- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-NTP配置
本章節下載: 03-NTP配置 (578.50 KB)
NTP(Network Time Protocol,網絡時間協議)是由RFC 1305定義的時間同步協議,用來在分布式時間服務器和客戶端之間進行時間同步。NTP基於UDP報文進行傳輸,使用的UDP端口號為123。
使用NTP的目的是對網絡內所有具有時鍾的設備進行時鍾同步,使網絡內所有設備的時鍾保持一致,從而使設備能夠提供基於統一時間的多種應用。
對於運行NTP的本地係統,既可以接收來自其他時鍾源的同步,又可以作為時鍾源同步其他的時鍾,並且可以和其他設備互相同步。
對於網絡中的各台設備來說,如果依靠管理員手工輸入命令來修改係統時鍾是不可能的,不但工作量巨大,而且也不能保證時鍾的精確性。通過NTP,可以很快將網絡中設備的時鍾同步,同時也能保證很高的精度。
NTP主要應用於需要網絡中所有設備時鍾保持一致的場合,比如:
· 在網絡管理中,對於從不同設備采集來的日誌信息、調試信息進行分析的時候,需要以時間作為參照依據。
· 計費係統要求所有設備的時鍾保持一致。
· 完成某些功能,如定時重啟網絡中的所有設備,此時要求所有設備的時鍾保持一致。
· 多個係統協同處理同一個比較複雜的事件時,為保證正確的執行順序,多個係統必須參考同一時鍾。
· 在備份服務器和客戶端之間進行增量備份時,要求備份服務器和所有客戶端之間的時鍾同步。
NTP的優勢如下:
· 采用分層的方法定義時鍾的準確性,可以迅速同步網絡中各台設備的時間。
· 支持訪問控製和MD5驗證。
· 可以選擇采用單播、組播或廣播的方式發送協議報文。
NTP的基本工作原理如圖1-1所示。Device A和Device B通過網絡相連,它們都有自己獨立的係統時鍾,需要通過NTP實現各自係統時鍾的自動同步。為便於理解,作如下假設:
· 在Device A和Device B的係統時鍾同步之前,Device A的時鍾設定為10:00:00am,Device B的時鍾設定為11:00:00am。
· Device B作為NTP時間服務器,即Device A將使自己的時鍾與Device B的時鍾同步。
· NTP報文在Device A和Device B之間單向傳輸所需要的時間為1秒。
圖1-1 NTP基本原理圖
係統時鍾同步的工作過程如下:
· Device A發送一個NTP報文給Device B,該報文帶有它離開Device A時的時間戳,該時間戳為10:00:00am(T1)。
· 當此NTP報文到達Device B時,Device B加上自己的時間戳,該時間戳為11:00:01am(T2)。
· 當此NTP報文離開Device B時,Device B再加上自己的時間戳,該時間戳為11:00:02am(T3)。
· 當Device A接收到該響應報文時,Device A的本地時間為10:00:03am(T4)。
至此,Device A已經擁有足夠的信息來計算兩個重要的參數:
· NTP報文的往返時延Delay=(T4-T1)-(T3-T2)=2秒。
· Device A相對Device B的時間差offset=((T2-T1)+(T3-T4))/2=1小時。
這樣,Device A就能夠根據這些信息來設定自己的時鍾,使之與Device B的時鍾同步。
以上內容隻是對NTP工作原理的一個粗略描述,詳細內容請參閱RFC 1305。
NTP有兩種不同類型的報文,一種是時鍾同步報文,另一種是控製報文。控製報文僅用於需要網絡管理的場合,它對於時鍾同步功能來說並不是必需的,這裏不做介紹。
本文中提到的NTP報文,均為NTP時鍾同步報文。
時鍾同步報文封裝在UDP報文中,其格式如圖1-2所示。
主要字段的解釋如下:
· LI(Leap Indicator):長度為2比特,值為“11”時表示告警狀態,時鍾未被同步。為其他值時NTP本身不做處理。
· VN(Version Number):長度為3比特,表示NTP的版本號,目前的最新版本為4。
· Mode:長度為3比特,表示NTP的工作模式。不同的值所表示的含義分別是:0未定義、1表示主動對等體模式、2表示被動對等體模式、3表示客戶模式、4表示服務器模式、5表示廣播模式或組播模式、6表示此報文為NTP控製報文、7預留給內部使用。
· Stratum:係統時鍾的層數,取值範圍為1~16,它定義了時鍾的準確度。層數為1的時鍾準確度最高,準確度從1到16依次遞減,層數為16的時鍾處於未同步狀態,不能作為參考時鍾。
· Poll:輪詢時間,即兩個連續NTP報文之間的時間間隔。
· Precision:係統時鍾的精度。
· Root Delay:本地到主參考時鍾源的往返時間。
· Root Dispersion:係統時鍾相對於主參考時鍾的最大誤差。
· Reference Identifier:參考時鍾源的標識。
· Reference Timestamp:係統時鍾最後一次被設定或更新的時間。
· Originate Timestamp:NTP請求報文離開發送端時發送端的本地時間。
· Receive Timestamp:NTP請求報文到達接收端時接收端的本地時間。
· Transmit Timestamp:應答報文離開應答者時應答者的本地時間。
· Authenticator:驗證信息。
設備可以采用多種NTP工作模式進行時間同步:
· 客戶端/服務器模式
· 對等體模式
· 廣播模式
· 組播模式
用戶可以根據需要選擇合適的工作模式。在不能確定服務器或對等體IP地址、網絡中需要同步的設備很多等情況下,可以通過廣播或組播模式實現時鍾同步;客戶端/服務器和對等體模式中,設備從指定的服務器或對等體獲得時鍾同步,增加了時鍾的可靠性。
圖1-3 客戶端/服務器模式
在客戶端/服務器模式中,客戶端向服務器發送時鍾同步報文,報文中的Mode字段設置為3(客戶模式)。服務器端收到報文後會自動工作在服務器模式,並發送應答報文,報文中的Mode字段設置為4(服務器模式)。客戶端收到應答報文後,進行時鍾過濾和選擇,並同步到優選的服務器。
在該模式下,客戶端能同步到服務器,而服務器無法同步到客戶端。
圖1-4 對等體模式
在對等體模式中,主動對等體和被動對等體之間首先交互Mode字段為3(客戶端模式)和4(服務器模式)的NTP報文。之後,主動對等體向被動對等體發送時鍾同步報文,報文中的Mode字段設置為1(主動對等體),被動對等體收到報文後自動工作在被動對等體模式,並發送應答報文,報文中的Mode字段設置為2(被動對等體)。經過報文的交互,對等體模式建立起來。主動對等體和被動對等體可以互相同步。如果雙方的時鍾都已經同步,則以層數小的時鍾為準。
圖1-5 廣播模式
在廣播模式中,服務器端周期性地向廣播地址255.255.255.255發送時鍾同步報文,報文中的Mode字段設置為5(廣播模式)。客戶端偵聽來自服務器的廣播報文。當客戶端接收到第一個廣播報文後,客戶端與服務器交互Mode字段為3(客戶模式)和4(服務器模式)的NTP報文,以獲得客戶端與服務器間的網絡延遲。之後,客戶端就進入廣播客戶端模式,繼續偵聽廣播報文的到來,根據到來的廣播報文對係統時鍾進行同步。
圖1-6 組播模式
在組播模式中,服務器端周期性地向用戶配置的組播地址(若用戶沒有配置組播地址,則使用默認的NTP組播地址224.0.1.1)發送時鍾同步報文,報文中的Mode字段設置為5(組播模式)。客戶端偵聽來自服務器的組播報文。當客戶端接收到第一個組播報文後,客戶端與服務器交互Mode字段為3(客戶模式)和4(服務器模式)的NTP報文,以獲得客戶端與服務器間的網絡延遲。之後,客戶端就進入組播客戶模式,繼續偵聽組播報文的到來,根據到來的組播報文對係統時鍾進行同步。
在對等體模式、廣播模式和組播模式中,客戶端(或主動對等體)和服務器(或被動對等體)之間首先要交互Mode字段為3(客戶端模式)和4(服務器模式)的NTP報文,之後,才能進入指定的NTP工作模式。在此報文交互過程中,可以實現時鍾的同步。
設備作為NTP客戶端或主動對等體時支持VPN多實例,實現設備與位於MPLS L3VPN中的NTP服務器或NTP被動對等體進行時鍾同步。
如下圖所示,私網VPN 1和VPN 2中的用戶通過PE(Provider Edge,服務提供商網絡邊緣設備)接入MPLS骨幹網,各VPN之間的業務相互隔離。配置PE設備工作在NTP客戶端或NTP主動對等體模式,並指定NTP服務器或NTP被動對等體所屬的VPN後,可以實現PE設備與各VPN中的CE設備進行時鍾同步。
