- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-NTP命令
本章節下載: 04-NTP命令 (485.69 KB)
1.1.1 display ntp-service ipv6 sessions
1.1.2 display ntp-service sessions
1.1.3 display ntp-service status
1.1.4 display ntp-service trace
1.1.6 ntp-service authentication enable
1.1.7 ntp-service authentication-keyid
1.1.8 ntp-service broadcast-client
1.1.9 ntp-service broadcast-server
1.1.12 ntp-service inbound enable
1.1.15 ntp-service ipv6 inbound enable
1.1.16 ntp-service ipv6 multicast-client
1.1.17 ntp-service ipv6 multicast-server
1.1.18 ntp-service ipv6 source
1.1.19 ntp-service ipv6 time-server enable
1.1.20 ntp-service ipv6 unicast-peer
1.1.21 ntp-service ipv6 unicast-server
1.1.22 ntp-service max-dynamic-sessions
1.1.23 ntp-service multicast-client
1.1.24 ntp-service multicast-server
1.1.25 ntp-service noquery enable
1.1.26 ntp-service refclock-master
1.1.27 ntp-service reliable authentication-keyid
1.1.29 ntp-service time-offset-threshold
1.1.30 ntp-service time-server enable
1.1.31 ntp-service unicast-peer
1.1.32 ntp-service unicast-server
2.1.1 display sntp ipv6 sessions
2.1.3 sntp authentication enable
2.1.4 sntp authentication-keyid
2.1.7 sntp ipv6 unicast-server
2.1.8 sntp reliable authentication-keyid
2.1.9 sntp time-offset-threshold
支持NTP的接口均為三層接口,包括三層以太網接口/子接口、三層聚合接口/子接口、VLAN接口、Tunnel接口等。
display ntp-service ipv6 sessions命令用來顯示NTP服務的所有IPv6會話信息。
【命令】
display ntp-service ipv6 sessions [ verbose ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
verbose:顯示NTP服務的所有IPv6會話的詳細信息。如果不指定該參數,則隻顯示所有IPv6會話的簡要信息。
【舉例】
# 顯示NTP服務的所有IPv6會話的簡要信息。
<Sysname> display ntp-service ipv6 sessions
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
Source: [125]3000::32
Reference: 127.127.1.0 Clock stratum: 2
Reachabilities: 1 Poll interval: 64
Last receive time: 6 Offset: -0.0
Roundtrip delay: 0.0 Dispersion: 0.0
Total sessions: 1
表1-1 display ntp-service ipv6 sessions命令顯示信息描述表
|
字段 |
描述 |
|
[12345] |
五個數字所帶表的字段含義如下: · 1:係統選中的時間服務器,即當前與設備進行時間同步的時間服務器 · 2:該時間服務器的時鍾層數小於等於15 · 3:該時間服務器的時鍾通過了時鍾選擇算法 · 4:該時間服務器的時鍾為候選的時鍾 · 5:該時間服務器是通過配置命令指定的 |
|
Source |
時間服務器的IPv6地址。若該字段顯示為::,表示時間服務器的IPv6地址尚未解析成功 |
|
Reference |
時間服務器的參考時鍾ID 當參考時鍾為本地時鍾時,本字段的顯示情況和Clock stratum字段的取值有關: · 當Clock stratum字段為0或1時,本字段顯示為LOCL · 當Clock stratum字段為其他值時,本字段顯示為IPv6地址前32位的MD5摘要值,摘要信息按照點分十進製形式顯示 當參考時鍾為網絡中其他設備的時鍾時,本字段顯示為IPv6地址前32位的MD5摘要值,摘要信息按照點分十進製形式顯示。若該字段顯示為INIT,表示本地設備還未與時間服務器建立連接 |
|
Clock stratum |
時間服務器的時鍾層數 時鍾層數決定了時鍾的準確度,取值範圍為0~16,層數取值越小,時鍾的準確度最高,層數為16的時鍾處於未同步狀態 |
|
Reachabilities |
時間服務器的可達性計數,0表示時間服務器不可達 |
|
Poll interval |
輪詢間隔,即兩個連續NTP報文之間的時間間隔,單位為秒 |
|
Last receive time |
最近一次接收到NTP報文或更新本地時間到當前時間的時間間隔 缺省單位為秒;如果時間間隔大於2048秒,則顯示為分鍾m;如果時間間隔大於300分鍾,則顯示為小時h;如果時間間隔大於96小時,則顯示為天d;如果時間間隔大於999天,則顯示為年y;如果最近一次接收到NTP報文或更新本地時間比當前時間晚,則顯示為“-” |
|
Offset |
係統時鍾相對於參考時鍾的時鍾偏移,單位為毫秒 |
|
Roundtrip delay |
本地設備到時間服務器的往返時延,單位為毫秒 |
|
Dispersion |
係統時鍾相對於參考時鍾的最大誤差,單位為毫秒 |
|
Total sessions |
總的會話數目 |
# 顯示NTP服務的所有IPv6會話的詳細信息。
<Sysname> display ntp-service ipv6 sessions verbose
Clock source: 1::1
Session ID: 36144
Clock stratum: 16
Clock status: configured, insane, valid, unsynced
Reference clock ID: INIT
VPN instance: Not specified
Local mode: sym_active, local poll interval: 6
Peer mode: unspec, peer poll interval: 10
Offset: 0.0000ms, roundtrip delay: 0.0000ms, dispersion: 15937ms
Root roundtrip delay: 0.0000ms, root dispersion: 0.0000ms
Reachabilities:0, sync distance: 15.938
Precision: 2^-19, version: 4, source interface: Not specified
Reftime: 00000000.00000000 Thu, Feb 7 2036 6:28:16.000
Orgtime: d17cbb21.0f318106 Tue, May 17 2019 9:15:13.059
Rcvtime: 00000000.00000000 Thu, Feb 7 2036 6:28:16.000
Xmttime: 00000000.00000000 Thu, Feb 7 2036 6:28:16.000
Roundtrip delay samples: 0.000 0.000 0.000 0.000 0.000 0.000 0.000 0.000
Offset samples: 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
Filter order: 0 1 2 3 4 5 6 7
Total sessions: 1
表1-2 display ntp-service ipv6 sessions verbose命令顯示信息描述表
|
字段 |
描述 |
|
Clock source |
時間服務器的IPv6地址。若該字段顯示為::,表示時間服務器的IPv6地址尚未解析成功 |
|
Session ID |
會話ID |
|
Clock stratum |
時間服務器的時鍾層數 時鍾層數決定了時鍾的準確度,取值範圍為0~16,層數取值越小,表示時鍾的準確度最高,層數為16的時鍾處於未同步狀態 |
|
Clock status |
會話的狀態,該字段的取值及含義為: · configured:表示該會話是配置命令所建立的 · dynamic:表示該會話是動態生成的 · master:表示該會話對應的時間服務器是當前係統的主時間服務器 · selected:表示該會話對應時間服務器的時鍾通過了時鍾選擇算法 · candidate:表示該會話對應時間服務器的時鍾為候選時鍾 · sane:表示該會話對應的時間服務器通過身份驗證,該時間服務器的時鍾將作為參考時鍾 · insane:表示該會話對應的時間服務器未通過身份驗證,或該時間服務器通過身份驗證但其時鍾不作為參考時鍾 · valid:表示該會話對應的時間服務器是有效的(通過驗證、處於同步狀態、層數有效、根延時/離差未越界等) · invalid:表示該會話對應的時間服務器是無效的 · unsynced:表示該會話對應時間服務器的時鍾未同步或層數非法 |
|
Reference clock ID |
時間服務器的參考時鍾ID 當參考時鍾為本地時鍾時,本字段的顯示情況和Clock stratum字段的取值有關: · 當Clock stratum字段為0或1時,本字段顯示為LOCL · 當Clock stratum字段為其他值時,本字段顯示為IPv6地址前32位的MD5摘要值,摘要信息按照點分十進製形式顯示 當參考時鍾為網絡中其他設備的時鍾時,本字段顯示為IPv6地址前32位的MD5摘要值,摘要信息按照點分十進製形式顯示。若該字段顯示為INIT,表示本地設備還未與時間服務器建立連接 |
|
VPN instance |
時間服務器所屬的VPN實例的名稱,如果時間服務器位於公網,則顯示為Not specified |
|
Local mode |
本地設備的工作模式,取值包括: · unspec:未指定模式 · sym_active:主動對等體模式 · sym_passive:被動對等體模式 · client:客戶端模式 · server:服務器模式 · broadcast:廣播服務器模式或組播服務器模式 · bclient:廣播客戶端模式或組播客戶端模式 |
|
local poll interval |
本地設備的輪詢間隔,顯示的是2的次冪數,單位為秒,比如6表示輪詢間隔為2的6次冪,即64s |
|
Peer mode |
對端設備的工作模式,取值包括: · unspec:未指定模式 · sym_active:主動對等體模式 · sym_passive:被動對等體模式 · client:客戶端模式 · server:服務器模式 · broadcast:廣播服務器模式或組播服務器模式 · bclient:廣播客戶端模式或組播客戶端模式 |
|
peer poll interval |
對端設備的輪詢間隔,顯示的是2的次冪數,單位為秒,比如6表示輪詢間隔為2的6次冪,即64s |
|
Offset |
係統時鍾相對於參考時鍾的時鍾偏移,單位為毫秒 |
|
roundtrip delay |
本地設備到時間服務器的往返時延,單位為毫秒 |
|
dispersion |
係統時鍾相對於參考時鍾的最大誤差,單位為毫秒 |
|
Root roundtrip delay |
本地設備到主時間服務器的往返時延,單位為毫秒 |
|
root dispersion |
係統時鍾相對主參考時鍾的最大誤差,單位為毫秒 |
|
Reachabilities |
時間服務器的可達性計數,0表示時間服務器不可達 |
|
sync distance |
表示相對上一級時間服務器的同步距離,由誤差disper和往返時延delay計算而來,單位為秒 |
|
Precision |
係統時鍾的精度 |
|
version |
NTP版本,取值為1~4 |
|
source interface |
源接口,未指定源接口時,此字段顯示為Not specified |
|
Reftime |
NTP報文中的參考時間戳 |
|
Orgtime |
NTP報文中的起始時間戳 |
|
Rcvtime |
NTP報文的接收時間戳 |
|
Xmttime |
NTP報文的發送時間戳 |
|
Roundtrip delay samples |
本地設備到時間服務器往返時延的抽樣值 |
|
Offset samples |
相對於參考時鍾的時鍾偏移的抽樣值 |
|
Filter order |
樣本信息排序 |
|
Reference clock status |
本地時鍾的工作狀態,隻有通過ntp-service refclock-master命令設置本地時鍾作為參考時鍾時,才會顯示該字段 當本地時鍾的reach值等於255時,該字段取值為working normally;否則,該字段取值為working abnormally |
|
Total sessions |
總的會話數目 |
display ntp-service sessions命令用來顯示NTP服務的所有IPv4會話信息。
【命令】
display ntp-service sessions [ verbose ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
verbose:顯示NTP服務的所有IPv4會話的詳細信息。如果不指定該參數,則隻顯示所有會話的簡要信息。
【使用指導】
設備作為NTP廣播服務器或NTP組播服務器時,在設備上執行display ntp-service sessions命令不會顯示與該廣播服務器或組播服務器對應的NTP服務的IPv4會話信息,但是這些會話會統計在總的會話數中。
【舉例】
# 顯示NTP服務的所有IPv4會話的簡要信息。
<Sysname> display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[12345]LOCAL(0) LOCL 0 1 64 - 0.0000 0.0000 7937.9
[5]0.0.0.0 INIT 16 0 64 - 0.0000 0.0000 0.0000
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
Total sessions: 1
表1-3 display ntp-service sessions命令顯示信息描述表
|
字段 |
描述 |
|
source |
