- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-NTP配置
本章節下載: 04-NTP配置 (966.14 KB)
設備上不能同時配置NTP和SNTP功能。
支持NTP的接口均為三層接口,包括三層以太網接口/子接口、三層聚合接口/子接口、VLAN接口、Tunnel接口等。
在大型的網絡中,如果依靠管理員手工配置來修改網絡中各台設備的係統時間,不但工作量巨大,而且也不能保證時間的精確性。NTP(Network Time Protocol,網絡時間協議)可以用來在分布式時間服務器和客戶端之間進行時間同步,使網絡內所有設備的時間保持一致,並提供較高的時間同步精度。NTP采用的傳輸層協議為UDP,使用的UDP端口號為123。
這裏的“分布式”指的是運行NTP的設備既可以與其他設備的時間同步,又可以作為時間服務器為其他設備提供時間同步。
NTP主要應用於需要網絡中所有設備的時間保持一致的場合,比如:
· 需要以時間作為參照依據,對從不同設備采集來的日誌信息、調試信息進行分析的網絡管理係統。
· 對設備時間一致性有要求的計費係統。
· 多個係統協同處理同一個比較複雜的事件的場合。此時,為保證正確的執行順序,多個係統的時間必須保持一致。
NTP的基本工作原理如圖1-1所示。Device A和Device B通過網絡相連,Device A和Device B的時間不同,需要通過NTP實現時間的自動同步。為便於理解,作如下假設:
· 在Device A和Device B的時間同步之前,Device A的時間設定為10:00:00 am,Device B的時間設定為11:00:00 am。
· Device B作為NTP時間服務器,即Device A與Device B的時間同步。
· NTP報文從Device A到Device B、從Device B到Device A單向傳輸所需要的時間均為1秒。
· Device B處理NTP報文所需的時間是1秒。
圖1-1 NTP基本工作原理圖
Device A和Device B時間同步的工作過程如下:
(1) Device A發送一個NTP報文給Device B,該報文帶有它離開Device A時的時間戳,該時間戳為10:00:00 am(T1)。
(2) 當此NTP報文到達Device B時,Device B在NTP報文上增加該報文到達Device B時的時間戳,該時間戳為11:00:01 am(T2)。
(3) 當此NTP報文離開Device B時,Device B再在NTP報文上增加該報文離開Device B時的時間戳,該時間戳為11:00:02 am(T3)。
(4) 當Device A接收到該響應報文時,Device A的本地時間為10:00:03 am(T4)。
至此,Device A可以根據上述時間戳計算兩個重要的參數:
· NTP報文的往返時延Delay = (T4 – T1) – (T3 – T2) = 2秒。
· Device A相對Device B的時間差Offset = ((T2 – T1) + (T3 – T4)) / 2 = 1小時。
這樣,Device A就能夠根據這些信息來設定自己的時間,使之與Device B的時間同步。
以上內容隻是對NTP工作原理的一個粗略描述,詳細內容請參閱相關的協議規範。
NTP通過時鍾層數來定義時鍾的準確度。時鍾層數的取值範圍為0~16,取值越小,時鍾準確度越高。層數為1~15的時鍾處於同步狀態;層數為16的時鍾處於未同步狀態。
圖1-2 NTP網絡結構
如圖1-2所示,實際網絡中,通常將從權威時鍾(如原子時鍾)獲得時間同步的NTP服務器的層數設置為1,並將其作為主時間服務器,為網絡中其他設備的時鍾提供時間同步。網絡中的設備與主時間服務器的NTP距離,即NTP同步鏈上NTP服務器的數目,決定了設備上時鍾的層數。例如,從主時間服務器獲得時間同步的設備的時鍾層數為2,即比主時間服務器的時鍾層數大1;從時鍾層數為2的時間服務器獲得時間同步的設備的時鍾層數為3,以此類推。
為了保證時間的準確性和可靠性,可以為一台設備指定多個時間服務器,設備根據時鍾層數等參數進行時鍾過濾和選擇,從多個時間服務器中選擇最優的時鍾,與其同步。設備選中的時鍾稱為參考時鍾。時鍾優選過程的詳細介紹,請參閱相關的協議規範。
在某些網絡中,例如無法與外界通信的孤立網絡,網絡中的設備無法與權威時鍾進行時間同步。此時,可以從該網絡中選擇一台時鍾較為準確的設備,指定該設備與本地時鍾進行時間同步,即采用本地時鍾作為參考時鍾,使得該設備的時鍾處於同步狀態。該設備作為時間服務器為網絡中的其他設備提供時間同步,從而實現整個網絡的時間同步。
NTP支持以下幾種工作模式:
· 客戶端/服務器模式
· 對等體模式
· 廣播模式
· 組播模式
用戶可以根據需要選擇一種或幾種工作模式進行時間同步。各種模式的詳細介紹,如表1-1所示。
表1-1 NTP模式介紹
|
模式 |
工作過程 |
時間同步方向 |
應用場合 |
|
客戶端/服務器模式 |
客戶端上需要手工指定NTP服務器的地址。客戶端向NTP服務器發送NTP時間同步報文。NTP服務器收到報文後會自動工作在服務器模式,並回複應答報文 如果客戶端可以從多個時間服務器獲取時間同步,則客戶端收到應答報文後,進行時鍾過濾和選擇,並與優選的時鍾進行時間同步 |
· 客戶端能夠與NTP服務器的時間同步 · NTP服務器無法與客戶端的時間同步 |
如圖1-2所示,該模式通常用於下級的設備從上級的時間服務器獲取時間同步 |
|
對等體模式 |
主動對等體(Symmetric active peer)上需要手工指定被動對等體(Symmetric passive peer)的地址。主動對等體向被動對等體發送NTP時間同步報文。被動對等體收到報文後會自動工作在被動對等體模式,並回複應答報文 如果主動對等體可以從多個時間服務器獲取時間同步,則主動對等體收到應答報文後,進行時鍾過濾和選擇,並與優選的時鍾進行時間同步 |
· 主動對等體和被動對等體的時間可以互相同步 · 如果雙方的時鍾都處於同步狀態,則層數大的時鍾與層數小的時鍾的時間同步 |
如圖1-2所示,該模式通常用於同級的設備間互相同步,以便在同級的設備間形成備份。如果某台設備與所有上級時間服務器的通信出現故障,則該設備仍然可以從同級的時間服務器獲得時間同步 |
|
廣播模式 |
廣播服務器周期性地向廣播地址255.255.255.255發送NTP時間同步報文。廣播客戶端偵聽來自廣播服務器的廣播報文,根據接收的廣播報文將設備的時間與廣播服務器的時間進行同步 廣播客戶端接收到廣播服務器發送的第一個NTP報文後,會與廣播服務器進行報文交互,以獲得報文的往返時延,為時間同步提供必要的參數。之後,隻有廣播服務器單方向發送報文 |
· 廣播客戶端能夠與廣播服務器的時間同步 · 廣播服務器無法與廣播客戶端的時間同步 |
廣播服務器廣播發送時間同步報文,可以同時同步同一個子網中多個廣播客戶端的時間。如圖1-2所示,使用同一個時間服務器為同一個子網中的大量設備提供時間同步時,可以使用廣播模式,以簡化網絡配置 由於隻有廣播服務器單方向發送報文,廣播模式的時間準確度不如客戶端/服務器模式和對等體模式 |
|
組播模式 |
組播服務器周期性地向指定的組播地址發送NTP時間同步報文。客戶端偵聽來自服務器的組播報文,根據接收的組播報文將設備的時間與組播服務器的時間進行同步 |
· 組播客戶端能夠與組播服務器的時間同步 · 組播服務器無法與組播客戶端的時間同步 |
組播模式對廣播模式進行了擴展,組播服務器可以同時為同一子網、不同子網的多個組播客戶端提供時間同步 組播模式的時間準確度不如客戶端/服務器模式和對等體模式 |
本文中NTP服務器或服務器指的是客戶端/服務器模式中工作在服務器模式的設備;時間服務器指的是所有能夠提供時間同步的設備,包括NTP服務器、NTP對等體、廣播服務器和組播服務器。
為了提高時間同步的安全性,NTP提供了NTP服務的訪問控製權限和NTP驗證功能。
本功能是指利用ACL限製對端設備對本地設備上NTP服務的訪問控製權限。NTP服務的訪問控製權限從高到低依次為peer、server、synchronization、query。
· peer:完全訪問權限。該權限既允許對端設備向本地設備的時間同步,對本地設備進行控製查詢(查詢NTP的一些狀態,比如告警信息、驗證狀態、時間服務器信息等),同時本地設備也可以向對端設備的時間同步。
· server:服務器訪問與查詢權限。該權限允許對端設備向本地設備的時間同步,對本地設備進行控製查詢,但本地設備不會向對端設備的時間同步。
· synchronization:僅具有訪問服務器的權限。該權限隻允許對端設備向本地設備的時間同步,但不能進行控製查詢。
· query:僅具有控製查詢的權限。該權限隻允許對端設備對本地設備的NTP服務進行控製查詢,但是不能向本地設備的時間同步。
當設備接收到NTP服務請求時,會按照權限從高到低的順序依次進行匹配。匹配原則為:
· 如果沒有指定權限應用的ACL或權限應用的ACL尚未創建,則繼續匹配下一個權限。
· 如果所有的權限都沒有應用ACL或權限應用的ACL尚未創建,則所有對端設備對本地設備NTP服務的訪問控製權限均為peer。
· 如果存在應用了ACL的權限,且該ACL已經創建,則隻有NTP服務請求匹配了某個權限應用的ACL中的permit規則,發送該NTP服務請求的對端設備才會具有該訪問控製權限。其他情況下(NTP服務請求匹配某個權限應用的ACL中的deny規則或沒有匹配任何權限的任何規則),發送該NTP服務請求的對端設備不具有任何權限。
配置NTP服務的訪問控製權限,僅提供了一種最小限度的安全措施,更安全的方法是使用NTP驗證功能。
在一些對時間同步的安全性要求較高的網絡中,運行NTP協議時需要使用NTP驗證功能。NTP驗證功能可以用來驗證接收到的NTP報文的合法性。隻有報文通過驗證後,設備才會接收該報文,並從中獲取時間同步信息;否則,設備會丟棄該報文。從而,保證設備不會與非法的時間服務器進行時間同步,避免時間同步錯誤。
圖1-3 NTP驗證功能示意圖
如圖1-3所示,NTP驗證功能的工作過程為:
(1) NTP報文發送者利用密鑰ID標識的密鑰對NTP報文進行MD5運算,並將計算出來的摘要信息連同NTP報文和密鑰ID一起發送給接收者。
(2) 接收者接收到該NTP報文後,根據報文中的密鑰ID找到對應的密鑰,並利用該密鑰對報文進行MD5運算。接收者將運算結果與報文中的摘要信息比較,如果相同,則接收該報文;否則,丟棄該報文。
設備作為NTP客戶端或主動對等體時支持VPN多實例,實現設備與位於MPLS L3VPN中的NTP服務器或NTP被動對等體進行時間同步。
如下圖所示,私網VPN 1和VPN 2中的用戶通過PE(Provider Edge,服務提供商網絡邊緣)設備接入MPLS骨幹網,各VPN實例之間的業務相互隔離。配置PE設備工作在NTP客戶端或NTP主動對等體模式,並指定NTP服務器或NTP被動對等體所屬的VPN實例後,可以實現PE設備與各VPN實例中的設備進行時間同步。有關MPLS L3VPN、VPN實例和PE的詳細介紹,請參見“MPLS配置指導”中的“MPLS L3VPN”。
圖1-4 NTP支持VPN多實例組網應用圖
目前隻有單播方式(客戶端/服務器模式和對等體模式)的NTP時間同步支持VPN多實例,廣播模式和組播模式的時間同步暫時不支持VPN多實例。
與NTP相關的協議規範有:
· RFC 1305:Network Time Protocol (Version 3) Specification, Implementation and Analysis
· RFC 5905:Network Time Protocol Version 4: Protocol and Algorithms Specification
由於FIPS模式對安全要求更高,所以,設備運行於FIPS模式時,
· NTP工作模式僅支持客戶端/服務器模式和對等體模式,不支持廣播模式和組播模式。
· NTP僅支持版本3和4,不支持版本1和2。
· NTP支持HMAC-SHA-1、HMAC-SHA-256、HMAC-SHA-384、HMAC-SHA-512身份驗證算法,不支持MD5身份驗證算法。
有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
配置NTP時,需要注意:
· 為保證時間同步的準確性,不建議用戶在組網中配置兩個或者兩個以上的時鍾源,以免造成時鍾震蕩,甚至出現無法同步的情況。
· 建議用戶不要在聚合成員口上進行NTP相關配置。
· NTP時鍾源與設備當前係統時間的偏差必須小於68年,否則無法正常進行時間同步。
· 請確保設備係統時間不超過2035年,否則無法正常進行時間同步。可以執行display clock命令查看當前設備係統時間。
表1-2 NTP配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
|
開啟NTP服務 |
必選 |
1.5 |
|
|
配置與網絡中的其他設備進行時間同步 |
配置NTP工作模式 |
· “配置NTP工作模式”和“配置本地時鍾作為參考時鍾”兩個配置任務中至少選擇其一,其他配置任務請根據實際需要進行選擇 · 設備可以同時工作在多種NTP模式。如果設備作為客戶端,並同時收到多路NTP時鍾信號,則會選擇最優的NTP時鍾進行同步 |
1.6 |
|
配置NTP服務的訪問控製權限 |
1.7 |
||
|