圖1-7 NTP支持VPN多實例組網應用圖
MPLS L3VPN、VPN實例和PE的詳細介紹,請參見“MPLS配置指導”中的“MPLS L3VPN”。
表1-1 NTP配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置NTP工作模式 |
必選 |
|
|
配置本地時鍾作為參考時鍾 |
可選 |
|
|
配置NTP可選參數 |
可選 |
|
|
配置訪問控製權限 |
可選 |
|
|
配置NTP驗證功能 |
可選 |
設備可以采用以下NTP工作模式進行時鍾同步:
· 客戶端/服務器模式
· 對等體模式
· 廣播模式
· 組播模式
設備采用客戶端/服務器模式或對等體模式時,隻需要對客戶端或主動對等體進行配置;設備采用廣播模式或組播模式時,則需要在服務器端和客戶端都進行配置。
同一設備同一時間內存在的連接數目最多為128個,其中包括靜態連接數和動態連接數。靜態連接是用戶手動配置NTP相關命令而建立的連接;動態連接是係統運行過程中建立的臨時連接,若係統長期收不到報文就會刪除該臨時連接。例如,在客戶端/服務器模式中,當用戶在客戶端配置向服務器端同步的命令的時候,係統會在客戶端建立一個靜態連接,服務器端在收到報文之後隻是被動的響應報文,而不會建立連接(包括靜態和動態連接);在對等體模式中,主動對等體端會建立靜態連接,被動對等體端會建立動態連接;在組播和廣播模式中,服務器端會建立靜態連接,而在客戶端會建立動態連接。
當設備采用客戶端/服務器模式時,請在客戶端進行如下配置。
表1-2 在NTP客戶端上指定NTP服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
指定設備的NTP服務器 |
ntp-service unicast-server [ vpn-instance vpn-instance-name ] { ip-address | server-name } [ authentication-keyid keyid | priority | source-interface interface-type interface-number | version number ] * |
必選 缺省情況下,沒有為設備指定NTP服務器 |
· ntp-service unicast-server命令中的ip-address是一個單播地址,不能為廣播地址、組播地址或本地時鍾的IP地址。
· 通過source-interface參數指定NTP報文的源接口後,NTP報文的源IP地址將被設置為指定接口的主IP地址。
· 服務器端隻有當其時鍾被同步後,才能作為時間服務器去同步其他設備。當服務器端的時鍾層數大於或等於客戶端的時鍾層數時,客戶端將不會向其同步。
· 可以通過多次執行ntp-service unicast-server命令配置多個服務器,客戶端依據時鍾優選來選擇最優的時鍾源。
當設備采用對等體模式時,需要在主動對等體上指定被動對等體。
表1-3 在主動對等體上指定被動對等體
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
指定設備的被動對等體 |
ntp-service unicast-peer [ vpn-instance vpn-instance-name ] { ip-address | peer-name } [ authentication-keyid keyid | priority | source-interface interface-type interface-number | version number ] * |
必選 缺省情況下,沒有為設備指定被動對等體 |
· 在對等體模式中,被動對等體上需要執行ntp-service refclock-master或“1.3 配置NTP工作模式”中的任何一條NTP配置命令來使能NTP,否則被動對等體不會處理來自主動對等體的NTP報文。
· ntp-service unicast-peer 命令中的ip-address是一個單播地址,不能為廣播地址、組播地址或本地時鍾的IP地址。
· 通過source-interface參數指定NTP報文的源接口後,NTP報文的源IP地址將被設置為指定接口的主IP地址。
· 通常,主、被動對等體中至少有一個處於同步狀態,否則他們都將無法同步。
· 可以通過多次執行ntp-service unicast-peer命令配置多個被動對等體。
廣播服務器周期性地向廣播地址255.255.255.255發送NTP報文,工作在NTP廣播客戶端模式的設備將回應這個報文,從而開始時鍾同步過程。
當設備采用廣播模式時,需要在服務器端和客戶端都進行配置。由於廣播服務器上需要指定一個發送NTP廣播報文的接口,廣播客戶端上也需要指定一個接收NTP廣播報文的接口,所以廣播模式的配置隻能在具體的接口視圖下進行。
Tunnel接口不支持NTP廣播模式的配置,有關Tunnel接口的詳細介紹,請參見“三層技術-IP業務配置指導”中的“隧道”。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
進入要接收NTP廣播報文的接口 |
|
配置設備工作在NTP廣播客戶端模式 |
ntp-service broadcast-client |
必選 |
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
進入要發送NTP廣播報文的接口 |
|
配置設備工作在NTP廣播服務器模式 |
ntp-service broadcast-server [ authentication-keyid keyid | version number ] * |
必選 |
廣播服務器隻有當其時鍾同步後,才能去同步廣播客戶端。
NTP組播服務器以組播形式周期性地發送時鍾同步報文,工作在NTP組播客戶端模式的設備將回應這個報文,從而開始時鍾同步過程。
設備采用組播模式時,需要在服務器端和客戶端都進行配置。組播模式的配置隻能在具體的接口視圖下進行。
Tunnel接口不支持NTP組播模式的配置,有關Tunnel接口的詳細介紹,請參見“三層技術-IP業務配置指導”中的“隧道”。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- 進入要接收NTP組播報文的接口 |
|
配置設備工作在NTP組播客戶端模式 |
ntp-service multicast-client [ ip-address ] |
必選 |
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- 進入要發送NTP組播報文的接口 |
|
配置設備工作在NTP組播服務器模式 |
ntp-service multicast-server [ ip-address ] [ authentication-keyid keyid | ttl ttl-number | version number ] * |
必選 |
· 組播服務器隻有當其時鍾同步後,才能去同步組播客戶端。
· 目前最多可以配置1024個組播客戶端,但同時起作用的最多為128個。
網絡中的設備可以通過下麵兩種方式進行時間同步:
· 與本地時鍾進行同步:即采用本地時鍾作為參考時鍾。
· 與網絡中的其他設備進行同步:可以采用前麵介紹的四種NTP工作模式中的任何一種。
如果同時配置了兩種方式,設備將通過時鍾優選來選擇最優的時鍾源。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置本地時鍾作為參考時鍾 |
ntp-service refclock-master [ ip-address ] [ stratum ] |
必選 |
· 實際網絡中,通常將從權威時鍾(如原子時鍾)獲得時鍾同步的NTP服務器的層數設置為1,並將其作為主參考時鍾源同步網絡中其他設備的時鍾。網絡中的設備與主參考時鍾源的NTP距離,即NTP同步鏈上NTP服務器的數目,決定了設備上時鍾的層數。
· 配置本地時鍾作為參考時鍾後,本地設備可以作為時鍾源同步網絡中的其他設備。請謹慎使用本配置,以免導致網絡中設備的時鍾錯誤。
如果指定了NTP報文的源接口,則設備在主動發送NTP報文時,將報文的源IP地址設置為指定接口的主IP地址。