參考時鍾為本地時鍾時,顯示為LOCAL(number),表示本地時鍾的地址為127.127.1.number,其中number為NTP的進程號,取值範圍為0~3 參考時鍾為網絡中其他設備的時鍾時,顯示為時間服務器的IP地址。若該字段顯示為0.0.0.0,表示時間服務器的IP地址尚未解析成功 |
|
reference |
時間服務器的參考時鍾ID 當參考時鍾為本地時鍾時,本字段的顯示情況和stra字段的取值有關: · 當stra字段為0或1時,本字段將顯示為LOCL · 當stra字段為其他值時,本字段將顯示為本地時鍾的IP地址 當參考時鍾為網絡中其他設備的時鍾時,本字段顯示為該設備的IP地址,若該設備為IPv6設備,則本字段顯示為該設備的IPv6地址前32位的MD5摘要值,摘要信息按照點分十進製形式顯示。若該字段顯示為INIT,表示本地設備還未與時間服務器建立連接 |
|
stra |
時間服務器的時鍾層數 時鍾層數決定了時鍾的準確度,取值範圍為0~16,層數取值越小,表示時鍾的準確度最高,層數為16的時鍾處於未同步狀態 |
|
reach |
時間服務器的可達性計數,0表示時間服務器不可達 |
|
poll |
輪詢間隔,即兩個連續NTP報文之間的時間間隔,單位為秒 |
|
now |
最近一次接收到NTP報文或更新本地時間到當前時間的時間間隔 缺省單位為秒;如果時間間隔大於2048秒,則顯示為分鍾m;如果時間間隔大於300分鍾,則顯示為小時h;如果時間間隔大於96小時,則顯示為天d;如果時間間隔大於999天,則顯示為年y;如果最近一次接收到NTP報文或更新本地時間比當前時間晚,則顯示為“-” |
|
offset |
係統時鍾相對於參考時鍾的時鍾偏移,單位為毫秒 |
|
delay |
本地設備到時間服務器的往返時延,單位為毫秒 |
|
disper |
係統時鍾相對於參考時鍾的最大誤差,單位為毫秒 |
|
[12345] |
1:係統選中的時間服務器,即當前與設備進行時間同步的時間服務器 2:該時間服務器的時鍾層數小於等於15 3:該時間服務器的時鍾通過了時鍾選擇算法 4:該時間服務器的時鍾為候選時鍾 5:該時間服務器的時鍾是配置命令指定的 |
|
Total sessions |
總的會話數目 |
# 顯示NTP服務的所有IPv4會話的詳細信息。
<Sysname> display ntp-service sessions verbose
Clock source: 192.168.1.40
Session ID: 35888
Clock stratum: 2
Clock status: configured, master, sane, valid
Reference clock ID: 127.127.1.0
VPN instance: Not specified
Local mode: client, local poll interval: 6
Peer mode: server, peer poll interval: 6
Offset: 0.2862ms, roundtrip delay: 3.2653ms, dispersion: 4.5166ms
Root roundtrip delay: 0.0000ms, root dispersion: 10.910ms
Reachabilities:31, sync distance: 0.0194
Precision: 2^-19, version: 3, source interface: Not specified
Reftime: d17cbba5.1473de1e Tue, May 17 2019 9:17:25.079
Orgtime: 00000000.00000000 Thu, Feb 7 2036 6:28:16.000
Rcvtime: d17cbbc0.b1959a30 Tue, May 17 2019 9:17:52.693
Xmttime: d17cbbc0.b1959a30 Tue, May 17 2019 9:17:52.693
Roundtrip delay samples: 0.007 0.010 0.006 0.011 0.010 0.005 0.007 0.003
Offset samples: 5629.55 3913.76 5247.27 6526.92 31.99 148.72 38.27 0.29
Filter order: 7 5 2 6 0 4 1 3
Total sessions: 1
表1-4 display ntp-service sessions verbose命令顯示信息描述表
|
字段 |
描述 |
|
Clock source |
時間服務器的IP地址。若該字段顯示為0.0.0.0,表示時間服務器的IP地址尚未解析成功 |
|
Session ID |
會話ID |
|
Clock stratum |
時間服務器的時鍾層數 時鍾層數決定了時鍾的準確度,取值範圍為0~16,層數取值越小,表示時鍾的準確度越高,層數為16的時鍾處於未同步狀態 |
|
Clock status |
會話的狀態,該字段的取值及含義為: · configured:表示該會話是配置命令所建立的 · dynamic:表示該會話是動態生成的 · master:表示該會話對應的時間服務器是當前係統的主時間服務器 · selected:表示該會話對應時間服務器的時鍾通過了時鍾選擇算法 · candidate:表示該會話對應時間服務器的時鍾為候選時鍾 · sane:表示該會話對應的時間服務器通過身份驗證,該時間服務器的時鍾將作為參考時鍾 · insane:表示該會話對應的時間服務器未通過身份驗證,或該時間服務器通過身份驗證但其時鍾不作為參考時鍾 · valid:表示該會話對應的時間服務器是有效的(通過驗證、處於同步狀態、層數有效、根延時/離差未越界等) · invalid:表示該會話對應的時間服務器是無效的 · unsynced:表示該會話對應時間服務器的時鍾未同步或層數非法 |
|
Reference clock ID |
時間服務器的參考時鍾ID 當參考時鍾為本地時鍾時,本字段的顯示情況和Clock stratum字段的取值有關: · 當Clock stratum字段取值為0或1時,本字段將顯示為LOCL; · 當Clock stratum字段取值為其他值時,本字段將顯示為本地時鍾的IP地址 當參考時鍾為網絡中其他設備的時鍾時,本字段顯示為該設備的IP地址,若該設備為IPv6設備,則本字段顯示為該設備的IPv6地址前32位的MD5摘要值,摘要信息按照點分十進製形式顯示。若該字段顯示為INIT,表示本地設備還未與時間服務器建立連接 |
|
VPN instance |
時間服務器所屬的VPN實例的名稱,如果時間服務器位於公網,則顯示為Not specified |
|
Local mode |
本地設備的工作模式,取值包括: · unspec:未指定模式 · sym_active:主動對等體模式 · sym_passive:被動對等體模式 · client:客戶端模式 · server:服務器模式 · broadcast:廣播服務器模式或組播服務器模式 · bclient:廣播客戶端模式或組播客戶端模式 |
|
local poll interval |
本地設備的輪詢間隔,顯示的是2的次冪數,單位為秒,比如6表示輪詢間隔為2的6次冪,即64s |
|
Peer mode |
對端設備的工作模式,取值包括: · unspec:未指定模式 · sym_active:主動對等體模式 · sym_passive:被動對等體模式 · client:客戶端模式 · server:服務器模式 · broadcast:廣播服務器模式或組播服務器模式 · bclient:廣播客戶端模式或組播客戶端模式 |
|
peer poll interval |
對端設備的輪詢間隔,顯示的是2的次冪數,單位為秒,比如6表示輪詢間隔為2的6次冪,即64s |
|
Offset |
係統時鍾相對於參考時鍾的時鍾偏移,單位為毫秒 |
|
roundtrip delay |
本地設備到時間服務器的往返時延,單位為毫秒 |
|
dispersion |
係統時鍾相對於參考時鍾的最大誤差 |
|
Root roundtrip delay |
本地設備到主時間服務器的往返時延,單位為毫秒 |
|
root dispersion |
係統時鍾相對主參考時鍾的最大誤差,單位為毫秒 |
|
Reachabilities |
時間服務器的可達性計數,0表示時間服務器不可達 |
|
sync distance |
表示相對上一級時間服務器的同步距離,由誤差disper和往返時延delay計算而來,單位為秒 |
|
Precision |
係統時鍾的精度 |
|
version |
NTP版本,取值為1~4 |
|
source interface |
源接口,未指定源接口時,此字段顯示為Not specified |
|
Reftime |
NTP報文中的參考時間戳 |
|
Orgtime |
NTP報文中的起始時間戳 |
|
Rcvtime |
NTP報文的接收時間戳 |
|
Xmttime |
NTP報文的發送時間戳 |
|
Roundtrip delay samples |
本地設備到時間服務器往返時延的抽樣值 |
|
Offset samples |
相對於參考時鍾的時鍾偏移的抽樣值 |
|
Filter order |
抽樣信息排序 |
|
Reference clock status |
本地時鍾的工作狀態,隻有通過ntp-service refclock-master命令設置本地時鍾作為參考時鍾時,才會顯示該字段 當本地時鍾的reach值等於255時,該字段取值為working normally;否則,該字段取值為working abnormally |
|
Total sessions |
總的會話數目 |
display ntp-service status命令用來顯示NTP服務的狀態信息。
【命令】
display ntp-service status
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 時間已同步時,顯示NTP服務的狀態信息。
<Sysname> display ntp-service status
Clock status: synchronized
Clock stratum: 2
System peer: LOCAL(0)
Local mode: client
Reference clock ID: 127.127.1.0
Leap indicator: 00
Clock jitter: 0.000977 s
Stability: 0.000 pps
Clock precision: 2^-21
Root delay: 0.00000 ms
Root dispersion: 3.96367 ms
Reference time: d0c5fc32.92c70b1e Wed, Dec 29 2019 18:28:02.573
System poll interval: 256 s
# 時間未同步時,顯示NTP服務的狀態信息。
<Sysname> display ntp-service status
Clock status: unsynchronized
Clock stratum: 16
Reference clock ID: none
Clock jitter: 0.000000 s
Stability: 0.000 pps
Clock precision: 2^-21
Root delay: 0.00000 ms
Root dispersion: 0.00002 ms
Reference time: d0c5fc32.92c70b1e Wed, Dec 29 2019 18:28:02.573
System poll interval: 8 s
表1-5 display ntp-service status命令顯示信息描述表
|
字段 |
描述 |
|
Clock status |
係統時間的狀態,取值為: · synchronized:係統時間已同步 · unsynchronized:係統時間未同步 |
|
Clock stratum |
係統時鍾的層數 |
|
System peer |
係統時鍾選中的時間服務器的IP地址 |
|
Local mode |
相對於選中的時間服務器,本地設備的工作模式,取值包括: · unspec:未指定模式 · sym_active:主動對等體模式 · sym_passive:被動對等體模式 · client:客戶端模式 · server:服務器模式 · broadcast:廣播服務器模式或組播服務器模式 · bclient:廣播客戶端模式或組播客戶端模式 |
|
Reference clock ID |
參考時鍾ID 1. 對於IPv4 NTP服務器: 本地設備從遠程時間服務器獲取時間同步時,表示遠程服務器的IP地址 本地設備從本地時鍾獲取時間同步時,表示本地時鍾的標識: · 本地時鍾的層數為1時,顯示為LOCL · 本地時鍾的層數為其他值時,顯示為本地時鍾的IP地址 2. 對於IPv6 NTP服務器: 本地設備從遠程時間服務器獲取時間同步時,表示遠程服務器的IPv6地址前32位的MD5摘要值 本地設備從本地時鍾獲取時間同步時,表示本地時鍾的標識: · 本地時鍾的層數為1時,顯示為LOCL · 本地時鍾的層數為其他值時,顯示為本地時鍾的IPv6地址前32位的MD5摘要值 |
|
Leap indicator |
告警狀態,取值包括: · 00:正常狀態 · 01:閏秒標誌,表示一天中的最後一分鍾有61秒 · 10:閏秒標誌,表示一天中的最後一分鍾有59秒 · 11:時間未被同步的告警狀態 |
|
Clock jitter |
係統時鍾相對於參考時鍾的偏移量,單位為秒 |
|
Stability |
時鍾頻率的穩定性,取值越小,時鍾頻率越穩定 |
|
Clock precision |
係統時鍾的精度 |
|
Root delay |
本地設備到主時間服務器的往返時延,單位為毫秒 |
|
Root dispersion |
係統時鍾相對主參考時鍾的最大誤差,單位為毫秒 |
|
Reference time |
參考時間戳 |
|
System poll interval |
係統輪詢時間間隔,單位為秒 |
display ntp-service trace命令用來顯示從本地設備回溯到主時間服務器的各個NTP時間服務器的簡要信息。
【命令】
display ntp-service trace [ source interface-type interface-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
source interface-type interface-number:指定回溯主時間服務器時發送NTP報文的源接口,interface-type interface-number表示接口類型和接口編號。本地設備向時間服務器發送NTP報文時,報文的源地址為指定源接口的主IPv4地址或接口的IPv6地址;如果NTP時間服務器地址是鏈路本地地址時,報文的源地址為報文出接口的鏈路本地地址。如果不指定本參數,則以報文發送接口作為回溯主時間服務器時發送NTP報文的源接口。
【使用指導】
指定源接口回溯主時間服務器時,需要保證主時間服務器已及各個NTP時間服務器均和源接口之間路由可達,否則將導致回溯失敗。
ntp-service noquery enable命令與display ntp-service trace命令功能互斥,如需使用display ntp-service trace命令,請配置允許對本設備進行控製查詢。
【舉例】
# 顯示從本地設備回溯到主時間服務器的各個NTP時間服務器的簡要信息。
<Sysname> display ntp-service trace
Server 127.0.0.1
Stratum 3, jitter 0.000, synch distance 0.0000.
