• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

11-网络管理和监控命令参考

目录

04-NTP命令

本章节下载 04-NTP命令  (486.55 KB)

04-NTP命令


1 NTP

1.1  NTP配置命令

支持NTP的接口均为三层接口,包括三层以太网接口/子接口、三层聚合接口/子接口、VLAN接口、Tunnel接口等。

1.1.1  display ntp-service ipv6 sessions

display ntp-service ipv6 sessions命令用来显示NTP服务的所有IPv6会话信息。

【命令】

display ntp-service ipv6 sessions [ verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

verbose:显示NTP服务的所有IPv6会话的详细信息。如果不指定该参数,则只显示所有IPv6会话的简要信息。

【举例】

# 显示NTP服务的所有IPv6会话的简要信息。

<Sysname> display ntp-service ipv6 sessions

Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.

 

 Source:   [125]3000::32

 Reference: 127.127.1.0           Clock stratum: 2

 Reachabilities: 1                Poll interval: 64

 Last receive time: 6             Offset: -0.0

 Roundtrip delay: 0.0             Dispersion: 0.0

 

 Total sessions: 1

表1-1 display ntp-service ipv6 sessions命令显示信息描述表

字段

描述

[12345]

五个数字所带表的字段含义如下:

·     1:系统选中的时间服务器,即当前与设备进行时间同步的时间服务器

·     2:该时间服务器的时钟层数小于等于15

·     3:该时间服务器的时钟通过了时钟选择算法

·     4:该时间服务器的时钟为候选的时钟

·     5:该时间服务器是通过配置命令指定的

Source

时间服务器的IPv6地址。若该字段显示为::,表示时间服务器的IPv6地址尚未解析成功

Reference

时间服务器的参考时钟ID

当参考时钟为本地时钟时,本字段的显示情况和Clock stratum字段的取值有关:

·     当Clock stratum字段为0或1时,本字段显示为LOCL

·     当Clock stratum字段为其他值时,本字段显示为IPv6地址前32位的MD5摘要值,摘要信息按照点分十进制形式显示

当参考时钟为网络中其他设备的时钟时,本字段显示为IPv6地址前32位的MD5摘要值,摘要信息按照点分十进制形式显示。若该字段显示为INIT,表示本地设备还未与时间服务器建立连接

Clock stratum

时间服务器的时钟层数

时钟层数决定了时钟的准确度,取值范围为0~16,层数取值越小,时钟的准确度最高,层数为16的时钟处于未同步状态

Reachabilities

时间服务器的可达性计数,0表示时间服务器不可达

Poll interval

轮询间隔,即两个连续NTP报文之间的时间间隔,单位为秒

Last receive time

最近一次接收到NTP报文或更新本地时间到当前时间的时间间隔

缺省单位为秒;如果时间间隔大于2048秒,则显示为分钟m;如果时间间隔大于300分钟,则显示为小时h;如果时间间隔大于96小时,则显示为天d;如果时间间隔大于999天,则显示为年y;如果最近一次接收到NTP报文或更新本地时间比当前时间晚,则显示为“-”

Offset

系统时钟相对于参考时钟的时钟偏移,单位为毫秒

Roundtrip delay

本地设备到时间服务器的往返时延,单位为毫秒

Dispersion

系统时钟相对于参考时钟的最大误差,单位为毫秒

Total sessions

总的会话数目

 

# 显示NTP服务的所有IPv6会话的详细信息。

<Sysname> display ntp-service ipv6 sessions verbose

 

 Clock source: 1::1

 Session ID: 36144

 Clock stratum: 16

 Clock status:  configured, insane, valid, unsynced

 Reference clock ID: INIT

 VPN instance: Not specified

 Local mode: sym_active, local poll interval: 6

 Peer mode: unspec, peer poll interval: 10

 Offset: 0.0000ms, roundtrip delay: 0.0000ms, dispersion:  15937ms

 Root roundtrip delay: 0.0000ms, root dispersion: 0.0000ms

 Reachabilities:0, sync distance: 15.938

 Precision: 2^-23, version: 4, source interface: Not specified

 Reftime: 00000000.00000000  Thu, Feb  7 2036  6:28:16.000

 Orgtime: d17cbb21.0f318106  Tue, May 17 2019  9:15:13.059

 Rcvtime: 00000000.00000000  Thu, Feb  7 2036  6:28:16.000

 Xmttime: 00000000.00000000  Thu, Feb  7 2036  6:28:16.000

 Roundtrip delay samples: 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000

 Offset samples: 0.00  0.00  0.00  0.00  0.00  0.00  0.00  0.00

 Filter order: 0     1     2     3     4     5     6     7

 

 Total sessions: 1

表1-2 display ntp-service ipv6 sessions verbose命令显示信息描述表

字段

描述

Clock source

时间服务器的IPv6地址。若该字段显示为::,表示时间服务器的IPv6地址尚未解析成功

Session ID

会话ID

Clock stratum

时间服务器的时钟层数

时钟层数决定了时钟的准确度,取值范围为0~16,层数取值越小,表示时钟的准确度最高,层数为16的时钟处于未同步状态

Clock status

会话的状态,该字段的取值及含义为:

·     configured:表示该会话是配置命令所建立的

·     dynamic:表示该会话是动态生成的

·     master:表示该会话对应的时间服务器是当前系统的主时间服务器

·     selected:表示该会话对应时间服务器的时钟通过了时钟选择算法

·     candidate:表示该会话对应时间服务器的时钟为候选时钟

·     sane:表示该会话对应的时间服务器通过身份验证,该时间服务器的时钟将作为参考时钟

·     insane:表示该会话对应的时间服务器未通过身份验证,或该时间服务器通过身份验证但其时钟不作为参考时钟

·     valid:表示该会话对应的时间服务器是有效的(通过验证、处于同步状态、层数有效、根延时/离差未越界等)

·     invalid:表示该会话对应的时间服务器是无效的

·     unsynced:表示该会话对应时间服务器的时钟未同步或层数非法

Reference clock ID

时间服务器的参考时钟ID

当参考时钟为本地时钟时,本字段的显示情况和Clock stratum字段的取值有关:

·     当Clock stratum字段为0或1时,本字段显示为LOCL

·     当Clock stratum字段为其他值时,本字段显示为IPv6地址前32位的MD5摘要值,摘要信息按照点分十进制形式显示

当参考时钟为网络中其他设备的时钟时,本字段显示为IPv6地址前32位的MD5摘要值,摘要信息按照点分十进制形式显示。若该字段显示为INIT,表示本地设备还未与时间服务器建立连接

VPN instance

时间服务器所属的VPN实例的名称,如果时间服务器位于公网,则显示为Not specified

Local mode

本地设备的工作模式,取值包括:

·     unspec:未指定模式

·     sym_active:主动对等体模式

·     sym_passive:被动对等体模式

·     client:客户端模式

·     server:服务器模式

·     broadcast:广播服务器模式或组播服务器模式

·     bclient:广播客户端模式或组播客户端模式

local poll interval

本地设备的轮询间隔,显示的是2的次幂数,单位为秒,比如6表示轮询间隔为2的6次幂,即64s

Peer mode

对端设备的工作模式,取值包括:

·     unspec:未指定模式

·     sym_active:主动对等体模式

·     sym_passive:被动对等体模式

·     client:客户端模式

·     server:服务器模式

·     broadcast:广播服务器模式或组播服务器模式

·     bclient:广播客户端模式或组播客户端模式

peer poll interval

对端设备的轮询间隔,显示的是2的次幂数,单位为秒,比如6表示轮询间隔为2的6次幂,即64s

Offset

系统时钟相对于参考时钟的时钟偏移,单位为毫秒

roundtrip delay

本地设备到时间服务器的往返时延,单位为毫秒

dispersion

系统时钟相对于参考时钟的最大误差,单位为毫秒

Root roundtrip delay

本地设备到主时间服务器的往返时延,单位为毫秒

root dispersion

系统时钟相对主参考时钟的最大误差,单位为毫秒

Reachabilities

时间服务器的可达性计数,0表示时间服务器不可达

sync distance

表示相对上一级时间服务器的同步距离,由误差disper和往返时延delay计算而来,单位为秒

Precision

系统时钟的精度

version

NTP版本,取值为1~4

source interface

源接口,未指定源接口时,此字段显示为Not specified

Reftime

NTP报文中的参考时间戳

Orgtime

NTP报文中的起始时间戳

Rcvtime

NTP报文的接收时间戳

Xmttime

NTP报文的发送时间戳

Roundtrip delay samples

本地设备到时间服务器往返时延的抽样值

Offset samples

相对于参考时钟的时钟偏移的抽样值

Filter order

样本信息排序

Reference clock status

本地时钟的工作状态,只有通过ntp-service refclock-master命令设置本地时钟作为参考时钟时,才会显示该字段

当本地时钟的reach值等于255时,该字段取值为working normally;否则,该字段取值为working abnormally

Total sessions

总的会话数目

 

1.1.2  display ntp-service sessions

display ntp-service sessions命令用来显示NTP服务的所有IPv4会话信息。

【命令】

display ntp-service sessions [ verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

verbose:显示NTP服务的所有IPv4会话的详细信息。如果不指定该参数,则只显示所有会话的简要信息。

【使用指导】

设备作为NTP广播服务器或NTP组播服务器时,在设备上执行display ntp-service sessions命令不会显示与该广播服务器或组播服务器对应的NTP服务的IPv4会话信息,但是这些会话会统计在总的会话数中。

【举例】

# 显示NTP服务的所有IPv4会话的简要信息。

<Sysname> display ntp-service sessions

       source          reference       stra reach poll  now offset  delay disper

********************************************************************************

[12345]LOCAL(0)        LOCL               0     1   64    - 0.0000 0.0000 7937.9

    [5]0.0.0.0         INIT              16     0   64    - 0.0000 0.0000 0.0000

Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.