配置NTP驗證功能 |
1.8 |
||
|
配置NTP可選參數 |
1.9 |
||
|
配置本地時鍾作為參考時鍾 |
1.10 |
||
|
控製NTP同步時的日誌和告警信息的打印 |
可選 |
||
NTP服務與SNTP服務互斥,同一時刻隻能開啟其中一個服務。
表1-3 開啟NTP服務
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟NTP服務 |
ntp-service enable |
缺省情況下, NTP服務處於關閉狀態 |
· 當設備采用客戶端/服務器模式時,需要在客戶端上指定服務器的地址。
· 當服務器端的時鍾層數大於或等於客戶端的時鍾層數時,客戶端將不會與其同步。
· 可以通過多次執行ntp-service unicast-server命令和ntp-service ipv6 unicast-server命令為設備指定多個服務器。
· 服務器需要通過與其他設備同步或配置本地時鍾作為參考時鍾等方式,使得自己的時鍾處於同步狀態,否則客戶端不會將自己的時間與服務器的時間同步。
表1-4 配置NTP客戶端
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為設備指定NTP服務器 |
(IPv4網絡) ntp-service unicast-server { server-name | ip-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | priority | source interface-type interface-number | version number ] * (IPv6網絡) ntp-service ipv6 unicast-server { server-name | ipv6-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | priority | source interface-type interface-number ] * |
缺省情況下,未指定NTP服務器 |
表1-5 配置NTP服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟NTP服務器功能 |
(IPv4網絡) ntp-service time-server enable (IPv6網絡) ntp-service ipv6 time-server enable |
缺省情況下,NTP服務器功能處於開啟狀態 本命令用於控製設備能否對外提供NTP同步時間:當開啟NTP服務器功能,且符合ntp-service acl或ntp-service ipv6 acl命令指定的條件時,設備可為其它設備提供NTP同步時間;當關閉NTP服務器功能時,設備不能為其它設備提供NTP同步時間 |
當設備采用對等體模式時,需要在主動對等體上指定被動對等體的地址。
配置NTP對等體模式時,需要注意:
· 被動對等體上需要執行ntp-service enable命令來開啟NTP服務,否則被動對等體不會處理來自主動對等體的NTP報文。
· 主動對等體和被動對等體的時鍾至少要有一個處於同步狀態,否則它們的時間都將無法同步。
· 可以通過多次執行ntp-service unicast-peer命令或ntp-service ipv6 unicast-peer命令為設備指定多個被動對等體。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
指定設備的被動對等體 |
ntp-service unicast-peer { peer-name | ip-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | priority | source interface-type interface-number | version number ] * |
缺省情況下,未指定被動對等體 |
|
指定設備的IPv6被動對等體 |
ntp-service ipv6 unicast-peer { peer-name | ipv6-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | priority | source interface-type interface-number ] * |
|
|
開啟NTP服務器功能 |
(IPv4網絡) ntp-service time-server enable (IPv6網絡) ntp-service ipv6 time-server enable |
缺省情況下,NTP服務器功能處於開啟狀態 本命令用於控製設備能否對外提供NTP同步時間:當開啟NTP服務器功能,且符合ntp-service acl或ntp-service ipv6 acl命令指定的條件時,設備可為其它設備提供NTP同步時間;當關閉NTP服務器功能時,設備不能為其它設備提供NTP同步時間 |
廣播服務器需要通過與其他設備同步或配置本地時鍾作為參考時鍾等方式,使得自己的時鍾處於同步狀態,否則廣播客戶端不會將自己的時間與廣播服務器的時間同步。
當設備采用廣播模式時,廣播服務器端和廣播客戶端上都需要進行配置。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
進入要接收NTP廣播報文的接口 |
|
配置設備工作在NTP廣播客戶端模式 |
ntp-service broadcast-client |
缺省情況下,未配置NTP工作模式 執行本命令後,設備將通過當前接口接收NTP廣播報文 |
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟NTP服務器功能 |
(IPv4網絡) ntp-service time-server enable (IPv6網絡) ntp-service ipv6 time-server enable |
缺省情況下,NTP服務器功能處於開啟狀態 本命令用於控製設備能否對外提供NTP同步時間:當開啟NTP服務器功能,且符合ntp-service acl或ntp-service ipv6 acl命令指定的條件時,設備可為其它設備提供NTP同步時間;當關閉NTP服務器功能時,設備不能為其它設備提供NTP同步時間 |
|
進入接口視圖 |
interface interface-type interface-number |
進入要發送NTP廣播報文的接口 |
|
配置設備工作在NTP廣播服務器模式 |
ntp-service broadcast-server [ authentication-keyid keyid | version number ] * |
缺省情況下,未配置NTP工作模式 執行本命令後,設備將通過當前接口周期性發送NTP廣播報文 |
組播服務器需要通過與其他設備同步或配置本地時鍾作為參考時鍾等方式,使得自己的時鍾處於同步狀態,否則組播客戶端不會將自己的時間與組播服務器的時間同步。
設備采用組播模式時,在組播服務器端和組播客戶端上都需要進行配置。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
進入要接收NTP組播報文的接口 |
|
配置設備工作在NTP組播客戶端模式 |
ntp-service multicast-client [ ip-address ] |
缺省情況下,未配置NTP工作模式 執行本命令後,設備將通過當前接口接收NTP組播報文 |
|
配置設備工作在IPv6 NTP組播客戶端模式 |
ntp-service ipv6 multicast-client ipv6-address |
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟NTP服務器功能 |
(IPv4網絡) ntp-service time-server enable (IPv6網絡) ntp-service ipv6 time-server enable |
缺省情況下,NTP服務器功能處於開啟狀態 本命令用於控製設備能否對外提供NTP同步時間:當開啟NTP服務器功能,且符合ntp-service acl或ntp-service ipv6 acl命令指定的條件時,設備可為其它設備提供NTP同步時間;當關閉NTP服務器功能時,設備不能為其它設備提供NTP同步時間 |
|
進入接口視圖 |
interface interface-type interface-number |
進入要發送NTP組播報文的接口 |
|
配置設備工作在NTP組播服務器模式 |
ntp-service multicast-server [ ip-address ] [ authentication-keyid keyid | ttl ttl-number | version number ] * |
缺省情況下,未配置NTP工作模式 執行本命令後,設備將通過當前接口周期性發送NTP組播報文 |
|
配置設備工作在IPv6 NTP組播服務器模式 |
ntp-service ipv6 multicast-server ipv6-address [ authentication-keyid keyid | ttl ttl-number ] * |
在配置對本地設備NTP服務的訪問控製權限之前,需要創建並配置與訪問權限關聯的ACL。ACL的配置方法請參見“ACL和QoS配置指導”中的“ACL”。
請根據設備的時間同步需求,參考表1-11,為設備配置NTP服務的訪問控製權限。
|
訪問控製權限 |
是否可以接受同步時間 (作為客戶端時是否可以配置) |
是否可以對外提供同步時間 (作為時間服務器時是否可以配置) |
是否可以對本設備進行控製查詢 |
|
peer |
可以 |
可以 |
可以 |
|
server |
不可以 |
可以 |
可以 |
|
synchronization |
不可以 |
可以 |
不可以 |
|
query |
不可以 |
不可以 |
可以 |
ntp-service noquery enable命令僅用於允許或者禁止對端設備對本設備進行控製查詢,對時鍾同步不進行限製。當設備上配置了ntp-service noquery enable、ntp-service acl、ntp-service ipv6 acl命令時,“是否可以對本設備進行控製查詢”以ntp-service noquery enable命令的配置為準。
表1-12 配置NTP服務的訪問控製權限
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置對端設備對本地設備NTP服務的訪問控製權限 |
ntp-service { peer | query | server | synchronization } acl ipv4-acl-number |
缺省情況下,對端設備對本地設備NTP服務的訪問控製權限為peer(完全訪問權限) |
|
配置對端設備對本地設備IPv6 NTP服務的訪問控製權限 |
ntp-service ipv6 { peer | query | server | synchronization } acl ipv6-acl-number |
|
|
禁止對端設備對本設備進行控製查詢 |
ntp-service noquery enable |
缺省情況下,允許對端設備對本設備進行控製查詢 |
服務器端和客戶端上配置的密鑰ID和密鑰值必須保持一致,否則會導致NTP驗證失敗。
表1-13 配置客戶端的NTP驗證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟NTP身份驗證功能 |
ntp-service authentication enable |
缺省情況下,NTP身份驗證功能處於關閉狀態 |
|
配置NTP身份驗證密鑰 |
ntp-service authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string |
缺省情況下,未配置NTP身份驗證密鑰 |
|
配置指定密鑰為可信密鑰 |
ntp-service reliable authentication-keyid keyid |
缺省情況下,未指定可信密鑰 |
|
將指定密鑰與對應的NTP服務器關聯 |
ntp-service unicast-server { server-name | ip-address } [ vpn-instance vpn-instance-name ] authentication-keyid keyid |
- |
|
將指定密鑰與對應的IPv6 NTP服務器關聯 |
ntp-service ipv6 unicast-server { server-name | ipv6-address } [ vpn-instance vpn-instance-name ] authentication-keyid keyid |
表1-14 配置服務器端的NTP驗證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟NTP身份驗證功能 |
ntp-service authentication enable |
缺省情況下,NTP身份驗證功能處於關閉狀態 |
