- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-NTP配置
本章節下載: 03-NTP配置 (862.65 KB)
目 錄
在大型的網絡中,如果依靠管理員手工配置來修改網絡中各台設備的係統時間,不但工作量巨大,而且也不能保證時間的精確性。NTP(Network Time Protocol,網絡時間協議)可以用來在分布式時間服務器和客戶端之間進行時間同步,使網絡內所有設備的時間保持一致,並提供較高的時間同步精度。NTP采用的傳輸層協議為UDP,使用的UDP端口號為123。
這裏的“分布式”指的是運行NTP的設備既可以與其他設備的時間同步,又可以作為時間服務器為其他設備提供時間同步。
NTP主要應用於需要網絡中所有設備的時間保持一致的場合,比如:
· 需要以時間作為依據,對從不同設備采集來的日誌信息、調試信息進行分析的網絡管理係統。
· 對設備時間一致性有要求的計費係統。
· 多個係統協同處理同一個比較複雜的事件的場合。此時,為保證正確的執行順序,多個係統的時間必須保持一致。
NTP的基本工作原理如圖1-1所示。Device A和Device B通過網絡相連,Device A和Device B的時間不同,需要通過NTP實現時間的自動同步。為便於理解,作如下假設:
· 在Device A和Device B的時間同步之前,Device A的時間設定為10:00:00 am,Device B的時間設定為11:00:00 am。
· Device B作為NTP時間服務器,即Device A與Device B的時間同步。
· NTP報文從Device A到Device B、從Device B到Device A單向傳輸所需要的時間均為1秒。
· Device B處理NTP報文所需的時間是1秒。
圖1-1 NTP基本工作原理圖
Device A和Device B時間同步的工作過程如下:
(1) Device A發送一個NTP報文給Device B,該報文帶有它離開Device A時的時間戳,該時間戳為10:00:00 am(T1)。
(2) 當此NTP報文到達Device B時,Device B在NTP報文上增加該報文到達Device B時的時間戳,該時間戳為11:00:01 am(T2)。
(3) 當此NTP報文離開Device B時,Device B再在NTP報文上增加該報文離開Device B時的時間戳,該時間戳為11:00:02 am(T3)。
(4) 當Device A接收到該響應報文時,Device A的本地時間為10:00:03 am(T4)。
至此,Device A可以根據上述時間戳計算兩個重要的參數:
· NTP報文的往返時延Delay = (T4 – T1) – (T3 – T2) = 2秒。
· Device A相對Device B的時間差Offset = ((T2 – T1) + (T3 – T4)) / 2 = 1小時。
這樣,Device A就能夠根據這些信息來設定自己的時間,使之與Device B的時間同步。
以上內容隻是對NTP工作原理的一個粗略描述,詳細內容請參閱相關的協議規範。
設備作為NTP客戶端時,要求NTP服務器的時鍾層數必須大於等於0小於等於14。如果NTP服務器的時鍾層數大於14,則不同步該NTP服務器的時鍾。可登錄NTP服務器並執行ntp-service refclock-master命令修改NTP服務器的時鍾層數。
· 對於IPv4 NTP功能,在設備上執行display ntp-service sessions命令,通過顯示信息中的stra字段可查看NTP服務器的時鍾層數。
· 對於IPv6 NTP功能,在設備上執行display ntp-service ipv6 sessions命令,通過顯示信息中的Clock stratum字段可查看NTP服務器的時鍾層數。
NTP通過時鍾層數來定義時鍾的準確度。時鍾層數的取值範圍為0~16,取值越小,時鍾準確度越高。
圖1-2 NTP網絡結構
如圖1-2所示,實際網絡中,通常將從權威時鍾(如原子時鍾)獲得時間同步的NTP服務器的層數設置為1,並將其作為主時間服務器,為網絡中其他設備的時鍾提供時間同步。網絡中的設備與主時間服務器的NTP距離,即NTP同步鏈上NTP服務器的數目,決定了設備上時鍾的層數。例如,從主時間服務器獲得時間同步的設備的時鍾層數為2,即比主時間服務器的時鍾層數大1;從時鍾層數為2的時間服務器獲得時間同步的設備的時鍾層數為3,以此類推。
為了保證時間的準確性和可靠性,可以為一台設備指定多個時間服務器,設備根據時鍾層數等參數進行時鍾過濾和選擇,從多個時間服務器中選擇最優的時鍾,與其同步。設備選中的時鍾稱為參考時鍾。時鍾優選過程的詳細介紹,請參閱相關的協議規範。