 Total sessions: 1

表1-3 display ntp-service sessions命令显示信息描述表

字段

描述

source

参考时钟为本地时钟时,显示为LOCAL(number),表示本地时钟的地址为127.127.1.number,其中number为NTP的进程号,取值范围为0~3

参考时钟为网络中其他设备的时钟时,显示为时间服务器的IP地址。若该字段显示为0.0.0.0,表示时间服务器的IP地址尚未解析成功

reference

时间服务器的参考时钟ID

当参考时钟为本地时钟时,本字段的显示情况和stra字段的取值有关:

·     当stra字段为0或1时,本字段将显示为LOCL

·     当stra字段为其他值时,本字段将显示为本地时钟的IP地址

当参考时钟为网络中其他设备的时钟时,本字段显示为该设备的IP地址,若该设备为IPv6设备,则本字段显示为该设备的IPv6地址前32位的MD5摘要值,摘要信息按照点分十进制形式显示。若该字段显示为INIT,表示本地设备还未与时间服务器建立连接

stra

时间服务器的时钟层数

时钟层数决定了时钟的准确度,取值范围为0~16,层数取值越小,表示时钟的准确度最高,层数为16的时钟处于未同步状态

reach

时间服务器的可达性计数,0表示时间服务器不可达

poll

轮询间隔,即两个连续NTP报文之间的时间间隔,单位为秒

now

最近一次接收到NTP报文或更新本地时间到当前时间的时间间隔

缺省单位为秒;如果时间间隔大于2048秒,则显示为分钟m;如果时间间隔大于300分钟,则显示为小时h;如果时间间隔大于96小时,则显示为天d;如果时间间隔大于999天,则显示为年y;如果最近一次接收到NTP报文或更新本地时间比当前时间晚,则显示为“-”

offset

系统时钟相对于参考时钟的时钟偏移,单位为毫秒

delay

本地设备到时间服务器的往返时延,单位为毫秒

disper

系统时钟相对于参考时钟的最大误差,单位为毫秒

[12345]

1:系统选中的时间服务器,即当前与设备进行时间同步的时间服务器

2:该时间服务器的时钟层数小于等于15

3:该时间服务器的时钟通过了时钟选择算法

4:该时间服务器的时钟为候选时钟

5:该时间服务器的时钟是配置命令指定的

Total sessions

总的会话数目

 

# 显示NTP服务的所有IPv4会话的详细信息。

<Sysname> display ntp-service sessions verbose

 Clock source: 192.168.1.40

 Session ID: 35888

 Clock stratum: 2

 Clock status:  configured, master, sane, valid

 Reference clock ID: 127.127.1.0

 VPN instance: Not specified

 Local mode: client, local poll interval: 6

 Peer mode: server, peer poll interval: 6

 Offset: 0.2862ms, roundtrip delay: 3.2653ms, dispersion: 4.5166ms

 Root roundtrip delay: 0.0000ms, root dispersion: 10.910ms

 Reachabilities:31, sync distance: 0.0194

 Precision: 2^-23, version: 3, source interface: Not specified

 Reftime: d17cbba5.1473de1e  Tue, May 17 2019  9:17:25.079

 Orgtime: 00000000.00000000  Thu, Feb  7 2036  6:28:16.000

 Rcvtime: d17cbbc0.b1959a30  Tue, May 17 2019  9:17:52.693

 Xmttime: d17cbbc0.b1959a30  Tue, May 17 2019  9:17:52.693

 Roundtrip delay samples: 0.007 0.010 0.006 0.011 0.010 0.005 0.007 0.003

 Offset samples: 5629.55 3913.76 5247.27 6526.92 31.99 148.72 38.27 0.29

 Filter order: 7     5     2     6     0     4     1     3

 

 Total sessions: 1

表1-4 display ntp-service sessions verbose命令显示信息描述表

字段

描述

Clock source

时间服务器的IP地址。若该字段显示为0.0.0.0,表示时间服务器的IP地址尚未解析成功

Session ID

会话ID

Clock stratum

时间服务器的时钟层数

时钟层数决定了时钟的准确度,取值范围为0~16,层数取值越小,表示时钟的准确度越高,层数为16的时钟处于未同步状态

Clock status

会话的状态,该字段的取值及含义为:

·     configured:表示该会话是配置命令所建立的

·     dynamic:表示该会话是动态生成的

·     master:表示该会话对应的时间服务器是当前系统的主时间服务器

·     selected:表示该会话对应时间服务器的时钟通过了时钟选择算法

·     candidate:表示该会话对应时间服务器的时钟为候选时钟

·     sane:表示该会话对应的时间服务器通过身份验证,该时间服务器的时钟将作为参考时钟

·     insane:表示该会话对应的时间服务器未通过身份验证,或该时间服务器通过身份验证但其时钟不作为参考时钟

·     valid:表示该会话对应的时间服务器是有效的(通过验证、处于同步状态、层数有效、根延时/离差未越界等)

·     invalid:表示该会话对应的时间服务器是无效的

·     unsynced:表示该会话对应时间服务器的时钟未同步或层数非法

Reference clock ID

时间服务器的参考时钟ID

当参考时钟为本地时钟时,本字段的显示情况和Clock stratum字段的取值有关:

·     当Clock stratum字段取值为0或1时,本字段将显示为LOCL;

·     当Clock stratum字段取值为其他值时,本字段将显示为本地时钟的IP地址

当参考时钟为网络中其他设备的时钟时,本字段显示为该设备的IP地址,若该设备为IPv6设备,则本字段显示为该设备的IPv6地址前32位的MD5摘要值,摘要信息按照点分十进制形式显示。若该字段显示为INIT,表示本地设备还未与时间服务器建立连接

VPN instance

时间服务器所属的VPN实例的名称,如果时间服务器位于公网,则显示为Not specified

Local mode

本地设备的工作模式,取值包括:

·     unspec:未指定模式

·     sym_active:主动对等体模式

·     sym_passive:被动对等体模式

·     client:客户端模式

·     server:服务器模式

·     broadcast:广播服务器模式或组播服务器模式

·     bclient:广播客户端模式或组播客户端模式

local poll interval

本地设备的轮询间隔,显示的是2的次幂数,单位为秒,比如6表示轮询间隔为2的6次幂,即64s

Peer mode

对端设备的工作模式,取值包括:

·     unspec:未指定模式

·     sym_active:主动对等体模式

·     sym_passive:被动对等体模式

·     client:客户端模式

·     server:服务器模式

·     broadcast:广播服务器模式或组播服务器模式

·     bclient:广播客户端模式或组播客户端模式

peer poll interval

对端设备的轮询间隔,显示的是2的次幂数,单位为秒,比如6表示轮询间隔为2的6次幂,即64s

Offset

系统时钟相对于参考时钟的时钟偏移,单位为毫秒

roundtrip delay

本地设备到时间服务器的往返时延,单位为毫秒

dispersion

系统时钟相对于参考时钟的最大误差

Root roundtrip delay

本地设备到主时间服务器的往返时延,单位为毫秒

root dispersion

系统时钟相对主参考时钟的最大误差,单位为毫秒

Reachabilities

时间服务器的可达性计数,0表示时间服务器不可达

sync distance

表示相对上一级时间服务器的同步距离,由误差disper和往返时延delay计算而来,单位为秒

Precision

系统时钟的精度

version

NTP版本,取值为1~4

source interface

源接口,未指定源接口时,此字段显示为Not specified

Reftime

NTP报文中的参考时间戳

Orgtime

NTP报文中的起始时间戳

Rcvtime

NTP报文的接收时间戳

Xmttime

NTP报文的发送时间戳

Roundtrip delay samples

本地设备到时间服务器往返时延的抽样值

Offset samples

相对于参考时钟的时钟偏移的抽样值

Filter order

抽样信息排序

Reference clock status

本地时钟的工作状态,只有通过ntp-service refclock-master命令设置本地时钟作为参考时钟时,才会显示该字段

当本地时钟的reach值等于255时,该字段取值为working normally;否则,该字段取值为working abnormally

Total sessions

总的会话数目

 

1.1.3  display ntp-service status

display ntp-service status命令用来显示NTP服务的状态信息。

【命令】

display ntp-service status

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 时间已同步时,显示NTP服务的状态信息。

<Sysname> display ntp-service status

 Clock status: synchronized

 Clock stratum: 2

 System peer: LOCAL(0)

 Local mode: client

 Reference clock ID: 127.127.1.0

 Leap indicator: 00

 Clock jitter: 0.000977 s

 Stability: 0.000 pps

 Clock precision: 2^-23

 Root delay: 0.00000 ms

 Root dispersion: 3.96367 ms

 Reference time: d0c5fc32.92c70b1e  Wed, Dec 29 2019 18:28:02.573

 System poll interval: 256 s

# 时间未同步时,显示NTP服务的状态信息。

<Sysname> display ntp-service status

 Clock status: unsynchronized

 Clock stratum: 16

 Reference clock ID: none

 Clock jitter: 0.000000 s

 Stability: 0.000 pps

 Clock precision: 2^-23

 Root delay: 0.00000 ms

 Root dispersion: 0.00002 ms

 Reference time: d0c5fc32.92c70b1e  Wed, Dec 29 2019 18:28:02.573

 System poll interval: 8 s

表1-5 display ntp-service status命令显示信息描述表

字段

描述

Clock status

系统时间的状态,取值为:

·     synchronized:系统时间已同步

·     unsynchronized:系统时间未同步

Clock stratum

系统时钟的层数

System peer

系统时钟选中的时间服务器的IP地址

Local mode

相对于选中的时间服务器,本地设备的工作模式,取值包括:

·     unspec:未指定模式

·     sym_active:主动对等体模式

·     sym_passive:被动对等体模式

·     client:客户端模式

·     server:服务器模式

·     broadcast:广播服务器模式或组播服务器模式

·     bclient:广播客户端模式或组播客户端模式

Reference clock ID

参考时钟ID

1.     对于IPv4 NTP服务器:

本地设备从远程时间服务器获取时间同步时,表示远程服务器的IP地址

本地设备从本地时钟获取时间同步时,表示本地时钟的标识:

·     本地时钟的层数为1时,显示为LOCL

·     本地时钟的层数为其他值时,显示为本地时钟的IP地址

2.     对于IPv6 NTP服务器:

本地设备从远程时间服务器获取时间同步时,表示远程服务器的IPv6地址前32位的MD5摘要值

本地设备从本地时钟获取时间同步时,表示本地时钟的标识:

·     本地时钟的层数为1时,显示为LOCL

·     本地时钟的层数为其他值时,显示为本地时钟的IPv6地址前32位的MD5摘要值

Leap indicator

告警状态,取值包括:

·     00:正常状态

·     01:闰秒标志,表示一天中的最后一分钟有61秒

·     10:闰秒标志,表示一天中的最后一分钟有59秒

·     11:时间未被同步的告警状态

Clock jitter

系统时钟相对于参考时钟的偏移量,单位为秒

Stability

时钟频率的稳定性,取值越小,时钟频率越稳定

Clock precision

系统时钟的精度

Root delay

本地设备到主时间服务器的往返时延,单位为毫秒

Root dispersion

系统时钟相对主参考时钟的最大误差,单位为毫秒

Reference time

参考时间戳

System poll interval

系统轮询时间间隔,单位为秒

 

1.1.4  display ntp-service trace

display ntp-service trace命令用来显示从本地设备回溯到主时间服务器的各个NTP时间服务器的简要信息。

【命令】

display ntp-service trace [ source interface-type interface-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

source interface-type interface-number:指定回溯主时间服务器时发送NTP报文的源接口,interface-type interface-number表示接口类型和接口编号。本地设备向时间服务器发送NTP报文时,报文的源地址为指定源接口的主IPv4地址或接口的IPv6地址;如果NTP时间服务器地址是链路本地地址时,报文的源地址为报文出接口的链路本地地址。如果不指定本参数,则以报文发送接口作为回溯主时间服务器时发送NTP报文的源接口。

【使用指导】

指定源接口回溯主时间服务器时,需要保证主时间服务器已及各个NTP时间服务器均和源接口之间路由可达,否则将导致回溯失败。

ntp-service noquery enable命令与display ntp-service trace命令功能互斥,如需使用display ntp-service trace命令,请配置允许对本设备进行控制查询。

【举例】

# 显示从本地设备回溯到主时间服务器的各个NTP时间服务器的简要信息。

<Sysname> display ntp-service trace

Server     127.0.0.1

Stratum    3, jitter  0.000, synch distance 0.0000.

Server     3000::32

Stratum    2 , jitter 790.00, synch distance 0.0000.

