- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-NTP配置
本章節下載: 03-NTP配置 (542.18 KB)
目 錄
NTP(Network Time Protocol,網絡時間協議)是由RFC 1305定義的時間同步協議,用來在分布式時間服務器和客戶端之間進行時間同步。NTP基於UDP報文進行傳輸,使用的UDP端口號為123。
使用NTP的目的是對網絡內所有具有時鍾的設備進行時鍾同步,使網絡內所有設備的時鍾保持一致,從而使設備能夠提供基於統一時間的多種應用。
對於運行NTP的本地係統,既可以接受來自其它時鍾源的同步,又可以作為時鍾源同步其它的時鍾,並且可以和其它設備互相同步。
對於網絡中的各台設備來說,如果依靠管理員手工輸入命令來修改係統時鍾是不可能的,不但工作量巨大,而且也不能保證時鍾的精確性。通過NTP,可以很快將網絡中設備的時鍾同步,同時也能保證很高的精度。
NTP主要應用於需要網絡中所有設備時鍾保持一致的場合,比如:
· 在網絡管理中,對於從不同設備采集來的日誌信息、調試信息進行分析的時候,需要以時間作為參照依據。
· 計費係統要求所有設備的時鍾保持一致。
· 完成某些功能,如定時重啟網絡中的所有設備,此時要求所有設備的時鍾保持一致。
· 多個係統協同處理同一個比較複雜的事件時,為保證正確的執行順序,多個係統必須參考同一時鍾。
· 在備份服務器和客戶端之間進行增量備份時,要求備份服務器和所有客戶端之間的時鍾同步。
NTP的優勢如下:
· 采用分層的方法定義時鍾的準確性,可以迅速同步網絡中各台設備的時間。
· 支持訪問控製和MD5驗證。
· 可以選擇采用單播、組播或廣播的方式發送協議報文。
· 時鍾的層數決定了時鍾的準確度,其取值範圍為1~16。參考時鍾的層數取值範圍為1~15,準確度從1到15依次遞減,層數為16的時鍾處於未同步狀態。
· H3C E528&E552係列以太網交換機不支持設置本身時鍾為參考時鍾,隻有當其時鍾被同步後,才能作為時鍾源去同步其它設備。
NTP的基本工作原理如圖1-1所示。Device A和Device B通過網絡相連,它們都有自己獨立的係統時鍾,需要通過NTP實現各自係統時鍾的自動同步。為便於理解,作如下假設:
· 在Device A和Device B的係統時鍾同步之前,Device A的時鍾設定為10:00:00am,Device B的時鍾設定為11:00:00am。
· Device B作為NTP時間服務器,即Device A將使自己的時鍾與Device B的時鍾同步。
· NTP報文在Device A和Device B之間單向傳輸所需要的時間為1秒。
圖1-1 NTP基本原理圖
係統時鍾同步的工作過程如下:
· Device A發送一個NTP報文給Device B,該報文帶有它離開Device A時的時間戳,該時間戳為10:00:00am(T1)。
· 當此NTP報文到達Device B時,Device B加上自己的時間戳,該時間戳為11:00:01am(T2)。
· 當此NTP報文離開Device B時,Device B再加上自己的時間戳,該時間戳為11:00:02am(T3)。
· 當Device A接收到該響應報文時,Device A的本地時間為10:00:03am(T4)。
至此,Device A已經擁有足夠的信息來計算兩個重要的參數:
· NTP報文的往返時延Delay=(T4-T1)-(T3-T2)=2秒。
· Device A相對Device B的時間差offset=((T2-T1)+(T3-T4))/2=1小時。
這樣,Device A就能夠根據這些信息來設定自己的時鍾,使之與Device B的時鍾同步。
以上內容隻是對NTP工作原理的一個粗略描述,詳細內容請參閱RFC 1305。
NTP有兩種不同類型的報文,一種是時鍾同步報文,另一種是控製報文。控製報文僅用於需要網絡管理的場合,它對於時鍾同步功能來說並不是必需的,這裏不做介紹。
本文中提到的NTP報文,均為NTP時鍾同步報文。
時鍾同步報文封裝在UDP報文中,其格式如圖1-2所示。
主要字段的解釋如下:
· LI(Leap Indicator):長度為2比特,值為“11”時表示告警狀態,時鍾未被同步。為其它值時NTP本身不做處理。
· VN(Version Number):長度為3比特,表示NTP的版本號,目前的最新版本為3。
· Mode:長度為3比特,表示NTP的工作模式。不同的值所表示的含義分別是:0未定義、1表示主動對等體模式、2表示被動對等體模式、3表示客戶模式、4表示服務器模式、5表示廣播模式或組播模式、6表示此報文為NTP控製報文、7預留給內部使用。
· Stratum:係統時鍾的層數,取值範圍為1~16,它定義了時鍾的準確度。層數為1的時鍾準確度最高,準確度從1到16依次遞減,層數為16的時鍾處於未同步狀態。
· Poll:輪詢時間,即兩個連續NTP報文之間的時間間隔。
· Precision:係統時鍾的精度。
· Root Delay:本地到主參考時鍾源的往返時間。
· Root Dispersion:係統時鍾相對於主參考時鍾的最大誤差。
· Reference Identifier:參考時鍾源的標識。
· Reference Timestamp:係統時鍾最後一次被設定或更新的時間。
· Originate Timestamp:NTP請求報文離開發送端時發送端的本地時間。
· Receive Timestamp:NTP請求報文到達接收端時接收端的本地時間。
· Transmit Timestamp:應答報文離開應答者時應答者的本地時間。
· Authenticator:驗證信息。
設備可以采用多種NTP工作模式進行時間同步:
· 客戶端/服務器模式
· 對等體模式
· 廣播模式
· 組播模式
用戶可以根據需要選擇合適的工作模式。在不能確定服務器或對等體IP地址、網絡中需要同步的設備很多等情況下,可以通過廣播或組播模式實現時鍾同步;客戶端/服務器和對等體模式中,設備從指定的服務器或對等體獲得時鍾同步,增加了時鍾的可靠性。
圖1-3 客戶端/服務器模式
在客戶端/服務器模式中,客戶端向服務器發送時鍾同步報文,報文中的Mode字段設置為3(客戶模式)。服務器端收到報文後會自動工作在服務器模式,並發送應答報文,報文中的Mode字段設置為4(服務器模式)。客戶端收到應答報文後,進行時鍾過濾和選擇,並同步到優選的服務器。
在該模式下,客戶端能同步到服務器,而服務器無法同步到客戶端。
圖1-4 對等體模式
在對等體模式中,主動對等體和被動對等體之間首先交互Mode字段為3(客戶端模式)和4(服務器模式)的NTP報文。之後,主動對等體向被動對等體發送時鍾同步報文,報文中的Mode字段設置為1(主動對等體),被動對等體收到報文後自動工作在被動對等體模式,並發送應答報文,報文中的Mode字段設置為2(被動對等體)。經過報文的交互,對等體模式建立起來。主動對等體和被動對等體可以互相同步。如果雙方的時鍾都已經同步,則以層數小的時鍾為準。
圖1-5 廣播模式
在廣播模式中,服務器端周期性地向廣播地址255.255.255.255發送時鍾同步報文,報文中的Mode字段設置為5(廣播模式)。客戶端偵聽來自服務器的廣播報文。當客戶端接收到第一個廣播報文後,客戶端與服務器交互Mode字段為3(客戶模式)和4(服務器模式)的NTP報文,以獲得客戶端與服務器間的網絡延遲。之後,客戶端就進入廣播客戶端模式,繼續偵聽廣播報文的到來,根據到來的廣播報文對係統時鍾進行同步。
圖1-6 組播模式