設備對接收到的NTP請求報文進行應答時,應答報文的源IP地址始終為接收到NTP請求報文的接口的IP地址。
表1-9 配置NTP報文的源接口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置NTP報文的源接口 |
ntp-service source-interface interface-type interface-number |
必選 缺省情況下,沒有指定NTP報文的源接口 |
· 如果在命令ntp-service unicast-server或ntp-service unicast-peer中指定了NTP報文的源接口,則以ntp-service unicast-server或ntp-service unicast-peer指定的為準。
· 如果在接口視圖下配置了ntp-service broadcast-server或ntp-service multicast-server,則NTP廣播或組播模式報文的源接口為配置了上述命令的接口。
· 如果指定的NTP源接口處於down狀態,則發送的NTP報文源IP地址為該報文出接口的主IP地址。
使能NTP功能後,缺省情況下所有接口都可以接收NTP報文。可以通過本配置,禁止從某個接口接收NTP報文。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置禁止接口接收NTP報文 |
ntp-service in-interface disable |
必選 缺省情況下,允許接口接收NTP報文 |
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置允許建立的動態NTP會話數目 |
ntp-service max-dynamic-sessions number |
必選 缺省情況下,允許建立的動態NTP會話的數目為100 |
用戶可以配置對本地設備NTP服務的訪問控製權限。訪問控製權限可以分為四種:
· query:允許控製查詢權限。該權限隻允許對端設備對本地設備的NTP服務進行控製查詢,但是不能向本地設備同步。所謂的控製查詢,就是查詢NTP的一些狀態,比如告警信息,驗證狀態,時鍾源信息等。
· synchronization:隻允許服務器訪問權限。該權限隻允許對端設備向本地設備同步,但不能進行控製查詢。
· server:允許服務器訪問與查詢權限。該權限允許對端設備向本地設備同步和控製查詢,但本地設備不會同步到對端設備。
· peer:完全訪問權限。該權限既允許對端設備向本地設備同步和控製查詢,同時本地設備也可以同步到對端設備。
NTP服務的訪問控製權限從高到低依次為peer、server、synchronization、query。當設備接收到NTP服務請求報文時,會按照此順序進行匹配,以第一個匹配的權限為準。如果沒有匹配任何權限,則丟棄此NTP服務請求報文。
在配置對本地設備NTP服務的訪問控製權限之前,需要創建並配置與訪問權限關聯的ACL。ACL的配置方法請參見“ACL和QoS配置指導”中的“ACL”。
表1-12 配置對本地設備NTP服務的訪問控製權限
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置對端設備對本地設備NTP服務的訪問控製權限 |
ntp-service access { peer | query | server | synchronization } acl-number |
必選 缺省情況下,對端設備對本地設備NTP服務的訪問控製權限為peer |
配置對本地設備NTP服務的訪問控製權限,僅提供了一種最小限度的安全措施,更安全的方法是進行身份驗證。
在一些對安全性要求較高的網絡中,運行NTP協議時需要啟用驗證功能。通過客戶端和服務器端的密碼驗證,保證客戶端隻與通過驗證的設備進行同步,提高了網絡安全性。
配置NTP驗證功能分為以下幾步:
· 使能NTP驗證功能
· 配置驗證密鑰
· 將驗證密鑰設為可信密鑰
· 指定與NTP服務器或對等體關聯的密鑰
上述步驟缺一不可,缺少任何一項配置都會導致NTP驗證功能無法正常啟用。
配置客戶端/服務器模式的NTP驗證功能時,需要在客戶端和服務器上都使能NTP驗證功能、配置驗證密鑰、將驗證密鑰設為可信密鑰,並在客戶端上指定與NTP服務器關聯的密鑰。
· 如果客戶端上使能了NTP驗證功能、配置了驗證密鑰和可信密鑰、指定了與NTP服務器關聯的密鑰,且關聯的密鑰為可信密鑰,則隻有服務器上也正常啟用了NTP驗證功能(使能NTP驗證功能、配置驗證密鑰和可信密鑰),客戶端才能與服務器進行時間同步。
· 如果客戶端上沒有使能NTP驗證功能,或客戶端上沒有指定與NTP服務器關聯的密鑰,則客戶端與該服務器進行時間同步時不會進行身份驗證,即無論服務器端是否正常啟用驗證功能,客戶端都能與服務器進行時間同步。
· 如果客戶端上使能了NTP驗證功能、指定了與NTP服務器關聯的密鑰,但關聯的密鑰不是可信密鑰,則無論服務器端是否正常啟用驗證功能,客戶端都不能向該服務器同步。
表1-13 配置客戶端的NTP驗證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能NTP身份驗證功能 |
ntp-service authentication enable |
必選 缺省情況下,NTP身份驗證功能處於關閉狀態 |
|
配置NTP驗證密鑰 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value |
必選 缺省情況下,沒有配置NTP驗證密鑰 |
|
配置指定密鑰為可信密鑰 |
ntp-service reliable authentication-keyid keyid |
必選 缺省情況下,沒有指定可信密鑰 |
|
將指定密鑰與對應的NTP服務器關聯 |
ntp-service unicast-server { ip-address | server-name } authentication-keyid keyid |
必選 可以將不存在的密鑰與NTP服務器關聯。但是若想成功啟用NTP驗證功能,則必須在關聯密鑰後,配置該密鑰,並將其指定為可信密鑰 |
客戶端使能NTP驗證功能後,必須配置與服務器端相同的驗證密鑰,並且必須聲明該密鑰是可信的,否則無法與服務器同步。
表1-14 配置服務器端的NTP驗證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能NTP驗證功能 |
ntp-service authentication enable |
必選 缺省情況下,NTP身份驗證功能處於關閉狀態 |
|
配置NTP驗證密鑰 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value |
必選 缺省情況下,沒有配置NTP驗證密鑰 |
|
配置指定密鑰為可信密鑰 |
ntp-service reliable authentication-keyid keyid |
必選 缺省情況下,沒有指定可信密鑰 |
服務器端和客戶端必須配置相同的驗證密鑰。
配置對等體模式的NTP驗證功能時,需要在主動對等體和被動對等體上都使能NTP驗證功能、配置驗證密鑰、將驗證密鑰設為可信密鑰,並在主動對等體上指定與被動對等體關聯的密鑰。
(1) 主動對等體的時鍾層數大於被動對等體時
· 如果主動對等體上使能了NTP驗證功能、配置了驗證密鑰和可信密鑰、指定了與被動對等體關聯的密鑰、且關聯的密鑰為可信密鑰,則隻有被動對等體上也正常啟用了NTP驗證功能(使能NTP驗證功能、配置驗證密鑰和可信密鑰),主動對等體才能向被動對等體同步。
· 如果主動對等體上沒有使能NTP驗證功能,或主動對等體上沒有指定與被動對等體關聯的密鑰,則隻要被動對等體上沒有使能NTP驗證功能,主動對等體就可以向被動對等體同步。否則,不能向被動對等體同步。
· 如果主動對等體上使能了NTP驗證功能、指定了與被動對等體關聯的密鑰,但關聯的密鑰不是可信密鑰,則無論被動對等體是否正常啟用驗證功能,主動對等體都不能向該被動對等體同步。
(2) 被動對等體的時鍾層數大於主動對等體時
· 如果主動對等體上使能了NTP驗證功能、配置了驗證密鑰和可信密鑰、指定了與被動對等體關聯的密鑰、且關聯的密鑰為可信密鑰,則隻有被動對等體上也正常啟用了NTP驗證功能(使能NTP驗證功能、配置驗證密鑰和可信密鑰),主動對等體才能為被動對等體提供時鍾同步。