RefID      127.127.1.0

以上信息显示了服务器127.0.0.1的同步链:服务器127.0.0.1同步到服务器3000::32,服务器3000::32从本地时钟得到同步。

表1-6 display ntp-service trace命令显示信息描述表

字段

描述

Server

时间服务器的IP地址

Stratum

表示相应服务器的时钟层数

jitter

表示相对上一级时钟的时钟偏差的均方根,单位为毫秒

synch distance

表示相对上一级时间服务器的同步距离,由误差disper和往返时延delay计算而来,单位为秒

RefID

主时间服务器的标识,主参考时钟的层数为0时,显示为LOCL;为其他值时,显示为主参考时钟的IP地址

 

【相关命令】

·     ntp-service ipv6 source

·     ntp-service ipv6 unicast-server

·     ntp-service ipv6 unicast-peer

·     ntp-service noquery enable

·     ntp-service source

·     ntp-service unicast-server

·     ntp-service unicast-peer

1.1.5  ntp-service acl

ntp-service acl命令用来设置对端设备对本地设备NTP服务的访问控制权限。

undo ntp-service acl命令用来取消设置的访问控制权限。

【命令】

ntp-service { peer | query | server | synchronization } acl ipv4-acl-number

undo ntp-service { peer | query | server | synchronization } [ acl ipv4-acl-number ]

【缺省情况】

对端设备对本地设备NTP服务的访问控制权限为peer

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

peer:完全访问权限。该权限表示本设备可以作为NTP客户端去同步ACL列表中permit的设备的时钟,也可以作为NTP服务器为ACL列表中permit的设备提供时钟,还允许ACL列表中permit的设备查询本设备部分NTP状态,例如:告警信息、验证状态、时间服务器信息等。

query:仅具有控制查询的权限。该权限表示本设备不可以作为NTP客户端去同步ACL列表中permit的设备的时钟,也不可以作为NTP服务器为ACL列表中permit的设备提供时钟,仅允许ACL列表中permit的设备查询本设备部分NTP状态。

server:服务器访问与查询权限。该权限表示本设备不可以作为NTP客户端去同步ACL列表中permit的设备的时钟,但可以作为NTP服务器为ACL列表中permit的设备提供时钟,且允许ACL列表中permit的设备查询本设备部分NTP状态。

synchronization:仅具有访问服务器的权限。该权限表示本设备不可以作为NTP客户端去同步ACL列表中permit的设备的时钟,但可以作为NTP服务器为ACL列表中permit的设备提供时钟,不允许ACL列表中permit的设备查询本设备部分NTP状态。

ipv4-acl-number:通过编号指定引用的ACL(Access Control List,访问控制列表)。通过ACL过滤的对端设备具有本命令中指定的访问控制权限。ipv4-acl-number为IPv4基本或高级ACL的编号,取值范围为2000~2999和3000~3999。

【使用指导】

NTP服务的访问控制权限从高到低依次为peerserversynchronizationquery。当设备接收到一个NTP服务请求时,会按照权限从高到低的顺序依次进行匹配,第一个匹配的权限为此设备具有的访问控制权限。如果没有匹配的权限,则不允许对端设备与本地设备进行时间同步、对本端进行控制查询,也不允许本端设备与对端设备进行时间同步。

引用ACL时,需要注意的是:

·     若引用的ACL不存在,或者引用的ACL中没有配置规则,则任何设备都能访问本地NTP服务。

·     在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。

ntp-service acl命令提供了一种最小限度的安全措施,更安全的方法是进行身份验证。

当设备上配置了ntp-service noquery enablentp-service acl命令时,“是否可以对本设备进行控制查询”以ntp-service noquery enable命令的配置为准。

【举例】

# 配置10.10.0.0/16网段的对端设备对本地设备具有完全访问权限。

<Sysname> system-view

[Sysname] acl basic 2001

[Sysname-acl-ipv4-basic-2001] rule permit source 10.10.0.0 0.0.255.255

[Sysname-acl-ipv4-basic-2001] quit

[Sysname] ntp-service peer acl 2001

【相关命令】

·     ntp-service authentication enable

·     ntp-service authentication-keyid

·     ntp-service noquery enable

·     ntp-service reliable authentication-keyid

1.1.6  ntp-service authentication enable

ntp-service authentication enable命令用来开启NTP身份验证功能。

undo ntp-service authentication enable命令用来关闭NTP身份验证功能。

【命令】

ntp-service authentication enable

undo ntp-service authentication enable

【缺省情况】

NTP身份验证功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

在一些对安全性要求较高的网络中,运行NTP协议时需要启用NTP身份验证功能。通过客户端和服务器端的身份验证,保证客户端只与通过验证的设备进行时间同步,避免客户端从非法的服务器获得错误的时间同步信息。

开启NTP身份验证功能后,还需要设置身份验证密钥,并将其设置为可信密钥,才能正确地进行身份验证。

【举例】

# 开启NTP身份验证功能。

<Sysname> system-view

[Sysname] ntp-service authentication enable

【相关命令】

·     ntp-service authentication-keyid

·     ntp-service reliable authentication-keyid

1.1.7  ntp-service authentication-keyid

ntp-service authentication-keyid命令用来设置NTP身份验证密钥。

undo ntp-service authentication-keyid命令用来删除指定的NTP身份验证密钥。

【命令】

ntp-service authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *

undo ntp-service authentication-keyid keyid

【缺省情况】

未设置NTP身份验证密钥。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

keyid:密钥编号,用来标识身份验证密钥,取值范围为1~4294967295。

authentication-mode:表示验证算法。

hmac-sha-1:表示采用HMAC-SHA-1算法进行身份验证。FIPS模式下不支持该参数。

hmac-sha-256:表示采用HMAC-SHA-256算法进行身份验证。

hmac-sha-384:表示采用HMAC-SHA-384算法进行身份验证。

hmac-sha-512:表示采用HMAC-SHA-512算法进行身份验证。

md5:表示采用MD5算法进行身份验证。FIPS模式下不支持该参数。

cipher:以密文形式设置密钥。

simple:以明文形式设置密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。明文密钥为1~32个字符的字符串,密文密钥为1~73个字符的字符串。

acl ipv4-acl-number:对对端设备进行ACL过滤。通过ACL过滤的对端设备有权在本端使用该密钥ID进行身份验证。ipv4-acl-number为IPv4基本ACL的编号,取值范围为2000~2999。

ipv6 acl ipv6-acl-number:对对端设备进行IPv6 ACL过滤。通过IPv6 ACL过滤的对端设备有权在本端使用该密钥ID进行身份验证。ipv6-acl-number为IPv6基本ACL的编号,取值范围为2000~2999。

【使用指导】

在一些对安全性要求较高的网络中,运行NTP协议时需要启用身份验证功能。通过客户端和服务器端的身份验证,保证客户端只与通过验证的设备进行时间同步,提高了时间同步的安全性。

NTP协议采用哪个密钥对对端进行身份验证由对端报文中携带的密钥ID决定。这会导致如下安全问题:对对端进行身份验证时只关心密钥是否正确而不关心对端是否有权使用该密钥ID。aclipv6 acl参数用于指定有权在本端使用该密钥ID进行身份验证的对端设备。引用ACL时,需要注意的是:

·     当本地需要建立或已存在对端的NTP会话时,aclipv6 acl参数才会进一步检查对端是否有权在本端使用该密钥ID。

·     若引用的ACL不存在,或者引用的ACL中没有配置规则,则任何设备都能在本端使用该密钥ID进行验证。

·     在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。

客户端和服务器上需要配置相同的密钥ID、验证算法及密钥值,并且保证对端有权在本端使用该密钥ID进行身份验证,否则无法实现时间同步。

配置NTP验证密钥后,还需要通过ntp-service reliable authentication-keyid命令将该密钥设置为可信密钥。如果NTP验证密钥被指定为可信密钥,删除密钥后,该密钥将自动变为不可信密钥,不必再执行undo ntp-service reliable authentication-keyid命令。

五种验证算法的安全性从高到低为:HMAC-SHA-512、HMAC-SHA-384、HMAC-SHA-256、HMAC-SHA-1、MD5。

通过重复执行本命令,可以配置多个NTP身份验证密钥。设备上最多可以配置128个NTP身份验证密钥。

【举例】

# 设置MD5身份验证密钥,密钥ID号为10,密钥为BetterKey,以明文形式输入。

<Sysname> system-view

[Sysname] ntp-service authentication enable

[Sysname] ntp-service authentication-keyid 10 authentication-mode md5 simple BetterKey

【相关命令】

·     ntp-service authentication enable

·     ntp-service reliable authentication-keyid

1.1.8  ntp-service broadcast-client

ntp-service broadcast-client命令用来配置设备工作在NTP广播客户端模式,并使用当前接口接收NTP广播报文。

undo ntp-service broadcast-client命令用来取消NTP广播客户端模式的配置。

【命令】

ntp-service broadcast-client

undo ntp-service broadcast-client

【缺省情况】

未配置NTP工作模式。

【视图】

接口视图

【缺省用户角色】

network-admin

【使用指导】

FIPS模式下不支持该命令。

配置设备工作在NTP广播客户端模式后,设备将在接口上监听NTP广播服务器发送的NTP广播报文,根据接收到的报文实现时间同步。

如果在接口上配置了设备工作在广播客户端模式,则建议不要将该接口加入聚合组。如果要将接口加入聚合组,则建议先取消NTP广播客户端配置。

【举例】

# 配置设备工作在广播客户端模式,在VLAN接口1上接收NTP广播报文。

<Sysname> system-view

[Sysname] interface vlan-interface 1

[Sysname-Vlan-interface1] ntp-service broadcast-client

【相关命令】

·     ntp-service broadcast-server

1.1.9  ntp-service broadcast-server

ntp-service broadcast-server命令用来配置设备工作在NTP广播服务器模式,并使用当前接口发送NTP广播报文。

undo ntp-service broadcast-server命令用来取消NTP广播服务器模式的配置。

【命令】

ntp-service broadcast-server [ authentication-keyid keyid | version number ] *

undo ntp-service broadcast-server

【缺省情况】

未配置NTP工作模式。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

authentication-keyid keyid:指定向广播客户端发送NTP报文时,使用指定的密钥计算报文的摘要。keyid取值范围为1~4294967295。如果未指定本参数,则本端设备无法同步开启了身份验证功能的广播客户端。

version number:指定NTP版本号。number取值范围为1~4,缺省值为4。

【使用指导】

FIPS模式下不支持该命令。

配置设备工作在NTP广播服务器模式后,设备将通过该接口周期性地向广播地址255.255.255.255发送NTP报文。

如果在接口上配置了设备工作在广播服务器模式,则建议不要将该接口加入聚合组。如果要将接口加入聚合组,则建议先取消NTP广播服务器配置。

【举例】

# 配置设备工作在广播服务器模式,在VLAN接口1上发送NTP广播报文,用4号密钥进行加密,设置NTP版本号为4。

<Sysname> system-view

[Sysname] interface vlan-interface 1

[Sysname-Vlan-interface1] ntp-service broadcast-server authentication-keyid 4 version 4