Server 3000::32
Stratum 2 , jitter 790.00, synch distance 0.0000.
RefID 127.127.1.0
以上信息顯示了服務器127.0.0.1的同步鏈:服務器127.0.0.1同步到服務器3000::32,服務器3000::32從本地時鍾得到同步。
表1-6 display ntp-service trace命令顯示信息描述表
|
字段 |
描述 |
|
Server |
時間服務器的IP地址 |
|
Stratum |
表示相應服務器的時鍾層數 |
|
jitter |
表示相對上一級時鍾的時鍾偏差的均方根,單位為毫秒 |
|
synch distance |
表示相對上一級時間服務器的同步距離,由誤差disper和往返時延delay計算而來,單位為秒 |
|
RefID |
主時間服務器的標識,主參考時鍾的層數為0時,顯示為LOCL;為其他值時,顯示為主參考時鍾的IP地址 |
【相關命令】
· ntp-service ipv6 source
· ntp-service ipv6 unicast-server
· ntp-service ipv6 unicast-peer
· ntp-service noquery enable
· ntp-service source
· ntp-service unicast-server
· ntp-service unicast-peer
ntp-service acl命令用來設置對端設備對本地設備NTP服務的訪問控製權限。
undo ntp-service acl命令用來取消設置的訪問控製權限。
【命令】
ntp-service { peer | query | server | synchronization } acl ipv4-acl-number
undo ntp-service { peer | query | server | synchronization } [ acl ipv4-acl-number ]
【缺省情況】
對端設備對本地設備NTP服務的訪問控製權限為peer。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
peer:完全訪問權限。該權限既允許對端設備向本地設備的時間同步,對本地設備進行控製查詢(查詢NTP的一些狀態,比如告警信息、驗證狀態、時間服務器信息等),同時本地設備也可以向對端設備的時間同步。
query:僅具有控製查詢的權限。該權限隻允許對端設備對本地設備的NTP服務進行控製查詢,但是不能向本地設備的時間同步。
server:服務器訪問與查詢權限。該權限允許對端設備向本地設備的時間同步,對本地設備進行控製查詢,但本地設備不會向對端設備的時間同步。
synchronization:僅具有訪問服務器的權限。該權限隻允許對端設備向本地設備的時間同步,但不能進行控製查詢。
ipv4-acl-number:通過編號指定引用的ACL(Access Control List,訪問控製列表)。通過ACL過濾的對端設備具有本命令中指定的訪問控製權限。ipv4-acl-number為IPv4基本或高級ACL的編號,取值範圍為2000~2999和3000~3999。
【使用指導】
NTP服務的訪問控製權限從高到低依次為peer、server、synchronization、query。當設備接收到一個NTP服務請求時,會按照權限從高到低的順序依次進行匹配,第一個匹配的權限為此設備具有的訪問控製權限。如果沒有匹配的權限,則不允許對端設備與本地設備進行時間同步、對本端進行控製查詢,也不允許本端設備與對端設備進行時間同步。
引用ACL時,需要注意的是:
· 若引用的ACL不存在,或者引用的ACL中沒有配置規則,則任何設備都能訪問本地NTP服務。
· 在引用的ACL中,若某規則指定了vpn-instance參數,則表示該規則僅對VPN報文有效;若規則未指定vpn-instance參數,則表示該規則僅對公網報文有效。
ntp-service acl命令提供了一種最小限度的安全措施,更安全的方法是進行身份驗證。
當設備上配置了ntp-service noquery enable和ntp-service acl命令時,“是否可以對本設備進行控製查詢”以ntp-service noquery enable命令的配置為準。
【舉例】
# 配置10.10.0.0/16網段的對端設備對本地設備具有完全訪問權限。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 10.10.0.0 0.0.255.255
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] ntp-service peer acl 2001
【相關命令】
· ntp-service authentication enable
· ntp-service authentication-keyid
· ntp-service noquery enable
· ntp-service reliable authentication-keyid
ntp-service authentication enable命令用來開啟NTP身份驗證功能。
undo ntp-service authentication enable命令用來關閉NTP身份驗證功能。
【命令】
ntp-service authentication enable
undo ntp-service authentication enable
【缺省情況】
NTP身份驗證功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
在一些對安全性要求較高的網絡中,運行NTP協議時需要啟用NTP身份驗證功能。通過客戶端和服務器端的身份驗證,保證客戶端隻與通過驗證的設備進行時間同步,避免客戶端從非法的服務器獲得錯誤的時間同步信息。
開啟NTP身份驗證功能後,還需要設置身份驗證密鑰,並將其設置為可信密鑰,才能正確地進行身份驗證。
【舉例】
# 開啟NTP身份驗證功能。
<Sysname> system-view
[Sysname] ntp-service authentication enable
【相關命令】
· ntp-service authentication-keyid
· ntp-service reliable authentication-keyid
ntp-service authentication-keyid命令用來設置NTP身份驗證密鑰。
undo ntp-service authentication-keyid命令用來刪除指定的NTP身份驗證密鑰。
【命令】
ntp-service authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *
undo ntp-service authentication-keyid keyid
【缺省情況】
未設置NTP身份驗證密鑰。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
keyid:密鑰編號,用來標識身份驗證密鑰,取值範圍為1~4294967295。
authentication-mode:表示驗證算法。
hmac-sha-1:表示采用HMAC-SHA-1算法進行身份驗證。FIPS模式下不支持該參數。
hmac-sha-256:表示采用HMAC-SHA-256算法進行身份驗證。
hmac-sha-384:表示采用HMAC-SHA-384算法進行身份驗證。
hmac-sha-512:表示采用HMAC-SHA-512算法進行身份驗證。
md5:表示采用MD5算法進行身份驗證。FIPS模式下不支持該參數。
cipher:以密文形式設置密鑰。
simple:以明文形式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。明文密鑰為1~32個字符的字符串,密文密鑰為1~73個字符的字符串。
acl ipv4-acl-number:對對端設備進行ACL過濾。通過ACL過濾的對端設備有權在本端使用該密鑰ID進行身份驗證。ipv4-acl-number為IPv4基本ACL的編號,取值範圍為2000~2999。
ipv6 acl ipv6-acl-number:對對端設備進行IPv6 ACL過濾。通過IPv6 ACL過濾的對端設備有權在本端使用該密鑰ID進行身份驗證。ipv6-acl-number為IPv6基本ACL的編號,取值範圍為2000~2999。
【使用指導】
在一些對安全性要求較高的網絡中,運行NTP協議時需要啟用身份驗證功能。通過客戶端和服務器端的身份驗證,保證客戶端隻與通過驗證的設備進行時間同步,提高了時間同步的安全性。
NTP協議采用哪個密鑰對對端進行身份驗證由對端報文中攜帶的密鑰ID決定。這會導致如下安全問題:對對端進行身份驗證時隻關心密鑰是否正確而不關心對端是否有權使用該密鑰ID。acl和ipv6 acl參數用於指定有權在本端使用該密鑰ID進行身份驗證的對端設備。引用ACL時,需要注意的是:
· 當本地需要建立或已存在對端的NTP會話時,acl和ipv6 acl參數才會進一步檢查對端是否有權在本端使用該密鑰ID。
· 若引用的ACL不存在,或者引用的ACL中沒有配置規則,則任何設備都能在本端使用該密鑰ID進行驗證。
· 在引用的ACL中,若某規則指定了vpn-instance參數,則表示該規則僅對VPN報文有效;若規則未指定vpn-instance參數,則表示該規則僅對公網報文有效。
客戶端和服務器上需要配置相同的密鑰ID、驗證算法及密鑰值,並且保證對端有權在本端使用該密鑰ID進行身份驗證,否則無法實現時間同步。
配置NTP驗證密鑰後,還需要通過ntp-service reliable authentication-keyid命令將該密鑰設置為可信密鑰。如果NTP驗證密鑰被指定為可信密鑰,刪除密鑰後,該密鑰將自動變為不可信密鑰,不必再執行undo ntp-service reliable authentication-keyid命令。
五種驗證算法的安全性從高到低為:HMAC-SHA-512、HMAC-SHA-384、HMAC-SHA-256、HMAC-SHA-1、MD5。
通過重複執行本命令,可以配置多個NTP身份驗證密鑰。設備上最多可以配置128個NTP身份驗證密鑰。
【舉例】
# 設置MD5身份驗證密鑰,密鑰ID號為10,密鑰為BetterKey,以明文形式輸入。
<Sysname> system-view
[Sysname] ntp-service authentication enable
[Sysname] ntp-service authentication-keyid 10 authentication-mode md5 simple BetterKey
【相關命令】
· ntp-service authentication enable
· ntp-service reliable authentication-keyid
ntp-service broadcast-client命令用來配置設備工作在NTP廣播客戶端模式,並使用當前接口接收NTP廣播報文。
undo ntp-service broadcast-client命令用來取消NTP廣播客戶端模式的配置。
【命令】
ntp-service broadcast-client
undo ntp-service broadcast-client
【缺省情況】
未配置NTP工作模式。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【使用指導】
FIPS模式下不支持該命令。
配置設備工作在NTP廣播客戶端模式後,設備將在接口上監聽NTP廣播服務器發送的NTP廣播報文,根據接收到的報文實現時間同步。
如果在接口上配置了設備工作在廣播客戶端模式,則建議不要將該接口加入聚合組。如果要將接口加入聚合組,則建議先取消NTP廣播客戶端配置。
【舉例】
# 配置設備工作在廣播客戶端模式,在VLAN接口1上接收NTP廣播報文。
<Sysname> system-view
[Sysname] interface vlan-interface 1
[Sysname-Vlan-interface1] ntp-service broadcast-client
【相關命令】
· ntp-service broadcast-server
ntp-service broadcast-server命令用來配置設備工作在NTP廣播服務器模式,並使用當前接口發送NTP廣播報文。
undo ntp-service broadcast-server命令用來取消NTP廣播服務器模式的配置。
【命令】
ntp-service broadcast-server [ authentication-keyid keyid | version number ] *
undo ntp-service broadcast-server
【缺省情況】
未配置NTP工作模式。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
authentication-keyid keyid:指定向廣播客戶端發送NTP報文時,使用指定的密鑰計算報文的摘要。keyid取值範圍為1~4294967295。如果未指定本參數,則本端設備無法同步開啟了身份驗證功能的廣播客戶端。
version number:指定NTP版本號。number取值範圍為1~4,缺省值為4。
【使用指導】
FIPS模式下不支持該命令。
配置設備工作在NTP廣播服務器模式後,設備將通過該接口周期性地向廣播地址255.255.255.255發送NTP報文。
如果在接口上配置了設備工作在廣播服務器模式,則建議不要將該接口加入聚合組。如果要將接口加入聚合組,則建議先取消NTP廣播服務器配置。
【舉例】
# 配置設備工作在廣播服務器模式,在VLAN接口1上發送NTP廣播報文,用4號密鑰進行加密,設置NTP版本號為4。
<Sysname> system-view
[Sysname] interface vlan-interface 1
[Sysname-Vlan-interface1] ntp-service broadcast-server authentication-keyid 4 version 4
【相關命令】
· ntp-service broadcast-client
ntp-service dscp命令用來配置NTP報文的DSCP優先級。
undo ntp-service dscp命令用來恢複缺省情況。
【命令】
ntp-service dscp dscp-value
undo ntp-service dscp
【缺省情況】
NTP報文的DSCP優先級為48。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
dscp-value:NTP報文的DSCP優先級,取值範圍為0~63。
【使用指導】
DSCP攜帶在IP報文中的ToS字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。