在組播模式中,服務器端周期性地向用戶配置的組播地址(若用戶沒有配置組播地址,則使用默認的NTP組播地址224.0.1.1)發送時鍾同步報文,報文中的Mode字段設置為5(組播模式)。客戶端偵聽來自服務器的組播報文。當客戶端接收到第一個組播報文後,客戶端與服務器交互Mode字段為3(客戶模式)和4(服務器模式)的NTP報文,以獲得客戶端與服務器間的網絡延遲。之後,客戶端就進入組播客戶模式,繼續偵聽組播報文的到來,根據到來的組播報文對係統時鍾進行同步。
在對等體模式、廣播模式和組播模式中,客戶端(或主動對等體)和服務器(或被動對等體)之間首先要交互Mode字段為3(客戶端模式)和4(服務器模式)的NTP報文,之後,才能進入指定的NTP工作模式。在此報文交互過程中,可以實現時鍾的同步。
表1-1 NTP配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置NTP工作模式 |
必選 |
|
|
配置NTP可選參數 |
可選 |
|
|
配置訪問控製權限 |
可選 |
|
|
配置NTP驗證功能 |
可選 |
設備可以采用以下NTP工作模式進行時鍾同步:
· 客戶端/服務器模式
· 對等體模式
· 廣播模式
· 組播模式
設備采用客戶端/服務器模式或對等體模式時,隻需要對客戶端或主動對等體進行配置;設備采用廣播模式或組播模式時,則需要在服務器端和客戶端都進行配置。
同一設備同一時間內存在的連接數目最多為128個,其中包括靜態連接數和動態連接數。靜態連接是用戶手動配置NTP相關命令而建立的連接;動態連接是係統運行過程中建立的臨時連接,若係統長期收不到報文就會刪除該臨時連接。例如,在客戶端/服務器模式中,當用戶在客戶端配置向服務器端同步的命令的時候,係統會在客戶端建立一個靜態連接,服務器端在收到報文之後隻是被動的響應報文,而不會建立連接(包括靜態和動態連接);在對等體模式中,主動對等體端會建立靜態連接,被動對等體端會建立動態連接;在組播和廣播模式中,服務器端會建立靜態連接,而在客戶端會建立動態連接。
當設備采用客戶端/服務器模式時,請在客戶端進行如下配置。
表1-2 配置NTP客戶端
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
指定設備的NTP服務器 |
ntp-service unicast-server { ip-address | server-name } [ authentication-keyid keyid | priority | source-interface interface-type interface-number | version number ] * |
必選 缺省情況下,沒有為設備指定NTP服務器 |
· ntp-service unicast-server命令中的ip-address是一個單播地址,不能為廣播地址、組播地址或本地時鍾的IP地址。
· 通過source-interface參數指定NTP報文的源接口後,NTP報文的源IP地址將被設置為指定接口的主IP地址。
· 服務器端隻有當其時鍾被同步後,才能作為時間服務器去同步其它設備。當服務器端的時鍾層數大於或等於客戶端的時鍾層數時,客戶端將不會向其同步。
· 可以通過多次執行ntp-service unicast-server命令和ntp-service ipv6 unicast-server命令配置多個服務器,客戶端依據時鍾優選來選擇最優的時鍾源。
當設備采用對等體模式時,需要在主動對等體上指定被動對等體。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
指定設備的被動對等體 |
ntp-service unicast-peer { ip-address | peer-name } [ authentication-keyid keyid | priority | source-interface interface-type interface-number | version number ] * |
必選 缺省情況下,沒有為設備指定被動對等體 |
|
指定設備的IPv6被動對等體 |
· 在對等體模式中,被動對等體上需要執行“1.3 配置NTP工作模式”中的任何一條NTP配置命令來使能NTP,否則被動對等體不會處理來自主動對等體的NTP報文。
· ntp-service unicast-peer 命令中的ip-address是一個單播地址,不能為廣播地址、組播地址或本地時鍾的IP地址。
· 通過source-interface參數指定NTP報文的源接口後,NTP報文的源IP地址將被設置為指定接口的主IP地址。
· 通常,主、被動對等體中至少有一個處於同步狀態,否則他們將都無法同步。
· 可以通過多次執行ntp-service unicast-peer命令或ntp-service ipv6 unicast-peer命令配置多個被動對等體。
廣播服務器周期性地向廣播地址255.255.255.255發送NTP報文,工作在NTP廣播客戶端模式的設備將回應這個報文,從而開始時鍾同步過程。
當設備采用廣播模式時,需要在服務器端和客戶端都進行配置。由於廣播服務器上需要指定一個發送NTP廣播報文的接口,廣播客戶端上也需要指定一個接收NTP廣播報文的接口,所以廣播模式的配置隻能在具體的接口視圖下進行。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN接口視圖 |
interface interface-type interface-number |
- 進入要接收NTP廣播報文的接口 |
|
配置設備工作在NTP廣播客戶端模式 |
ntp-service broadcast-client |
必選 |
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN接口視圖 |
interface interface-type interface-number |
- 進入要發送NTP廣播報文的接口 |
|
配置設備工作在NTP廣播服務器模式 |
ntp-service broadcast-server [ authentication-keyid keyid | version number ] * |
必選 |
廣播服務器隻有當其時鍾同步後,才能去同步廣播客戶端。
NTP組播服務器以組播形式周期性地發送時鍾同步報文,工作在NTP組播客戶端模式的設備將回應這個報文,從而開始時鍾同步過程。
設備采用組播模式時,需要在服務器端和客戶端都進行配置。組播模式的配置隻能在具體的接口視圖下進行。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- 進入要接收NTP組播報文的接口 |
|
配置設備工作在NTP組播客戶端模式 |
ntp-service multicast-client [ ip-address ] |
必選 |
|
配置設備工作在IPv6 NTP組播客戶端模式 |
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- 進入要發送NTP組播報文的接口 |
|
配置設備工作在NTP組播服務器模式 |
ntp-service multicast-server [ ip-address ] [ authentication-keyid keyid | ttl ttl-number | version number ] * |
必選 |
|
配置設備工作在IPv6 NTP組播服務器模式 |
ntp-service ipv6 multicast-server [ ipv6-address ] [ authentication-keyid keyid | ttl ttl-number ] * |