【相关命令】

·     ntp-service broadcast-client

1.1.10  ntp-service dscp

ntp-service dscp命令用来配置NTP报文的DSCP优先级。

undo ntp-service dscp命令用来恢复缺省情况。

【命令】

ntp-service dscp dscp-value

undo ntp-service dscp

【缺省情况】

NTP报文的DSCP优先级为48。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

dscp-value:NTP报文的DSCP优先级,取值范围为0~63。

【使用指导】

DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

【举例】

# 配置NTP报文的DSCP优先级为30。

<Sysname> system-view

[Sysname] ntp-service dscp 30

1.1.11  ntp-service enable

ntp-service enable命令用来开启NTP服务。

undo ntp-service enable命令用来关闭NTP服务。

【命令】

ntp-service enable

undo ntp-service enable

【缺省情况】

NTP服务处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【举例】

# 开启NTP服务。

<Sysname> system-view

[Sysname] ntp-service enable

1.1.12  ntp-service inbound enable

ntp-service inbound enable命令用来开启接口接收NTP报文功能。

undo ntp-service inbound enable命令用来关闭接口接收NTP报文功能。

【命令】

ntp-service inbound enable

undo ntp-service inbound enable

【缺省情况】

接口接收NTP报文功能处于开启状态。

【视图】

接口视图

【缺省用户角色】

network-admin

【使用指导】

如果不允许设备为某个接口对应网段内的对端设备提供时间同步,或不允许设备从某个接口对应网段内的对端设备获得时间同步,则可以在该接口上执行undo ntp-service inbound enable命令,使该接口关闭接收NTP报文功能。

【举例】

# 关闭VLAN接口1接收NTP报文功能。

<Sysname> system-view

[Sysname] interface vlan-interface 1

[Sysname-Vlan-interface1] undo ntp-service inbound enable

1.1.13  ntp-service ipv6 acl

ntp-service ipv6 acl命令用来设置对端设备对本地设备IPv6 NTP服务的访问控制权限。

undo ntp-service ipv6 acl命令用来取消设置的访问控制权限。

【命令】

ntp-service ipv6 { peer | query | server | synchronization } acl ipv6-acl-number

undo ntp-service ipv6 { peer | query | server | synchronization } [ acl ipv6-acl-number ]

【缺省情况】

对端设备对本地设备IPv6 NTP服务的访问控制权限为peer

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

peer:完全访问权限。该权限表示本设备可以作为NTP客户端去同步IPv6 ACL列表中permit的设备的时钟,也可以作为NTP服务器为IPv6 ACL列表中permit的设备提供时钟,还允许IPv6 ACL列表中permit的设备查询本设备部分NTP状态,例如:告警信息、验证状态、时间服务器信息等。

query:仅具有控制查询的权限。该权限表示本设备不可以作为NTP客户端去同步IPv6 ACL列表中permit的设备的时钟,也不可以作为NTP服务器为IPv6 ACL列表中permit的设备提供时钟,仅允许IPv6 ACL列表中permit的设备查询本设备部分NTP状态。

server:服务器访问与查询权限。该权限表示本设备不可以作为NTP客户端去同步IPv6 ACL列表中permit的设备的时钟,但可以作为NTP服务器为IPv6 ACL列表中permit的设备提供时钟,且允许IPv6 ACL列表中permit的设备查询本设备部分NTP状态。

synchronization:仅具有访问服务器的权限。该权限表示本设备不可以作为NTP客户端去同步IPv6 ACL列表中permit的设备的时钟,但可以作为NTP服务器为IPv6 ACL列表中permit的设备提供时钟,不允许IPv6 ACL列表中permit的设备查询本设备部分NTP状态。

ipv6-acl-number:通过编号指定应用的IPv6 ACL(Access Control List,访问控制列表)。通过IPv6 ACL过滤的对端设备具有本命令中指定的访问控制权限。ipv6-acl-number为IPv6基本或高级ACL的编号,取值范围为2000~2999和3000~3999。

【使用指导】

IPv6 NTP服务的访问控制权限从高到低依次为peerserversynchronizationquery。当设备接收到一个IPv6 NTP服务请求时,会按照权限从高到低的顺序依次进行匹配,第一个匹配的权限为此设备具有的访问控制权限。如果没有匹配的权限,则不允许对端设备与本地设备进行时间同步、对本端进行控制查询,也不允许本端设备与对端设备进行时间同步。

引用ACL时,需要注意的是:

·     若引用的ACL不存在,或者引用的ACL中没有配置规则,任何设备都不能访问本地IPv6 NTP服务。

·     在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。

ntp-service ipv6 acl命令提供了一种最小限度的安全措施,更安全的方法是进行身份验证。

当设备上配置了ntp-service noquery enablentp-service ipv6 acl命令时,“是否可以对本设备进行控制查询”以ntp-service noquery enable命令的配置为准。

【举例】

# 配置2001::1网段的对端设备对本地设备具有完全访问权限。

<Sysname> system-view

[Sysname] acl ipv6 basic 2001

[Sysname-acl-ipv6-basic-2001] rule permit source 2001::1 64

[Sysname-acl-ipv6-basic-2001] quit

[Sysname] ntp-service ipv6 peer acl 2001

【相关命令】

·     ntp-service authentication enable

·     ntp-service authentication-keyid

·     ntp-service noquery enable

·     ntp-service reliable authentication-keyid

1.1.14  ntp-service ipv6 dscp

ntp-server ipv6 dscp命令用来配置IPv6 NTP报文的DSCP优先级。

undo ntp-server ipv6 dscp命令用来恢复缺省情况。

【命令】

ntp-service ipv6 dscp dscp-value

undo ntp-service ipv6 dscp

【缺省情况】

IPv6 NTP报文的DSCP优先级为56。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

dscp-value:IPv6 NTP报文的DSCP优先级,取值范围为0~63。

【使用指导】

DSCP携带在IPv6报文中的Traffic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

【举例】

# 配置IPv6 NTP报文的DSCP优先级为30。

<Sysname> system-view

[Sysname] ntp-service ipv6 dscp 30

1.1.15  ntp-service ipv6 inbound enable

ntp-service ipv6 inbound enable命令用来开启接口接收IPv6 NTP报文功能。

undo ntp-service ipv6 inbound enable命令用来关闭接口接收IPv6 NTP报文功能。

【命令】

ntp-service ipv6 inbound enable

undo ntp-service ipv6 inbound enable

【缺省情况】

接口接收IPv6 NTP报文功能处于开启状态。

【视图】

接口视图

【缺省用户角色】

network-admin

【使用指导】

如果不允许设备为某个接口对应网段内的对端设备提供时间同步,或不允许设备从某个接口对应网段内的对端设备获得时间同步,则可以在该接口上执行undo ntp-service ipv6 inbound enable命令,使该接口关闭接收IPv6 NTP报文功能。

【举例】

# 关闭VLAN接口1接收IPv6 NTP报文功能。

<Sysname> system-view

[Sysname] interface vlan-interface 1

[Sysname-Vlan-interface1] undo ntp-service ipv6 inbound enable

1.1.16  ntp-service ipv6 multicast-client

ntp-service ipv6 multicast-client命令用来配置设备工作在IPv6 NTP组播客户端模式,并使用当前接口接收IPv6 NTP组播报文。

undo ntp-service ipv6 multicast-client命令用来取消IPv6 NTP组播客户端模式的配置。

【命令】

ntp-service ipv6 multicast-client ipv6-address

undo ntp-service ipv6 multicast-client ipv6-address

【缺省情况】

未配置NTP工作模式。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6-address:NTP报文的IPv6组播地址。IPv6组播客户端和IPv6组播服务器上配置的组播地址必须相同。

【使用指导】

FIPS模式下不支持该命令。

配置设备工作在IPv6 NTP组播客户端模式后,设备将在接口上监听目的地址为指定IPv6组播地址的IPv6 NTP报文,根据接收到的报文实现时间同步。

如果在接口上配置了设备工作在IPv6组播客户端模式,则建议不要将该接口加入聚合组。如果要将接口加入聚合组,则建议先取消IPv6 NTP组播客户端配置。

【举例】

# 配置设备工作在IPv6组播客户端模式,在VLAN接口1上接收目的地址为组播地址FF21::1的NTP报文。

<Sysname> system-view

[Sysname] interface vlan-interface 1

[Sysname-Vlan-interface1] ntp-service ipv6 multicast-client ff21::1

【相关命令】

·     ntp-service ipv6 multicast-server

1.1.17  ntp-service ipv6 multicast-server

ntp-service ipv6 multicast-server命令用来配置设备工作在IPv6 NTP组播服务器模式,并使用当前接口发送IPv6 NTP组播报文。

undo ntp-service ipv6 multicast-server命令用来取消IPv6 NTP组播服务器模式的配置。

【命令】

ntp-service ipv6 multicast-server ipv6-address [ authentication-keyid keyid | ttl ttl-number ] *

undo ntp-service ipv6 multicast-server ipv6-address

【缺省情况】

未配置NTP工作模式。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6-address:NTP报文的IPv6组播地址。IPv6组播客户端和IPv6组播服务器上配置的组播地址必须相同。

authentication-keyid keyid:指定向组播客户端发送NTP报文时,使用指定的密钥计算报文的摘要。keyid取值范围为1~4294967295。如果未指定本参数,则本端设备无法同步开启了身份验证功能的组播客户端。

ttl ttl-number:指定组播报文的生存期。ttl-number取值范围为1~255,缺省值为16。

【使用指导】

FIPS模式下不支持该命令。

配置设备工作在IPv6 NTP组播服务器模式后,设备将通过该接口周期性地向指定的IPv6组播地址发送NTP报文。

如果在接口上配置了设备工作在IPv6组播服务器模式,则建议不要将该接口加入聚合组。如果要将接口加入聚合组,则建议先取消IPv6 NTP组播服务器配置。

【举例】

# 配置设备工作在IPv6组播服务器模式,在VLAN接口1上向IPv6组播地址FF21::1发送NTP报文,用4号密钥加密NTP报文。

<Sysname> system-view

[Sysname] interface vlan-interface 1

[Sysname-Vlan-interface1] ntp-service ipv6 multicast-server ff21::1 authentication-keyid 4

【相关命令】

·     ntp-service ipv6 multicast-client

1.1.18  ntp-service ipv6 source

ntp-service ipv6 source命令用来指定IPv6 NTP报文的源接口。

undo ntp-service ipv6 source命令用来恢复缺省情况。

【命令】

ntp-service ipv6 source interface-type interface-number

undo ntp-service ipv6 source

【缺省情况】

未指定IPv6 NTP报文的源接口,设备自动选择报文的源IPv6地址,具体选择原则请参见RFC 3484。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interface-type interface-number:接口类型和接口编号。

【使用指导】

如果指定了IPv6 NTP报文的源接口,则设备在主动发送IPv6 NTP报文时,将采用源接口的IPv6地址作为发送报文的源IPv6地址,从而保证IPv6 NTP应答报文的目的地址均为此地址。

设备对接收到的IPv6 NTP请求报文进行应答时,应答报文的源IPv6地址始终为接收到IPv6 NTP请求报文的目的IPv6地址。

如果不想让本地设备上其他接口的IPv6地址成为应答报文的目的地址,可以使用本命令。

使用本命令指定IPv6 NTP报文的源接口时,需要注意:

·     当NTP工作在客户端/服务器模式时,如果在命令ntp-service ipv6 unicast-server中指定了IPv6 NTP报文的源接口,则以ntp-service ipv6 unicast-server命令指定源接口的为准。

·     当NTP工作在对等体模式时,如果在命令ntp-service ipv6 unicast-peer中指定了IPv6 NTP报文的源接口,则以ntp-service ipv6 unicast-peer命令指定源接口的为准。

·     当NTP工作在组播模式时,如果在接口视图下配置了ntp-service ipv6 multicast-server命令,则NTP组播报文的源接口为配置了ntp-service ipv6 multicast-server命令的接口。

