status: synchronized

 Clock stratum: 3

 Reference clock ID: 3.0.1.31

 Nominal frequency: 64.0000 Hz

 Actual frequency: 64.0000 Hz

 Clock precision: 2^7

 Clock offset: 0.0000 ms

 Root delay: 31.00 ms

 Root dispersion: 8.31 ms

 Peer dispersion: 34.30 ms

 Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)

此时Switch D已经与Switch C同步,层数比Switch C的层数大1,为3。

# 查看Switch D的NTP会话信息,可以看到Switch D与Switch C建立了连接。

[SwitchD-Vlan-interface2] display ntp-service sessions

      source    reference   stra  reach  poll  now    offset delay  disper

**************************************************************************

[1234] 3.0.1.31  127.127.1.0   2   254     64    62   -16.0    31.0   16.6

note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured

Total associations :  1

(4)     配置Switch B

由于Switch A与Switch C不在同一网段,所以Switch B上需要配置组播功能,否则Switch A收不到Switch C发出的组播报文。

# 配置组播功能。

<SwitchB> system-view

[SwitchB] multicast routing-enable

[SwitchB] interface vlan-interface 2

[SwitchB-Vlan-interface2] pim dm

[SwitchB-Vlan-interface2] quit

[SwitchB] vlan 3

[SwitchB-vlan3] port GigabitEthernet 3/0/1

[SwitchB-vlan3] quit

[SwitchB] interface vlan-interface 3

[SwitchB-Vlan-interface3] igmp enable

[SwitchB-Vlan-interface3] igmp static-group 224.0.1.1

[SwitchB-Vlan-interface3] quit

[SwitchB] interface GigabitEthernet 3/0/1

[SwitchB-GigabitEthernet3/0/1] igmp-snooping static-group 224.0.1.1 vlan 3

(5)     配置Switch A

<SwitchA> system-view

[SwitchA] interface vlan-interface 3

# 设置Switch A为组播客户端,从VLAN接口3监听组播报文。

[SwitchA-Vlan-interface3] ntp-service multicast-client

# 同步后查看Switch A的状态。

[SwitchA-Vlan-interface3] display ntp-service status

 Clock status: synchronized

 Clock stratum: 3

 Reference clock ID: 3.0.1.31

 Nominal frequency: 64.0000 Hz

 Actual frequency: 64.0000 Hz

 Clock precision: 2^7

 Clock offset: 0.0000 ms

 Root delay: 40.00 ms

 Root dispersion: 10.83 ms

 Peer dispersion: 34.30 ms

 Reference time: 16:02:49.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)

此时Switch A已经与Switch C同步,层数比Switch C的层数大1,为3。

# 查看Switch A的NTP会话信息,可以看到Switch A与Switch C建立了连接。

[SwitchA-Vlan-interface3] display ntp-service sessions

      source    reference   stra  reach  poll  now    offset delay  disper

**************************************************************************

[1234] 3.0.1.31  127.127.1.0    2   255     64    26   -16.0    40.0   16.6

note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured

Total associations :  1

说明

组播功能的详细介绍请参见“IP组播配置指导”中的“IGMP”和“PIM”。

 

1.9.5  配置带身份验证的NTP客户端/服务器模式

1. 组网需求

为了实现Device B的时钟与Device A的时钟同步,并保证时钟同步的安全性,需要进行以下配置:

·     在Device A上设置本地时钟作为参考时钟,层数为2;

·     Device B工作在客户端模式,指定Device A为NTP服务器;

·     Device A和Device B上同时配置NTP验证。

2. 组网图

图1-12 配置带身份验证的NTP客户端/服务器模式组网图

 

3. 配置步骤

(1)     按照图1-12配置各接口的IP地址,具体配置过程略。

(2)     配置Device A

# 设置本地时钟作为参考时钟,层数为2。

<DeviceA> system-view

[DeviceA] ntp-service refclock-master 2

(3)     配置Device B

<DeviceB> system-view

# 在Device B上启动身份验证。

[DeviceB] ntp-service authentication enable

# 设置密钥。

[DeviceB] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey

# 指定密钥为可信密钥。

[DeviceB] ntp-service reliable authentication-keyid 42

# 设置Device A为Device B的NTP服务器。

[DeviceB] ntp-service unicast-server 1.0.1.11 authentication-keyid 42

以上配置将Device B向Device A进行时间同步,但由于Device A没有使能NTP身份验证,所以,Device B还是无法向Device A同步。

现在,向Device A增加以下配置:

# 在Device A上启动身份验证。

[DeviceA] ntp-service authentication enable

# 设置密钥。

[DeviceA] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey

# 指定密钥为可信密钥。

[DeviceA] ntp-service reliable authentication-keyid 42

此时,Device B可以向Device A同步。

# 同步后查看Device B的状态。

[DeviceB] display ntp-service status

 Clock status: synchronized

 Clock stratum: 3

 Reference clock ID: 1.0.1.11

 Nominal frequency: 64.0000 Hz

 Actual frequency: 64.0000 Hz

 Clock precision: 2^7

 Clock offset: 0.0000 ms

 Root delay: 31.00 ms

 Root dispersion: 1.05 ms

 Peer dispersion: 7.81 ms

 Reference time: 14:53:27.371 UTC Sep 19 2005 (C6D94F67.5EF9DB22)

可以看出,Device B已经与Device A同步,层数比Device A的层数大1,为3。

# 查看Device B的NTP会话信息,可以看到Device B与Device A建立了连接。

[DeviceB] display ntp-service sessions

      source      reference   stra  reach  poll  now  offset  delay  disper

**************************************************************************

[12345] 1.0.1.11  127.127.1.0    2    63    64    3    -75.5    31.0  16.5

note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured

Total associations :  1

1.9.6  配置带身份验证的NTP广播模式

1. 组网需求

Switch C作为同一网段中多个设备的NTP服务器,同时同步多个设备的时钟。Switch B要求对时钟源进行验证,以保证时钟同步的安全性。为了实现上述需求,需要进行以下配置:

·     在Switch C上设置本地时钟作为参考时钟,层数为3;

·     Switch C工作在广播服务器模式,从VLAN接口2向外发送广播报文;

·     Switch A和Switch B工作在广播客户端模式,从VLAN接口2监听广播报文;

·     在Switch B和Switch C上配置NTP验证功能。

2. 组网图

图1-13 配置带身份验证的NTP广播模式组网图

 

3. 配置步骤

(1)     按照图1-13配置各接口的IP地址,具体配置过程略。

(2)     配置Switch A

# 设置Switch A为NTP广播客户端,从VLAN接口2监听广播报文。

<SwitchA> system-view

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] ntp-service broadcast-client

(3)     配置Switch B

# 使能NTP验证功能,创建ID为88的NTP验证密钥,密钥值为123456,并将密钥88指定为可信密钥。

<SwitchB> system-view

[SwitchB] ntp-service authentication enable

[SwitchB] ntp-service authentication-keyid 88 authentication-mode md5 123456

[SwitchB] ntp-service reliable authentication-keyid 88

# 设置Switch B为NTP广播客户端,从VLAN接口2监听广播报文。

[SwitchB] interface vlan-interface 2

[SwitchB-Vlan-interface2] ntp-service broadcast-client

(4)     配置Switch C

# 设置本地时钟作为参考时钟,层数为3。

<SwitchC> system-view

[SwitchC] ntp-service refclock-master 3

# 设置Switch C为NTP广播服务器,从VLAN接口2向外发送广播报文。

[SwitchC] interface vlan-interface 2

[SwitchC-Vlan-interface2] ntp-service broadcast-server

[SwitchC-Vlan-interface2] quit

# Switch A接收到Switch C发出的广播报文后与其同步。在Switch A上查看NTP服务的状态信息,可以看到Switch A已经与Switch C同步,层数比Switch C的层数大1,为4。

[SwitchA-Vlan-interface2] display ntp-service status

 Clock status: synchronized

 Clock stratum: 4

 Reference clock ID: 3.0.1.31

 Nominal frequency: 64.0000 Hz

 Actual frequency: 64.0000 Hz

 Clock precision: 2^7

 Clock offset: 0.0000 ms

 Root delay: 31.00 ms

 Root dispersion: 8.31 ms

 Peer dispersion: 34.30 ms

 Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)