· 組播服務器隻有當其時鍾同步後,才能去同步組播客戶端。
· 目前最多可以配置1024個組播客戶端,但同時起作用的最多為128個。
如果指定了NTP報文的源接口,則設備在主動發送NTP報文時,將報文的源IP地址設置為指定接口的主IP地址。
設備對接收到的NTP請求報文進行應答時,應答報文的源IP地址始終為接收到NTP請求報文的接口的IP地址。
表1-8 配置NTP報文的源接口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置NTP報文的源接口 |
ntp-service source-interface interface-type interface-number |
必選 缺省情況下,沒有指定NTP報文的源接口,即根據路由選擇NTP報文的源IP地址 |
|
配置IPv6 NTP報文的源接口 |
ntp-service ipv6 source-interface interface-type interface-number |
· 如果在命令ntp-service unicast-server/ntp-service ipv6 unicast-server或ntp-service unicast-peer/ntp-service ipv6 unicast-peer中指定了NTP報文的源接口,則以ntp-service unicast-server/ntp-service ipv6 unicast-server或ntp-service unicast-peer/ntp-service ipv6 unicast-peer指定的為準。
· 如果在接口視圖下配置了ntp-service broadcast-server或ntp-service multicast-server/ntp-service ipv6 multicast-server,則NTP廣播或組播模式報文的源接口為配置了上述命令的接口。
· 如果指定的NTP源接口處於down狀態,則發送的NTP報文源IP地址為該報文出接口的主IP地址。
使能NTP功能後,缺省情況下所有VLAN接口都可以接收NTP報文。可以通過本配置,禁止從某個VLAN接口接收NTP報文。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN接口視圖 |
interface interface-type interface-number |
- |
|
配置禁止VLAN接口接收NTP報文 |
ntp-service in-interface disable |
必選 缺省情況下,允許接口接收NTP報文和IPv6 NTP |
|
ntp-service ipv6 in-interface disable |
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置允許建立的動態NTP會話數目 |
ntp-service max-dynamic-sessions number |
必選 缺省情況下,允許建立的動態NTP會話的數目為100 |
本設備支持配置輪詢間隔,即NTP客戶端向NTP服務器或NTP主動對等體向被動對等體發送NTP時鍾同步報文時,兩個連續NTP報文之間的時間間隔。
表1-11 配置NTP輪詢間隔
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置NTP輪詢間隔 |
ntp-service poll-interval interval |
必選 缺省情況下,NTP輪詢間隔為64秒 |
用戶可以配置對本地設備NTP服務的訪問控製權限。訪問控製權限可以分為四種:
· query:允許控製查詢權限。該權限隻允許對端設備對本地設備的NTP服務進行控製查詢,但是不能向本地設備同步。所謂的控製查詢,就是查詢NTP的一些狀態,比如告警信息,驗證狀態,時鍾源信息等。
· synchronization:隻允許服務器訪問權限。該權限隻允許對端設備向本地設備同步,但不能進行控製查詢。
· server:允許服務器訪問與查詢權限。該權限允許對端設備向本地設備同步和控製查詢,但本地設備不會同步到對端設備。
· peer:完全訪問權限。該權限既允許對端設備向本地設備同步和控製查詢,同時本地設備也可以同步到對端設備。
NTP服務的訪問控製權限從高到低依次為peer、server、synchronization、query。當設備接收到一個NTP服務請求時,會按照此順序進行匹配,以第一個匹配的權限為準。
在配置對本地設備NTP服務的訪問控製權限之前,需要創建並配置與訪問權限關聯的ACL。ACL的配置方法請參見“ACL和QoS配置指導”中的“ACL”。
表1-12 配置對本地設備NTP服務的訪問控製權限
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置對端設備對本地設備NTP服務的訪問控製權限 |
ntp-service access { peer | query | server | synchronization } acl-number |
必選 缺省情況下,對端設備對本地設備NTP服務的訪問控製權限為peer |
|
配置對端設備對本地設備IPv6 NTP服務的訪問控製權限 |
ntp-service ipv6 access { peer | query | server | synchronization } acl-number |
配置對本地設備NTP服務的訪問控製權限,僅提供了一種最小限度的安全措施,更安全的方法是進行身份驗證。
在一些對安全性要求較高的網絡中,運行NTP協議時需要啟用驗證功能。通過客戶端和服務器端的密碼驗證,保證客戶端隻與通過驗證的設備進行同步,提高了網絡安全性。
配置NTP驗證功能可以分為配置客戶端的NTP驗證和配置服務器端的NTP驗證兩個部分。
在配置NTP驗證功能時,應注意以下原則:
· 對於所有同步模式,如果使能了NTP驗證功能,應同時配置驗證密鑰並將密鑰設為可信密鑰,即如果執行了ntp-service authentication enable命令,則必須同時執行ntp-service authentication-keyid命令和ntp-service reliable authentication-keyid命令。否則,無法正常啟用NTP驗證功能。
· 對於客戶端/服務器模式和對等體模式,還應在客戶端(對等體模式中的主動對等體)將指定密鑰與對應的NTP服務器(對等體模式的被動對等體)關聯;對於廣播服務器模式和組播服務器模式,應在廣播服務器或組播服務器上將指定密鑰與對應的NTP服務器關聯。否則,無法正常啟用NTP驗證功能。
· 對於客戶端/服務器同步模式,如果客戶端沒有成功啟用NTP驗證功能,不論服務器端是否使能NTP驗證,客戶端均可以與服務器端同步;如果客戶端上成功啟用了NTP驗證功能,則客戶端隻會同步到提供可信密鑰的服務器,如果服務器提供的密鑰不是可信的密鑰,那麼客戶端不會與其同步。
· 對於所有同步模式,服務器端的配置與客戶端的配置應保持一致。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能NTP身份驗證功能 |
ntp-service authentication enable |
必選 缺省情況下,NTP身份驗證功能處於關閉狀態 |
|
配置NTP驗證密鑰 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value |
必選 缺省情況下,沒有配置NTP驗證密鑰 |
|
配置指定密鑰為可信密鑰 |