|
配置NTP身份驗證密鑰 |
ntp-service authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string |
缺省情況下,未配置NTP身份驗證密鑰 |
|
配置指定密鑰為可信密鑰 |
ntp-service reliable authentication-keyid keyid |
缺省情況下,未指定可信密鑰 |
客戶端和服務器上進行不同的配置時,NTP驗證結果有所不同,詳細介紹請參見表1-15。其中,表格中的“-”表示不管此項是否配置。
|
客戶端 |
服務器 |
結果 |
|||
|
是否開啟身份驗證功能 |
是否與服務器關聯密鑰 |
是否配置關聯的驗證密鑰,並將其指定為可信密鑰 |
是否開啟身份驗證功能 |
是否配置驗證密鑰,並將其指定為可信密鑰 |
|
|
是 |
是 |
是 |
是 |
是 |
身份驗證成功,可以正常收發NTP報文 |
|
是 |
是 |
是 |
是 |
否 |
身份驗證失敗,不可以正常收發NTP報文 |
|
是 |
是 |
是 |
否 |
- |
身份驗證失敗,不可以正常收發NTP報文 |
|
是 |
是 |
否 |
- |
- |
身份驗證失敗,不可以正常收發NTP報文 |
|
是 |
否 |
- |
- |
- |
不進行身份驗證,可以正常收發NTP報文 |
|
否 |
- |
- |
- |
- |
不進行身份驗證,可以正常收發NTP報文 |
配置對等體模式的NTP驗證功能時,需要在主動對等體和被動對等體上都開啟NTP驗證功能、配置驗證密鑰、將驗證密鑰設為可信密鑰,並在主動對等體上將可信密鑰與被動對等體關聯。主動對等體和被動對等體上配置的密鑰ID和密鑰值必須保持一致,否則會導致NTP驗證失敗。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟NTP身份驗證功能 |
ntp-service authentication enable |
缺省情況下,NTP身份驗證功能處於關閉狀態 |
|
配置NTP身份驗證密鑰 |
ntp-service authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string |
缺省情況下,未配置NTP身份驗證密鑰 |
|
配置指定密鑰為可信密鑰 |
ntp-service reliable authentication-keyid keyid |
缺省情況下,未指定可信密鑰 |
|
將指定密鑰與對應的被動對等體關聯 |
ntp-service unicast-peer { ip-address | peer-name } [ vpn-instance vpn-instance-name ] authentication-keyid keyid |
- |
|
將指定密鑰與對應的IPv6被動對等體關聯 |
ntp-service ipv6 unicast-peer { ipv6-address | peer-name } [ vpn-instance vpn-instance-name ] authentication-keyid keyid |
表1-17 配置被動對等體的NTP驗證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟NTP身份驗證功能 |
ntp-service authentication enable |
缺省情況下,NTP身份驗證功能處於關閉狀態 |
|
配置NTP身份驗證密鑰 |
ntp-service authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string |
缺省情況下,未配置NTP身份驗證密鑰 |
|
配置指定密鑰為可信密鑰 |
ntp-service reliable authentication-keyid keyid |
缺省情況下,未指定可信密鑰 |
主動對等體和被動對等體上進行不同的配置時,NTP驗證結果有所不同,詳細介紹請參見表1-18。其中,表格中的“-”表示不管此項是否配置。
表1-18 主動對等體和被動對等體上進行不同配置時的NTP驗證結果
|
|
主動對等體 |
被動對等體 |
結果 |
|||
|
是否開啟身份驗證功能 |
是否與被動對等體關聯密鑰 |
是否配置關聯的驗證密鑰,並將其指定為可信密鑰 |
是否開啟身份驗證功能 |
是否配置驗證密鑰,並將其指定為可信密鑰 |
||
|
不考慮主動對等體和被動對等體的時鍾層數 |
是 |
是 |
是 |
是 |
是 |
身份驗證成功,可以正常收發NTP報文 |
|
是 |
是 |
是 |
是 |
否 |
身份驗證失敗,不可以正常收發NTP報文 |
|
|
是 |
是 |
是 |
否 |
- |
身份驗證失敗,不可以正常收發NTP報文 |
|
|
是 |
否 |
- |
是 |
- |
身份驗證失敗,不可以正常收發NTP報文 |
|
|
是 |
否 |
- |
否 |
- |
不進行身份驗證,可以正常收發NTP報文 |
|
|
否 |
- |
- |
是 |
- |
身份驗證失敗,不可以正常收發NTP報文 |
|
|
否 |
- |
- |
否 |
- |
不進行身份驗證,可以正常收發NTP報文 |
|
|
主動對等體時鍾層數大於被動對等體 |
是 |
是 |
否 |
- |
- |
身份驗證失敗,不可以正常收發NTP報文 |
|
被動對等體時鍾層數大於主動對等體 |
是 |
是 |
否 |
是 |
- |
身份驗證失敗,不可以正常收發NTP報文 |
|
是 |
是 |
否 |
否 |
- |
不進行身份驗證,可以正常收發NTP報文 |
|
配置廣播模式的NTP驗證功能時,需要在廣播客戶端和廣播服務器上都開啟NTP驗證功能、配置驗證密鑰、將驗證密鑰設為可信密鑰,並在廣播服務器上指定與該服務器關聯的密鑰。廣播服務器和廣播客戶端上配置的密鑰ID和密鑰值必須保持一致,否則會導致NTP驗證失敗。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟NTP身份驗證功能 |
ntp-service authentication enable |
缺省情況下,NTP身份驗證功能處於關閉狀態 |
|
配置NTP身份驗證密鑰 |
ntp-service authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string |
缺省情況下,未配置NTP身份驗證密鑰 |
|
配置指定密鑰為可信密鑰 |
ntp-service reliable authentication-keyid keyid |
缺省情況下,未指定可信密鑰 |
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟NTP身份驗證功能 |
ntp-service authentication enable |
缺省情況下,NTP身份驗證功能處於關閉狀態 |
|
配置NTP身份驗證密鑰 |
ntp-service authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string |
缺省情況下,未配置NTP身份驗證密鑰 |
|
配置指定密鑰為可信密鑰 |
ntp-service reliable authentication-keyid keyid |
缺省情況下,未指定可信密鑰 |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
將指定密鑰與對應的廣播服務器關聯 |
ntp-service broadcast-server authentication-keyid keyid |
缺省情況下,廣播服務器沒有與密鑰關聯 |
廣播客戶端和廣播服務器上進行不同的配置時,NTP驗證結果有所不同,詳細介紹請參見表1-21。其中,表格中的“-”表示不管此項是否配置。
表1-21 廣播客戶端和廣播服務器上進行不同配置時的NTP驗證結果
|
廣播服務器 |
廣播客戶端 |
結果 |
|||
|
是否開啟身份驗證功能 |
是否與廣播服務器關聯密鑰 |
是否配置關聯的驗證密鑰,並將其指定為可信密鑰 |
是否開啟身份驗證功能 |
是否配置驗證密鑰,並將其指定為可信密鑰 |
|
|
是 |
是 |
是 |
是 |
是 |
身份驗證成功,可以正常收發NTP報文 |
|
是 |
是 |
是 |
是 |
否 |
身份驗證失敗,不可以正常收發NTP報文 |
|
是 |
是 |
是 |
否 |
- |
身份驗證失敗,不可以正常收發NTP報文 |
|
是 |
是 |
否 |
是 |
- |
身份驗證失敗,不可以正常收發NTP報文 |
|
是 |
是 |
否 |
否 |
- |
不進行身份驗證,可以正常收發NTP報文 |
|
是 |
否 |
- |
是 |
- |
身份驗證失敗,不可以正常收發NTP報文 |
|
是 |
否 |
- |
否 |
- |
不進行身份驗證,可以正常收發NTP報文 |
|
否 |
- |
- |
是 |
- |
身份驗證失敗,不可以正常收發NTP報文 |
|
否 |
- |
- |
否 |
- |
不進行身份驗證,可以正常收發NTP報文 |
配置組播模式的NTP驗證功能時,需要在組播客戶端和組播服務器上都開啟NTP驗證功能、配置驗證密鑰、將驗證密鑰設為可信密鑰,並在組播服務器上指定與該服務器關聯的密鑰。組播服務器和組播客戶端上配置的密鑰ID和密鑰值必須保持一致,否則會導致NTP驗證失敗。
表1-22 配置組播客戶端的NTP驗證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟NTP身份驗證功能 |
ntp-service authentication enable |
缺省情況下,NTP身份驗證功能處於關閉狀態 |
|
配置NTP身份驗證密鑰 |
ntp-service authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string |
缺省情況下,未配置NTP身份驗證密鑰 |
|
配置指定密鑰為可信密鑰 |
ntp-service reliable authentication-keyid keyid |
缺省情況下,未指定可信密鑰 |
表1-23 配置組播服務器端的NTP驗證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟NTP身份驗證功能 |
ntp-service authentication enable |
缺省情況下,NTP身份驗證功能處於關閉狀態 |
|
配置NTP身份驗證密鑰 |
ntp-service authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string |
缺省情況下,未配置NTP身份驗證密鑰 |
|
配置指定密鑰為可信密鑰 |
ntp-service reliable authentication-keyid keyid |
缺省情況下,未指定可信密鑰 |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
將指定密鑰與對應的組播服務器關聯 |
ntp-service multicast-server [ ip-address ] authentication-keyid keyid |
缺省情況下,組播服務器沒有與密鑰關聯 |
|
將指定密鑰與對應的IPv6組播服務器關聯 |
ntp-service ipv6 multicast-server ipv6-address authentication-keyid keyid |
組播客戶端和組播服務器上進行不同的配置時,NTP驗證結果有所不同,詳細介紹請參見表1-24。其中,表格中的“-”表示不管此項是否配置。
表1-24 組播客戶端和組播服務器上進行不同配置時的NTP驗證結果
|
組播服務器 |
組播客戶端 |
結果 |
|||
|
是否開啟身份驗證功能 |
是否與組播服務器關聯密鑰 |
是否配置關聯的驗證密鑰,並將其指定為可信密鑰 |
是否開啟身份驗證功能 |
是否配置驗證密鑰,並將其指定為可信密鑰 |
|
|
是 |
是 |
是 |
是 |
是 |
身份驗證成功,可以正常收發NTP報文 |
|
是 |
是 |
是 |
是 |
否 |
身份驗證失敗,不可以正常收發NTP報文 |
|
是 |
是 |
是 |
否 |
- |
身份驗證失敗,不可以正常收發NTP報文 |
|
是 |
是 |
否 |
是 |
- |
身份驗證失敗,不可以正常收發NTP報文 |
|
是 |
是 |
否 |
否 |
- |
不進行身份驗證,可以正常收發NTP報文 |
|
是 |
否 |
- |
是 |
- |
身份驗證失敗,不可以正常收發NTP報文 |
|
是 |
否 |
- |
否 |
- |
不進行身份驗證,可以正常收發NTP報文 |
|
否 |
- |
- |
是 |
- |
身份驗證失敗,不可以正常收發NTP報文 |
|
否 |
- |
- |
否 |
- |
不進行身份驗證,可以正常收發NTP報文 |
NTP報文源地址的配置方式有兩種:一是配置NTP報文的源接口,二是直接配置NTP報文的源地址。如果配置了NTP報文的源接口,則設備在主動發送NTP報文時,NTP報文的源地址為指定的源接口的地址。