【舉例】
# 配置NTP報文的DSCP優先級為30。
<Sysname> system-view
[Sysname] ntp-service dscp 30
ntp-service enable命令用來開啟NTP服務。
undo ntp-service enable命令用來關閉NTP服務。
【命令】
ntp-service enable
undo ntp-service enable
【缺省情況】
NTP服務處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【舉例】
# 開啟NTP服務。
<Sysname> system-view
[Sysname] ntp-service enable
ntp-service inbound enable命令用來開啟接口接收NTP報文功能。
undo ntp-service inbound enable命令用來關閉接口接收NTP報文功能。
【命令】
ntp-service inbound enable
undo ntp-service inbound enable
【缺省情況】
接口接收NTP報文功能處於開啟狀態。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【使用指導】
如果不允許設備為某個接口對應網段內的對端設備提供時間同步,或不允許設備從某個接口對應網段內的對端設備獲得時間同步,則可以在該接口上執行undo ntp-service inbound enable命令,使該接口關閉接收NTP報文功能。
【舉例】
# 關閉VLAN接口1接收NTP報文功能。
<Sysname> system-view
[Sysname] interface vlan-interface 1
[Sysname-Vlan-interface1] undo ntp-service inbound enable
ntp-service ipv6 acl命令用來設置對端設備對本地設備IPv6 NTP服務的訪問控製權限。
undo ntp-service ipv6 acl命令用來取消設置的訪問控製權限。
【命令】
ntp-service ipv6 { peer | query | server | synchronization } acl ipv6-acl-number
undo ntp-service ipv6 { peer | query | server | synchronization } [ acl ipv6-acl-number ]
【缺省情況】
對端設備對本地設備IPv6 NTP服務的訪問控製權限為peer。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
peer:完全訪問權限。該權限既允許對端設備向本地設備的時間同步,對本地設備進行控製查詢(查詢NTP的一些狀態,比如告警信息、驗證狀態、時間服務器信息等),同時本地設備也可以向對端設備的時間同步。
query:僅具有控製查詢的權限。該權限隻允許對端設備對本地設備的NTP服務進行控製查詢,但是不能向本地設備的時間同步。
server:服務器訪問與查詢權限。該權限允許對端設備向本地設備的時間同步,對本地設備進行控製查詢,但本地設備不會向對端設備的時間同步。
synchronization:僅具有訪問服務器的權限。該權限隻允許對端設備向本地設備的時間同步,但不能進行控製查詢。
ipv6-acl-number:通過編號指定應用的IPv6 ACL(Access Control List,訪問控製列表)。通過IPv6 ACL過濾的對端設備具有本命令中指定的訪問控製權限。ipv6-acl-number為IPv6基本或高級ACL的編號,取值範圍為2000~2999和3000~3999。
【使用指導】
IPv6 NTP服務的訪問控製權限從高到低依次為peer、server、synchronization、query。當設備接收到一個IPv6 NTP服務請求時,會按照權限從高到低的順序依次進行匹配,第一個匹配的權限為此設備具有的訪問控製權限。如果沒有匹配的權限,則不允許對端設備與本地設備進行時間同步、對本端進行控製查詢,也不允許本端設備與對端設備進行時間同步。
引用ACL時,需要注意的是:
· 若引用的ACL不存在,或者引用的ACL中沒有配置規則,任何設備都不能訪問本地IPv6 NTP服務。
· 在引用的ACL中,若某規則指定了vpn-instance參數,則表示該規則僅對VPN報文有效;若規則未指定vpn-instance參數,則表示該規則僅對公網報文有效。
ntp-service ipv6 acl命令提供了一種最小限度的安全措施,更安全的方法是進行身份驗證。
當設備上配置了ntp-service noquery enable和ntp-service ipv6 acl命令時,“是否可以對本設備進行控製查詢”以ntp-service noquery enable命令的配置為準。
【舉例】
# 配置2001::1網段的對端設備對本地設備具有完全訪問權限。
<Sysname> system-view
[Sysname] acl ipv6 basic 2001
[Sysname-acl-ipv6-basic-2001] rule permit source 2001::1 64
[Sysname-acl-ipv6-basic-2001] quit
[Sysname] ntp-service ipv6 peer acl 2001
【相關命令】
· ntp-service authentication enable
· ntp-service authentication-keyid
· ntp-service noquery enable
· ntp-service reliable authentication-keyid
ntp-server ipv6 dscp命令用來配置IPv6 NTP報文的DSCP優先級。
undo ntp-server ipv6 dscp命令用來恢複缺省情況。
【命令】
ntp-service ipv6 dscp dscp-value
undo ntp-service ipv6 dscp
【缺省情況】
IPv6 NTP報文的DSCP優先級為56。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
dscp-value:IPv6 NTP報文的DSCP優先級,取值範圍為0~63。
【使用指導】
DSCP攜帶在IPv6報文中的Traffic class字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。
【舉例】
# 配置IPv6 NTP報文的DSCP優先級為30。
<Sysname> system-view
[Sysname] ntp-service ipv6 dscp 30
ntp-service ipv6 inbound enable命令用來開啟接口接收IPv6 NTP報文功能。
undo ntp-service ipv6 inbound enable命令用來關閉接口接收IPv6 NTP報文功能。
【命令】
ntp-service ipv6 inbound enable
undo ntp-service ipv6 inbound enable
【缺省情況】
接口接收IPv6 NTP報文功能處於開啟狀態。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【使用指導】
如果不允許設備為某個接口對應網段內的對端設備提供時間同步,或不允許設備從某個接口對應網段內的對端設備獲得時間同步,則可以在該接口上執行undo ntp-service ipv6 inbound enable命令,使該接口關閉接收IPv6 NTP報文功能。
【舉例】
# 關閉VLAN接口1接收IPv6 NTP報文功能。
<Sysname> system-view
[Sysname] interface vlan-interface 1
[Sysname-Vlan-interface1] undo ntp-service ipv6 inbound enable
ntp-service ipv6 multicast-client命令用來配置設備工作在IPv6 NTP組播客戶端模式,並使用當前接口接收IPv6 NTP組播報文。
undo ntp-service ipv6 multicast-client命令用來取消IPv6 NTP組播客戶端模式的配置。
【命令】
ntp-service ipv6 multicast-client ipv6-address
undo ntp-service ipv6 multicast-client ipv6-address
【缺省情況】
未配置NTP工作模式。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
ipv6-address:NTP報文的IPv6組播地址。IPv6組播客戶端和IPv6組播服務器上配置的組播地址必須相同。
【使用指導】
FIPS模式下不支持該命令。
配置設備工作在IPv6 NTP組播客戶端模式後,設備將在接口上監聽目的地址為指定IPv6組播地址的IPv6 NTP報文,根據接收到的報文實現時間同步。
如果在接口上配置了設備工作在IPv6組播客戶端模式,則建議不要將該接口加入聚合組。如果要將接口加入聚合組,則建議先取消IPv6 NTP組播客戶端配置。
【舉例】
# 配置設備工作在IPv6組播客戶端模式,在VLAN接口1上接收目的地址為組播地址FF21::1的NTP報文。
<Sysname> system-view
[Sysname] interface vlan-interface 1
[Sysname-Vlan-interface1] ntp-service ipv6 multicast-client ff21::1
【相關命令】
· ntp-service ipv6 multicast-server
ntp-service ipv6 multicast-server命令用來配置設備工作在IPv6 NTP組播服務器模式,並使用當前接口發送IPv6 NTP組播報文。
undo ntp-service ipv6 multicast-server命令用來取消IPv6 NTP組播服務器模式的配置。
【命令】
ntp-service ipv6 multicast-server ipv6-address [ authentication-keyid keyid | ttl ttl-number ] *
undo ntp-service ipv6 multicast-server ipv6-address
【缺省情況】
未配置NTP工作模式。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
ipv6-address:NTP報文的IPv6組播地址。IPv6組播客戶端和IPv6組播服務器上配置的組播地址必須相同。
authentication-keyid keyid:指定向組播客戶端發送NTP報文時,使用指定的密鑰計算報文的摘要。keyid取值範圍為1~4294967295。如果未指定本參數,則本端設備無法同步開啟了身份驗證功能的組播客戶端。
ttl ttl-number:指定組播報文的生存期。ttl-number取值範圍為1~255,缺省值為16。
【使用指導】
FIPS模式下不支持該命令。
配置設備工作在IPv6 NTP組播服務器模式後,設備將通過該接口周期性地向指定的IPv6組播地址發送NTP報文。
如果在接口上配置了設備工作在IPv6組播服務器模式,則建議不要將該接口加入聚合組。如果要將接口加入聚合組,則建議先取消IPv6 NTP組播服務器配置。
【舉例】
# 配置設備工作在IPv6組播服務器模式,在VLAN接口1上向IPv6組播地址FF21::1發送NTP報文,用4號密鑰加密NTP報文。
<Sysname> system-view
[Sysname] interface vlan-interface 1
[Sysname-Vlan-interface1] ntp-service ipv6 multicast-server ff21::1 authentication-keyid 4
【相關命令】
· ntp-service ipv6 multicast-client
ntp-service ipv6 source命令用來指定IPv6 NTP報文的源接口。
undo ntp-service ipv6 source命令用來恢複缺省情況。
【命令】
ntp-service ipv6 source interface-type interface-number
undo ntp-service ipv6 source
【缺省情況】
未指定IPv6 NTP報文的源接口,設備自動選擇報文的源IPv6地址,具體選擇原則請參見RFC 3484。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interface-type interface-number:接口類型和接口編號。
【使用指導】
如果指定了IPv6 NTP報文的源接口,則設備在主動發送IPv6 NTP報文時,將采用源接口的IPv6地址作為發送報文的源IPv6地址,從而保證IPv6 NTP應答報文的目的地址均為此地址。
設備對接收到的IPv6 NTP請求報文進行應答時,應答報文的源IPv6地址始終為接收到IPv6 NTP請求報文的目的IPv6地址。
如果不想讓本地設備上其他接口的IPv6地址成為應答報文的目的地址,可以使用本命令。
使用本命令指定IPv6 NTP報文的源接口時,需要注意:
· 當NTP工作在客戶端/服務器模式時,如果在命令ntp-service ipv6 unicast-server中指定了IPv6 NTP報文的源接口,則以ntp-service ipv6 unicast-server命令指定源接口的為準。
· 當NTP工作在對等體模式時,如果在命令ntp-service ipv6 unicast-peer中指定了IPv6 NTP報文的源接口,則以ntp-service ipv6 unicast-peer命令指定源接口的為準。
· 當NTP工作在組播模式時,如果在接口視圖下配置了ntp-service ipv6 multicast-server命令,則NTP組播報文的源接口為配置了ntp-service ipv6 multicast-server命令的接口。
· 如果指定的NTP源接口處於down狀態,則設備不再發送IPv6 NTP報文。
【舉例】
# 配置IPv6 NTP報文的源接口為VLAN接口1。
<Sysname> system-view
[Sysname] ntp-service ipv6 source vlan-interface 1
ntp-service ipv6 time-server enable命令用來開啟IPv6 NTP服務器功能。
undo ntp-service ipv6 time-server enable命令用來關閉IPv6 NTP服務器功能。