·     如果指定的NTP源接口处于down状态,则设备不再发送IPv6 NTP报文。

【举例】

# 配置IPv6 NTP报文的源接口为VLAN接口1。

<Sysname> system-view

[Sysname] ntp-service ipv6 source vlan-interface 1

1.1.19  ntp-service ipv6 time-server enable

ntp-service ipv6 time-server enable命令用来开启IPv6 NTP服务器功能。

undo ntp-service ipv6 time-server enable命令用来关闭IPv6 NTP服务器功能。

【命令】

ntp-service ipv6 time-server enable

undo ntp-service ipv6 time-server enable

【缺省情况】

IPv6 NTP服务器功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

本命令用于控制设备能否对外提供IPv6 NTP同步时间:

·     当开启IPv6 NTP服务器功能,且符合ntp-service ipv6 acl命令指定的条件时,设备可为其它设备提供IPv6 NTP同步时间;

·     关闭IPv6 NTP服务器功能时,设备不能为其它设备提供IPv6 NTP同步时间。

【举例】

# 开启IPv6 NTP服务器功能。

<Sysname> system-view

[Sysname] ntp-service ipv6 time-server enable

【相关命令】

·     ntp-service ipv6 acl

1.1.20  ntp-service ipv6 unicast-peer

ntp-service ipv6 unicast-peer命令用来为设备指定IPv6被动对等体。

undo ntp-service ipv6 unicast-peer命令用来删除为设备指定的IPv6被动对等体。

【命令】

ntp-service ipv6 unicast-peer { peer-name | ipv6-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | priority | source interface-type interface-number ] *

undo ntp-service ipv6 unicast-peer { peer-name | ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未指定IPv6被动对等体。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

peer-name:被动对等体的主机名,为1~253个字符的字符串,不区分大小写。

ipv6-address:被动对等体的IPv6地址。该地址只能是一个单播地址,不能为组播地址。

vpn-instance vpn-instance-name:指定NTP被动对等体所属的VPN实例,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示NTP被动对等体位于公网中。

authentication-keyid keyid:指定向对等体发送NTP报文时,使用指定的密钥计算报文的摘要。keyid取值范围为1~4294967295。如果未指定本参数,则本端设备与对等体之间不会进行身份验证。

maxpoll maxpoll-interval:用来配置最大轮询时间间隔。maxpoll-interval取值范围为4~17,最大轮询时间间隔为2的maxpoll-interval次幂,对应的最大轮询时间间隔的取值范围为24~217(即16~131072)秒。本参数的缺省值为6,即最大轮询时间间隔为64秒。

minpoll minpoll-interval:用来配置最小轮询时间间隔,minpoll-interval取值范围为4~17,最大轮询时间间隔为2的maxpoll-interval次幂,对应的最大轮询时间间隔的取值范围为24~217(即16~131072)秒。本参数的缺省值为6,即最小轮询时间间隔为64秒。

priority:在同等条件下,优先选择ipv6-addresspeer-name指定的对等体为同步对等体。

source interface-type interface-number:指定IPv6 NTP报文的源接口。如果指定的被动对等体地址不是链路本地地址,则本地设备给对端发送IPv6 NTP报文时,报文的源IPv6地址为指定源接口的IPv6地址。如果指定的被动对等体地址是链路本地地址,则IPv6 NTP报文从指定的源接口发送,并且报文的源地址为该接口的链路本地地址。interface-type interface-number为接口类型和接口编号。如果未指定本参数,则设备自动选择报文的源IPv6地址,具体选择原则请参见RFC 3484。

【使用指导】

为设备指定IPv6被动对等体后,主动对等体和被动对等体的时间可以互相同步。如果双方的时钟都处于同步状态,则层数大的时钟与层数小的时钟的时间同步。

被动对等体的IPv6地址为链路本地地址时,必须指定报文的源接口,并且不能指定被动对等体所属的VPN实例。

主动对等体会按周期与被动对等体进行时间同步,该过程称为轮询。本命令的maxpollminpoll参数分别用来配置NTP对等体模式系统轮询时间间隔的最大值和最小值。选定对等体之后,设备将使用最小轮询间隔进行轮询。当同步时间误差在系统可接受范围内且趋于稳定之后,轮询间隔会逐渐增大直到最大值。当同步时间误差连续超出系统可接受范围多次时,轮询间隔将会减小。

修改轮询间隔不会立即生效,在下次轮询时生效。

【举例】

# 配置设备工作在主动对等体模式,被动对等体的IPv6地址为2001::1,NTP报文的源接口为VLAN接口1。

<Sysname> system-view

[Sysname] ntp-service ipv6 unicast-peer 2001::1 source vlan-interface 1

【相关命令】

·     ntp-service authentication enable

·     ntp-service authentication-keyid

·     ntp-service reliable authentication-keyid

1.1.21  ntp-service ipv6 unicast-server

ntp-service ipv6 unicast-server命令用来为设备指定IPv6 NTP服务器。

undo ntp-service ipv6 unicast-server命令用来删除为设备指定的IPv6 NTP服务器。

【命令】

ntp-service ipv6 unicast-server { server-name | ipv6-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | priority | source interface-type interface-number ] *

undo ntp-service ipv6 unicast-server { server-name | ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未指定IPv6 NTP服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

server-name:NTP服务器的主机名,为1~253个字符的字符串,不区分大小写。

ipv6-address:NTP服务器的IPv6地址。该地址只能是一个单播地址,不能为组播地址。

vpn-instance vpn-instance-name:指定NTP服务器所属的VPN实例,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示NTP服务器位于公网中。

authentication-keyid keyid:指定向NTP服务器发送报文时,使用指定的密钥计算报文的摘要。keyid取值范围为1~4294967295。如果未指定本参数,则本端设备与NTP服务器之间不会进行身份验证。

maxpoll maxpoll-interval:用来配置最大轮询时间间隔。maxpoll-interval取值范围为4~17,最大轮询时间间隔为2的maxpoll-interval次幂,对应的最大轮询时间间隔的取值范围为24~217(即16~131072)秒。本参数的缺省值为6,即最大轮询时间间隔为64秒。

minpoll minpoll-interval:用来配置最小轮询时间间隔,minpoll-interval取值范围为4~17,最大轮询时间间隔为2的maxpoll-interval次幂,对应的最大轮询时间间隔的取值范围为24~217(即16~131072)秒。本参数的缺省值为6,即最小轮询时间间隔为64秒。

priority:指定在同等条件下,优先选择该服务器。

source interface-type interface-number:指定IPv6 NTP报文的源接口。如果指定的IPv6 NTP服务器地址不是链路本地地址,则本地设备给服务器发送IPv6 NTP报文时,报文的源IPv6地址为指定源接口的IPv6地址。如果指定的IPv6 NTP服务器地址是链路本地地址,则IPv6 NTP报文从指定的源接口发送,并且报文的源地址为该接口的链路本地地址。interface-type interface-number为接口类型和接口编号。如果未指定本参数,则设备自动选择报文的源IPv6地址,具体选择原则请参见RFC 3484。

【使用指导】

为设备指定IPv6 NTP服务器后,设备可以与该服务器的时间同步,但是服务器不会与设备的时间同步。

NTP服务器的IPv6地址为链路本地地址时,必须指定报文的源接口,并且不能指定NTP服务器所属的VPN实例。

NTP客户端会按周期向NTP服务器同步时间,该过程称为轮询。本命令的maxpollminpoll参数分别用来配置NTP客户端服务器模式系统轮询时间间隔的最大值和最小值。选定NTP服务器之后,设备将使用最小轮询间隔进行轮询。当同步时间误差在系统可接受范围内且趋于稳定之后,轮询间隔会逐渐增大直到最大值。当同步时间误差连续超出系统可接受范围多次时,轮询间隔将会减小。

修改轮询间隔不会立即生效,在下次轮询时生效。

【举例】

 # 配置设备的IPv6 NTP服务器为2001::1。

<Sysname> system-view

[Sysname] ntp-service ipv6 unicast-server 2001::1

【相关命令】

·     ntp-service authentication enable

·     ntp-service authentication-keyid

·     ntp-service reliable authentication-keyid

1.1.22  ntp-service max-dynamic-sessions

ntp-service max-dynamic-sessions命令用来配置NTP动态会话的最大数目。

undo ntp-service max-dynamic-sessions命令用来恢复缺省情况。

【命令】

ntp-service max-dynamic-sessions number

undo ntp-service max-dynamic-sessions

【缺省情况】

NTP动态会话的最大数目为100。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

number:NTP动态会话的最大数目,取值范围为0~100。

【使用指导】

同一设备同一时间内存在的会话数目最多为128个,其中包括静态会话数和动态会话数。静态会话是用户手动配置NTP相关命令而建立的会话;动态会话是NTP运行过程中建立的临时会话。

该命令用于限制本地可以创建的NTP动态会话的个数,以避免设备上维护过多的动态会话,占用过多的系统资源。如果配置该命令时,动态会话已经超出了配置值,设备不会删除已有的动态会话。

【举例】

# 设置NTP动态会话的最大数目为50个。

<Sysname> system-view

[Sysname] ntp-service max-dynamic-sessions 50

【相关命令】

·     display ntp-service sessions

1.1.23  ntp-service multicast-client

ntp-service multicast-client命令用来配置设备工作在NTP组播客户端模式,并使用当前接口接收NTP组播报文。

undo ntp-service multicast-client命令用来取消NTP组播客户端模式的配置。

【命令】

ntp-service multicast-client [ ip-address ]

undo ntp-service multicast-client [ ip-address ]

【缺省情况】

未配置NTP工作模式。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ip-address:NTP报文的组播IP地址,缺省值为224.0.1.1。组播客户端和组播服务器上配置的组播地址必须相同。

【使用指导】

FIPS模式下不支持该命令。

配置设备工作在NTP组播客户端模式后,设备将在接口上监听目的地址为指定组播地址的NTP报文,根据接收到的报文实现时间同步。

如果在接口上配置了设备工作在组播客户端模式,则建议不要将该接口加入聚合组。如果要将接口加入聚合组,则建议先取消NTP组播客户端配置。

【举例】

# 配置设备工作在组播客户端模式,在VLAN接口1上接收目的地址为224.0.1.1的NTP报文。

<Sysname> system-view

[Sysname] interface vlan-interface 1

[Sysname-Vlan-interface1] ntp-service multicast-client 224.0.1.1

【相关命令】

·     ntp-service multicast-server

1.1.24  ntp-service multicast-server

ntp-service multicast-server命令用来配置设备工作在NTP组播服务器模式,并使用当前接口发送NTP组播报文。

undo ntp-service multicast-server命令用来取消NTP组播服务器模式的配置。

【命令】

ntp-service multicast-server [ ip-address ] [ authentication-keyid keyid | ttl ttl-number | version number ] *

undo ntp-service multicast-server [ ip-address ]