# 查看Switch A的NTP会话信息,可以看到Switch A与Switch C建立了连接。

[SwitchA-Vlan-interface2] display ntp-service sessions

      source    reference   stra  reach  poll  now    offset delay  disper

**************************************************************************

[1234] 3.0.1.31  127.127.1.0  3   254     64    62   -16.0    32.0   16.6

note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured

Total associations :  1

# 由于Switch B上使能了NTP验证功能,Switch C上没有使能NTP验证功能。因此,Switch B无法向Switch C同步。

[SwitchB-Vlan-interface2] display ntp-service status

 Clock status: unsynchronized

 Clock stratum: 16

 Reference clock ID: none

 Nominal frequency: 100.0000 Hz

 Actual frequency: 100.0000 Hz

 Clock precision: 2^18

 Clock offset: 0.0000 ms

 Root delay: 0.00 ms

 Root dispersion: 0.00 ms

 Peer dispersion: 0.00 ms

 Reference time: 00:00:00.000 UTC Jan 1 1900(00000000.00000000)

# 在Switch C上使能NTP验证功能,创建ID为88的NTP验证密钥,密钥值为123456,并将密钥88指定为可信密钥。

[SwitchC] ntp-service authentication enable

[SwitchC] ntp-service authentication-keyid 88 authentication-mode md5 123456

[SwitchC] ntp-service reliable authentication-keyid 88

# 设置Switch C为NTP广播服务器并指定关联的密钥编号为88。

[SwitchC] interface vlan-interface 2

[SwitchC-Vlan-interface2] ntp-service broadcast-server authentication-keyid 88

# 在Switch C上使能NTP验证功能后,Switch B可以向Switch C同步。在Switch B上查看NTP服务的状态信息,可以看到Switch B已经与Switch C同步,层数比Switch C的层数大1,为4。

[SwitchB-Vlan-interface2] display ntp-service status

 Clock status: synchronized

 Clock stratum: 4

 Reference clock ID: 3.0.1.31

 Nominal frequency: 64.0000 Hz

 Actual frequency: 64.0000 Hz

 Clock precision: 2^7

 Clock offset: 0.0000 ms

 Root delay: 31.00 ms

 Root dispersion: 8.31 ms

 Peer dispersion: 34.30 ms

 Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)

# 查看Switch B的NTP会话信息,可以看到Switch B与Switch C建立了连接。

[SwitchB-Vlan-interface2] display ntp-service sessions

      source    reference   stra  reach  poll  now    offset delay  disper

**************************************************************************

[1234] 3.0.1.31  127.127.1.0   3   254     64    62   -16.0    32.0   16.6

note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured

Total associations :  1

# 在Switch C上配置NTP验证功能后,不会对Switch A造成影响。Switch A仍然处于同步状态。

[SwitchA-Vlan-interface2] display ntp-service status

 Clock status: synchronized

 Clock stratum: 4

 Reference clock ID: 3.0.1.31

 Nominal frequency: 64.0000 Hz

 Actual frequency: 64.0000 Hz

 Clock precision: 2^7

 Clock offset: 0.0000 ms

 Root delay: 31.00 ms

 Root dispersion: 8.31 ms

 Peer dispersion: 34.30 ms

 Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)

1.9.7  配置采用客户端/服务器模式实现MPLS VPN网络的时间同步

1. 组网需求

PE 1和PE 2上同时存在两个VPN:VPN 1和VPN 2。CE 1和CE 3是VPN 1内的设备。为了实现PE 2与VPN 1内的CE 1时钟同步,需要进行以下配置:

·     在CE 1上设置本地时钟作为参考时钟,层数为1;

·     采用客户端/服务器模式实现PE 2向CE 1进行时间同步,并指定VPN为VPN 1。

说明

目前只有单播方式(客户端/服务器模式或者对等体模式)的NTP时间同步支持MPLS L3VPN,组播和广播模式的时间同步暂时不支持MPLS L3VPN。

 

2. 组网图

图1-14 配置MPLS VPN网络的时间同步组网图

 

设备

接口

IP地址

设备

接口

IP地址

CE 1

POS2/1/1

10.1.1.1/24

PE 1

POS2/1/1

10.1.1.2/24

CE 2

CE 3

POS2/1/1

POS2/1/1

10.2.1.1/24

10.3.1.1/24

 

POS2/1/2

POS2/1/3

172.1.1.1/24

10.2.1.2/24

CE 4

POS2/1/1

10.4.1.1/24

PE 2

POS2/1/1

10.3.1.2/24

P

POS2/1/1

172.1.1.2/24

 