【命令】
ntp-service ipv6 time-server enable
undo ntp-service ipv6 time-server enable
【缺省情況】
IPv6 NTP服務器功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
本命令用於控製設備能否對外提供IPv6 NTP同步時間:
· 當開啟IPv6 NTP服務器功能,且符合ntp-service ipv6 acl命令指定的條件時,設備可為其它設備提供IPv6 NTP同步時間;
· 關閉IPv6 NTP服務器功能時,設備不能為其它設備提供IPv6 NTP同步時間。
【舉例】
# 開啟IPv6 NTP服務器功能。
<Sysname> system-view
[Sysname] ntp-service ipv6 time-server enable
【相關命令】
· ntp-service ipv6 acl
ntp-service ipv6 unicast-peer命令用來為設備指定IPv6被動對等體。
undo ntp-service ipv6 unicast-peer命令用來刪除為設備指定的IPv6被動對等體。
【命令】
ntp-service ipv6 unicast-peer { peer-name | ipv6-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | priority | source interface-type interface-number ] *
undo ntp-service ipv6 unicast-peer { peer-name | ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情況】
未指定IPv6被動對等體。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
peer-name:被動對等體的主機名,為1~253個字符的字符串,不區分大小寫。
ipv6-address:被動對等體的IPv6地址。該地址隻能是一個單播地址,不能為組播地址。
vpn-instance vpn-instance-name:指定NTP被動對等體所屬的VPN實例,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示NTP被動對等體位於公網中。
authentication-keyid keyid:指定向對等體發送NTP報文時,使用指定的密鑰計算報文的摘要。keyid取值範圍為1~4294967295。如果未指定本參數,則本端設備與對等體之間不會進行身份驗證。
maxpoll maxpoll-interval:用來配置最大輪詢時間間隔。maxpoll-interval取值範圍為4~17,最大輪詢時間間隔為2的maxpoll-interval次冪,對應的最大輪詢時間間隔的取值範圍為24~217(即16~131072)秒。本參數的缺省值為6,即最大輪詢時間間隔為64秒。
minpoll minpoll-interval:用來配置最小輪詢時間間隔,minpoll-interval取值範圍為4~17,最大輪詢時間間隔為2的maxpoll-interval次冪,對應的最大輪詢時間間隔的取值範圍為24~217(即16~131072)秒。本參數的缺省值為6,即最小輪詢時間間隔為64秒。
priority:在同等條件下,優先選擇ipv6-address或peer-name指定的對等體為同步對等體。
source interface-type interface-number:指定IPv6 NTP報文的源接口。如果指定的被動對等體地址不是鏈路本地地址,則本地設備給對端發送IPv6 NTP報文時,報文的源IPv6地址為指定源接口的IPv6地址。如果指定的被動對等體地址是鏈路本地地址,則IPv6 NTP報文從指定的源接口發送,並且報文的源地址為該接口的鏈路本地地址。interface-type interface-number為接口類型和接口編號。如果未指定本參數,則設備自動選擇報文的源IPv6地址,具體選擇原則請參見RFC 3484。
【使用指導】
為設備指定IPv6被動對等體後,主動對等體和被動對等體的時間可以互相同步。如果雙方的時鍾都處於同步狀態,則層數大的時鍾與層數小的時鍾的時間同步。
被動對等體的IPv6地址為鏈路本地地址時,必須指定報文的源接口,並且不能指定被動對等體所屬的VPN實例。
主動對等體會按周期與被動對等體進行時間同步,該過程稱為輪詢。本命令的maxpoll和minpoll參數分別用來配置NTP對等體模式係統輪詢時間間隔的最大值和最小值。選定對等體之後,設備將使用最小輪詢間隔進行輪詢。當同步時間誤差在係統可接受範圍內且趨於穩定之後,輪詢間隔會逐漸增大直到最大值。當同步時間誤差連續超出係統可接受範圍多次時,輪詢間隔將會減小。
修改輪詢間隔不會立即生效,在下次輪詢時生效。
【舉例】
# 配置設備工作在主動對等體模式,被動對等體的IPv6地址為2001::1,NTP報文的源接口為VLAN接口1。
<Sysname> system-view
[Sysname] ntp-service ipv6 unicast-peer 2001::1 source vlan-interface 1
【相關命令】
· ntp-service authentication enable
· ntp-service authentication-keyid
· ntp-service reliable authentication-keyid
ntp-service ipv6 unicast-server命令用來為設備指定IPv6 NTP服務器。
undo ntp-service ipv6 unicast-server命令用來刪除為設備指定的IPv6 NTP服務器。
【命令】
ntp-service ipv6 unicast-server { server-name | ipv6-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | priority | source interface-type interface-number ] *
undo ntp-service ipv6 unicast-server { server-name | ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情況】
未指定IPv6 NTP服務器。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
server-name:NTP服務器的主機名,為1~253個字符的字符串,不區分大小寫。
ipv6-address:NTP服務器的IPv6地址。該地址隻能是一個單播地址,不能為組播地址。
vpn-instance vpn-instance-name:指定NTP服務器所屬的VPN實例,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示NTP服務器位於公網中。
authentication-keyid keyid:指定向NTP服務器發送報文時,使用指定的密鑰計算報文的摘要。keyid取值範圍為1~4294967295。如果未指定本參數,則本端設備與NTP服務器之間不會進行身份驗證。
maxpoll maxpoll-interval:用來配置最大輪詢時間間隔。maxpoll-interval取值範圍為4~17,最大輪詢時間間隔為2的maxpoll-interval次冪,對應的最大輪詢時間間隔的取值範圍為24~217(即16~131072)秒。本參數的缺省值為6,即最大輪詢時間間隔為64秒。
minpoll minpoll-interval:用來配置最小輪詢時間間隔,minpoll-interval取值範圍為4~17,最大輪詢時間間隔為2的maxpoll-interval次冪,對應的最大輪詢時間間隔的取值範圍為24~217(即16~131072)秒。本參數的缺省值為6,即最小輪詢時間間隔為64秒。
priority:指定在同等條件下,優先選擇該服務器。
source interface-type interface-number:指定IPv6 NTP報文的源接口。如果指定的IPv6 NTP服務器地址不是鏈路本地地址,則本地設備給服務器發送IPv6 NTP報文時,報文的源IPv6地址為指定源接口的IPv6地址。如果指定的IPv6 NTP服務器地址是鏈路本地地址,則IPv6 NTP報文從指定的源接口發送,並且報文的源地址為該接口的鏈路本地地址。interface-type interface-number為接口類型和接口編號。如果未指定本參數,則設備自動選擇報文的源IPv6地址,具體選擇原則請參見RFC 3484。
【使用指導】
為設備指定IPv6 NTP服務器後,設備可以與該服務器的時間同步,但是服務器不會與設備的時間同步。
NTP服務器的IPv6地址為鏈路本地地址時,必須指定報文的源接口,並且不能指定NTP服務器所屬的VPN實例。
NTP客戶端會按周期向NTP服務器同步時間,該過程稱為輪詢。本命令的maxpoll和minpoll參數分別用來配置NTP客戶端服務器模式係統輪詢時間間隔的最大值和最小值。選定NTP服務器之後,設備將使用最小輪詢間隔進行輪詢。當同步時間誤差在係統可接受範圍內且趨於穩定之後,輪詢間隔會逐漸增大直到最大值。當同步時間誤差連續超出係統可接受範圍多次時,輪詢間隔將會減小。
修改輪詢間隔不會立即生效,在下次輪詢時生效。
【舉例】
# 配置設備的IPv6 NTP服務器為2001::1。
<Sysname> system-view
[Sysname] ntp-service ipv6 unicast-server 2001::1
【相關命令】
· ntp-service authentication enable
· ntp-service authentication-keyid
· ntp-service reliable authentication-keyid
ntp-service max-dynamic-sessions命令用來配置NTP動態會話的最大數目。
undo ntp-service max-dynamic-sessions命令用來恢複缺省情況。
【命令】
ntp-service max-dynamic-sessions number
undo ntp-service max-dynamic-sessions
【缺省情況】
NTP動態會話的最大數目為100。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
number:NTP動態會話的最大數目,取值範圍為0~100。
【使用指導】
同一設備同一時間內存在的會話數目最多為128個,其中包括靜態會話數和動態會話數。靜態會話是用戶手動配置NTP相關命令而建立的會話;動態會話是NTP運行過程中建立的臨時會話。
該命令用於限製本地可以創建的NTP動態會話的個數,以避免設備上維護過多的動態會話,占用過多的係統資源。如果配置該命令時,動態會話已經超出了配置值,設備不會刪除已有的動態會話。
【舉例】
# 設置NTP動態會話的最大數目為50個。
<Sysname> system-view
[Sysname] ntp-service max-dynamic-sessions 50
【相關命令】
· display ntp-service sessions
ntp-service multicast-client命令用來配置設備工作在NTP組播客戶端模式,並使用當前接口接收NTP組播報文。
undo ntp-service multicast-client命令用來取消NTP組播客戶端模式的配置。
【命令】
ntp-service multicast-client [ ip-address ]
undo ntp-service multicast-client [ ip-address ]
【缺省情況】
未配置NTP工作模式。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
ip-address:NTP報文的組播IP地址,缺省值為224.0.1.1。組播客戶端和組播服務器上配置的組播地址必須相同。
【使用指導】
FIPS模式下不支持該命令。
配置設備工作在NTP組播客戶端模式後,設備將在接口上監聽目的地址為指定組播地址的NTP報文,根據接收到的報文實現時間同步。
如果在接口上配置了設備工作在組播客戶端模式,則建議不要將該接口加入聚合組。如果要將接口加入聚合組,則建議先取消NTP組播客戶端配置。
【舉例】
# 配置設備工作在組播客戶端模式,在VLAN接口1上接收目的地址為224.0.1.1的NTP報文。
<Sysname> system-view
[Sysname] interface vlan-interface 1
[Sysname-Vlan-interface1] ntp-service multicast-client 224.0.1.1
【相關命令】
· ntp-service multicast-server
ntp-service multicast-server命令用來配置設備工作在NTP組播服務器模式,並使用當前接口發送NTP組播報文。
undo ntp-service multicast-server命令用來取消NTP組播服務器模式的配置。
【命令】
ntp-service multicast-server [ ip-address ] [ authentication-keyid keyid | ttl ttl-number | version number ] *
undo ntp-service multicast-server [ ip-address ]
【缺省情況】
未配置NTP工作模式。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
ip-address:NTP報文的組播IP地址,缺省值為224.0.1.1,取值範圍為224.0.1.0/24組播客戶端和組播服務器上配置的組播地址必須相同。
authentication-keyid keyid:指定向組播客戶端發送NTP報文時,使用指定的密鑰計算報文的摘要。keyid取值範圍為1~4294967295。如果未指定本參數,則本端設備無法同步開啟了身份驗證功能的組播客戶端。
ttl ttl-number:指定組播報文的生存期。ttl-number取值範圍為1~255,缺省值為16。
version number:指定NTP版本號。number取值範圍為1~4,缺省值為4。
【使用指導】
FIPS模式下不支持該命令。
配置設備工作在NTP組播服務器模式後,設備將通過該接口周期性地向指定的組播地址發送NTP報文。
如果在接口上配置了設備工作在組播服務器模式,則建議不要將該接口加入聚合組。如果要將接口加入聚合組,則建議先取消NTP組播服務器配置。
【舉例】