ntp-service reliable authentication-keyid keyid |
必選 缺省情況下,沒有指定可信密鑰 |
|
將指定密鑰與對應的NTP服務器關聯 |
客戶端/服務器模式: ntp-service unicast-server { ip-address | server-name } authentication-keyid keyid |
必選 可以將不存在的密鑰與NTP服務器關聯。但是若想成功啟用NTP驗證功能,則必須在關聯密鑰後,配置該密鑰,並將其指定為可信密鑰 |
|
對等體模式: ntp-service unicast-peer { ip-address | peer-name } authentication-keyid keyid |
客戶端使能NTP驗證功能後,必須配置與服務器端相同的驗證密鑰,並且必須聲明該密鑰是可信的,否則無法與服務器同步。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能NTP驗證功能 |
ntp-service authentication enable |
必選 缺省情況下,NTP身份驗證功能處於關閉狀態 |
|
配置NTP驗證密鑰 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value |
必選 缺省情況下,沒有配置NTP驗證密鑰 |
|
配置指定密鑰為可信密鑰 |
ntp-service reliable authentication-keyid keyid |
必選 缺省情況下,沒有指定可信密鑰 |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
將指定密鑰與對應的NTP服務器關聯 |
廣播服務器模式: ntp-service broadcast-server authentication-keyid keyid |
必選 可以將不存在的密鑰與NTP服務器關聯。但是若想成功啟用NTP驗證功能,則必須在關聯密鑰後,配置該密鑰,並將其指定為可信密鑰 |
|
組播服務器模式: ntp-service multicast-server authentication-keyid keyid |
服務器端的NTP驗證配置步驟與客戶端的相同,並且兩端必須配置相同的密鑰。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後NTP的運行情況,通過查看顯示信息驗證配置的效果。
表1-15 NTP顯示與維護
|
操作 |
命令 |
||
|
顯示IPv6 NTP服務維護的會話信息 |
display ntp-service ipv6 sessions [ verbose ] [ | { begin | exclude | include } regular-expression ] |
|
|
|
顯示NTP服務的狀態信息 |
display ntp-service status [ | { begin | exclude | include } regular-expression ] |
||
|
顯示NTP服務維護的會話信息 |
display ntp-service sessions [ verbose ] [ | { begin | exclude | include } regular-expression ] |
||
|
顯示從本地設備回溯到主參考時鍾源的各個NTP時間服務器的簡要信息 |
display ntp-service trace [ | { begin | exclude | include } regular-expression ] |
||
為了實現Device B的時鍾與Device A的時鍾同步,需要進行以下配置:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· Device B工作在客戶端模式,指定Device A為NTP服務器。
圖1-7 配置NTP客戶端/服務器模式組網圖
(1) 按照圖1-7配置各接口的IP地址,具體配置過程略。
(2) 配置Device B
# 同步前查看Device B的NTP狀態。
<DeviceB> display ntp-service status
Clock status: unsynchronized
Clock stratum: 16
Reference clock ID: none
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 0.00 ms
Root dispersion: 0.00 ms
Peer dispersion: 0.00 ms
Reference time: 00:00:00.000 UTC Jan 1 1900 (00000000.00000000)
# 設置Device A為Device B的NTP服務器。
<DeviceB> system-view
[DeviceB] ntp-service unicast-server 1.0.1.11
# 以上配置將Device B向Device A進行時間同步,同步後查看Device B的NTP狀態。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 1.0.1.11
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 1.05 ms
Peer dispersion: 7.81 ms
Reference time: 14:53:27.371 UTC Sep 19 2005 (C6D94F67.5EF9DB22)
此時Device B已經與Device A同步,層數比Device A的層數大1,為3。
# 查看Device B的NTP會話信息,可以看到Device B與Device A建立了連接。
[DeviceB] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[12345] 1.0.1.11 127.127.1.0 2 63 64 3 -75.5 31.0 16.5
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
為了通過IPv6 NTP實現Device B與Device A的時間同步,要求:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· 配置Device B工作在客戶端模式,指定Device A為IPv6 NTP服務器。
圖1-8 配置IPv6 NTP客戶端/服務器模式組網圖
(1) 按照圖1-8配置各接口的IP地址,並確保路由可達,具體配置過程略。
# 開啟NTP服務。
[DeviceA] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[DeviceA] ntp-service refclock-master 2
# 開啟NTP服務。
[DeviceB] ntp-service enable
# 設置Device A為Device B的IPv6 NTP服務器。
[DeviceB] ntp-service ipv6 unicast-server 3000::34
# 完成上述配置後,Device B向Device A進行時間同步。同步後查看Device B的NTP狀態。可以看出,Device B已經與Device A同步,層數比Device A的層數大1,為3。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3000::34
Local mode: client