POS2/1/2

172.2.1.2/24

 

POS2/1/2

172.2.1.1/24

 

POS2/1/3

10.4.1.2/24

 

3. 配置步骤

说明

在下面的配置之前,MPLS VPN的相关配置必须完成,CE 1和PE 1之间、PE 1和PE 2之间、PE 2和CE 3之间都必须有路由可达。MPLS VPN的配置方法请参见“MPLS配置指导”中的“MPLS L3VPN”。

 

(1)     按照图1-14配置各接口的IP地址,具体配置过程略。

(2)     配置CE 1

# 设置本地时钟作为参考时钟,层数为1。

<CE1> system-view

[CE1] ntp-service refclock-master 1

(3)     配置PE 2

# 设置VPN 1中的CE 1为PE 2的NTP服务器。

<PE2> system-view

[PE2] ntp-service unicast-server vpn-instance vpn1 10.1.1.1

# 经过一段时间之后在PE 2上可以查看NTP的会话信息、状态信息等,可以看出PE 2已经同步到CE 1了,层数为2。

[PE2] display ntp-service status

 Clock status: synchronized

 Clock stratum: 2

 Reference clock ID: 10.1.1.1

 Nominal frequency: 63.9100 Hz

 Actual frequency: 63.9100 Hz

 Clock precision: 2^7

 Clock offset: 0.0000 ms

 Root delay: 47.00 ms

 Root dispersion: 0.18 ms

 Peer dispersion: 34.29 ms

 Reference time: 02:36:23.119 UTC Jan 1 2001(BDFA6BA7.1E76C8B4)

[PE2] display ntp-service sessions

source          reference       stra reach poll  now offset  delay disper

**************************************************************************

[12345]10.1.1.1       LOCL         1    7   64   15    0.0   47.0    7.8

note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured

Total associations :  1   

[PE2] display ntp-service trace

 server 127.0.0.1,stratum 2, offset -0.013500, synch distance 0.03154

 server 10.1.1.1,stratum 1, offset -0.506500, synch distance 0.03429

 refid 127.127.1.0

1.9.8  配置采用对等体模式实现MPLS VPN网络的时间同步

1. 组网需求

PE 1和PE 2上同时存在两个VPN:VPN 1和VPN 2。CE 1和CE 3是VPN 1内的设备。为了实现PE 1与VPN 1内的CE 1时钟同步,需要进行以下配置:

·     在CE 1上设置本地时钟作为参考时钟,层数为1;

·     采用对等体模式实现PE 1向CE 1进行时间同步,并指定VPN为VPN 1。

2. 组网图

图1-14所示。

3. 配置步骤

(1)     按照图1-14配置各接口的IP地址,具体配置过程略。

(2)     配置CE 1

# 设置本地时钟作为参考时钟,层数为1。

<CE1> system-view

[CE1] ntp-service refclock-master 1

(3)     配置PE 1

# 设置VPN 1中的CE 1为PE 1的被动对等体。

<PE1> system-view

[PE1] ntp-service unicast-peer vpn-instance vpn1 10.1.1.1

# 经过一段时间之后在PE 1上可以查看NTP的会话信息、状态信息等,可以看出PE 1已经同步到CE 1了,层数为2。

[PE1] display ntp-service status

 Clock status: synchronized

 Clock stratum: 2

 Reference clock ID: 10.1.1.1

 Nominal frequency: 63.9100 Hz

 Actual frequency: 63.9100 Hz

 Clock precision: 2^7

 Clock offset: 0.0000 ms

 Root delay: 32.00 ms

 Root dispersion: 0.60 ms

 Peer dispersion: 7.81 ms

 Reference time: 02:44:01.200 UTC Jan 1 2001(BDFA6D71.33333333)

[PE1] display ntp-service sessions

source          reference       stra reach poll  now offset  delay disper

**************************************************************************

[12345]10.1.1.1       LOCL          1    1   64   29    -12.0   32.0    15.6

note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured  

Total associations :  1    

[PE1] display ntp-service trace  

 server 127.0.0.1,stratum 2, offset -0.012000, synch distance 0.02448

 server 10.1.1.1,stratum 1, offset 0.003500, synch distance 0.00781

 refid 127.127.1.0

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们