# 配置設備工作在組播服務器模式,在VLAN接口1上發送NTP報文,NTP報文的目的地址為組播地址224.0.1.1,用4號密鑰加密NTP報文,並設置NTP版本號為4。
<Sysname> system-view
[Sysname] interface vlan-interface 1
[Sysname-Vlan-interface1] ntp-service multicast-server 224.0.1.1 version 4 authentication-keyid 4
【相關命令】
· ntp-service multicast-client
ntp-service noquery enable命令用來禁止對端設備對本設備進行控製查詢。
undo ntp-service noquery enable命令用來允許對端設備對本設備進行控製查詢。
【命令】
ntp-service noquery enable
undo ntp-service noquery enable
【缺省情況】
允許對端設備對本設備進行控製查詢。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
缺省情況下,設備允許對端設備使用NTP Mode 6(即MODE_CONTROL)和Mode 7(即MODE_PRIVATE)報文對本設備進行控製查詢(查詢NTP的一些狀態,比如告警信息、驗證狀態、時間服務器信息等)。配置本命令後,設備將不再處理收到的Mode 6和Mode 7報文。如果網絡環境不安全,可使用本命令禁止對端設備對本設備進行控製查詢,以免給設備帶來安全隱患。
本命令僅用於允許或者禁止對端設備對本設備進行控製查詢,對時鍾同步不進行限製。當設備上配置了ntp-service noquery enable、ntp-service acl、ntp-service ipv6 acl命令時,“是否可以對本設備進行控製查詢”以本命令的配置為準。
本命令與display ntp-service trace命令功能互斥,如需使用display ntp-service trace命令,請配置允許對本設備進行控製查詢。
【舉例】
# 禁止對本設備進行控製查詢。
<Sysname> system-view
[Sysname] ntp-service noquery enable
【相關命令】
· display ntp-service trace
· ntp-service acl
· ntp-service ipv6 acl
ntp-service refclock-master命令用來設置本地時鍾作為參考時鍾。
undo ntp-service refclock-master命令用來取消本地時鍾作為參考時鍾。
【命令】
ntp-service refclock-master [ ip-address ] [ stratum ]
undo ntp-service refclock-master [ ip-address ]
【缺省情況】
設備未采用本地時鍾作為參考時鍾。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ip-address:本地時鍾的IP地址127.127.1.u。u的取值範圍為0~3,表示NTP的進程號。如果不指定ip-address,則係統默認值是127.127.1.0。
stratum:本地時鍾所處的層數,取值範圍為1~15,缺省值為8。時鍾的層數定義了時鍾的準確度,層數取值越小,時鍾的準確度越高。部分NTP客戶端會要求NTP服務器的層數小於等於14,否則,不進行時間同步。請根據組網環境規劃和配置本參數。
【使用指導】
實際網絡中,通常將從權威時鍾(如原子時鍾)獲得時間同步的NTP服務器的層數設置為1,並將其作為主時間服務器同步網絡中其他設備的時鍾。網絡中的設備與主時間服務器的NTP距離,即NTP同步鏈上NTP服務器的數目,決定了設備上時鍾的層數。
在某些網絡中,例如無法與外界通信的孤立網絡,網絡中的設備無法與權威時鍾進行時間同步。此時,可以從該網絡中選擇一台時鍾較為準確的設備,指定該設備與本地時鍾進行時間同步,即采用本地時鍾作為參考時鍾,使得該設備的時鍾處於同步狀態。該設備作為時間服務器為網絡中的其他設備提供時間同步,從而實現整個網絡的時間同步。
請謹慎使用本配置,以免導致網絡中設備的時間錯誤。在執行本命令之前,建議先調整本地係統時間。
【舉例】
# 設置本地設備時鍾作為參考時鍾,層數為2。
<Sysname> system-view
[Sysname] ntp-service refclock-master 2
ntp-service reliable authentication-keyid命令用來指定已創建的密鑰是可信的。
undo ntp-service reliable authentication-keyid命令用來取消可信密鑰。
【命令】
ntp-service reliable authentication-keyid keyid
undo ntp-service reliable authentication-keyid keyid
【缺省情況】
未指定可信密鑰。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
keyid:密鑰編號,取值範圍為1~4294967295。
【使用指導】
開啟身份驗證功能後,客戶端隻會與提供可信密鑰的服務器進行時間同步;如果服務器提供的密鑰不是可信的,那麼客戶端不會與其同步。
配置本命令前,請確保認證開關已經打開並且配置了密鑰,即保證該密鑰的存在性後才能設定它是否可信。如果NTP驗證密鑰被指定為可信密鑰,刪除密鑰後,該密鑰將自動變為不可信密鑰,不必再執行undo ntp-service reliable authentication-keyid命令。
本命令可以多次配置,最多可以配置128個可信密鑰。
【舉例】
# 開啟NTP身份驗證功能,配置編號為37的密鑰采用MD5算法進行身份驗證,密鑰值為BetterKey。
<Sysname> system-view
[Sysname] ntp-service authentication enable
[Sysname] ntp-service authentication-keyid 37 authentication-mode md5 simple BetterKey
# 指定該密鑰為可信密鑰。
[Sysname] ntp-service reliable authentication-keyid 37
【相關命令】
· ntp-service authentication enable
· ntp-service authentication-keyid
ntp-service source命令用來指定NTP報文的源IPv4地址。
undo ntp-service source命令用來恢複缺省情況。
【命令】
ntp-service source { interface-type interface-number | ipv4-address }
undo ntp-service source
【缺省情況】
未指定NTP報文的源IPv4地址,設備根據路由表查找報文的出接口,並采用出接口的主IPv4地址作為NTP報文的源IPv4地址。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interface-type interface-number:接口類型及接口編號。表示NTP報文的源接口。如果指定了NTP報文的源接口,則設備在主動發送NTP報文時,將指定源接口的主IPv4地址設置為報文的源地址,NTP應答報文會將該地址設置為目的地址。
ipv4-address:NTP報文的源IPv4地址。
【使用指導】
設備對接收到的NTP請求報文進行應答時,應答報文的源地址始終為接收到NTP請求報文的目的地址。
使用本命令指定NTP報文的源IPv4地址時,需要注意:
· 當NTP工作在客戶端/服務器模式時,如果在命令ntp-service unicast-server 中指定了NTP報文的源接口,則以ntp-service unicast-server命令指定的源接口的IPv4地址為準。
· 當NTP工作在對等體模式時,如果在命令ntp-service unicast-peer中指定了NTP報文的源接口,則以ntp-service unicast-peer命令指定源接口的IPv4地址為準。
· 當NTP工作在組播模式時,如果在接口視圖下配置了ntp-service multicast-server命令,則NTP組播報文的源IPv4地址為配置了ntp-service multicast-server命令的接口的IPv4地址。
· 當NTP工作在廣播模式時,如果在接口視圖下配置了ntp-service broadcast-server 命令,則NTP廣播報文的源IPv4地址為配置了ntp-service broadcast-server命令的接口的IPv4地址。
· 如果指定的NTP源IPv4地址對應的接口處於down狀態,則設備不再發送NTP報文。
【舉例】
# 配置VLAN 1接口的IP地址作為NTP報文的源IPv4地址。
<Sysname> system-view
[Sysname] ntp-service source vlan-interface 1
ntp-service time-offset-threshold命令用來配置NTP時間同步過程中,打印日誌和告警信息的時間偏移閾值。
undo ntp-service time-offset-threshold命令用來恢複缺省情況。
【命令】
ntp-service time-offset-threshold { log log-threshold | trap trap-threshold } *
undo ntp-service time-offset-threshold
【缺省情況】
未配置打印日誌和告警信息的時間偏移閾值。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
log log-threshold:表示NTP時間同步過程中,打印日誌信息的時間偏移閾值。log-threshold取值範圍為128~60000,單位為毫秒。
trap trap-threshold:表示NTP時間同步過程中,打印告警信息的時間偏移閾值。trap-threshold取值範圍為128~60000,單位為毫秒。
【使用指導】
缺省情況下,NTP客戶端與服務器端的時間差經過多次采樣得到的時間偏移超過128ms時,客戶端將進行一次時間同步,並打印日誌信息和告警信息。配置本命令後,NTP客戶端與服務器端的時間差經過多次采樣得到的時間偏移超過128ms時,客戶端將進行一次時間同步,但是時間偏移大於log-threshold時,才會打印日誌;時間偏移大於trap-threshold時,才會打印告警信息。
【舉例】
# 配置NTP時間同步過程中,打印日誌和告警信息的時間偏移閾值為500ms和600ms。
<Sysname> system-view
[Sysname] ntp-service time-offset-threshold log 500 trap 600
ntp-service time-server enable命令用來開啟NTP服務器功能。
undo ntp-service time-server enable命令用來關閉NTP服務器功能。
【命令】
ntp-service time-server enable
undo ntp-service time-server enable
【缺省情況】
NTP服務器功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
本命令用於控製設備能否對外提供NTP同步時間:當開啟NTP服務器功能,且符合ntp-service acl或ntp-service ipv6 acl命令指定的條件時,設備可為其它設備提供NTP同步時間;當關閉NTP服務器功能時,設備不能為其它設備提供NTP同步時間。
【舉例】
# 開啟NTP服務器功能。
<Sysname> system-view
[Sysname] ntp-service time-server enable
【相關命令】
· ntp-service acl
ntp-service unicast-peer命令用來為設備指定被動對等體。
undo ntp-service unicast-peer命令用來刪除為設備指定的被動對等體。
【命令】
ntp-service unicast-peer { peer-name | ip-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | priority | source interface-type interface-number | version number ] *
undo ntp-service unicast-peer { peer-name | ip-address } [ vpn-instance vpn-instance-name ]
【缺省情況】
未指定被動對等體。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
peer-name:被動對等體的主機名,為1~253個字符的字符串,不區分大小寫。
ip-address:被動對等體的IP地址。該地址隻能是一個單播地址,不能為廣播地址、組播地址或本地時鍾的IP地址。
vpn-instance vpn-instance-name:指定被動對等體所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示被動對等體位於公網中。
authentication-keyid keyid:指定向對等體發送NTP報文時,使用指定的密鑰計算報文的摘要。keyid取值範圍為1~4294967295。如果未指定本參數,則本端設備與對等體之間不會進行身份驗證。
maxpoll maxpoll-interval:用來配置最大輪詢時間間隔。maxpoll-interval取值範圍為4~17,最大輪詢時間間隔為2的maxpoll-interval次冪,對應的最大輪詢時間間隔的取值範圍為24~217(即16~131072)秒。本參數的缺省值為6,即最大輪詢時間間隔為64秒。
minpoll minpoll-interval:用來配置最小輪詢時間間隔,minpoll-interval取值範圍為4~17,最大輪詢時間間隔為2的maxpoll-interval次冪,對應的最大輪詢時間間隔的取值範圍為24~217(即16~131072)秒。本參數的缺省值為6,即最小輪詢時間間隔為64秒。
priority:在同等條件下,優先選擇ip-address或peer-name指定的對等體為同步對等體。
source interface-type interface-number:指定NTP報文的源接口。本地設備給對端發送NTP報文時,報文的源地址為指定源接口的主IP地址。interface-type interface-number為接口類型和接口編號。如果未指定本參數,則根據路由表查找報文的出接口,並采用出接口的主IP地址作為NTP報文的源IP地址。