【缺省情况】

未配置NTP工作模式。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ip-address:NTP报文的组播IP地址,缺省值为224.0.1.1。组播客户端和组播服务器上配置的组播地址必须相同。

authentication-keyid keyid:指定向组播客户端发送NTP报文时,使用指定的密钥计算报文的摘要。keyid取值范围为1~4294967295。如果未指定本参数,则本端设备无法同步开启了身份验证功能的组播客户端。

ttl ttl-number:指定组播报文的生存期。ttl-number取值范围为1~255,缺省值为16。

version number:指定NTP版本号。number取值范围为1~4,缺省值为4。

【使用指导】

FIPS模式下不支持该命令。

配置设备工作在NTP组播服务器模式后,设备将通过该接口周期性地向指定的组播地址发送NTP报文。

如果在接口上配置了设备工作在组播服务器模式,则建议不要将该接口加入聚合组。如果要将接口加入聚合组,则建议先取消NTP组播服务器配置。

【举例】

# 配置设备工作在组播服务器模式,在VLAN接口1上发送NTP报文,NTP报文的目的地址为组播地址224.0.1.1,用4号密钥加密NTP报文,并设置NTP版本号为4。

<Sysname> system-view

[Sysname] interface vlan-interface 1

[Sysname-Vlan-interface1] ntp-service multicast-server 224.0.1.1 version 4 authentication-keyid 4

【相关命令】

·     ntp-service multicast-client

1.1.25  ntp-service noquery enable

ntp-service noquery enable命令用来禁止对端设备对本设备进行控制查询。

undo ntp-service noquery enable命令用来允许对端设备对本设备进行控制查询。

【命令】

ntp-service noquery enable

undo ntp-service noquery enable

【缺省情况】

允许对端设备对本设备进行控制查询。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

缺省情况下,设备允许对端设备使用NTP Mode 6(即MODE_CONTROL)和Mode 7(即MODE_PRIVATE)报文对本设备进行控制查询(查询NTP的一些状态,比如告警信息、验证状态、时间服务器信息等)。配置本命令后,设备将不再处理收到的Mode 6和Mode 7报文。如果网络环境不安全,可使用本命令禁止对端设备对本设备进行控制查询,以免给设备带来安全隐患。

本命令仅用于允许或者禁止对端设备对本设备进行控制查询,对时钟同步不进行限制。当设备上配置了ntp-service noquery enablentp-service aclntp-service ipv6 acl命令时,“是否可以对本设备进行控制查询”以本命令的配置为准。

本命令与display ntp-service trace命令功能互斥,如需使用display ntp-service trace命令,请配置允许对本设备进行控制查询。

【举例】

# 禁止对本设备进行控制查询。

<Sysname> system-view

[Sysname] ntp-service noquery enable

【相关命令】

·     display ntp-service trace

·     ntp-service acl

·     ntp-service ipv6 acl

1.1.26  ntp-service refclock-master

ntp-service refclock-master命令用来设置本地时钟作为参考时钟。

undo ntp-service refclock-master命令用来取消本地时钟作为参考时钟。

【命令】

ntp-service refclock-master [ ip-address ] [ stratum ]

undo ntp-service refclock-master [ ip-address ]

【缺省情况】

设备未采用本地时钟作为参考时钟。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ip-address:本地时钟的IP地址127.127.1.u。u的取值范围为0~3,表示NTP的进程号。如果不指定ip-address,则系统默认值是127.127.1.0。

stratum:本地时钟所处的层数,取值范围为1~15,缺省值为8。时钟的层数定义了时钟的准确度,层数取值越小,时钟的准确度越高。部分NTP客户端会要求NTP服务器的层数小于等于14,否则,不进行时间同步。请根据组网环境规划和配置本参数。

【使用指导】

实际网络中,通常将从权威时钟(如原子时钟)获得时间同步的NTP服务器的层数设置为1,并将其作为主时间服务器同步网络中其他设备的时钟。网络中的设备与主时间服务器的NTP距离,即NTP同步链上NTP服务器的数目,决定了设备上时钟的层数。

在某些网络中,例如无法与外界通信的孤立网络,网络中的设备无法与权威时钟进行时间同步。此时,可以从该网络中选择一台时钟较为准确的设备,指定该设备与本地时钟进行时间同步,即采用本地时钟作为参考时钟,使得该设备的时钟处于同步状态。该设备作为时间服务器为网络中的其他设备提供时间同步,从而实现整个网络的时间同步。

请谨慎使用本配置,以免导致网络中设备的时间错误。在执行本命令之前,建议先调整本地系统时间。

【举例】

# 设置本地设备时钟作为参考时钟,层数为2。

<Sysname> system-view

[Sysname] ntp-service refclock-master 2

1.1.27  ntp-service reliable authentication-keyid

ntp-service reliable authentication-keyid命令用来指定已创建的密钥是可信的。

undo ntp-service reliable authentication-keyid命令用来取消可信密钥。

【命令】

ntp-service reliable authentication-keyid keyid

undo ntp-service reliable authentication-keyid keyid

【缺省情况】

未指定可信密钥。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

keyid:密钥编号,取值范围为1~4294967295。

【使用指导】

开启身份验证功能后,客户端只会与提供可信密钥的服务器进行时间同步;如果服务器提供的密钥不是可信的,那么客户端不会与其同步。

配置本命令前,请确保认证开关已经打开并且配置了密钥,即保证该密钥的存在性后才能设定它是否可信。如果NTP验证密钥被指定为可信密钥,删除密钥后,该密钥将自动变为不可信密钥,不必再执行undo ntp-service reliable authentication-keyid命令。

本命令可以多次配置,最多可以配置128个可信密钥。

【举例】

# 开启NTP身份验证功能,配置编号为37的密钥采用MD5算法进行身份验证,密钥值为BetterKey。

<Sysname> system-view

[Sysname] ntp-service authentication enable

[Sysname] ntp-service authentication-keyid 37 authentication-mode md5 simple BetterKey

# 指定该密钥为可信密钥。

[Sysname] ntp-service reliable authentication-keyid 37

【相关命令】

·     ntp-service authentication enable

·     ntp-service authentication-keyid

1.1.28  ntp-service source

ntp-service source命令用来指定NTP报文的源IPv4地址。

undo ntp-service source命令用来恢复缺省情况。

【命令】

ntp-service source { interface-type interface-number | ipv4-address }

undo ntp-service source

【缺省情况】

未指定NTP报文的源IPv4地址,设备根据路由表查找报文的出接口,并采用出接口的主IPv4地址作为NTP报文的源IPv4地址。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interface-type interface-number:接口类型及接口编号。表示NTP报文的源接口。如果指定了NTP报文的源接口,则设备在主动发送NTP报文时,将指定源接口的主IPv4地址设置为报文的源地址,NTP应答报文会将该地址设置为目的地址。

ipv4-address:NTP报文的源IPv4地址。

【使用指导】

设备对接收到的NTP请求报文进行应答时,应答报文的源地址始终为接收到NTP请求报文的目的地址。

使用本命令指定NTP报文的源IPv4地址时,需要注意:

·     当NTP工作在客户端/服务器模式时,如果在命令ntp-service unicast-server 中指定了NTP报文的源接口,则以ntp-service unicast-server命令指定的源接口的IPv4地址为准。

·     当NTP工作在对等体模式时,如果在命令ntp-service unicast-peer中指定了NTP报文的源接口,则以ntp-service unicast-peer命令指定源接口的IPv4地址为准。

·     当NTP工作在组播模式时,如果在接口视图下配置了ntp-service multicast-server命令,则NTP组播报文的源IPv4地址为配置了ntp-service multicast-server命令的接口的IPv4地址。

·     当NTP工作在广播模式时,如果在接口视图下配置了ntp-service broadcast-server 命令,则NTP广播报文的源IPv4地址为配置了ntp-service broadcast-server命令的接口的IPv4地址。

·     如果指定的NTP源IPv4地址对应的接口处于down状态,则设备不再发送NTP报文。

【举例】

# 配置VLAN 1接口的IP地址作为NTP报文的源IPv4地址。

<Sysname> system-view

[Sysname] ntp-service source vlan-interface 1

1.1.29  ntp-service time-offset-threshold

ntp-service time-offset-threshold命令用来配置NTP时间同步过程中,打印日志和告警信息的时间偏移阈值。

undo ntp-service time-offset-threshold命令用来恢复缺省情况。

【命令】

ntp-service time-offset-threshold { log log-threshold | trap trap-threshold } *

undo ntp-service time-offset-threshold

【缺省情况】

未配置打印日志和告警信息的时间偏移阈值。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

log log-threshold:表示NTP时间同步过程中,打印日志信息的时间偏移阈值。log-threshold取值范围为128~60000,单位为毫秒。

trap trap-threshold:表示NTP时间同步过程中,打印告警信息的时间偏移阈值。trap-threshold取值范围为128~60000,单位为毫秒。

【使用指导】

缺省情况下,NTP客户端与服务器端的时间差经过多次采样得到的时间偏移超过128ms时,客户端将进行一次时间同步,并打印日志信息和告警信息。配置本命令后,NTP客户端与服务器端的时间差经过多次采样得到的时间偏移超过128ms时,客户端将进行一次时间同步,但是时间偏移大于log-threshold时,才会打印日志;时间偏移大于trap-threshold时,才会打印告警信息。

【举例】

# 配置NTP时间同步过程中,打印日志和告警信息的时间偏移阈值为500ms和600ms。

<Sysname> system-view

[Sysname] ntp-service time-offset-threshold log 500 trap 600

1.1.30  ntp-service time-server enable

ntp-service time-server enable命令用来开启NTP服务器功能。

undo ntp-service time-server enable命令用来关闭NTP服务器功能。

【命令】

ntp-service time-server enable

undo ntp-service time-server enable

【缺省情况】

NTP服务器功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

本命令用于控制设备能否对外提供NTP同步时间:当开启NTP服务器功能,且符合ntp-service aclntp-service ipv6 acl命令指定的条件时,设备可为其它设备提供NTP同步时间;当关闭NTP服务器功能时,设备不能为其它设备提供NTP同步时间。

【举例】

# 开启NTP服务器功能。

<Sysname> system-view

[Sysname] ntp-service time-server enable

【相关命令】

·     ntp-service acl

1.1.31  ntp-service unicast-peer

ntp-service unicast-peer命令用来为设备指定被动对等体。

undo ntp-service unicast-peer命令用来删除为设备指定的被动对等体。

【命令】

ntp-service unicast-peer { peer-name | ip-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | priority | source interface-type interface-number | version number ] *

undo ntp-service unicast-peer { peer-name | ip-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未指定被动对等体。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

peer-name:被动对等体的主机名,为1~253个字符的字符串,不区分大小写。

ip-address:被动对等体的IP地址。该地址只能是一个单播地址,不能为广播地址、组播地址或本地时钟的IP地址。

vpn-instance vpn-instance-name:指定被动对等体所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示被动对等体位于公网中。

authentication-keyid keyid:指定向对等体发送NTP报文时,使用指定的密钥计算报文的摘要。keyid取值范围为1~4294967295。如果未指定本参数,则本端设备与对等体之间不会进行身份验证。

maxpoll maxpoll-interval:用来配置最大轮询时间间隔。maxpoll-interval取值范围为4~17,最大轮询时间间隔为2的maxpoll-interval次幂,对应的最大轮询时间间隔的取值范围为24~217(即16~131072)秒。本参数的缺省值为6,即最大轮询时间间隔为64秒。

minpoll minpoll-interval:用来配置最小轮询时间间隔,minpoll-interval取值范围为4~17,最大轮询时间间隔为2的maxpoll-interval次幂,对应的最大轮询时间间隔的取值范围为24~217(即16~131072)秒。本参数的缺省值为6,即最小轮询时间间隔为64秒。

priority:在同等条件下,优先选择ip-addresspeer-name指定的对等体为同步对等体。

source interface-type interface-number:指定NTP报文的源接口。本地设备给对端发送NTP报文时,报文的源地址为指定源接口的主IP地址。interface-type interface-number为接口类型和接口编号。如果未指定本参数,则根据路由表查找报文的出接口,并采用出接口的主IP地址作为NTP报文的源IP地址。

version number:指定NTP版本号。非FIPS模式下,number取值范围为1~4,缺省值为4;FIPS模式下,number取值范围为3~4,缺省值为4。