建議將Loopback接口指定為源接口,以避免設備上某個接口的狀態變化而導致NTP報文無法接收。
設備對接收到的NTP請求報文進行應答時,應答報文的源地址始終為接收到的NTP請求報文的目的地址。
如果在命令ntp-service [ ipv6 ] unicast-server或ntp-service [ ipv6 ] unicast-peer中指定了NTP報文的源接口,則優先使用ntp-service [ ipv6 ] unicast-server或ntp-service [ ipv6 ] unicast-peer命令指定的接口作為NTP報文的源接口。
如果在接口視圖下配置了ntp-service broadcast-server或ntp-service [ ipv6 ] multicast-server,則NTP廣播或組播模式報文的源接口為配置了ntp-service broadcast-server或ntp-service [ ipv6 ] multicast-server命令的接口。
表1-25 配置NTP報文的源地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置NTP報文的地址 |
ntp-service source { interface-type interface-number | ipv4-address } |
缺省情況下,未指定NTP報文的源地址 |
|
配置IPv6 NTP報文的源接口 |
ntp-service ipv6 source interface-type interface-number |
啟動NTP服務後,缺省情況下所有接口都可以接收NTP報文。如果出於安全性、簡化網絡管理等方麵的考慮,不希望設備為某個接口對應網段內的對端設備提供時間同步,或不希望設備從某個接口對應網段內的對端設備獲得時間同步,則可以在該接口上執行本配置,使該接口關閉接收NTP報文功能。
表1-26 關閉接口接收NTP報文功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
關閉接口接收NTP報文功能 |
undo ntp-service inbound enable |
缺省情況下,接口接收NTP報文和IPv6 NTP報文 |
|
關閉接口接收IPv6 NTP報文功能 |
undo ntp-service ipv6 inbound enable |
NTP會話分為兩種:
· 靜態會話:用戶手動配置NTP相關命令而建立的會話。
· 動態會話:NTP協議運行過程中建立的臨時會話,若係統長期(大約12分鍾)沒有報文交互就會刪除該臨時會話。
各種模式中,會話的建立情況如下:
· 客戶端/服務器模式中,在客戶端上指定了NTP服務器後,客戶端上會建立一個靜態會話,服務器端在收到報文之後隻是被動的響應報文,而不會建立會話(包括靜態和動態會話)。
· 對等體模式中,在主動對等體上指定了被動對等體後,主動對等體上會建立靜態會話,被動對等體端會建立動態會話。
· 廣播模式和組播模式中,在廣播/組播服務器端上會建立靜態會話,而在廣播/組播客戶端上會建立動態會話。
設備同一時間內最多可以建立的會話數目為128個,其中包括靜態會話數和動態會話數。
本配置用來限製動態會話的數目,以避免設備上維護過多的動態會話,占用過多的係統資源。
表1-27 配置動態會話的最大數目
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置NTP動態會話的最大數目 |
ntp-service max-dynamic-sessions number |
缺省情況下,NTP動態會話的最大數目為100 |
DSCP優先級用來體現報文自身的優先等級,決定報文傳輸的優先程度。通過本配置可以指定NTP/IPv6 NTP服務器發送的NTP報文的DSCP優先級。
表1-28 配置NTP報文的DSCP優先級
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置NTP報文的DSCP優先級 |
ntp-service dscp dscp-value |
缺省情況下,NTP報文的DSCP優先級為48,IPv6 NTP報文的DSCP優先級為56 |
|
配置IPv6 NTP報文的DSCP優先級 |
ntp-service ipv6 dscp dscp-value |
配置本地時鍾作為參考時鍾時,需要注意:
· 配置本地時鍾作為參考時鍾後,本地設備的時鍾將處於同步狀態,可以作為時間服務器為網絡中其他設備的時鍾提供時間同步。如果本地設備的時鍾不正確,則會導致網絡中設備的時間錯誤,請謹慎使用本配置。
· 在執行本命令之前,建議先調整本地係統時間。
· 設備斷電重啟後,係統時間會變成係統初始化的時間;設備軟重啟時,啟動階段的係統時鍾處於關閉狀態,啟動之後的係統時鍾將不準確。建議不要在設備上配置本地時鍾作為參考時鍾,並且不要將設備指定為時間服務器。
· 不同的設備在時鍾精度方麵存在差異,請不要在同一網段中配置多個參考時鍾,否則可能出現網絡震蕩,導致時鍾無法同步。
本配置用來指定設備與本地時鍾進行時間同步,使得該設備的時鍾處於同步狀態。
表1-29 配置本地時鍾作為參考時鍾
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置本地時鍾作為參考時鍾 |
ntp-service refclock-master [ ip-address ] [ stratum ] |
缺省情況下,設備未采用本地時鍾作為參考時鍾 |
缺省情況下,NTP客戶端與服務器端的時間差經過多次采樣得到的時間偏移超過128ms時,客戶端將進行一次時間同步,並打印日誌信息和告警信息。配置本功能後,NTP客戶端與服務器端的時間差經過多次采樣得到的時間偏移超過128ms時,客戶端將進行一次時間同步,但是時間偏移大於log-threshold時,才會打印日誌;時間偏移大於trap-threshold時,才會打印告警信息。
表1-30 控製NTP同步時的日誌和告警信息打印
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為設備指定NTP服務器 |
ntp-service time-offset-threshold { log log-threshold | trap trap-threshold } * |
缺省情況下,未配置打印日誌和告警信息的時間偏移閾值 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後NTP的運行情況,通過查看顯示信息驗證配置的效果。
ntp-service noquery enable命令與display ntp-service trace命令功能互斥,如需使用display ntp-service trace命令,請配置允許對本設備進行控製查詢。
表1-31 NTP顯示與維護
|
操作 |
命令 |
|
顯示NTP服務的所有IPv6會話信息 |
display ntp-service ipv6 sessions [ verbose ] |
|
顯示NTP服務的所有IPv4會話信息 |
display ntp-service sessions [ verbose ] |
|
顯示NTP服務的狀態信息 |
display ntp-service status |
|
顯示從本地設備回溯到主時間服務器的各個NTP時間服務器的簡要信息 |
display ntp-service trace [ source interface-type interface-number ] |
為了通過NTP實現Device B與Device A的時間同步,要求:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· 配置Device B工作在客戶端模式,指定Device A為NTP服務器。
圖1-5 配置NTP客戶端/服務器模式組網圖
(1) 按照圖1-5配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Device A
# 開啟NTP服務。
<DeviceA> system-view
[DeviceA] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[DeviceA] ntp-service refclock-master 2
(3) 配置Device B
# 開啟NTP服務。
<DeviceB> system-view
[DeviceB] ntp-service enable
# 設置Device A為Device B的NTP服務器。
[DeviceB] ntp-service unicast-server 1.0.1.11
# 完成上述配置後,Device B向Device A進行時間同步。同步後查看Device B的NTP狀態。可以看出,Device B已經與Device A同步,層數比Device A的層數大1,為3。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 1.0.1.11
Local mode: client
Reference clock ID: 1.0.1.11
Leap indicator: 00
Clock jitter: 0.000977 s
Stability: 0.000 pps
Clock precision: 2^-18
Root delay: 0.00383 ms
Root dispersion: 16.26572 ms
Reference time: d0c6033f.b9923965 Wed, Dec 29 2019 18:58:07.724
System poll interval: 64 s
# 查看Device B的NTP服務的所有IPv4會話信息,可以看到Device B與Device A建立了會話。
[DeviceB] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[12345]1.0.1.11 127.127.1.0 2 1 64 15 -4.0 0.0038 16.262
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
為了通過IPv6 NTP實現Device B與Device A的時間同步,要求:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· 配置Device B工作在客戶端模式,指定Device A為IPv6 NTP服務器。
圖1-6 配置IPv6 NTP客戶端/服務器模式組網圖
(1) 按照圖1-6配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Device A
# 開啟NTP服務。
<DeviceA> system-view
[DeviceA] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[DeviceA] ntp-service refclock-master 2
(3) 配置Device B
# 開啟NTP服務。
<DeviceB> system-view
[DeviceB] ntp-service enable
# 設置Device A為Device B的IPv6 NTP服務器。
[DeviceB] ntp-service ipv6 unicast-server 3000::34
# 完成上述配置後,Device B向Device A進行時間同步。同步後查看Device B的NTP狀態。可以看出,Device B已經與Device A同步,層數比Device A的層數大1,為3。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3000::34
Local mode: client
Reference clock ID: 163.29.247.19
Leap indicator: 00
Clock jitter: 0.000977 s
Stability: 0.000 pps
Clock precision: 2^-18
Root delay: 0.02649 ms
Root dispersion: 12.24641 ms
Reference time: d0c60419.9952fb3e Wed, Dec 29 2019 19:01:45.598
System poll interval: 64 s
# 查看Device B的NTP服務的所有IPv6會話信息,可以看到Device B與Device A建立了會話。
[DeviceB] display ntp-service ipv6 sessions
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
Source: [12345]3000::34
Reference: 127.127.1.0 Clock stratum: 2
Reachabilities: 15 Poll interval: 64
Last receive time: 19 Offset: 0.0
Roundtrip delay: 0.0 Dispersion: 0.0