Reference clock ID: 163.29.247.19
Leap indicator: 00
Clock jitter: 0.000977 s
Stability: 0.000 pps
Clock precision: 2^-10
Root delay: 0.02649 ms
Root dispersion: 12.24641 ms
Reference time: d0c60419.9952fb3e Wed, Dec 29 2010 19:01:45.598
# 查看Device B的NTP服務的所有IPv6會話信息,可以看到Device B與Device A建立了會話。
[DeviceB] display ntp-service ipv6 sessions
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
Source: [12345]3000::34
Reference: 127.127.1.0 Clock stratum: 2
Reachabilities: 15 Poll interval: 64
Last receive time: 19 Offset: 0.0
Roundtrip delay: 0.0 Dispersion: 0.0
Total sessions: 1
為了實現設備之間的時鍾同步,需要進行以下配置:
· Device A設置本地時鍾作為參考時鍾,層數為2;
· Device B工作在客戶端模式,指定Device A為NTP服務器;
· Device B向Device A同步後,配置Device C工作在對等體模式,將Device B設為對等體。Device C為主動對等體,Device B為被動對等體。
圖1-9 配置NTP對等體模式組網圖
(1) 配置各VLAN接口的IP地址,具體配置過程略。
(2) 配置Device B
# 設置Device A為Device B的NTP服務器。
<DeviceB> system-view
[DeviceB] ntp-service unicast-server 3.0.1.31
(3) 查看Device B的狀態(Device B向Device A同步後)。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 3.0.1.31
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^18
Clock offset: -21.1982 ms
Root delay: 15.00 ms
Root dispersion: 775.15 ms
Peer dispersion: 34.29 ms
Reference time: 15:22:47.083 UTC Sep 19 2005 (C6D95647.153F7CED)
此時Device B已經與Device A同步,層數比Device A的層數大1,為3。
(4) 配置Device C(Device B向Device A同步後)
# 本地同步後,設置Device C為主動對等體。
[DeviceC] ntp-service unicast-peer 3.0.1.32
以上配置將Device B和Device C配置為對等體,Device C處於主動對等體模式,Device B處於被動對等體模式,由於Device C係統時鍾的層數為16,而Device B的層數為3,所以Device C向Device B同步。
(5) 同步後查看Device C的狀態。
[DeviceC] display ntp-service status
Clock status: synchronized
Clock stratum: 4
Reference clock ID: 3.0.1.32
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^18
Clock offset: -21.1982 ms
Root delay: 15.00 ms
Root dispersion: 775.15 ms
Peer dispersion: 34.29 ms
Reference time: 15:22:47.083 UTC Sep 19 2005 (C6D95647.153F7CED)
此時Device C已經與Device B同步,層數比Device B的層數大1,為4。
# 查看Device C的NTP會話信息,可以看到Device C與Device B建立了連接。
[DeviceC] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[12345] 3.0.1.32 3.0.1.31 3 3 64 16 -6.4 4.8 1.0
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
Total associations : 2
網絡中存在時間服務器Device A。為了通過IPv6 NTP實現Device B與Device A進行時間同步,要求:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· 配置Device A工作在對等體模式,指定Device B為被動對等體,即Device A為主動對等體,Device B為被動對等體。
圖1-10 配置IPv6 NTP對等體模式組網圖
(1) 按照圖1-10配置各接口的IP地址,並確保路由可達,具體配置過程略。
# 開啟NTP服務。
[DeviceB] ntp-service enable
# 開啟NTP服務。
[DeviceA] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[DeviceA] ntp-service refclock-master 2
# 設置Device B為IPv6被動對等體。Device A處於主動對等體模式。
[DeviceA] ntp-service ipv6 unicast-peer 3000::36
# 完成上述配置後,Device B選擇Device A作為參考時鍾,與Device A進行時間同步。同步後查看Device B的狀態。可以看出,Device B已經與Device A同步,層數比Device A的層數大1,為3。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3000::35
Local mode: sym_passive
Reference clock ID: 251.73.79.32
Leap indicator: 11
Clock jitter: 0.000977 s
Stability: 0.000 pps
Clock precision: 2^-10
Root delay: 0.01855 ms
Root dispersion: 9.23483 ms
Reference time: d0c6047c.97199f9f Wed, Dec 29 2010 19:03:24.590
# 查看Device B的NTP服務的IPv6會話信息,可以看到Device B與Device A建立了會話。
[DeviceB] display ntp-service ipv6 sessions
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