· 如果主動對等體上沒有使能NTP驗證功能、或主動對等體上沒有指定與被動對等體關聯的密鑰、或關聯的密鑰不是可信密鑰,則隻要被動對等體上沒有使能NTP驗證功能,主動對等體就可以為被動對等體提供時鍾同步。否則,不能為被動對等體提供時鍾同步。
表1-15 配置主動對等體的NTP驗證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能NTP身份驗證功能 |
ntp-service authentication enable |
必選 缺省情況下,NTP身份驗證功能處於關閉狀態 |
|
配置NTP驗證密鑰 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value |
必選 缺省情況下,沒有配置NTP驗證密鑰 |
|
配置指定密鑰為可信密鑰 |
ntp-service reliable authentication-keyid keyid |
必選 缺省情況下,沒有指定可信密鑰 |
|
將指定密鑰與對應的被動對等體關聯 |
ntp-service unicast-peer { ip-address | peer-name } authentication-keyid keyid |
必選 可以將不存在的密鑰與被動對等體關聯。但是若想成功啟用NTP驗證功能,則必須在關聯密鑰後,配置該密鑰,並將其指定為可信密鑰 |
主動對等體使能NTP驗證功能後,必須配置與被動對等體相同的驗證密鑰,並且必須聲明該密鑰是可信的。
表1-16 配置被動對等體的NTP驗證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能NTP驗證功能 |
ntp-service authentication enable |
必選 缺省情況下,NTP身份驗證功能處於關閉狀態 |
|
配置NTP驗證密鑰 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value |
必選 缺省情況下,沒有配置NTP驗證密鑰 |
|
配置指定密鑰為可信密鑰 |
ntp-service reliable authentication-keyid keyid |
必選 缺省情況下,沒有指定可信密鑰 |
被動對等體和主動對等體必須配置相同的驗證密鑰。
配置廣播模式的NTP驗證功能時,需要在廣播客戶端和廣播服務器上都使能NTP驗證功能、配置驗證密鑰、將驗證密鑰設為可信密鑰,並在廣播服務器上指定與該服務器關聯的密鑰。
· 如果廣播客戶端上使能了NTP驗證功能、配置了驗證密鑰和可信密鑰,則隻有廣播服務器上也正常啟用了NTP驗證功能(使能NTP驗證功能、配置驗證密鑰和可信密鑰、指定了與該服務器關聯的密鑰、且關聯的密鑰為可信密鑰),廣播客戶端才能與該服務器進行時間同步。
· 如果廣播客戶端上沒有使能NTP驗證功能,則廣播客戶端與廣播服務器進行時間同步時不會進行身份驗證,即無論廣播服務器是否正常啟用驗證功能,廣播客戶端都能與該服務器進行時間同步。
表1-17 配置廣播客戶端的NTP驗證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能NTP身份驗證功能 |
ntp-service authentication enable |
必選 缺省情況下,NTP身份驗證功能處於關閉狀態 |
|
配置NTP驗證密鑰 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value |
必選 缺省情況下,沒有配置NTP驗證密鑰 |
|
配置指定密鑰為可信密鑰 |
ntp-service reliable authentication-keyid keyid |
必選 缺省情況下,沒有指定可信密鑰 |
廣播客戶端使能NTP驗證功能後,必須配置與廣播服務器端相同的驗證密鑰,並且必須聲明該密鑰是可信的。
表1-18 配置廣播服務器端的NTP驗證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能NTP驗證功能 |
ntp-service authentication enable |
必選 缺省情況下,NTP身份驗證功能處於關閉狀態 |
|
配置NTP驗證密鑰 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value |
必選 缺省情況下,沒有配置NTP驗證密鑰 |
|
配置指定密鑰為可信密鑰 |
ntp-service reliable authentication-keyid keyid |
必選 缺省情況下,沒有指定可信密鑰 |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
將指定密鑰與對應的廣播服務器關聯 |
ntp-service broadcast-server authentication-keyid keyid |
必選 可以將不存在的密鑰與廣播服務器關聯。但是若想成功啟用NTP驗證功能,則必須在關聯密鑰後,配置該密鑰,並將其指定為可信密鑰 |
廣播服務器端和廣播客戶端必須配置相同的密鑰。
配置組播模式的NTP驗證功能時,需要在組播客戶端和組播服務器上都使能NTP驗證功能、配置驗證密鑰、將驗證密鑰設為可信密鑰,並在組播服務器上指定與該服務器關聯的密鑰。
· 如果組播客戶端上使能了NTP驗證功能、配置了驗證密鑰和可信密鑰,則隻有組播服務器上也正常啟用了NTP驗證功能(使能NTP驗證功能、配置驗證密鑰和可信密鑰、指定了與該服務器關聯的密鑰、且關聯的密鑰為可信密鑰),組播客戶端才能與該服務器進行時間同步。
· 如果組播客戶端上沒有使能NTP驗證功能,則組播客戶端與組播服務器進行時間同步時不會進行身份驗證,即無論組播服務器是否正常啟用驗證功能,組播客戶端都能與該服務器進行時間同步。
表1-19 配置組播客戶端的NTP驗證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能NTP身份驗證功能 |
ntp-service authentication enable |
必選 缺省情況下,NTP身份驗證功能處於關閉狀態 |
|
配置NTP驗證密鑰 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value |
必選 缺省情況下,沒有配置NTP驗證密鑰 |
|
配置指定密鑰為可信密鑰 |
ntp-service reliable authentication-keyid keyid |
必選 缺省情況下,沒有指定可信密鑰 |
組播客戶端使能NTP驗證功能後,必須配置與組播服務器端相同的驗證密鑰,並且必須聲明該密鑰是可信的。
表1-20 配置組播服務器端的NTP驗證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能NTP驗證功能 |
ntp-service authentication enable |
必選 缺省情況下,NTP身份驗證功能處於關閉狀態 |
|
配置NTP驗證密鑰 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value |
必選 缺省情況下,沒有配置NTP驗證密鑰 |
|
配置指定密鑰為可信密鑰 |
ntp-service reliable authentication-keyid keyid |
必選 缺省情況下,沒有指定可信密鑰 |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
將指定密鑰與對應的組播服務器關聯 |
ntp-service multicast-server [ ip-address ] authentication-keyid keyid |
必選 可以將不存在的密鑰與組播服務器關聯。但是若想成功啟用NTP驗證功能,則必須在關聯密鑰後,配置該密鑰,並將其指定為可信密鑰 |
組播服務器端和組播客戶端必須配置相同的密鑰。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後NTP的運行情況,通過查看顯示信息驗證配置的效果。
表1-21 NTP顯示與維護
|
操作 |
命令 |
|
顯示NTP服務的狀態信息 |