Total sessions: 1
網絡中存在時間服務器Device A。為了通過NTP實現Device B與Device A進行時間同步,要求:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· 配置Device A工作在對等體模式,指定Device B為被動對等體,即Device A為主動對等體,Device B為被動對等體。
圖1-7 配置NTP對等體模式組網圖
(1) 按照圖1-7配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Device B
# 開啟NTP服務。
<DeviceB> system-view
[DeviceB] ntp-service enable
(3) 配置Device A
# 開啟NTP服務。
<DeviceA> system-view
[DeviceA] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[DeviceA] ntp-service refclock-master 2
# 設置Device B為被動對等體。Device A處於主動對等體模式。
[DeviceA] ntp-service unicast-peer 3.0.1.32
# 完成上述配置後,Device B選擇Device A作為參考時鍾,與Device A進行時間同步。同步後查看Device B的狀態。可以看出,Device B已經與Device A同步,層數比Device A的層數大1,為3。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3.0.1.31
Local mode: sym_passive
Reference clock ID: 3.0.1.31
Leap indicator: 00
Clock jitter: 0.000916 s
Stability: 0.000 pps
Clock precision: 2^-17
Root delay: 0.00609 ms
Root dispersion: 1.95859 ms
Reference time: 83aec681.deb6d3e5 Wed, Jan 8 2019 14:33:11.081
System poll interval: 64 s
# 查看Device B的NTP服務的IPv4會話信息,可以看到Device B與Device A建立了會話。
[DeviceB] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[12]3.0.1.31 127.127.1.0 2 62 64 34 0.4251 6.0882 1392.1
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
Total sessions: 1
網絡中存在時間服務器Device A。為了通過IPv6 NTP實現Device B與Device A進行時間同步,要求:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· 配置Device A工作在對等體模式,指定Device B為被動對等體,即Device A為主動對等體,Device B為被動對等體。
圖1-8 配置IPv6 NTP對等體模式組網圖
(1) 按照圖1-8配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Device B
# 開啟NTP服務。
<DeviceB> system-view
[DeviceB] ntp-service enable
(3) 配置Device A
# 開啟NTP服務。
<DeviceA> system-view
[DeviceA] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[DeviceA] ntp-service refclock-master 2
# 設置Device B為IPv6被動對等體。Device A處於主動對等體模式。
[DeviceA] ntp-service ipv6 unicast-peer 3000::36
# 完成上述配置後,Device B選擇Device A作為參考時鍾,與Device A進行時間同步。同步後查看Device B的狀態。可以看出,Device B已經與Device A同步,層數比Device A的層數大1,為3。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3000::35
Local mode: sym_passive
Reference clock ID: 251.73.79.32
Leap indicator: 11
Clock jitter: 0.000977 s
Stability: 0.000 pps
Clock precision: 2^-18
Root delay: 0.01855 ms
Root dispersion: 9.23483 ms
Reference time: d0c6047c.97199f9f Wed, Dec 29 2019 19:03:24.590
System poll interval: 64 s
# 查看Device B的NTP服務的IPv6會話信息,可以看到Device B與Device A建立了會話。
[DeviceB] display ntp-service ipv6 sessions
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
Source: [1234]3000::35
Reference: 127.127.1.0 Clock stratum: 2
Reachabilities: 15 Poll interval: 64
Last receive time: 19 Offset: 0.0
Roundtrip delay: 0.0 Dispersion: 0.0
Total sessions: 1
為了實現Switch C作為同一網段中多個設備的時間服務器,同時同步多個設備的時間,要求:
· 在Switch C上設置本地時鍾作為參考時鍾,層數為2;
· Switch C工作在廣播服務器模式,從VLAN接口2向外廣播發送NTP報文;
· Switch A和Switch B工作在廣播客戶端模式,分別從各自的VLAN接口2監聽NTP廣播報文。
圖1-9 配置NTP廣播模式組網圖
(1) 按照圖1-9配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Switch C
# 開啟NTP服務。
<SwitchC> system-view
[SwitchC] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[SwitchC] ntp-service refclock-master 2
# 設置Switch C為廣播服務器,從VLAN接口2發送廣播報文。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ntp-service broadcast-server
(3) 配置Switch A
# 開啟NTP服務。
<SwitchA> system-view
[SwitchA] ntp-service enable
# 設置Switch A為廣播客戶端,從VLAN接口2監聽廣播報文。
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ntp-service broadcast-client
(4) 配置Switch B
# 開啟NTP服務。
<SwitchB> system-view
[SwitchB] ntp-service enable
# 設置Switch B為廣播客戶端,從VLAN接口2監聽廣播報文。
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ntp-service broadcast-client
# Switch A和Switch B接收到Switch C發出的廣播報文後,與其同步。以Switch A為例,同步後查看Switch A的狀態。可以看出,Switch A已經與Switch C同步,層數比Switch C的層數大1,為3。
[SwitchA-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3.0.1.31
Local mode: bclient
Reference clock ID: 3.0.1.31
Leap indicator: 00
Clock jitter: 0.044281 s
Stability: 0.000 pps
Clock precision: 2^-18
Root delay: 0.00229 ms
Root dispersion: 4.12572 ms
Reference time: d0d289fe.ec43c720 Sat, Jan 8 2019 7:00:14.922
System poll interval: 64 s
# 查看Switch A的NTP服務的IPv4會話信息,可以看到Switch A與Switch C建立了會話。
[SwitchA-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[1245]3.0.1.31 127.127.1.0 2 1 64 519 -0.0 0.0022 4.1257
Notes: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured.
為了實現Switch C作為不同網段中多個設備的時間服務器,同時同步多個設備的時間,要求:
· 在Switch C上設置本地時鍾作為參考時鍾,層數為2;
· Switch C工作在組播服務器模式,從VLAN接口2向外組播發送NTP報文;
· Switch A和Switch D工作在組播客戶端模式,Switch A從VLAN接口3監聽NTP組播報文,Switch D從VLAN接口2監聽NTP組播報文。
圖1-10 配置NTP組播模式組網圖
(1) 按照圖1-10配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Switch C
# 開啟NTP服務。
<SwitchC> system-view
[SwitchC] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[SwitchC] ntp-service refclock-master 2
# 設置Switch C為組播服務器,從VLAN接口2發送組播報文。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ntp-service multicast-server
(3) 配置Switch D
# 開啟NTP服務。
<SwitchD> system-view
[SwitchD] ntp-service enable
# 設置Switch D為組播客戶端,從VLAN接口2監聽組播報文。
[SwitchD] interface vlan-interface 2
[SwitchD-Vlan-interface2] ntp-service multicast-client
(4) 驗證配置一
# 由於Switch D和Switch C在同一個網段,不需要配置組播功能,Switch D就可以收到Switch C發出的組播報文,並與其同步。同步後查看Switch D的狀態。可以看出,Switch D已經與Switch C同步,層數比Switch C的層數大1,為3。
[SwitchD-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3.0.1.31
Local mode: bclient
Reference clock ID: 3.0.1.31
Leap indicator: 00
Clock jitter: 0.044281 s
Stability: 0.000 pps
Clock precision: 2^-18
Root delay: 0.00229 ms
Root dispersion: 4.12572 ms
Reference time: d0d289fe.ec43c720 Sat, Jan 8 2019 7:00:14.922
System poll interval: 64 s
# 查看Switch D的NTP服務的所有IPv4會話信息,可以看到Switch D與Switch C建立了會話。
[SwitchD-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[1245]3.0.1.31 127.127.1.0 2 1 64 519 -0.0 0.0022 4.1257
Notes: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured.