【使用指导】

为设备指定被动对等体后,主动对等体和被动对等体的时间可以互相同步。如果双方的时钟都处于同步状态,则层数大的时钟与层数小的时钟的时间同步。

主动对等体会按周期与被动对等体进行时间同步,该过程称为轮询。本命令的maxpollminpoll参数分别用来配置NTP对等体模式系统轮询时间间隔的最大值和最小值。选定对等体之后,设备将使用最小轮询间隔进行轮询。当同步时间误差在系统可接受范围内且趋于稳定时,轮询间隔会逐渐增大直到最大值。当同步时间误差连续超出系统可接受范围多次时,轮询间隔将会减小。

修改轮询间隔不会立即生效,在下次轮询时生效。

【举例】

# 配置设备工作在主动对等体模式,被动对等体的IP地址为10.1.1.1,NTP版本号为4,NTP报文的源接口为VLAN接口1。

<Sysname> system-view

[Sysname] ntp-service unicast-peer 10.1.1.1 version 4 source vlan-interface 1

【相关命令】

·     ntp-service authentication enable

·     ntp-service authentication-keyid

·     ntp-service reliable authentication-keyid

1.1.32  ntp-service unicast-server

ntp-service unicast-server命令用来为设备指定NTP服务器。

undo ntp-service unicast-server命令用来删除为设备指定的NTP服务器。

【命令】

ntp-service unicast-server { server-name | ip-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | priority | source interface-type interface-number | version number ] *

undo ntp-service unicast-server { server-name | ip-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未指定NTP服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

server-name:NTP服务器的主机名,为1~253个字符的字符串,不区分大小写。

ip-address:NTP服务器的IP地址。该地址只能是一个单播地址,不能为广播地址、组播地址或本地时钟的IP地址。

vpn-instance vpn-instance-name:指定NTP服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示NTP服务器位于公网中。

authentication-keyid keyid:指定向NTP服务器发送报文时,使用指定的密钥计算报文的摘要。keyid取值范围为1~4294967295。如果未指定本参数,则本端设备与NTP服务器之间不会进行身份验证。

maxpoll maxpoll-interval:用来配置最大轮询时间间隔。maxpoll-interval取值范围为4~17,最大轮询时间间隔为2的maxpoll-interval次幂,对应的最大轮询时间间隔的取值范围为24~217(即16~131072)秒。本参数的缺省值为6,即最大轮询时间间隔为64秒。

minpoll minpoll-interval:用来配置最小轮询时间间隔,minpoll-interval取值范围为4~17,最大轮询时间间隔为2的maxpoll-interval次幂,对应的最大轮询时间间隔的取值范围为24~217(即16~131072)秒。本参数的缺省值为6,即最小轮询时间间隔为64秒。

priority:指定在同等条件下,优先选择该服务器。

source interface-type interface-number:指定NTP报文的源接口。本地设备给服务器发送NTP报文时,报文的源地址为指定源接口的主IP地址。interface-type interface-number为接口类型和接口编号。如果未指定本参数,则根据路由表查找报文的出接口,并采用出接口的主IP地址作为NTP报文的源IP地址。

version number:指定NTP版本号。非FIPS模式下,number取值范围为1~4,缺省值为4;FIPS模式下,number取值范围为3~4,缺省值为4。

【使用指导】

为设备指定NTP服务器后,设备可以与该服务器的时间同步,但是服务器不会与设备的时间同步。

配置PE向某个VPN实例内的其他PE或CE同步时,需要指定vpn-instance vpn-instance-name参数。

在执行undo ntp-service unicast-server命令时,如果指定vpn-instance vpn-instance-name参数,则取消指定VPN实例内IP地址为ip-address的NTP服务器配置;如果没有指定vpn-instance vpn-instance-name参数,则取消公网中IP地址为ip-address的NTP服务器配置。

NTP客户端会按周期向NTP服务器同步时间,该过程称为轮询。本命令的maxpollminpoll参数分别用来配置NTP客户端服务器模式系统轮询时间间隔的最大值和最小值。选定NTP服务器之后,设备将使用最小轮询间隔进行轮询。当同步时间误差在系统可接受范围内且趋于稳定之后,轮询间隔会逐渐增大直到最大值。当同步时间误差连续超出系统可接受范围多次时,轮询间隔将会减小。

修改轮询间隔不会立即生效,在下次轮询时生效。

【举例】

# 配置设备的NTP服务器为10.1.1.1,版本号为4。

<Sysname> system-view

[Sysname] ntp-service unicast-server 10.1.1.1 version 4

【相关命令】

·     ntp-service authentication enable

·     ntp-service authentication-keyid

·     ntp-service reliable authentication-keyid

 


2 SNTP

2.1  SNTP配置命令

2.1.1  display sntp ipv6 sessions

display sntp ipv6 sessions命令用来显示SNTP服务的所有IPv6会话信息。

【命令】

display sntp ipv6 sessions

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示IPv6 SNTP服务的所有IPv6会话信息。

<Sysname> display sntp ipv6 sessions

SNTP server: 2001::1

Stratum: 16

Version: 4

Last receive time: No packet was received.

 

SNTP server: 2001::100

Stratum: 3

Version: 4

Last receive time: Fri, Oct 21 2019 11:28:28.058 (Synced)

表2-1 display sntp ipv6 sessions命令显示信息描述表

字段

描述

SNTP server

SNTP服务器,即NTP服务器。若该字段显示为::,表示NTP服务器的IPv6地址尚未解析成功

Stratum

时钟的层数

时钟层数决定了时钟的准确度,取值范围为0~16,层数取值越小,表示时钟的准确度越高,层数为16的时钟处于未同步状态

Version

NTP版本号

Last receive time

最后一次接收到SNTP会话消息的时间

·     Synced表示设备的本地时钟从该服务器获得同步

·     No packet was received.表示设备未从该服务器接收到SNTP会话消息

 

2.1.2  display sntp sessions

display sntp sessions命令用来显示SNTP服务的所有IPv4会话信息。

【命令】

display sntp sessions

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示SNTP服务的所有IPv4会话信息。

<Sysname> display sntp sessions

SNTP server     Stratum   Version  Poll    Last receive time

1.0.1.11        2         4        64      Tue, May 17 2019  9:11:20.833 (Synced)

表2-2 display sntp sessions命令显示信息描述表

字段

描述

SNTP server

SNTP服务器,即NTP服务器。若该字段显示为0.0.0.0,表示NTP服务器的IP地址尚未解析成功

Stratum

时钟的层数

时钟层数决定了时钟的准确度,取值范围为0~16,层数取值越小,表示时钟的准确度越高,层数为16的时钟处于未同步状态

Version

NTP版本号

Poll

轮询间隔,即两个连续NTP报文之间的时间间隔,单位为秒

Last receive time

上一次接收到消息的时间,Synced标识本地时钟从该服务器获得同步

 

2.1.3  sntp authentication enable

sntp authentication enable命令用来开启SNTP身份验证功能。

undo sntp authentication enable命令用来关闭SNTP身份验证功能。

【命令】

sntp authentication enable

undo sntp authentication enable

【缺省情况】

SNTP身份验证功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

在一些对安全性要求较高的网络中,运行SNTP协议时需要启用身份验证功能。通过客户端和服务器端的身份验证,保证客户端只与通过验证的服务器进行时间同步,避免客户端从非法的服务器获得错误的时间同步信息。

开启SNTP身份验证功能后,还需要设置身份验证密钥,并将其设置为可信密钥,才能正确地进行身份验证。

【举例】

# 开启SNTP身份验证功能。

<Sysname> system-view

[Sysname] sntp authentication enable

【相关命令】

·     sntp authentication-keyid

·     sntp reliable authentication-keyid

2.1.4  sntp authentication-keyid

sntp authentication-keyid命令用来设置SNTP身份验证密钥。

undo sntp authentication-keyid命令用来删除指定的SNTP身份验证密钥。

【命令】

sntp authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *

undo sntp authentication-keyid keyid

【缺省情况】

未设置SNTP身份验证密钥。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

keyid:密钥编号,用来标识身份验证密钥,取值范围为1~4294967295。

authentication-mode:表示验证算法。

hmac-sha-1:表示采用HMAC-SHA-1算法进行身份验证。FIPS模式下不支持该参数。

hmac-sha-256:表示采用HMAC-SHA-256算法进行身份验证。

hmac-sha-384:表示采用HMAC-SHA-384算法进行身份验证。

hmac-sha-512:表示采用HMAC-SHA-512算法进行身份验证。

md5:表示采用MD5算法进行身份验证。FIPS模式下不支持该参数。

cipher:以密文形式设置密钥。

simple:以明文形式设置密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。明文密钥为1~32个字符的字符串,密文密钥为1~73个字符的字符串。

acl ipv4-acl-number:对对端设备进行ACL过滤。通过ACL过滤的对端设备有权在本端使用该密钥ID进行身份验证。ipv4-acl-number为IPv4基本ACL的编号,取值范围为2000~2999。

ipv6 acl ipv6-acl-number:对对端设备进行IPv6 ACL过滤。通过IPv6 ACL过滤的对端设备有权在本端使用该密钥ID进行身份验证。ipv6-acl-number为IPv6基本ACL的编号,取值范围为2000~2999。

【使用指导】

在一些对安全性要求较高的网络中,运行SNTP协议时需要启用身份验证功能。通过客户端和服务器端的身份验证,保证客户端只与通过验证的服务器进行同步,提高了网络安全性。

SNTP协议采用哪个密钥对对端进行身份验证由对端报文中携带的密钥ID决定。这会导致如下安全问题:对对端进行身份验证时只关心密钥是否正确而不关心对端是否有权使用该密钥ID。acl和ipv6 acl参数用于指定有权在本端使用该密钥ID进行身份验证的对端设备。引用ACL时,需要注意的是:

·     当本地需要建立或已存在对端的SNTP会话时,aclipv6 acl参数才会进一步检查对端是否有权在本端使用该密钥ID。

·     若引用的ACL不存在,或者引用的ACL中没有配置规则,则任何设备都能在本端使用该密钥ID进行验证。

·     在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。

客户端和服务器上需要配置相同的密钥ID、验证算法及密钥值,并且保证对端有权在本端使用该密钥ID进行身份验证,否则无法实现时间同步。

配置SNTP验证密钥后,还需要通过sntp reliable authentication-keyid命令将该密钥设置为可信密钥。如果SNTP验证密钥被指定为可信密钥,删除密钥后,该密钥将自动变为不可信密钥,不必再执行undo sntp reliable authentication-keyid命令。