version number:指定NTP版本號。非FIPS模式下,number取值範圍為1~4,缺省值為4;FIPS模式下,number取值範圍為3~4,缺省值為4。
【使用指導】
為設備指定被動對等體後,主動對等體和被動對等體的時間可以互相同步。如果雙方的時鍾都處於同步狀態,則層數大的時鍾與層數小的時鍾的時間同步。
主動對等體會按周期與被動對等體進行時間同步,該過程稱為輪詢。本命令的maxpoll和minpoll參數分別用來配置NTP對等體模式係統輪詢時間間隔的最大值和最小值。選定對等體之後,設備將使用最小輪詢間隔進行輪詢。當同步時間誤差在係統可接受範圍內且趨於穩定時,輪詢間隔會逐漸增大直到最大值。當同步時間誤差連續超出係統可接受範圍多次時,輪詢間隔將會減小。
修改輪詢間隔不會立即生效,在下次輪詢時生效。
【舉例】
# 配置設備工作在主動對等體模式,被動對等體的IP地址為10.1.1.1,NTP版本號為4,NTP報文的源接口為VLAN接口1。
<Sysname> system-view
[Sysname] ntp-service unicast-peer 10.1.1.1 version 4 source vlan-interface 1
【相關命令】
· ntp-service authentication enable
· ntp-service authentication-keyid
· ntp-service reliable authentication-keyid
ntp-service unicast-server命令用來為設備指定NTP服務器。
undo ntp-service unicast-server命令用來刪除為設備指定的NTP服務器。
【命令】
ntp-service unicast-server { server-name | ip-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | priority | source interface-type interface-number | version number ] *
undo ntp-service unicast-server { server-name | ip-address } [ vpn-instance vpn-instance-name ]
【缺省情況】
未指定NTP服務器。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
server-name:NTP服務器的主機名,為1~253個字符的字符串,不區分大小寫。
ip-address:NTP服務器的IP地址。該地址隻能是一個單播地址,不能為廣播地址、組播地址或本地時鍾的IP地址。
vpn-instance vpn-instance-name:指定NTP服務器所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示NTP服務器位於公網中。
authentication-keyid keyid:指定向NTP服務器發送報文時,使用指定的密鑰計算報文的摘要。keyid取值範圍為1~4294967295。如果未指定本參數,則本端設備與NTP服務器之間不會進行身份驗證。
maxpoll maxpoll-interval:用來配置最大輪詢時間間隔。maxpoll-interval取值範圍為4~17,最大輪詢時間間隔為2的maxpoll-interval次冪,對應的最大輪詢時間間隔的取值範圍為24~217(即16~131072)秒。本參數的缺省值為6,即最大輪詢時間間隔為64秒。
minpoll minpoll-interval:用來配置最小輪詢時間間隔,minpoll-interval取值範圍為4~17,最大輪詢時間間隔為2的maxpoll-interval次冪,對應的最大輪詢時間間隔的取值範圍為24~217(即16~131072)秒。本參數的缺省值為6,即最小輪詢時間間隔為64秒。
priority:指定在同等條件下,優先選擇該服務器。
source interface-type interface-number:指定NTP報文的源接口。本地設備給服務器發送NTP報文時,報文的源地址為指定源接口的主IP地址。interface-type interface-number為接口類型和接口編號。如果未指定本參數,則根據路由表查找報文的出接口,並采用出接口的主IP地址作為NTP報文的源IP地址。
version number:指定NTP版本號。非FIPS模式下,number取值範圍為1~4,缺省值為4;FIPS模式下,number取值範圍為3~4,缺省值為4。
【使用指導】
為設備指定NTP服務器後,設備可以與該服務器的時間同步,但是服務器不會與設備的時間同步。
配置PE向某個VPN實例內的其他PE或CE同步時,需要指定vpn-instance vpn-instance-name參數。
在執行undo ntp-service unicast-server命令時,如果指定vpn-instance vpn-instance-name參數,則取消指定VPN實例內IP地址為ip-address的NTP服務器配置;如果沒有指定vpn-instance vpn-instance-name參數,則取消公網中IP地址為ip-address的NTP服務器配置。
NTP客戶端會按周期向NTP服務器同步時間,該過程稱為輪詢。本命令的maxpoll和minpoll參數分別用來配置NTP客戶端服務器模式係統輪詢時間間隔的最大值和最小值。選定NTP服務器之後,設備將使用最小輪詢間隔進行輪詢。當同步時間誤差在係統可接受範圍內且趨於穩定之後,輪詢間隔會逐漸增大直到最大值。當同步時間誤差連續超出係統可接受範圍多次時,輪詢間隔將會減小。
修改輪詢間隔不會立即生效,在下次輪詢時生效。
【舉例】
# 配置設備的NTP服務器為10.1.1.1,版本號為4。
<Sysname> system-view
[Sysname] ntp-service unicast-server 10.1.1.1 version 4
【相關命令】
· ntp-service authentication enable
· ntp-service authentication-keyid
· ntp-service reliable authentication-keyid
display sntp ipv6 sessions命令用來顯示SNTP服務的所有IPv6會話信息。
【命令】
display sntp ipv6 sessions
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示IPv6 SNTP服務的所有IPv6會話信息。
<Sysname> display sntp ipv6 sessions
SNTP server: 2001::1
Stratum: 16
Version: 4
Last receive time: No packet was received.
SNTP server: 2001::100
Stratum: 3
Version: 4
Last receive time: Fri, Oct 21 2019 11:28:28.058 (Synced)
表2-1 display sntp ipv6 sessions命令顯示信息描述表
|
字段 |
描述 |
|
SNTP server |
SNTP服務器,即NTP服務器。若該字段顯示為::,表示NTP服務器的IPv6地址尚未解析成功 |
|
Stratum |
時鍾的層數 時鍾層數決定了時鍾的準確度,取值範圍為0~16,層數取值越小,表示時鍾的準確度越高,層數為16的時鍾處於未同步狀態 |
|
Version |
NTP版本號 |
|
Last receive time |
最後一次接收到SNTP會話消息的時間 · Synced表示設備的本地時鍾從該服務器獲得同步 · No packet was received.表示設備未從該服務器接收到SNTP會話消息 |
display sntp sessions命令用來顯示SNTP服務的所有IPv4會話信息。
【命令】
display sntp sessions
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示SNTP服務的所有IPv4會話信息。
<Sysname> display sntp sessions
SNTP server Stratum Version Poll Last receive time
1.0.1.11 2 4 64 Tue, May 17 2019 9:11:20.833 (Synced)
表2-2 display sntp sessions命令顯示信息描述表
|
字段 |
描述 |
|
SNTP server |
SNTP服務器,即NTP服務器。若該字段顯示為0.0.0.0,表示NTP服務器的IP地址尚未解析成功 |
|
Stratum |
時鍾的層數 時鍾層數決定了時鍾的準確度,取值範圍為0~16,層數取值越小,表示時鍾的準確度越高,層數為16的時鍾處於未同步狀態 |
|
Version |
NTP版本號 |
|
Poll |
輪詢間隔,即兩個連續NTP報文之間的時間間隔,單位為秒 |
|
Last receive time |
上一次接收到消息的時間,Synced標識本地時鍾從該服務器獲得同步 |
sntp authentication enable命令用來開啟SNTP身份驗證功能。
undo sntp authentication enable命令用來關閉SNTP身份驗證功能。
【命令】
sntp authentication enable
undo sntp authentication enable
【缺省情況】
SNTP身份驗證功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
在一些對安全性要求較高的網絡中,運行SNTP協議時需要啟用身份驗證功能。通過客戶端和服務器端的身份驗證,保證客戶端隻與通過驗證的服務器進行時間同步,避免客戶端從非法的服務器獲得錯誤的時間同步信息。
開啟SNTP身份驗證功能後,還需要設置身份驗證密鑰,並將其設置為可信密鑰,才能正確地進行身份驗證。
【舉例】
# 開啟SNTP身份驗證功能。
<Sysname> system-view
[Sysname] sntp authentication enable
【相關命令】
· sntp authentication-keyid
· sntp reliable authentication-keyid
sntp authentication-keyid命令用來設置SNTP身份驗證密鑰。
undo sntp authentication-keyid命令用來刪除指定的SNTP身份驗證密鑰。
【命令】
sntp authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *
undo sntp authentication-keyid keyid
【缺省情況】
未設置SNTP身份驗證密鑰。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
keyid:密鑰編號,用來標識身份驗證密鑰,取值範圍為1~4294967295。
authentication-mode:表示驗證算法。
hmac-sha-1:表示采用HMAC-SHA-1算法進行身份驗證。FIPS模式下不支持該參數。
hmac-sha-256:表示采用HMAC-SHA-256算法進行身份驗證。
hmac-sha-384:表示采用HMAC-SHA-384算法進行身份驗證。
hmac-sha-512:表示采用HMAC-SHA-512算法進行身份驗證。
md5:表示采用MD5算法進行身份驗證。FIPS模式下不支持該參數。
cipher:以密文形式設置密鑰。
simple:以明文形式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。明文密鑰為1~32個字符的字符串,密文密鑰為1~73個字符的字符串。
acl ipv4-acl-number:對對端設備進行ACL過濾。通過ACL過濾的對端設備有權在本端使用該密鑰ID進行身份驗證。ipv4-acl-number為IPv4基本ACL的編號,取值範圍為2000~2999。
ipv6 acl ipv6-acl-number:對對端設備進行IPv6 ACL過濾。通過IPv6 ACL過濾的對端設備有權在本端使用該密鑰ID進行身份驗證。ipv6-acl-number為IPv6基本ACL的編號,取值範圍為2000~2999。
【使用指導】
在一些對安全性要求較高的網絡中,運行SNTP協議時需要啟用身份驗證功能。通過客戶端和服務器端的身份驗證,保證客戶端隻與通過驗證的服務器進行同步,提高了網絡安全性。
SNTP協議采用哪個密鑰對對端進行身份驗證由對端報文中攜帶的密鑰ID決定。這會導致如下安全問題:對對端進行身份驗證時隻關心密鑰是否正確而不關心對端是否有權使用該密鑰ID。acl和ipv6 acl參數用於指定有權在本端使用該密鑰ID進行身份驗證的對端設備。引用ACL時,需要注意的是:
· 當本地需要建立或已存在對端的SNTP會話時,acl和ipv6 acl參數才會進一步檢查對端是否有權在本端使用該密鑰ID。
· 若引用的ACL不存在,或者引用的ACL中沒有配置規則,則任何設備都能在本端使用該密鑰ID進行驗證。
· 在引用的ACL中,若某規則指定了vpn-instance參數,則表示該規則僅對VPN報文有效;若規則未指定vpn-instance參數,則表示該規則僅對公網報文有效。
客戶端和服務器上需要配置相同的密鑰ID、驗證算法及密鑰值,並且保證對端有權在本端使用該密鑰ID進行身份驗證,否則無法實現時間同步。
配置SNTP驗證密鑰後,還需要通過sntp reliable authentication-keyid命令將該密鑰設置為可信密鑰。如果SNTP驗證密鑰被指定為可信密鑰,刪除密鑰後,該密鑰將自動變為不可信密鑰,不必再執行undo sntp reliable authentication-keyid命令。
五種驗證算法的安全性從高到低為:HMAC-SHA-512、HMAC-SHA-384、HMAC-SHA-256、HMAC-SHA-1、MD5。
通過重複執行本命令,可以配置多個SNTP身份驗證密鑰。設備上最多可以配置128個SNTP身份驗證密鑰。
【舉例】
# 設置MD5身份驗證密鑰,密鑰ID號為10,密鑰為BetterKey,以明文形式輸入。
<Sysname> system-view
[Sysname] sntp authentication enable
[Sysname] sntp authentication-keyid 10 authentication-mode md5 simple BetterKey
【相關命令】
· sntp authentication enable
· sntp reliable authentication-keyid