display ntp-service status [ | { begin | exclude | include } regular-expression ] |
|
顯示NTP服務維護的會話信息 |
display ntp-service sessions [ verbose ] [ | { begin | exclude | include } regular-expression ] |
|
顯示從本地設備回溯到主參考時鍾源的各個NTP時間服務器的簡要信息 |
display ntp-service trace [ | { begin | exclude | include } regular-expression ] |
缺省情況下,以太網接口、VLAN接口及聚合接口處於DOWN狀態。如果要對這些接口進行配置,請先使用undo shutdown命令使接口狀態處於UP。
為了實現Device B的時鍾與Device A的時鍾同步,需要進行以下配置:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· Device B工作在客戶端模式,指定Device A為NTP服務器。
圖1-8 配置NTP客戶端/服務器模式組網圖
(1) 按照圖1-8配置各接口的IP地址,具體配置過程略。
(2) 配置Device A
# 設置本地時鍾作為參考時鍾,層數為2。
<DeviceA> system-view
[DeviceA] ntp-service refclock-master 2
(3) 配置Device B
# 同步前查看Device B的NTP狀態。
<DeviceB> display ntp-service status
Clock status: unsynchronized
Clock stratum: 16
Reference clock ID: none
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 0.00 ms
Root dispersion: 0.00 ms
Peer dispersion: 0.00 ms
Reference time: 00:00:00.000 UTC Jan 1 1900 (00000000.00000000)
# 設置Device A為Device B的NTP服務器。
<DeviceB> system-view
[DeviceB] ntp-service unicast-server 1.0.1.11
# 以上配置將Device B向Device A進行時間同步,同步後查看Device B的NTP狀態。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 1.0.1.11
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 1.05 ms
Peer dispersion: 7.81 ms
Reference time: 14:53:27.371 UTC Sep 19 2005 (C6D94F67.5EF9DB22)
此時Device B已經與Device A同步,層數比Device A的層數大1,為3。
# 查看Device B的NTP會話信息,可以看到Device B與Device A建立了連接。
[DeviceB] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[12345] 1.0.1.11 127.127.1.0 2 63 64 3 -75.5 31.0 16.5
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
為了實現設備之間的時鍾同步,需要進行以下配置:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· 在Device C上設置本地時鍾作為參考時鍾,層數為1;
· Device B工作在客戶端模式,指定Device A為NTP服務器;
· Device C工作在對等體模式,將Device B設為對等體。Device C為主動對等體,Device B為被動對等體。
圖1-9 配置NTP對等體模式組網圖
(1) 按照圖1-9配置各接口的IP地址,具體配置過程略。
(2) 配置Device A
# 設置本地時鍾作為參考時鍾,層數為2。
<DeviceA> system-view
[DeviceA] ntp-service refclock-master 2
(3) 配置Device B
# 設置Device A為Device B的NTP服務器。
<DeviceB> system-view
[DeviceB] ntp-service unicast-server 3.0.1.31
(4) 配置Device C(Device B向Device A同步後)
# 設置本地時鍾作為參考時鍾,層數為1。
<DeviceC> system-view
[DeviceC] ntp-service refclock-master 1
# 本地同步後,設置Device B為對等體。
[DeviceC] ntp-service unicast-peer 3.0.1.32
以上配置將Device B和Device C配置為對等體,Device C處於主動對等體模式,Device B處於被動對等體模式,由於Device C係統時鍾的層數為1,而Device B的層數為3,所以Device B向Device C同步。
# 同步後查看Device B的狀態。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 2
Reference clock ID: 3.0.1.33
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: -21.1982 ms
Root delay: 15.00 ms
Root dispersion: 775.15 ms
Peer dispersion: 34.29 ms
Reference time: 15:22:47.083 UTC Sep 19 2005 (C6D95647.153F7CED)
此時Device B已經與Device C同步,層數比Device C的層數大1,為2。
# 查看Device B的NTP會話信息,可以看到Device B與Device C建立了連接。
[DeviceB] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[245] 3.0.1.31 127.127.1.0 2 15 64 24 10535.0 19.6 14.5
[1234] 3.0.1.33 LOCL 1 14 64 27 -77.0 16.0 14.8
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 2
Switch C作為同一網段中多個設備的NTP服務器,同時同步多個設備的時鍾。為了實現該需求,需要進行以下配置:
· 在Switch C上設置本地時鍾作為參考時鍾,層數為2;
· Switch C工作在廣播服務器模式,從VLAN接口2向外發送廣播報文;
· Switch A和Switch B工作在廣播客戶端模式,分別從各自的VLAN接口2監聽廣播報文。
圖1-10 配置NTP廣播模式組網圖
(1) 按照圖1-10配置各接口的IP地址,具體配置過程略。
(2) 配置Switch C
# 設置本地時鍾作為參考時鍾,層數為2。
<SwitchC> system-view
[SwitchC] ntp-service refclock-master 2
# 設置Switch C為廣播服務器,從VLAN接口2發送廣播報文。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ntp-service broadcast-server
(3) 配置Switch A
# 設置Switch A為廣播客戶端,從VLAN接口2監聽廣播報文。
<SwitchA> system-view
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ntp-service broadcast-client