Total sessions: 1
(5) 配置Switch B
由於Switch A與Switch C不在同一網段,所以Switch B上需要配置組播功能,否則Switch A收不到Switch C發出的組播報文。
# 配置組播功能。
<SwitchB> system-view
[SwitchB] multicast routing
[SwitchB-mrib] quit
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] pim dm
[SwitchB-Vlan-interface2] quit
[SwitchB] vlan 3
[SwitchB-vlan3] port gigabitethernet 1/0/1
[SwitchB-vlan3] quit
[SwitchB] interface vlan-interface 3
[SwitchB-Vlan-interface3] igmp enable
[SwitchB-Vlan-interface3] igmp static-group 224.0.1.1
[SwitchB-Vlan-interface3] quit
[SwitchB] igmp-snooping
[SwitchB-igmp-snooping] quit
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] igmp-snooping static-group 224.0.1.1 vlan 3
(6) 配置Switch A
# 開啟NTP服務。
<SwitchA> system-view
[SwitchA] ntp-service enable
# 設置Switch A為組播客戶端,從VLAN接口3監聽組播報文。
[SwitchA] interface vlan-interface 3
[SwitchA-Vlan-interface3] ntp-service multicast-client
(7) 驗證配置二
# 同步後查看Switch A的狀態。可以看出,Switch A已經與Switch C同步,層數比Switch C的層數大1,為3。
[SwitchA-Vlan-interface3] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3.0.1.31
Local mode: bclient
Reference clock ID: 3.0.1.31
Leap indicator: 00
Clock jitter: 0.165741 s
Stability: 0.000 pps
Clock precision: 2^-18
Root delay: 0.00534 ms
Root dispersion: 4.51282 ms
Reference time: d0c61289.10b1193f Wed, Dec 29 2019 20:03:21.065
System poll interval: 64 s
# 查看Switch A的NTP服務的所有IPv4會話信息,可以看到Switch A與Switch C建立了會話。
[SwitchA-Vlan-interface3] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[1234]3.0.1.31 127.127.1.0 2 247 64 381 -0.0 0.0053 4.5128
Notes: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured.
Total sessions: 1
為了實現Switch C作為不同網段中多個設備的時間服務器,同時同步多個設備的時間,要求:
· 在Switch C上設置本地時鍾作為參考時鍾,層數為2;
· Switch C工作在IPv6組播服務器模式,從VLAN接口2向外組播發送IPv6 NTP報文;
· Switch A和Switch D工作在IPv6組播客戶端模式,Switch A從VLAN接口3監聽IPv6 NTP組播報文,Switch D從VLAN接口2監聽IPv6 NTP組播報文。
圖1-11 配置IPv6 NTP組播模式組網圖
(1) 按照圖1-11配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Switch C
# 開啟NTP服務。
<SwitchC> system-view
[SwitchC] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[SwitchC] ntp-service refclock-master 2
# 設置Switch C為IPv6組播服務器,從VLAN接口2向組播地址FF24::1發送NTP報文。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ntp-service ipv6 multicast-server ff24::1
(3) 配置Switch D
# 開啟NTP服務。
<SwitchD> system-view
[SwitchD] ntp-service enable
# 設置Switch D為IPv6組播客戶端,在VLAN接口2監聽目的地址為FF24::1的NTP組播報文。
[SwitchD] interface vlan-interface 2
[SwitchD-Vlan-interface2] ntp-service ipv6 multicast-client ff24::1
(4) 驗證配置一
# 由於Switch D和Switch C在同一個網段,不需要配置IPv6組播功能,Switch D就可以收到Switch C發出的IPv6組播報文,並與其同步。同步後查看Switch D的狀態。Switch D已經與Switch C同步,層數比Switch C的層數大1,為3。
[SwitchD-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3000::2
Local mode: bclient
Reference clock ID: 165.84.121.65
Leap indicator: 00
Clock jitter: 0.000977 s
Stability: 0.000 pps
Clock precision: 2^-18
Root delay: 0.00000 ms
Root dispersion: 8.00578 ms
Reference time: d0c60680.9754fb17 Wed, Dec 29 2019 19:12:00.591
System poll interval: 64 s
# 查看Switch D的NTP服務的所有IPv6會話信息,可以看到Switch D與Switch C建立了會話。
[SwitchD-Vlan-interface2] display ntp-service ipv6 sessions
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
Source: [1234]3000::2
Reference: 127.127.1.0 Clock stratum: 2
Reachabilities: 111 Poll interval: 64
Last receive time: 23 Offset: -0.0
Roundtrip delay: 0.0 Dispersion: 0.0
Total sessions: 1
(5) 配置Switch B
由於Switch A與Switch C不在同一網段,所以Switch B上需要配置IPv6組播功能,否則Switch A收不到Switch C發出的IPv6組播報文。
# 配置IPv6組播功能。
<SwitchB> system-view
[SwitchB] ipv6 multicast routing
[SwitchB-mrib6] quit
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ipv6 pim dm
[SwitchB-Vlan-interface2] quit
[SwitchB] vlan 3
[SwitchB-vlan3] port gigabitethernet 1/0/1
[SwitchB-vlan3] quit
[SwitchB] interface vlan-interface 3
[SwitchB-Vlan-interface3] mld enable
[SwitchB-Vlan-interface3] mld static-group ff24::1
[SwitchB-Vlan-interface3] quit
[SwitchB] mld-snooping
[SwitchB-mld-snooping] quit
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] mld-snooping static-group ff24::1 vlan 3
(6) 配置Switch A
# 開啟NTP服務。
<SwitchA> system-view
[SwitchA] ntp-service enable
# 設置Switch A為IPv6組播客戶端,在VLAN接口3監聽目的地址為FF24::1的NTP組播報文。
[SwitchA] interface vlan-interface 3
[SwitchA-Vlan-interface3] ntp-service ipv6 multicast-client ff24::1
(7) 驗證配置二
# 同步後查看Switch A的狀態。可以看出,Switch A已經與Switch C同步,層數比Switch C的層數大1,為3。
[SwitchA-Vlan-interface3] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3000::2
Local mode: bclient
Reference clock ID: 165.84.121.65
Leap indicator: 00
Clock jitter: 0.165741 s
Stability: 0.000 pps
Clock precision: 2^-18
Root delay: 0.00534 ms
Root dispersion: 4.51282 ms
Reference time: d0c61289.10b1193f Wed, Dec 29 2019 20:03:21.065
System poll interval: 64 s
# 查看Switch A的NTP服務的IPv6會話信息,可以看到Switch A與Switch C建立了會話。
[SwitchA-Vlan-interface3] display ntp-service ipv6 sessions
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
Source: [124]3000::2
Reference: 127.127.1.0 Clock stratum: 2
Reachabilities: 2 Poll interval: 64
Last receive time: 71 Offset: -0.0
Roundtrip delay: 0.0 Dispersion: 0.0
Total sessions: 1
為了通過NTP實現Device B與Device A的時間同步,並保證時間同步的安全性,要求:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· Device B工作在客戶端模式,指定Device A為NTP服務器;
· Device A和Device B上同時配置NTP驗證。
圖1-12 配置帶身份驗證的NTP客戶端/服務器模式組網圖
(1) 按照圖1-12配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Device A的本地時鍾作為參考時鍾
# 開啟NTP服務。
<DeviceA> system-view
[DeviceA] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[DeviceA] ntp-service refclock-master 2
(3) 配置Device B
# 開啟NTP服務。
<DeviceB> system-view
[DeviceB] ntp-service enable
# 在Device B上啟動NTP驗證功能。
[DeviceB] ntp-service authentication enable
# 創建編號為42的NTP驗證密鑰,密鑰值為aNiceKey,以明文形式輸入。
[DeviceB] ntp-service authentication-keyid 42 authentication-mode md5 simple aNiceKey
# 配置編號為42的密鑰為可信密鑰。
[DeviceB] ntp-service reliable authentication-keyid 42
# 設置Device A為Device B的NTP服務器,並將該服務器與編號為42的密鑰關聯。
[DeviceB] ntp-service unicast-server 1.0.1.11 authentication-keyid 42
以上配置將使得Device B與Device A進行時間同步,但由於Device A沒有開啟NTP身份驗證,所以,Device B還是無法與Device A同步。
(4) 在Device A上配置NTP驗證功能。
# 在Device A上啟動NTP驗證功能。
[DeviceA] ntp-service authentication enable
# 創建編號為42的NTP驗證密鑰,密鑰值為aNiceKey,以明文形式輸入。
[DeviceA] ntp-service authentication-keyid 42 authentication-mode md5 simple aNiceKey
# 配置編號為42的密鑰為可信密鑰。
[DeviceA] ntp-service reliable authentication-keyid 42
# 完成上述配置後,Device B可以與Device A的時間同步。同步後查看Device B的狀態。可以看出,Device B已經與Device A同步,層數比Device A的層數大1,為3。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 1.0.1.11
Local mode: client
Reference clock ID: 1.0.1.11
Leap indicator: 00
Clock jitter: 0.005096 s
Stability: 0.000 pps
Clock precision: 2^-18
Root delay: 0.00655 ms
Root dispersion: 1.15869 ms
Reference time: d0c62687.ab1bba7d Wed, Dec 29 2019 21:28:39.668
System poll interval: 64 s
# 查看Device B的NTP服務的所有IPv4會話信息,可以看到Device B與Device A建立了會話。
[DeviceB] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[1245]1.0.1.11 127.127.1.0 2 1 64 519 -0.0 0.0065 0.0
Notes: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured.