sntp broadcast-client命令用來配置設備工作在SNTP廣播客戶端模式,並使用當前接口接收SNTP廣播報文。
undo sntp broadcast-client命令用來取消SNTP廣播客戶端模式的配置。
【命令】
sntp broadcast-client
undo sntp broadcast-client
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【缺省情況】
未配置SNTP的工作模式。
【使用指導】
配置設備工作在SNTP廣播客戶端模式後,設備將在接口上監聽NTP廣播服務器發送的SNTP廣播報文,根據接收到的報文實現時間同步。
如果在接口上配置了設備工作在廣播客戶端模式,則建議不要將該接口加入聚合組。如果要將接口加入聚合組,則建議先取消SNTP廣播客戶端配置。
【舉例】
# 配置設備工作在廣播客戶端模式,在VLAN接口1上接收SNTP廣播報文。
<Sysname> system-view
[Sysname] interface vlan-interface 1
[Sysname-Vlan-interface1] sntp broadcast-client
sntp enable命令用來開啟SNTP服務。
undo sntp enable命令用來關閉SNTP服務。
【命令】
sntp enable
undo sntp enable
【缺省情況】
SNTP服務處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【舉例】
# 開啟SNTP服務。
<Sysname> system-view
[Sysname] sntp enable
sntp ipv6 unicast-server命令用來為設備指定IPv6 NTP服務器。
undo sntp ipv6 unicast-server命令用來刪除為設備指定的IPv6 NTP服務器。
【命令】
sntp ipv6 unicast-server { server-name | ipv6-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | source interface-type interface-number ] *
undo sntp ipv6 unicast-server { server-name | ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情況】
未指定IPv6 NTP服務器。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
server-name:NTP服務器的主機名,為1~253個字符的字符串,不區分大小寫。
ipv6-address:NTP服務器的IPv6地址。
vpn-instance vpn-instance-name:指定IPv6 NTP服務器所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示IPv6 NTP服務器位於公網中。
authentication-keyid keyid:指定向NTP服務器發送報文時,使用指定的密鑰計算報文的摘要。keyid取值範圍為1~4294967295。如果未指定本參數,則本端設備與NTP服務器之間不會進行身份驗證。
maxpoll maxpoll-interval:用來配置最大輪詢時間間隔。maxpoll-interval取值範圍為4~17,最大輪詢時間間隔為2的maxpoll-interval次冪,對應的最大輪詢時間間隔的取值範圍為24~217(即16~131072)秒。本參數的缺省值為6,即最大輪詢時間間隔為64秒。
minpoll minpoll-interval:用來配置最小輪詢時間間隔,minpoll-interval取值範圍為4~17,最大輪詢時間間隔為2的maxpoll-interval次冪,對應的最大輪詢時間間隔的取值範圍為24~217(即16~131072)秒。本參數的缺省值為6,即最小輪詢時間間隔為64秒。
source interface-type interface-number:指定IPv6 NTP報文的源接口。如果指定的IPv6 NTP服務器地址不是鏈路本地地址,則本地設備給服務器發送IPv6 NTP報文時,報文的源IPv6地址為指定源接口的IPv6地址。如果指定的IPv6 NTP服務器地址是鏈路本地地址,則IPv6 NTP報文從指定的源接口發送,並且報文的源地址為該接口的鏈路本地地址。interface-type interface-number為接口類型和接口編號。如果未指定本參數,則設備自動選擇報文的源IPv6地址,具體選擇原則請參見RFC 3484。
【使用指導】
為設備指定IPv6 NTP服務器後,設備可以與該服務器進行時間同步。設備的時間獲得同步後,不能作為服務器為其他設備提供時間同步。
配置PE向某個VPN實例內的其他PE或CE同步時,需要指定vpn-instance vpn-instance-name參數。
在執行undo sntp unicast-server命令時,如果指定vpn-instance vpn-instance-name參數,則取消指定VPN實例內IPv6地址為ipv6-address的NTP服務器配置;如果沒有指定vpn-instance vpn-instance-name參數,則取消公網中IPv6地址為ipv6-address的NTP服務器配置。
NTP服務器的IPv6地址為鏈路本地地址時,必須指定報文的源接口,並且不能指定NTP服務器所屬的VPN實例。
IPv6 SNTP客戶端會按周期向IPv6 NTP服務器同步時間,該過程稱為輪詢。本命令的maxpoll和minpoll參數分別用來配置IPv6 SNTP客戶端服務器模式係統輪詢時間間隔的最大值和最小值。選定IPv6 NTP服務器之後,設備將使用最小輪詢間隔進行輪詢。當同步時間誤差在係統可接受範圍內且趨於穩定之後,輪詢間隔會逐漸增大直到最大值。當同步時間誤差連續超出係統可接受範圍多次時,輪詢間隔將會減小。
修改輪詢間隔不會立即生效,在下次輪詢時生效。
【舉例】
# 配置設備的IPv6 NTP服務器為2001::1。
<Sysname> system-view
[Sysname] sntp ipv6 unicast-server 2001::1
【相關命令】
· sntp authentication enable
· sntp authentication-keyid
· sntp reliable authentication-keyid
sntp reliable authentication-keyid命令用來配置可信密鑰。
undo sntp reliable authentication-keyid命令用來取消可信密鑰。
【命令】
sntp reliable authentication-keyid keyid
undo sntp reliable authentication-keyid keyid
【缺省情況】
未指定可信密鑰。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
keyid:密鑰編號,取值範圍為1~4294967295。
【使用指導】
開啟身份驗證功能後,客戶端隻會同步到提供可信密鑰的服務器;如果服務器提供的密鑰不是可信的,那麼客戶端不會與其同步。
本命令的使用前提是認證開關已經打開並且配置了密鑰,即保證該密鑰的存在性後才能設定它是否可信。如果SNTP驗證密鑰被指定為可信密鑰,刪除密鑰後,該密鑰將自動變為不可信密鑰,不必再執行undo sntp reliable authentication-keyid命令。
【舉例】
# 開啟SNTP身份驗證功能,配置編號為37的密鑰采用MD5算法進行身份驗證,密鑰值為BetterKey。
<Sysname> system-view
[Sysname] sntp authentication enable
[Sysname] sntp authentication-keyid 37 authentication-mode md5 simple BetterKey
# 指定該密鑰為可信密鑰。
[Sysname] sntp reliable authentication-keyid 37
【相關命令】
· sntp authentication-keyid
· sntp authentication enable
sntp time-offset-threshold命令用來配置SNTP時間同步過程中,打印日誌和告警信息的時間偏移閾值。
undo sntp time-offset-threshold命令用來恢複缺省情況。
【命令】
sntp time-offset-threshold { log log-threshold | trap trap-threshold } *
undo sntp time-offset-threshold
【缺省情況】
未配置打印日誌和告警信息的時間偏移閾值。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
log log-threshold:表示SNTP時間同步過程中,打印日誌信息的時間偏移閾值。log-threshold取值範圍為128~60000,單位為毫秒。
trap trap-threshold:表示SNTP時間同步過程中,打印告警信息的時間偏移閾值。trap-threshold取值範圍為128~60000,單位為毫秒。
【使用指導】
缺省情況下,SNTP客戶端與服務器端的時間差經過多次采樣得到的時間偏移超過128ms時,客戶端將進行一次時間同步,並打印日誌信息和告警信息。配置本命令後,SNTP客戶端與服務器端的時間差經過多次采樣得到的時間偏移超過128ms時,客戶端將進行一次時間同步,但是時間偏移大於log-threshold時,才會打印日誌;時間偏移大於trap-threshold時,才會打印告警信息。
【舉例】
# 配置SNTP時間同步過程中,打印日誌和告警信息的時間偏移閾值為500ms和600ms。
<Sysname> system-view
[Sysname] sntp time-offset-threshold log 500 trap 600
sntp unicast-server命令用來為設備指定NTP服務器。
undo sntp unicast-server命令用來刪除為設備指定的NTP服務器。
【命令】
sntp unicast-server { server-name | ip-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | source interface-type interface-number | version number ] *
undo sntp unicast-server { server-name | ip-address } [ vpn-instance vpn-instance-name ]
【缺省情況】
未指定NTP服務器。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
server-name:NTP服務器的主機名,為1~253個字符的字符串,不區分大小寫。
ip-address:NTP服務器的IP地址。該地址隻能是一個單播地址,不能為廣播地址、組播地址或本地時鍾的IP地址。
vpn-instance vpn-instance-name:指定NTP服務器所屬的VPN實例。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示NTP服務器位於公網中。
authentication-keyid keyid:指定向NTP服務器發送報文時,使用指定的密鑰計算報文的摘要。keyid取值範圍為1~4294967295。如果未指定本參數,則本端設備與NTP服務器之間不會進行身份驗證。
maxpoll maxpoll-interval:用來配置最大輪詢時間間隔。maxpoll-interval取值範圍為4~17,最大輪詢時間間隔為2的maxpoll-interval次冪,對應的最大輪詢時間間隔的取值範圍為24~217(即16~131072)秒。本參數的缺省值為6,即最大輪詢時間間隔為64秒。
minpoll minpoll-interval:用來配置最小輪詢時間間隔,minpoll-interval取值範圍為4~17,最大輪詢時間間隔為2的maxpoll-interval次冪,對應的最大輪詢時間間隔的取值範圍為24~217(即16~131072)秒。本參數的缺省值為6,即最小輪詢時間間隔為64秒。
source interface-type interface-number:指定NTP報文的源接口。本地設備給服務器發送NTP報文時,報文的源地址為指定源接口的主IP地址。interface-type interface-number為接口類型和接口編號。如果未指定本參數,則根據路由表查找報文的出接口,並采用出接口的主IP地址作為NTP報文的源IP地址。
version number:指定NTP版本號。非FIPS模式下,number取值範圍為1~4,缺省值為4;FIPS模式下,number取值範圍為3~4,缺省值為4。
【使用指導】
為設備指定NTP服務器後,設備可以與該服務器進行時間同步。設備的時間獲得同步後,不能作為服務器為其他設備提供時間同步。
配置PE向某個VPN實例內的其他PE或CE同步時,需要指定vpn-instance vpn-instance-name參數。
在執行undo sntp unicast-server命令時,如果指定vpn-instance vpn-instance-name參數,則取消指定VPN實例內IP地址為ip-address的NTP服務器配置;如果沒有指定vpn-instance vpn-instance-name參數,則取消公網中IP地址為ip-address的NTP服務器配置。
SNTP客戶端會按周期向NTP服務器同步時間,該過程稱為輪詢。本命令的maxpoll和minpoll參數分別用來配置SNTP客戶端服務器模式係統輪詢時間間隔的最大值和最小值。選定NTP服務器之後,設備將使用最小輪詢間隔進行輪詢。當同步時間誤差在係統可接受範圍內且趨於穩定之後,輪詢間隔會逐漸增大直到最大值。當同步時間誤差連續超出係統可接受範圍多次時,輪詢間隔將會減小。
修改輪詢間隔不會立即生效,在下次輪詢時生效。
【舉例】
# 配置設備的NTP服務器為10.1.1.1,版本號為4。
<Sysname> system-view
[Sysname] sntp unicast-server 10.1.1.1 version 4
【相關命令】
· sntp authentication enable
· sntp authentication-keyid
· sntp reliable authentication-keyid
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