五种验证算法的安全性从高到低为:HMAC-SHA-512、HMAC-SHA-384、HMAC-SHA-256、HMAC-SHA-1、MD5。

通过重复执行本命令,可以配置多个SNTP身份验证密钥。设备上最多可以配置128个SNTP身份验证密钥。

【举例】

# 设置MD5身份验证密钥,密钥ID号为10,密钥为BetterKey,以明文形式输入。

<Sysname> system-view

[Sysname] sntp authentication enable

[Sysname] sntp authentication-keyid 10 authentication-mode md5 simple BetterKey

【相关命令】

·     sntp authentication enable

·     sntp reliable authentication-keyid

2.1.5  sntp broadcast-client

sntp broadcast-client命令用来配置设备工作在SNTP广播客户端模式,并使用当前接口接收SNTP广播报文。

undo sntp broadcast-client命令用来取消SNTP广播客户端模式的配置。

【命令】

sntp broadcast-client

undo sntp broadcast-client

【视图】

接口视图

【缺省用户角色】

network-admin

【缺省情况】

未配置SNTP的工作模式。

【使用指导】

配置设备工作在SNTP广播客户端模式后,设备将在接口上监听NTP广播服务器发送的SNTP广播报文,根据接收到的报文实现时间同步。

如果在接口上配置了设备工作在广播客户端模式,则建议不要将该接口加入聚合组。如果要将接口加入聚合组,则建议先取消SNTP广播客户端配置。

【举例】

# 配置设备工作在广播客户端模式,在VLAN接口1上接收SNTP广播报文。

<Sysname> system-view

[Sysname] interface vlan-interface 1

[Sysname-Vlan-interface1] sntp broadcast-client

2.1.6  sntp enable

sntp enable命令用来开启SNTP服务。

undo sntp enable命令用来关闭SNTP服务。

【命令】

sntp enable

undo sntp enable

【缺省情况】

SNTP服务处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【举例】

# 开启SNTP服务。

<Sysname> system-view

[Sysname] sntp enable

2.1.7  sntp ipv6 unicast-server

sntp ipv6 unicast-server命令用来为设备指定IPv6 NTP服务器。

undo sntp ipv6 unicast-server命令用来删除为设备指定的IPv6 NTP服务器。

【命令】

sntp ipv6 unicast-server { server-name | ipv6-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | source interface-type interface-number ] *

undo sntp ipv6 unicast-server { server-name | ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未指定IPv6 NTP服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

server-name:NTP服务器的主机名,为1~253个字符的字符串,不区分大小写。

ipv6-address:NTP服务器的IPv6地址。

vpn-instance vpn-instance-name指定IPv6 NTP服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示IPv6 NTP服务器位于公网中。

authentication-keyid keyid:指定向NTP服务器发送报文时,使用指定的密钥计算报文的摘要。keyid取值范围为1~4294967295。如果未指定本参数,则本端设备与NTP服务器之间不会进行身份验证。

maxpoll maxpoll-interval:用来配置最大轮询时间间隔。maxpoll-interval取值范围为4~17,最大轮询时间间隔为2的maxpoll-interval次幂,对应的最大轮询时间间隔的取值范围为24~217(即16~131072)秒。本参数的缺省值为6,即最大轮询时间间隔为64秒。

minpoll minpoll-interval:用来配置最小轮询时间间隔,minpoll-interval取值范围为4~17,最大轮询时间间隔为2的maxpoll-interval次幂,对应的最大轮询时间间隔的取值范围为24~217(即16~131072)秒。本参数的缺省值为6,即最小轮询时间间隔为64秒。

source interface-type interface-number:指定IPv6 NTP报文的源接口。如果指定的IPv6 NTP服务器地址不是链路本地地址,则本地设备给服务器发送IPv6 NTP报文时,报文的源IPv6地址为指定源接口的IPv6地址。如果指定的IPv6 NTP服务器地址是链路本地地址,则IPv6 NTP报文从指定的源接口发送,并且报文的源地址为该接口的链路本地地址。interface-type interface-number为接口类型和接口编号。如果未指定本参数,则设备自动选择报文的源IPv6地址,具体选择原则请参见RFC 3484。

【使用指导】

为设备指定IPv6 NTP服务器后,设备可以与该服务器进行时间同步。设备的时间获得同步后,不能作为服务器为其他设备提供时间同步。

配置PE向某个VPN实例内的其他PE或CE同步时,需要指定vpn-instance vpn-instance-name参数。

在执行undo sntp unicast-server命令时,如果指定vpn-instance vpn-instance-name参数,则取消指定VPN实例内IPv6地址为ipv6-address的NTP服务器配置;如果没有指定vpn-instance vpn-instance-name参数,则取消公网中IPv6地址为ipv6-address的NTP服务器配置。

NTP服务器的IPv6地址为链路本地地址时,必须指定报文的源接口,并且不能指定NTP服务器所属的VPN实例。

IPv6 SNTP客户端会按周期向IPv6 NTP服务器同步时间,该过程称为轮询。本命令的maxpollminpoll参数分别用来配置IPv6 SNTP客户端服务器模式系统轮询时间间隔的最大值和最小值。选定IPv6 NTP服务器之后,设备将使用最小轮询间隔进行轮询。当同步时间误差在系统可接受范围内且趋于稳定之后,轮询间隔会逐渐增大直到最大值。当同步时间误差连续超出系统可接受范围多次时,轮询间隔将会减小。

修改轮询间隔不会立即生效,在下次轮询时生效。

【举例】

# 配置设备的IPv6 NTP服务器为2001::1。

<Sysname> system-view

[Sysname] sntp ipv6 unicast-server 2001::1

【相关命令】

·     sntp authentication enable

·     sntp authentication-keyid

·     sntp reliable authentication-keyid

2.1.8  sntp reliable authentication-keyid

sntp reliable authentication-keyid命令用来配置可信密钥。

undo sntp reliable authentication-keyid命令用来取消可信密钥。

【命令】

sntp reliable authentication-keyid keyid

undo sntp reliable authentication-keyid keyid

【缺省情况】

未指定可信密钥。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

keyid:密钥编号,取值范围为1~4294967295。

【使用指导】

开启身份验证功能后,客户端只会同步到提供可信密钥的服务器;如果服务器提供的密钥不是可信的,那么客户端不会与其同步。

本命令的使用前提是认证开关已经打开并且配置了密钥,即保证该密钥的存在性后才能设定它是否可信。如果SNTP验证密钥被指定为可信密钥,删除密钥后,该密钥将自动变为不可信密钥,不必再执行undo sntp reliable authentication-keyid命令。

【举例】

# 开启SNTP身份验证功能,配置编号为37的密钥采用MD5算法进行身份验证,密钥值为BetterKey。

<Sysname> system-view

[Sysname] sntp authentication enable

[Sysname] sntp authentication-keyid 37 authentication-mode md5 simple BetterKey

# 指定该密钥为可信密钥。

[Sysname] sntp reliable authentication-keyid 37

【相关命令】

·     sntp authentication-keyid

·     sntp authentication enable

2.1.9  sntp time-offset-threshold

sntp time-offset-threshold命令用来配置SNTP时间同步过程中,打印日志和告警信息的时间偏移阈值。

undo sntp time-offset-threshold命令用来恢复缺省情况。

【命令】

sntp time-offset-threshold { log log-threshold | trap trap-threshold } *

undo sntp time-offset-threshold

【缺省情况】

未配置打印日志和告警信息的时间偏移阈值。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

log log-threshold:表示SNTP时间同步过程中,打印日志信息的时间偏移阈值。log-threshold取值范围为128~60000,单位为毫秒。

trap trap-threshold:表示SNTP时间同步过程中,打印告警信息的时间偏移阈值。trap-threshold取值范围为128~60000,单位为毫秒。

【使用指导】

缺省情况下,SNTP客户端与服务器端的时间差经过多次采样得到的时间偏移超过128ms时,客户端将进行一次时间同步,并打印日志信息和告警信息。配置本命令后,SNTP客户端与服务器端的时间差经过多次采样得到的时间偏移超过128ms时,客户端将进行一次时间同步,但是时间偏移大于log-threshold时,才会打印日志;时间偏移大于trap-threshold时,才会打印告警信息。

【举例】

# 配置SNTP时间同步过程中,打印日志和告警信息的时间偏移阈值为500ms和600ms。

<Sysname> system-view

[Sysname] sntp time-offset-threshold log 500 trap 600

2.1.10  sntp unicast-server

sntp unicast-server命令用来为设备指定NTP服务器。

undo sntp unicast-server命令用来删除为设备指定的NTP服务器。

【命令】

sntp unicast-server { server-name | ip-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | source interface-type interface-number | version number ] *

undo sntp unicast-server { server-name | ip-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未指定NTP服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

server-name:NTP服务器的主机名,为1~253个字符的字符串,不区分大小写。

ip-address:NTP服务器的IP地址。该地址只能是一个单播地址,不能为广播地址、组播地址或本地时钟的IP地址。

vpn-instance vpn-instance-name:指定NTP服务器所属的VPN实例。vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示NTP服务器位于公网中。

authentication-keyid keyid:指定向NTP服务器发送报文时,使用指定的密钥计算报文的摘要。keyid取值范围为1~4294967295。如果未指定本参数,则本端设备与NTP服务器之间不会进行身份验证。

maxpoll maxpoll-interval:用来配置最大轮询时间间隔。maxpoll-interval取值范围为4~17,最大轮询时间间隔为2的maxpoll-interval次幂,对应的最大轮询时间间隔的取值范围为24~217(即16~131072)秒。本参数的缺省值为6,即最大轮询时间间隔为64秒。

minpoll minpoll-interval:用来配置最小轮询时间间隔,minpoll-interval取值范围为4~17,最大轮询时间间隔为2的maxpoll-interval次幂,对应的最大轮询时间间隔的取值范围为24~217(即16~131072)秒。本参数的缺省值为6,即最小轮询时间间隔为64秒。

source interface-type interface-number:指定NTP报文的源接口。本地设备给服务器发送NTP报文时,报文的源地址为指定源接口的主IP地址。interface-type interface-number为接口类型和接口编号。如果未指定本参数,则根据路由表查找报文的出接口,并采用出接口的主IP地址作为NTP报文的源IP地址。

version number:指定NTP版本号。非FIPS模式下,number取值范围为1~4,缺省值为4;FIPS模式下,number取值范围为3~4,缺省值为4。

【使用指导】

为设备指定NTP服务器后,设备可以与该服务器进行时间同步。设备的时间获得同步后,不能作为服务器为其他设备提供时间同步。

配置PE向某个VPN实例内的其他PE或CE同步时,需要指定vpn-instance vpn-instance-name参数。

在执行undo sntp unicast-server命令时,如果指定vpn-instance vpn-instance-name参数,则取消指定VPN实例内IP地址为ip-address的NTP服务器配置;如果没有指定vpn-instance vpn-instance-name参数,则取消公网中IP地址为ip-address的NTP服务器配置。

SNTP客户端会按周期向NTP服务器同步时间,该过程称为轮询。本命令的maxpollminpoll参数分别用来配置SNTP客户端服务器模式系统轮询时间间隔的最大值和最小值。选定NTP服务器之后,设备将使用最小轮询间隔进行轮询。当同步时间误差在系统可接受范围内且趋于稳定之后,轮询间隔会逐渐增大直到最大值。当同步时间误差连续超出系统可接受范围多次时,轮询间隔将会减小。

修改轮询间隔不会立即生效,在下次轮询时生效。

【举例】

# 配置设备的NTP服务器为10.1.1.1,版本号为4。

<Sysname> system-view

[Sysname] sntp unicast-server 10.1.1.1 version 4

【相关命令】

·     sntp authentication enable

·     sntp authentication-keyid

·     sntp reliable authentication-keyid

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们