Source: [1234]3000::35
Reference: 127.127.1.0 Clock stratum: 2
Reachabilities: 15 Poll interval: 64
Last receive time: 19 Offset: 0.0
Roundtrip delay: 0.0 Dispersion: 0.0
Total sessions: 1
Switch C作為同一網段中多個設備的NTP服務器,同時同步多個設備的時鍾。為了實現該需求,需要進行以下配置:
· 在Switch C上設置本地時鍾作為參考時鍾,層數為2;
· Switch C工作在廣播服務器模式,從VLAN接口2向外發送廣播報文;
· Switch A和Switch B工作在廣播客戶端模式,分別從各自的VLAN接口2監聽廣播報文。
圖1-11 配置NTP廣播模式組網圖
(1) 按照圖1-11配置各接口的IP地址,具體配置過程略。
(2) 配置Switch C
# 設置Switch C為廣播服務器,從VLAN接口2發送廣播報文。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ntp-service broadcast-server
(3) 配置Switch A
# 設置Switch A為廣播客戶端,從VLAN接口2監聽廣播報文。
<SwitchA> system-view
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ntp-service broadcast-client
(4) 配置Switch B
# 設置Switch B為廣播客戶端,從VLAN接口2監聽廣播報文。
<SwitchB> system-view
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ntp-service broadcast-client
Switch A和Switch B接收到Switch C發出的廣播報文後,與其同步。
# 以Switch A為例,同步後查看Switch A的狀態。
[SwitchA-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 3.0.1.31
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 8.31 ms
Peer dispersion: 34.30 ms
Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
此時Switch A已經與Switch C同步,層數比Switch C的層數大1,為3。
# 查看Switch A的NTP會話信息,可以看到Switch A與Switch C建立了連接。
[SwitchA-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 2 254 64 62 -16.0 32.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
Switch C作為不同網段中多個設備的NTP服務器,同時同步多個設備的時鍾。為了實現該需求,需要進行以下配置:
· 在Switch C上設置本地時鍾作為參考時鍾,層數為2;
· Switch C工作在組播服務器模式,從VLAN接口2向外發送組播報文;
· Switch A和Switch D工作在組播客戶端模式,Switch A從VLAN接口3監聽組播報文,Switch D從VLAN接口2監聽組播報文。
此實例中,Switch B必須為支持組播路由功能的三層交換機。
圖1-12 配置NTP組播模式組網圖
(1) 按照圖1-12配置各接口的IP地址,具體配置過程略。
(2) 配置Switch C
# 設置Switch C為組播服務器,從VLAN接口2發送組播報文。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ntp-service multicast-server
(3) 配置Switch D
# 設置Switch D為組播客戶端,從VLAN接口2監聽組播報文。
<SwitchD> system-view
[SwitchD] interface vlan-interface 2
[SwitchD-Vlan-interface2] ntp-service multicast-client
由於Switch D和Switch C在同一個網段,不需要配置組播功能,Switch D就可以收到Switch C發出的組播報文,並與其同步。
# 同步後查看Switch D的狀態。
[SwitchD-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 3.0.1.31
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 8.31 ms
Peer dispersion: 34.30 ms
Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
此時Switch D已經與Switch C同步,層數比Switch C的層數大1,為3。
# 查看Switch D的NTP會話信息,可以看到Switch D與Switch C建立了連接。
[SwitchD-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 2 254 64 62 -16.0 31.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
(4) 配置Switch B
由於Switch A與Switch C不在同一網段,所以Switch B上需要配置組播功能,否則Switch A收不到Switch C發出的組播報文。
# 配置組播功能。
<SwitchB> system-view
[SwitchB] multicast routing-enable
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] pim dm
[SwitchB-Vlan-interface2] quit
[SwitchB] vlan 3
[SwitchB-vlan3] port gigabitethernet 1/0/1
[SwitchB-vlan3] quit
[SwitchB] interface vlan-interface 3
[SwitchB-Vlan-interface3] igmp enable
[SwitchB-Vlan-interface3] igmp static-group 224.0.1.1
[SwitchB-Vlan-interface3] quit
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] igmp-snooping static-group 224.0.1.1 vlan 3
(5) 配置Switch A
<SwitchA> system-view
[SwitchA] interface vlan-interface 3
# 設置Switch A為組播客戶端,從VLAN接口3監聽組播報文。
[SwitchA-Vlan-interface3] ntp-service multicast-client