Total sessions: 1
Switch C作為同一網段中多個設備的時間服務器,同時同步多個設備的時間。Switch A和Switch B要求對時間服務器進行驗證,以保證時間同步的安全性。為了實現上述需求,要求:
· 在Switch C上設置本地時鍾作為參考時鍾,層數為3;
· Switch C工作在廣播服務器模式,從VLAN接口2向外廣播發送NTP報文;
· Switch A和Switch B工作在廣播客戶端模式,從VLAN接口2監聽NTP廣播報文;
· 在Switch A、Switch B和Switch C上配置NTP驗證功能。
圖1-13 配置帶身份驗證的NTP廣播模式組網圖
(1) 按照圖1-13配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Switch A
# 開啟NTP服務。
<SwitchA> system-view
[SwitchA] ntp-service enable
# 開啟NTP驗證功能,創建ID為88的NTP驗證密鑰,密鑰值為123456,以明文形式輸入,並將密鑰88指定為可信密鑰。
[SwitchA] ntp-service authentication enable
[SwitchA] ntp-service authentication-keyid 88 authentication-mode md5 simple 123456
[SwitchA] ntp-service reliable authentication-keyid 88
# 設置Switch A為NTP廣播客戶端,從VLAN接口2監聽廣播報文。
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ntp-service broadcast-client
(3) 配置Switch B
# 開啟NTP服務。
<SwitchB> system-view
[SwitchB] ntp-service enable
# 開啟NTP驗證功能,創建ID為88的NTP驗證密鑰,密鑰值為123456,以明文形式輸入,並將密鑰88指定為可信密鑰。
[SwitchB] ntp-service authentication enable
[SwitchB] ntp-service authentication-keyid 88 authentication-mode md5 simple 123456
[SwitchB] ntp-service reliable authentication-keyid 88
# 設置Switch B為NTP廣播客戶端,從VLAN接口2監聽廣播報文。
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ntp-service broadcast-client
(4) 配置Switch C作為NTP廣播服務器
# 開啟NTP服務。
<SwitchC> system-view
[SwitchC] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為3。
[SwitchC] ntp-service refclock-master 3
# 設置Switch C為NTP廣播服務器,從VLAN接口2向外發送廣播報文。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ntp-service broadcast-server
[SwitchC-Vlan-interface2] quit
(5) 驗證配置一
# 由於Switch A和Switch B上開啟了NTP驗證功能,Switch C上沒有開啟NTP驗證功能。因此,Switch A和Switch B無法與Switch C的時間同步。以Switch B為例,查看NTP服務的狀態。
[SwitchB-Vlan-interface2] display ntp-service status
Clock status: unsynchronized
Clock stratum: 16
Reference clock ID: none
(6) 在Switch C上配置NTP驗證功能
# 在Switch C上開啟NTP驗證功能,創建ID為88的NTP驗證密鑰,密鑰值為123456,以明文形式輸入,並將密鑰88指定為可信密鑰。
[SwitchC] ntp-service authentication enable
[SwitchC] ntp-service authentication-keyid 88 authentication-mode md5 simple 123456
[SwitchC] ntp-service reliable authentication-keyid 88
# 設置Switch C為NTP廣播服務器並指定關聯的密鑰編號為88。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ntp-service broadcast-server authentication-keyid 88
(7) 驗證配置二
# 在Switch C上開啟NTP驗證功能後,Switch A和Switch B可以與Switch C的時間同步。以Switch B為例,查看NTP服務的狀態信息,可以看到Switch B已經與Switch C同步,層數比Switch C的層數大1,為4。
[SwitchB-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 4
System peer: 3.0.1.31
Local mode: bclient
Reference clock ID: 3.0.1.31
Leap indicator: 00
Clock jitter: 0.006683 s
Stability: 0.000 pps
Clock precision: 2^-18
Root delay: 0.00127 ms
Root dispersion: 2.89877 ms
Reference time: d0d287a7.3119666f Sat, Jan 8 2019 6:50:15.191
System poll interval: 64 s
# 查看Switch B的NTP服務的所有IPv4會話信息,可以看到Switch B與Switch C建立了連接。
[SwitchB-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[1245]3.0.1.31 127.127.1.0 3 3 64 68 -0.0 0.0000 0.0
Notes: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured.
Total sessions: 1
PE 1和PE 2上同時存在兩個VPN實例:VPN 1和VPN 2。CE 1和CE 3是VPN 1內的設備。為了通過NTP實現PE 2與VPN 1內的CE 1時間同步,要求:
· 在CE 1上設置本地時鍾作為參考時鍾,層數為2;
· 采用客戶端/服務器模式實現PE 2向CE 1進行時間同步,並指定VPN實例為VPN 1。
圖1-14 配置MPLS VPN網絡的時間同步組網圖
在下麵的配置之前,MPLS VPN的相關配置必須完成。MPLS VPN的配置方法請參見“MPLS配置指導”中的“MPLS L3VPN”。
(1) 按照表1-16配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置CE 1
# 開啟NTP服務。
<CE1> system-view
[CE1] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[CE1] ntp-service refclock-master 2
(3) 配置PE 2
# 開啟NTP服務。
<PE2> system-view
[PE2] ntp-service enable
# 設置VPN 1中的CE 1為PE 2的NTP服務器。
[PE2] ntp-service unicast-server 10.1.1.1 vpn-instance vpn1
# 經過一段時間之後在PE 2上可以查看NTP服務的狀態信息,可以看出PE 2已經同步到CE 1了,層數為3。
[PE2] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 10.1.1.1
Local mode: client
Reference clock ID: 10.1.1.1
Leap indicator: 00
Clock jitter: 0.005096 s
Stability: 0.000 pps
Clock precision: 2^-18
Root delay: 0.00655 ms
Root dispersion: 1.15869 ms
Reference time: d0c62687.ab1bba7d Wed, Dec 29 2019 21:28:39.668
System poll interval: 64 s
# 查看PE 2的NTP服務的所有IPv4會話信息,可以看到PE 2與CE 1建立了連接。
[PE2] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[1245]10.1.1.1 127.127.1.0 2 1 64 519 -0.0 0.0065 0.0
Notes: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured.
Total sessions: 1
# 查看從本地設備回溯到主時間服務器的各個NTP時間服務器的簡要信息,可以看到服務器127.0.0.1的同步鏈:服務器127.0.0.1同步到服務器10.1.1.1,服務器10.1.1.1從本地時鍾得到同步。
[PE2] display ntp-service trace
Server 127.0.0.1
Stratum 3 , jitter 0.000, synch distance 796.50.
Server 10.1.1.1
Stratum 2 , jitter 939.00, synch distance 0.0000.
RefID 127.127.1.0
PE 1和PE 2上同時存在兩個VPN實例:VPN 1和VPN 2。CE 1和CE 3是VPN 1內的設備。為了通過NTP實現PE 1與VPN 1內的CE 1時間同步,要求:
· 在CE 1上設置本地時鍾作為參考時鍾,層數為2;
· 采用對等體模式實現PE 1向CE 1進行時間同步,並指定VPN實例為VPN 1。
圖1-15 配置采用對等體模式實現MPLS VPN網絡的時間同步組網圖
在下麵的配置之前,MPLS VPN的相關配置必須完成。
(1) 按照圖1-15配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置CE 1
# 開啟NTP服務。
<CE1> system-view
[CE1] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[CE1] ntp-service refclock-master 2
(3) 配置PE 1
# 開啟NTP服務。
<PE1> system-view
[PE1] ntp-service enable
# 設置VPN 1中的CE 1為PE 1的被動對等體。
[PE1] ntp-service unicast-peer 10.1.1.1 vpn-instance vpn1
# 經過一段時間之後在PE 1上可以查看NTP服務的狀態信息,可以看出PE 1已經同步到CE 1了,層數為3。
[PE1] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 10.1.1.1
Local mode: sym_active
Reference clock ID: 10.1.1.1
Leap indicator: 00
Clock jitter: 0.005096 s
Stability: 0.000 pps
Clock precision: 2^-18
Root delay: 0.00655 ms
Root dispersion: 1.15869 ms
Reference time: d0c62687.ab1bba7d Wed, Dec 29 2019 21:28:39.668
System poll interval: 64 s
# 查看PE 1的NTP服務的所有IPv4會話信息,可以看到PE 1與CE 1建立了連接。
[PE1] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[1245]10.1.1.1 127.127.1.0 2 1 64 519 -0.0 0.0000 0.0
Notes: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured.
Total sessions: 1
# 查看從本地設備回溯到主時間服務器的各個NTP時間服務器的簡要信息,可以看到服務器127.0.0.1的同步鏈:服務器127.0.0.1同步到服務器10.1.1.1,服務器10.1.1.1從本地時鍾得到同步。
[PE1] display ntp-service trace
Server 127.0.0.1
Stratum 3 , jitter 0.000, synch distance 796.50.
Server 10.1.1.1
Stratum 2 , jitter 939.00, synch distance 0.0000.