(4) 配置Switch B
# 設置Switch B為廣播客戶端,從VLAN接口2監聽廣播報文。
<SwitchB> system-view
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ntp-service broadcast-client
Switch A和Switch B接收到Switch C發出的廣播報文後,與其同步。
# 以Switch A為例,同步後查看Switch A的狀態。
[SwitchA-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 3.0.1.31
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 8.31 ms
Peer dispersion: 34.30 ms
Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
此時Switch A已經與Switch C同步,層數比Switch C的層數大1,為3。
# 查看Switch A的NTP會話信息,可以看到Switch A與Switch C建立了連接。
[SwitchA-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 2 254 64 62 -16.0 32.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
Switch C作為不同網段中多個設備的NTP服務器,同時同步多個設備的時鍾。為了實現該需求,需要進行以下配置:
· 在Switch C上設置本地時鍾作為參考時鍾,層數為2;
· Switch C工作在組播服務器模式,從VLAN接口2向外發送組播報文;
· Switch A和Switch D工作在組播客戶端模式,Switch A從VLAN接口3監聽組播報文,Switch D從VLAN接口2監聽組播報文。
圖1-11 配置NTP組播模式組網圖
(1) 按照圖1-11配置各接口的IP地址,具體配置過程略。
(2) 配置Switch C
# 設置本地時鍾作為參考時鍾,層數為2。
<SwitchC> system-view
[SwitchC] ntp-service refclock-master 2
# 設置Switch C為組播服務器,從VLAN接口2發送組播報文。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ntp-service multicast-server
(3) 配置Switch D
# 設置Switch D為組播客戶端,從VLAN接口2監聽組播報文。
<SwitchD> system-view
[SwitchD] interface vlan-interface 2
[SwitchD-Vlan-interface2] ntp-service multicast-client
由於Switch D和Switch C在同一個網段,不需要配置組播功能,Switch D就可以收到Switch C發出的組播報文,並與其同步。
# 同步後查看Switch D的狀態。
[SwitchD-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 3.0.1.31
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 8.31 ms
Peer dispersion: 34.30 ms
Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
此時Switch D已經與Switch C同步,層數比Switch C的層數大1,為3。
# 查看Switch D的NTP會話信息,可以看到Switch D與Switch C建立了連接。
[SwitchD-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 2 254 64 62 -16.0 31.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
(4) 配置Switch B
由於Switch A與Switch C不在同一網段,所以Switch B上需要配置組播功能,否則Switch A收不到Switch C發出的組播報文。
# 配置組播功能。
<SwitchB> system-view
[SwitchB] multicast routing-enable
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] pim dm
[SwitchB-Vlan-interface2] quit
[SwitchB] vlan 3
[SwitchB-vlan3] port GigabitEthernet 3/0/1
[SwitchB-vlan3] quit
[SwitchB] interface vlan-interface 3
[SwitchB-Vlan-interface3] igmp enable
[SwitchB-Vlan-interface3] igmp static-group 224.0.1.1
[SwitchB-Vlan-interface3] quit
[SwitchB] interface GigabitEthernet 3/0/1
[SwitchB-GigabitEthernet3/0/1] igmp-snooping static-group 224.0.1.1 vlan 3
(5) 配置Switch A
<SwitchA> system-view
[SwitchA] interface vlan-interface 3
# 設置Switch A為組播客戶端,從VLAN接口3監聽組播報文。
[SwitchA-Vlan-interface3] ntp-service multicast-client
# 同步後查看Switch A的狀態。
[SwitchA-Vlan-interface3] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 3.0.1.31
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 40.00 ms
Root dispersion: 10.83 ms
Peer dispersion: 34.30 ms
Reference time: 16:02:49.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
此時Switch A已經與Switch C同步,層數比Switch C的層數大1,為3。
# 查看Switch A的NTP會話信息,可以看到Switch A與Switch C建立了連接。
[SwitchA-Vlan-interface3] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 2 255 64 26 -16.0 40.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
組播功能的詳細介紹請參見“IP組播配置指導”中的“IGMP”和“PIM”。
為了實現Device B的時鍾與Device A的時鍾同步,並保證時鍾同步的安全性,需要進行以下配置:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· Device B工作在客戶端模式,指定Device A為NTP服務器;
· Device A和Device B上同時配置NTP驗證。
圖1-12 配置帶身份驗證的NTP客戶端/服務器模式組網圖
(1) 按照圖1-12配置各接口的IP地址,具體配置過程略。
(2) 配置Device A
# 設置本地時鍾作為參考時鍾,層數為2。
<DeviceA> system-view
[DeviceA] ntp-service refclock-master 2
(3) 配置Device B
<DeviceB> system-view
# 在Device B上啟動身份驗證。
[DeviceB] ntp-service authentication enable