# 同步後查看Switch A的狀態。
[SwitchA-Vlan-interface3] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 3.0.1.31
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 40.00 ms
Root dispersion: 10.83 ms
Peer dispersion: 34.30 ms
Reference time: 16:02:49.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
此時Switch A已經與Switch C同步,層數比Switch C的層數大1,為3。
# 查看Switch A的NTP會話信息,可以看到Switch A與Switch C建立了連接。
[SwitchA-Vlan-interface3] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 2 255 64 26 -16.0 40.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
為了實現Switch C作為不同網段中多個設備的時間服務器,同時同步多個設備的時間,要求:
· 在Switch C上設置本地時鍾作為參考時鍾,層數為2;
· Switch C工作在IPv6組播服務器模式,從VLAN接口2向外組播發送IPv6 NTP報文;
· Switch A和Switch D工作在IPv6組播客戶端模式,Switch A從VLAN接口3監聽IPv6 NTP組播報文,Switch D從VLAN接口2監聽IPv6 NTP組播報文。
圖1-13 配置IPv6 NTP組播模式組網圖
(1) 按照圖1-13配置各接口的IP地址,並確保路由可達,具體配置過程略。
# 開啟NTP服務。
[SwitchC] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[SwitchC] ntp-service refclock-master 2
# 設置Switch C為IPv6組播服務器,從VLAN接口2向組播地址FF24::1發送NTP報文。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ntp-service ipv6 multicast-server ff24::1
# 開啟NTP服務。
[SwitchD] ntp-service enable
# 設置Switch D為IPv6組播客戶端,在VLAN接口2監聽目的地址為FF24::1的NTP組播報文。
[SwitchD] interface vlan-interface 2
[SwitchD-Vlan-interface2] ntp-service ipv6 multicast-client ff24::1
# 由於Switch D和Switch C在同一個網段,不需要配置IPv6組播功能,Switch D就可以收到Switch C發出的IPv6組播報文,並與其同步。同步後查看Switch D的狀態。Switch D已經與Switch C同步,層數比Switch C的層數大1,為3。
[SwitchD-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3000::2
Local mode: bclient
Reference clock ID: 165.84.121.65
Leap indicator: 00
Clock jitter: 0.000977 s
Stability: 0.000 pps
Clock precision: 2^-10
Root delay: 0.00000 ms
Root dispersion: 8.00578 ms
Reference time: d0c60680.9754fb17 Wed, Dec 29 2010 19:12:00.591
# 查看Switch D的NTP服務的所有IPv6會話信息,可以看到Switch D與Switch C建立了會話。
[SwitchD-Vlan-interface2] display ntp-service ipv6 sessions
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
Source: [1234]3000::2
Reference: 127.127.1.0 Clock stratum: 2
Reachabilities: 111 Poll interval: 64
Last receive time: 23 Offset: -0.0
Roundtrip delay: 0.0 Dispersion: 0.0
Total sessions: 1
由於Switch A與Switch C不在同一網段,所以Switch B上需要配置IPv6組播功能,否則Switch A收不到Switch C發出的IPv6組播報文。
# 配置IPv6組播功能。
[SwitchB] ipv6 multicast routing
[SwitchB-mrib6] quit
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ipv6 pim dm
[SwitchB-Vlan-interface2] quit
[SwitchB] vlan 3
[SwitchB-vlan3] port ethernet 1/0/1
[SwitchB-vlan3] quit
[SwitchB] interface vlan-interface 3
[SwitchB-Vlan-interface3] mld enable
[SwitchB-Vlan-interface3] mld static-group ff24::1
[SwitchB-Vlan-interface3] quit
[SwitchB] mld-snooping
[SwitchB-mld-snooping] quit
[SwitchB] interface ethernet 1/0/1
[SwitchB-Ethernet1/0/1] mld-snooping static-group ff24::1 vlan 3
# 開啟NTP服務。
[SwitchA] ntp-service enable
# 設置Switch A為IPv6組播客戶端,在VLAN接口3監聽目的地址為FF24::1的NTP組播報文。
[SwitchA] interface vlan-interface 3
[SwitchA-Vlan-interface3] ntp-service ipv6 multicast-client ff24::1
# 同步後查看Switch A的狀態。可以看出,Switch A已經與Switch C同步,層數比Switch C的層數大1,為3。
[SwitchA-Vlan-interface3] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3000::2
Local mode: bclient
Reference clock ID: 165.84.121.65
Leap indicator: 00
Clock jitter: 0.165741 s
Stability: 0.000 pps
Clock precision: 2^-10
Root delay: 0.00534 ms
Root dispersion: 4.51282 ms
Reference time: d0c61289.10b1193f Wed, Dec 29 2010 20:03:21.065