RefID 127.127.1.0
設備上不能同時配置NTP和SNTP功能。
NTP時間同步過程中需要進行複雜的時鍾優選運算,時間同步速度較慢,並且占用較多的係統資源。SNTP(Simple NTP,簡單NTP)是由RFC 4330定義的客戶端版本的簡單NTP,采用與NTP相同的報文格式及交互過程,但簡化了NTP的時間同步過程,以犧牲時間精度為代價實現了時間的快速同步,並減少了占用的係統資源。在時間精度要求不高的情況下,可以使用SNTP來實現時間同步。
SNTP隻支持客戶端/服務器模式,在模式中提供客戶端功能,即作為客戶端,從NTP服務器獲得時間同步,不能作為服務器為其他設備提供時間同步。
如果同時為SNTP客戶端指定了多個NTP服務器,則SNTP客戶端根據如下方法選擇與哪個服務器的時間同步:
(1) 優先選擇時鍾層數值最小的NTP服務器。
(2) 如果時鍾層數相同,則選擇接收到的第一個NTP報文對應的NTP服務器。
與SNTP相關的協議規範有:
· RFC 4330:Simple Network Time Protocol (SNTP) Version 4 for IPv4, IPv6 and OSI
由於FIPS模式對安全要求更高,所以,設備運行於FIPS模式時,
· SNTP僅支持使用版本3和4的NTP報文,不支持使用版本1和2的NTP報文。
· SNTP支持HMAC-SHA-1、HMAC-SHA-256、HMAC-SHA-384、HMAC-SHA-512身份驗證算法,不支持MD5身份驗證算法。
有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
表2-1 SNTP配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
開啟SNTP服務 |
必選 |
2.4 |
|
為SNTP客戶端指定NTP服務器 |
必選 |
2.5 |
|
配置SNTP驗證功能 |
可選 |
2.6 |
|
廣播模式下的SNTP配置 |
可選 |
|
|
控製SNTP同步時的日誌和告警信息的打印 |
可選 |
NTP服務與SNTP服務互斥,同一時刻隻能開啟其中一個服務。
表2-2 開啟NTP客戶端
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟SNTP服務 |
sntp enable |
缺省情況下, SNTP服務處於關閉狀態 |
NTP服務器的時鍾隻有處於同步狀態時,才能作為時間服務器為SNTP客戶端提供時間同步。當NTP服務器的時鍾層數大於或等於客戶端的時鍾層數時,客戶端將不會與其同步。
表2-3 為SNTP客戶端指定NTP服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為設備指定NTP服務器 |
sntp unicast-server { server-name | ip-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | source interface-type interface-number | version number ] * |
缺省情況下,未指定NTP服務器 可以通過多次執行sntp [ ipv6 ] unicast-server命令配置多個NTP服務器 authentication-keyid參數用來將指定密鑰與對應的NTP服務器關聯。使用驗證功能時,需要指定本參數 |
|
為設備指定IPv6 NTP服務器 |
sntp ipv6 unicast-server { server-name | ipv6-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | source interface-type interface-number ] * |
在一些對時間同步安全性要求較高的網絡中,運行SNTP協議時需要啟用驗證功能。通過客戶端和服務器端的身份驗證,保證客戶端隻與通過驗證的服務器進行時間同步,提高了網絡安全性。
要使SNTP驗證功能正常工作,在配置SNTP驗證功能時應注意以下原則:
· 在NTP服務器和SNTP客戶端上都需要開啟驗證功能。
· NTP服務器和SNTP客戶端上必須配置相同的驗證密鑰(包括密鑰ID和密鑰值),並將密鑰設為可信密鑰。NTP服務器上驗證功能的配置方法,請參見“網絡管理與監控配置指導”中的“NTP”。
· 在客戶端需要將指定密鑰與對應的NTP服務器關聯。
如果客戶端沒有成功啟用SNTP驗證功能,不論服務器端是否開啟驗證功能,客戶端均可以與服務器端同步。
表2-4 在SNTP客戶端配置驗證功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟SNTP身份驗證功能 |
sntp authentication enable |
缺省情況下,SNTP身份驗證功能處於關閉狀態 |
|
配置SNTP身份驗證密鑰 |
sntp authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] * |
缺省情況下,未配置SNTP身份驗證密鑰 |
|
配置指定密鑰為可信密鑰 |
sntp reliable authentication-keyid keyid |
缺省情況下,未指定可信密鑰 |
|
將指定密鑰與對應的NTP服務器關聯 |
sntp unicast-server { server-name | ip-address } [ vpn-instance vpn-instance-name ] authentication-keyid keyid |
缺省情況下,未指定NTP服務器 |
|
將指定密鑰與對應的IPv6 NTP服務器關聯 |
sntp ipv6 unicast-server { server-name | ipv6-address } [ vpn-instance vpn-instance-name ] authentication-keyid keyid |
在SNTP廣播模式下,設備僅支持作為SNTP廣播客戶端,去同步NTP廣播服務器的時鍾。
表2-5 配置設備工作在SNTP廣播客戶端模式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入要接收NTP廣播報文的接口 |
interface interface-type interface-number |
- |
|
配置設備工作在SNTP廣播客戶端模式,並使用當前接口接收SNTP廣播報文 |
sntp broadcast-client |
缺省情況下,未配置NTP工作模式 |
在一些對時間同步安全性要求較高的網絡中,運行SNTP協議時需要啟用驗證功能。通過客戶端和服務器端的身份驗證,保證客戶端隻與通過驗證的服務器進行時間同步,提高了網絡安全性。
· 在NTP廣播服務器和SNTP廣播客戶端上都需要開啟驗證功能。
· NTP廣播服務器和SNTP廣播客戶端上必須配置相同的驗證密鑰(包括密鑰ID、驗證算法及密鑰值),並將密鑰設為可信密鑰。NTP服務器上驗證功能的配置方法,請參見“配置客戶端/服務器模式的NTP驗證功能”。
· 如果客戶端沒有成功啟用SNTP驗證功能,不論服務器端是否開啟驗證功能,客戶端均可以與服務器端同步。
表2-6 配置廣播模式下的SNTP驗證功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟SNTP身份驗證功能 |
sntp authentication enable |
缺省情況下,SNTP身份驗證功能處於關閉狀態 |
|
配置SNTP身份驗證密鑰 |
sntp authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] * |
缺省情況下,未配置SNTP身份驗證密鑰 |
|
配置指定密鑰為可信密鑰 |
sntp reliable authentication-keyid keyid |
缺省情況下,未指定可信密鑰 |
缺省情況下,SNTP客戶端與服務器端的時間差經過多次采樣得到的時間偏移超過128ms時,客戶端將進行一次時間同步,並打印日誌信息和告警信息。配置本功能後,SNTP客戶端與服務器端的時間差經過多次采樣得到的時間偏移超過128ms時,客戶端將進行一次時間同步,但是時間偏移大於log-threshold時,才會打印日誌;時間偏移大於trap-threshold時,才會打印告警信息。
表2-7 控製SNTP同步時的日誌和告警信息打印
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為設備指定NTP服務器 |
sntp time-offset-threshold { log log-threshold | trap trap-threshold } * |
缺省情況下,未配置打印日誌和告警信息的時間偏移閾值 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後SNTP的運行情況,通過查看顯示信息驗證配置的效果。
表2-8 SNTP顯示與維護
|
操作 |
命令 |
|
顯示SNTP服務維護的IPv6會話信息 |
display sntp ipv6 sessions |
|
顯示SNTP服務維護的IPv4會話信息 |
display sntp sessions |
Device B對時間精度要求不高。為了實現Device B與Device A的時間同步,要求:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· Device B工作在SNTP客戶端模式,指定Device A為NTP服務器。
· Device B要求對NTP服務器進行驗證,以保證時間同步的安全性。
圖2-1 SNTP配置組網圖
(1) 按照圖2-1配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Device A
# 開啟NTP服務。
<DeviceA> system-view
[DeviceA] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[DeviceA] ntp-service refclock-master 2
# 在Device A上啟動NTP驗證功能。
[DeviceA] ntp-service authentication enable
# 創建編號為10的NTP驗證密鑰,密鑰值為aNiceKey,以明文形式輸入。
[DeviceA] ntp-service authentication-keyid 10 authentication-mode md5 simple aNiceKey
# 設置編號為10的密鑰為可信密鑰。
[DeviceA] ntp-service reliable authentication-keyid 10
(3) 配置Device B
# 開啟SNTP服務。
<DeviceB> system-view
[DeviceB] sntp enable
# 在Device B上啟動SNTP驗證功能。
[DeviceB] sntp authentication enable
# 創建編號為10的SNTP驗證密鑰,密鑰值為aNiceKey,以明文形式輸入。
[DeviceB] sntp authentication-keyid 10 authentication-mode md5 simple aNiceKey
# 設置編號為10的密鑰為可信密鑰。
[DeviceB] sntp reliable authentication-keyid 10
# 設置Device A為Device B的NTP服務器,並將該服務器與編號為10的密鑰關聯。
[DeviceB] sntp unicast-server 1.0.1.11 authentication-keyid 10
# 查看Device B的SNTP會話信息,可以看到Device B與Device A建立了會話,並且處於已同步狀態。
[DeviceB] display sntp sessions
SNTP server Stratum Version Last receive time
1.0.1.11 2 4 Tue, May 17 2019 9:11:20.833 (Synced)
局域網中的設備,Switch A性能更好,作為時鍾源,為局域網中的其它設備提供NTP時鍾。要求:
· 在Switch A上設置本地時鍾作為參考時鍾,層數為2;
· Switch A工作在廣播服務器模式,從VLAN接口2向外廣播發送NTP報文;
· Switch B和Switch C工作在廣播客戶端模式,分別從各自的VLAN接口2監聽NTP廣播報文。
圖2-2 SNTP廣播模式組網圖
(1) 配置Switch A
# 配置設備使用本地時鍾。
<SwitchA> system-view
[SwitchA] clock protocol none
# 校準本地係統時間,假設當前的係統時間為2022年11月17日8時8分8秒。
[SwitchA] quit
<SwitchA> clock datetime 8:8:8 11/17/2022
# 開啟NTP服務。
<SwitchA> system-view
[SwitchA] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[SwitchA] ntp-service refclock-master 2
# 創建VLAN 2,使用VLAN接口2發送NTP廣播報文,並將連接Switch B的接口GigabitEthernet1/0/2和連接Switch C的接口GigabitEthernet1/0/3加入VLAN 2。
[SwitchA] vlan 2
[SwitchA-vlan2] port gigabitethernet 1/0/2 gigabitethernet 1/0/3
[SwitchA-vlan2] quit
# 設置Switch A為NTP廣播服務器,從VLAN接口2發送NTP廣播報文。
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 3.0.1.31 24
[SwitchA-Vlan-interface2] ntp-service broadcast-server
[SwitchA-Vlan-interface2] quit
(2) 配置Switch B
# 開啟SNTP服務。
<SwitchB> system-view
[SwitchB] sntp enable
# 配置通過NTP協議獲取時間。
[SwitchB] clock protocol ntp
# 創建VLAN 2,使用VLAN接口2接收NTP廣播報文,並將連接Switch A的接口GigabitEthernet1/0/2加入VLAN 2。
[SwitchA] vlan 2
[SwitchA-vlan2] port gigabitethernet 1/0/2
[SwitchA-vlan2] quit
# 設置Switch B為SNTP廣播客戶端,從VLAN接口2監聽NTP廣播報文。
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ip address 3.0.1.32 24
[SwitchB-Vlan-interface2] sntp broadcast-client
[SwitchB-Vlan-interface2] quit
(3) 配置Switch C
# 開啟NTP服務。
<SwitchC> system-view
[SwitchC] sntp enable
# 配置通過NTP協議獲取時間。
[SwitchC] clock protocol ntp
# 創建VLAN 2,使用VLAN接口2接收NTP廣播報文,並將連接Switch A的接口GigabitEthernet1/0/3加入VLAN 2。
[SwitchA] vlan 2
[SwitchA-vlan2] port gigabitethernet 1/0/3
[SwitchA-vlan2] quit
# 設置Switch C為SNTP廣播客戶端,從VLAN接口2監聽NTP廣播報文。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ip address 3.0.1.33 24
[SwitchC-Vlan-interface2] sntp broadcast-client
[SwitchC-Vlan-interface2] quit
# 查看Switch B、Switch C的SNTP會話信息,可以看到Switch B、Switch C已經與Switch A建立了會話,並且處於已同步狀態。(下麵以Switch B上的顯示為例)
[SwitchB] display sntp sessions
SNTP server Stratum Version Poll Last receive time
3.0.1.31 2 4 64 Thu, Nov 17 2022 08:08:40.442 (Synced)
# 查看Switch B、Switch C的當前係統時鍾,可以看到Switch B、Switch C與Switch A的係統時間一致。(下麵以Switch B上的顯示為例)
[SwitchB] display clock
08:08:45.120 UTC Thu 11/17/2022
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