# 設置密鑰。
[DeviceB] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey
# 指定密鑰為可信密鑰。
[DeviceB] ntp-service reliable authentication-keyid 42
# 設置Device A為Device B的NTP服務器。
[DeviceB] ntp-service unicast-server 1.0.1.11 authentication-keyid 42
以上配置將Device B向Device A進行時間同步,但由於Device A沒有使能NTP身份驗證,所以,Device B還是無法向Device A同步。
現在,向Device A增加以下配置:
# 在Device A上啟動身份驗證。
[DeviceA] ntp-service authentication enable
# 設置密鑰。
[DeviceA] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey
# 指定密鑰為可信密鑰。
[DeviceA] ntp-service reliable authentication-keyid 42
此時,Device B可以向Device A同步。
# 同步後查看Device B的狀態。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 1.0.1.11
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 1.05 ms
Peer dispersion: 7.81 ms
Reference time: 14:53:27.371 UTC Sep 19 2005 (C6D94F67.5EF9DB22)
可以看出,Device B已經與Device A同步,層數比Device A的層數大1,為3。
# 查看Device B的NTP會話信息,可以看到Device B與Device A建立了連接。
[DeviceB] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[12345] 1.0.1.11 127.127.1.0 2 63 64 3 -75.5 31.0 16.5
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
Switch C作為同一網段中多個設備的NTP服務器,同時同步多個設備的時鍾。Switch B要求對時鍾源進行驗證,以保證時鍾同步的安全性。為了實現上述需求,需要進行以下配置:
· 在Switch C上設置本地時鍾作為參考時鍾,層數為3;
· Switch C工作在廣播服務器模式,從VLAN接口2向外發送廣播報文;
· Switch A和Switch B工作在廣播客戶端模式,從VLAN接口2監聽廣播報文;
· 在Switch B和Switch C上配置NTP驗證功能。
圖1-13 配置帶身份驗證的NTP廣播模式組網圖
(1) 按照圖1-13配置各接口的IP地址,具體配置過程略。
(2) 配置Switch A
# 設置Switch A為NTP廣播客戶端,從VLAN接口2監聽廣播報文。
<SwitchA> system-view
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ntp-service broadcast-client
(3) 配置Switch B
# 使能NTP驗證功能,創建ID為88的NTP驗證密鑰,密鑰值為123456,並將密鑰88指定為可信密鑰。
<SwitchB> system-view
[SwitchB] ntp-service authentication enable
[SwitchB] ntp-service authentication-keyid 88 authentication-mode md5 123456
[SwitchB] ntp-service reliable authentication-keyid 88
# 設置Switch B為NTP廣播客戶端,從VLAN接口2監聽廣播報文。
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ntp-service broadcast-client
(4) 配置Switch C
# 設置本地時鍾作為參考時鍾,層數為3。
<SwitchC> system-view
[SwitchC] ntp-service refclock-master 3
# 設置Switch C為NTP廣播服務器,從VLAN接口2向外發送廣播報文。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ntp-service broadcast-server
[SwitchC-Vlan-interface2] quit
# Switch A接收到Switch C發出的廣播報文後與其同步。在Switch A上查看NTP服務的狀態信息,可以看到Switch A已經與Switch C同步,層數比Switch C的層數大1,為4。
[SwitchA-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 4
Reference clock ID: 3.0.1.31
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 8.31 ms
Peer dispersion: 34.30 ms
Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
# 查看Switch A的NTP會話信息,可以看到Switch A與Switch C建立了連接。
[SwitchA-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 3 254 64 62 -16.0 32.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
# 由於Switch B上使能了NTP驗證功能,Switch C上沒有使能NTP驗證功能。因此,Switch B無法向Switch C同步。
[SwitchB-Vlan-interface2] display ntp-service status
Clock status: unsynchronized
Clock stratum: 16
Reference clock ID: none
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^18
Clock offset: 0.0000 ms
Root delay: 0.00 ms
Root dispersion: 0.00 ms
Peer dispersion: 0.00 ms
Reference time: 00:00:00.000 UTC Jan 1 1900(00000000.00000000)
# 在Switch C上使能NTP驗證功能,創建ID為88的NTP驗證密鑰,密鑰值為123456,並將密鑰88指定為可信密鑰。
[SwitchC] ntp-service authentication enable
[SwitchC] ntp-service authentication-keyid 88 authentication-mode md5 123456
[SwitchC] ntp-service reliable authentication-keyid 88
# 設置Switch C為NTP廣播服務器並指定關聯的密鑰編號為88。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ntp-service broadcast-server authentication-keyid 88
# 在Switch C上使能NTP驗證功能後,Switch B可以向Switch C同步。在Switch B上查看NTP服務的狀態信息,可以看到Switch B已經與Switch C同步,層數比Switch C的層數大1,為4。
[SwitchB-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 4