# 查看Switch A的NTP服務的IPv6會話信息,可以看到Switch A與Switch C建立了會話。
[SwitchA-Vlan-interface3] display ntp-service ipv6 sessions
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
Source: [124]3000::2
Reference: 127.127.1.0 Clock stratum: 2
Reachabilities: 2 Poll interval: 64
Last receive time: 71 Offset: -0.0
Roundtrip delay: 0.0 Dispersion: 0.0
Total sessions: 1
為了實現Device B的時鍾與Device A的時鍾同步,並保證時鍾同步的安全性,需要進行以下配置:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· Device B工作在客戶端模式,指定Device A為NTP服務器;
· Device A和Device B上同時配置NTP驗證。
圖1-14 配置帶身份驗證的NTP客戶端/服務器模式組網圖
(1) 按照圖1-14配置各接口的IP地址,具體配置過程略。
(2) 配置Device B
<DeviceB> system-view
# 在Device B上啟動身份驗證。
[DeviceB] ntp-service authentication enable
# 設置密鑰。
[DeviceB] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey
# 指定密鑰為可信密鑰。
[DeviceB] ntp-service reliable authentication-keyid 42
# 設置Device A為Device B的NTP服務器。
[DeviceB] ntp-service unicast-server 1.0.1.11 authentication-keyid 42
以上配置將Device B向Device A進行時間同步,但由於Device A沒有使能NTP身份驗證,所以,Device B還是無法向Device A同步。
現在,向Device A增加以下配置:
# 在Device A上啟動身份驗證。
[DeviceA] ntp-service authentication enable
# 設置密鑰。
[DeviceA] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey
# 指定密鑰為可信密鑰。
[DeviceA] ntp-service reliable authentication-keyid 42
此時,Device B可以向Device A同步。
# 同步後查看Device B的狀態。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 1.0.1.11
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 1.05 ms
Peer dispersion: 7.81 ms
Reference time: 14:53:27.371 UTC Sep 19 2005 (C6D94F67.5EF9DB22)
可以看出,Device B已經與Device A同步,層數比Device A的層數大1,為3。
# 查看Device B的NTP會話信息,可以看到Device B與Device A建立了連接。
[DeviceB] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[12345] 1.0.1.11 127.127.1.0 2 63 64 3 -75.5 31.0 16.5
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
Switch C作為同一網段中多個設備的NTP服務器,同時同步多個設備的時鍾。為了實現該需求,並保證時鍾同步的安全性,需要進行以下配置:
· 在Switch C上設置本地時鍾作為參考時鍾,層數為3;
· Switch C工作在廣播服務器模式,從VLAN接口2向外發送廣播報文;
· Switch D工作在廣播客戶端模式,從VLAN接口2監聽廣播報文;
· 同時在Switch C和Switch D上配置NTP驗證。
圖1-15 配置帶身份驗證的NTP廣播模式組網圖
(1) 按照圖1-15配置各接口的IP地址,具體配置過程略。
(2) 配置Switch C
# 配置NTP驗證。
[SwitchC] ntp-service authentication enable
[SwitchC] ntp-service authentication-keyid 88 authentication-mode md5 123456
[SwitchC] ntp-service reliable authentication-keyid 88
# 設置Switch C為NTP廣播服務器並指定密鑰編號。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ntp-service broadcast-server authentication-keyid 88
(3) 配置Switch D
# 配置NTP驗證。
<SwitchD> system-view
[SwitchD] ntp-service authentication enable
[SwitchD] ntp-service authentication-keyid 88 authentication-mode md5 123456
[SwitchD] ntp-service reliable authentication-keyid 88
# 設置Switch D為NTP廣播客戶端。
[SwitchD] interface vlan-interface 2
[SwitchD-Vlan-interface2] ntp-service broadcast-client
以上配置將Switch D配置為從VLAN接口2監聽廣播報文,Switch C從VLAN接口2發送廣播報文。Switch D接收到Switch C發出的廣播報文後與其同步。
# 同步後查看Switch D的狀態。
[SwitchD-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 4
Reference clock ID: 3.0.1.31
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 8.31 ms
Peer dispersion: 34.30 ms
Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
此時Switch D已經與Switch C同步,層數比Switch C的層數大1,為4。
# 查看Switch D的NTP會話信息,可以看到Switch D與Switch C建立了連接。
[SwitchD-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 3 254 64 62 -16.0 32.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