Reference clock ID: 3.0.1.31
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 8.31 ms
Peer dispersion: 34.30 ms
Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
# 查看Switch B的NTP會話信息,可以看到Switch B與Switch C建立了連接。
[SwitchB-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 3 254 64 62 -16.0 32.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
# 在Switch C上配置NTP驗證功能後,不會對Switch A造成影響。Switch A仍然處於同步狀態。
[SwitchA-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 4
Reference clock ID: 3.0.1.31
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 8.31 ms
Peer dispersion: 34.30 ms
Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
PE 1和PE 2上同時存在兩個VPN:VPN 1和VPN 2。CE 1和CE 3是VPN 1內的設備。為了實現PE 2與VPN 1內的CE 1時鍾同步,需要進行以下配置:
· 在CE 1上設置本地時鍾作為參考時鍾,層數為1;
· 采用客戶端/服務器模式實現PE 2向CE 1進行時間同步,並指定VPN為VPN 1。
目前隻有單播方式(客戶端/服務器模式或者對等體模式)的NTP時間同步支持MPLS L3VPN,組播和廣播模式的時間同步暫時不支持MPLS L3VPN。
圖1-14 配置MPLS VPN網絡的時間同步組網圖
|
設備 |
接口 |
IP地址 |
設備 |
接口 |
IP地址 |
|
CE 1 |
POS2/1/1 |
10.1.1.1/24 |
PE 1 |
POS2/1/1 |
10.1.1.2/24 |
|
CE 2 CE 3 |
POS2/1/1 POS2/1/1 |
10.2.1.1/24 10.3.1.1/24 |
|
POS2/1/2 POS2/1/3 |
172.1.1.1/24 10.2.1.2/24 |
|
CE 4 |
POS2/1/1 |
10.4.1.1/24 |
PE 2 |
POS2/1/1 |
10.3.1.2/24 |
|
P |
POS2/1/1 |
172.1.1.2/24 |
|
POS2/1/2 |
172.2.1.2/24 |
|
|
POS2/1/2 |
172.2.1.1/24 |
|
POS2/1/3 |
10.4.1.2/24 |
在下麵的配置之前,MPLS VPN的相關配置必須完成,CE 1和PE 1之間、PE 1和PE 2之間、PE 2和CE 3之間都必須有路由可達。MPLS VPN的配置方法請參見“MPLS配置指導”中的“MPLS L3VPN”。
(1) 按照圖1-14配置各接口的IP地址,具體配置過程略。
(2) 配置CE 1
# 設置本地時鍾作為參考時鍾,層數為1。
<CE1> system-view
[CE1] ntp-service refclock-master 1
(3) 配置PE 2
# 設置VPN 1中的CE 1為PE 2的NTP服務器。
<PE2> system-view
[PE2] ntp-service unicast-server vpn-instance vpn1 10.1.1.1
# 經過一段時間之後在PE 2上可以查看NTP的會話信息、狀態信息等,可以看出PE 2已經同步到CE 1了,層數為2。
[PE2] display ntp-service status
Clock status: synchronized
Clock stratum: 2
Reference clock ID: 10.1.1.1
Nominal frequency: 63.9100 Hz
Actual frequency: 63.9100 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 47.00 ms
Root dispersion: 0.18 ms
Peer dispersion: 34.29 ms
Reference time: 02:36:23.119 UTC Jan 1 2001(BDFA6BA7.1E76C8B4)
[PE2] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[12345]10.1.1.1 LOCL 1 7 64 15 0.0 47.0 7.8
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
[PE2] display ntp-service trace
server 127.0.0.1,stratum 2, offset -0.013500, synch distance 0.03154
server 10.1.1.1,stratum 1, offset -0.506500, synch distance 0.03429
refid 127.127.1.0
PE 1和PE 2上同時存在兩個VPN:VPN 1和VPN 2。CE 1和CE 3是VPN 1內的設備。為了實現PE 1與VPN 1內的CE 1時鍾同步,需要進行以下配置:
· 在CE 1上設置本地時鍾作為參考時鍾,層數為1;
· 采用對等體模式實現PE 1向CE 1進行時間同步,並指定VPN為VPN 1。
如圖1-14所示。
(1) 按照圖1-14配置各接口的IP地址,具體配置過程略。
(2) 配置CE 1
# 設置本地時鍾作為參考時鍾,層數為1。
<CE1> system-view
[CE1] ntp-service refclock-master 1
(3) 配置PE 1
# 設置VPN 1中的CE 1為PE 1的被動對等體。
<PE1> system-view
[PE1] ntp-service unicast-peer vpn-instance vpn1 10.1.1.1
# 經過一段時間之後在PE 1上可以查看NTP的會話信息、狀態信息等,可以看出PE 1已經同步到CE 1了,層數為2。
[PE1] display ntp-service status
Clock status: synchronized
Clock stratum: 2
Reference clock ID: 10.1.1.1
Nominal frequency: 63.9100 Hz
Actual frequency: 63.9100 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 32.00 ms
Root dispersion: 0.60 ms
Peer dispersion: 7.81 ms
Reference time: 02:44:01.200 UTC Jan 1 2001(BDFA6D71.33333333)
[PE1] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[12345]10.1.1.1 LOCL 1 1 64 29 -12.0 32.0 15.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
[PE1] display ntp-service trace
server 127.0.0.1,stratum 2, offset -0.012000, synch distance 0.02448
server 10.1.1.1,stratum 1, offset 0.003500, synch distance 0.00781
refid 127.127.1.0
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