在某些網絡中,例如無法與外界通信的孤立網絡,網絡中的設備無法與權威時鍾進行時間同步。此時,可以從該網絡中選擇一台時鍾較為準確的設備,指定該設備與本地時鍾進行時間同步,即采用本地時鍾作為參考時鍾,使得該設備的時鍾處於同步狀態。該設備作為時間服務器為網絡中的其他設備提供時間同步,從而實現整個網絡的時間同步。
NTP支持以下幾種工作模式:
· 客戶端/服務器模式
· 對等體模式
· 廣播模式
· 組播模式
用戶可以根據需要選擇一種或幾種工作模式進行時間同步。各種模式的詳細介紹,如表1-1所示。
本文中NTP服務器或服務器指的是客戶端/服務器模式中工作在服務器模式的設備;時間服務器指的是所有能夠提供時間同步的設備,包括NTP服務器、NTP對等體、廣播服務器和組播服務器。
表1-1 NTP模式介紹
|
模式 |
工作過程 |
時間同步方向 |
應用場合 |
|
客戶端/服務器模式 |
客戶端上需要手工指定NTP服務器的地址。客戶端向NTP服務器發送NTP時間同步報文。NTP服務器收到報文後會自動工作在服務器模式,並回複應答報文 如果客戶端可以從多個時間服務器獲取時間同步,則客戶端收到應答報文後,進行時鍾過濾和選擇,並與優選的時鍾進行時間同步 |
· 客戶端能夠與NTP服務器的時間同步 · NTP服務器無法與客戶端的時間同步 |
如圖1-2所示,該模式通常用於下級的設備從上級的時間服務器獲取時間同步 |
|
對等體模式 |
主動對等體(Symmetric active peer)上需要手工指定被動對等體(Symmetric passive peer)的地址。主動對等體向被動對等體發送NTP時間同步報文。被動對等體收到報文後會自動工作在被動對等體模式,並回複應答報文 如果主動對等體可以從多個時間服務器獲取時間同步,則主動對等體收到應答報文後,進行時鍾過濾和選擇,並與優選的時鍾進行時間同步 |
· 主動對等體和被動對等體的時間可以互相同步 · 如果雙方的時鍾都處於同步狀態,則層數大的時鍾與層數小的時鍾的時間同步 |
如圖1-2所示,該模式通常用於同級的設備間互相同步,以便在同級的設備間形成備份。如果某台設備與所有上級時間服務器的通信出現故障,則該設備仍然可以從同級的時間服務器獲得時間同步 |
|
廣播模式 |
廣播服務器周期性地向廣播地址255.255.255.255發送NTP時間同步報文。廣播客戶端偵聽來自廣播服務器的廣播報文,根據接收的廣播報文將設備的時間與廣播服務器的時間進行同步 廣播客戶端接收到廣播服務器發送的第一個NTP報文後,會與廣播服務器進行報文交互,以獲得報文的往返時延,為時間同步提供必要的參數。之後,隻有廣播服務器單方向發送報文 |
· 廣播客戶端能夠與廣播服務器的時間同步 · 廣播服務器無法與廣播客戶端的時間同步 |
廣播服務器廣播發送時間同步報文,可以同時同步同一個子網中多個廣播客戶端的時間。如圖1-2所示,使用同一個時間服務器為同一個子網中的大量設備提供時間同步時,可以使用廣播模式,以簡化網絡配置 由於隻有廣播服務器單方向發送報文,廣播模式的時間準確度不如客戶端/服務器模式和對等體模式 |
|
組播模式 |
組播服務器周期性地向指定的組播地址發送NTP時間同步報文。客戶端偵聽來自服務器的組播報文,根據接收的組播報文將設備的時間與組播服務器的時間進行同步 |
· 組播客戶端能夠與組播服務器的時間同步 · 組播服務器無法與組播客戶端的時間同步 |
組播模式對廣播模式進行了擴展,組播服務器可以同時為同一子網、不同子網的多個組播客戶端提供時間同步 組播模式的時間準確度不如客戶端/服務器模式和對等體模式 |
為了提高時間同步的安全性,NTP提供了NTP服務的訪問控製權限和NTP驗證功能。
本功能是指利用ACL限製對端設備對本地設備上NTP服務的訪問控製權限。NTP服務的訪問控製權限從高到低依次為peer、server、synchronization、query。
· peer:完全訪問權限。該權限既允許對端設備向本地設備的時間同步,對本地設備進行控製查詢(查詢NTP的一些狀態,比如告警信息、驗證狀態、時間服務器信息等),同時本地設備也可以向對端設備的時間同步。
· server:服務器訪問與查詢權限。該權限允許對端設備向本地設備的時間同步,對本地設備進行控製查詢,但本地設備不會向對端設備的時間同步。
· synchronization:僅具有訪問服務器的權限。該權限隻允許對端設備向本地設備的時間同步,但不能進行控製查詢。
· query:僅具有控製查詢的權限。該權限隻允許對端設備對本地設備的NTP服務進行控製查詢,但是不能向本地設備的時間同步。
當設備接收到NTP服務請求時,會按照權限從高到低的順序依次進行匹配。匹配原則為:
· 如果沒有指定權限應用的ACL或權限應用的ACL尚未創建,則繼續匹配下一個權限。
· 如果所有的權限都沒有應用ACL或權限應用的ACL尚未創建,則所有對端設備對本地設備NTP服務的訪問控製權限均為peer。
· 如果存在應用了ACL的權限,且該ACL已經創建,則隻有NTP服務請求匹配了某個權限應用的ACL中的permit規則,發送該NTP服務請求的對端設備才會具有該訪問控製權限。其他情況下(NTP服務請求匹配某個權限應用的ACL中的deny規則或沒有匹配任何權限的任何規則),發送該NTP服務請求的對端設備不具有任何權限。
配置NTP服務的訪問控製權限,僅提供了一種最小限度的安全措施,更安全的方法是使用NTP驗證功能。
在一些對時間同步的安全性要求較高的網絡中,運行NTP協議時需要使用NTP驗證功能。NTP驗證功能可以用來驗證接收到的NTP報文的合法性。隻有報文通過驗證後,設備才會接收該報文,並從中獲取時間同步信息;否則,設備會丟棄該報文。從而,保證設備不會與非法的時間服務器進行時間同步,避免時間同步錯誤。
圖1-3 NTP驗證功能示意圖
如圖1-3所示,NTP驗證功能的工作過程為:
(1) NTP報文發送者利用密鑰ID標識的密鑰對NTP報文進行MD5/HMAC運算,並將計算出來的摘要信息連同NTP報文和密鑰ID一起發送給接收者。
(2) 接收者接收到該NTP報文後,根據報文中的密鑰ID找到對應的密鑰,並利用該密鑰對報文進行MD5/HMAC運算。接收者將運算結果與報文中的摘要信息比較,依據比較結果,有以下三種情況:
· 比較結果不相同,則丟棄該報文。
· 比較結果相同,且本地無需建立NTP會話,則應答該報文。建立會話的詳細介紹,請參見“配置動態會話的最大數目”。
· 比較結果相同,且本地需要建立或已存在NTP會話,則檢查NTP報文發送者是否有權在本端使用該密鑰ID,檢查通過,則接收該報文;否則,丟棄該報文。
與NTP相關的協議規範有:
· RFC 1305:Network Time Protocol (Version 3) Specification, Implementation and Analysis
· RFC 5905:Network Time Protocol Version 4: Protocol and Algorithms Specification
由於FIPS模式對安全要求更高,所以,設備運行於FIPS模式時,
· NTP工作模式僅支持客戶端/服務器模式和對等體模式,不支持廣播模式和組播模式。
· NTP僅支持版本3和4,不支持版本1和2。
· NTP支持HMAC-SHA-1、HMAC-SHA-256、HMAC-SHA-384、HMAC-SHA-512身份驗證算法,不支持MD5身份驗證算法。
有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
配置NTP時,需要注意:
· 設備上不能同時配置NTP和SNTP功能。
· NTP功能中所指的“接口”為三層接口。
· 建議用戶不要在聚合成員口上進行NTP相關配置。
· 為保證時間同步的準確性,不建議用戶在組網中配置兩個或者兩個以上的時鍾源,以免造成時鍾震蕩,甚至出現無法同步的情況。
· NTP時鍾源與設備當前係統時間的偏差必須小於68年,否則無法正常時間同步。
· 用戶需要保證通過clock protocol命令,配置在指定的MDC(Multitenant Device Context,多租戶設備環境)或Context(邏輯防火牆),以NTP方式獲取係統時間。有關clock protocol命令的詳細介紹,請參見“基礎配置命令參考”中的“設備管理”。
設備作為NTP客戶端時,要求NTP服務器的時鍾層數必須大於等於0小於等於14。如果NTP服務器的時鍾層數大於14,則不同步該NTP服務器的時鍾。可登錄NTP服務器並執行ntp-service refclock-master命令修改NTP服務器的時鍾層數。
· 對於IPv4 NTP功能,在設備上執行display ntp-service sessions命令,通過顯示信息中的stra字段可查看NTP服務器的時鍾層數。
· 對於IPv6 NTP功能,在設備上執行display ntp-service ipv6 sessions命令,通過顯示信息中的Clock stratum字段可查看NTP服務器的時鍾層數。
NTP配置任務如下:
(1) 開啟NTP服務
(2) 配置不同工作模式下的NTP
設備可以同時工作在多種NTP模式。如果設備作為客戶端,並同時收到多路NTP時鍾信號,則會選擇最優的NTP時鍾進行同步。
(3) (可選)配置本地時鍾作為參考時鍾
(4) (可選)配置NTP服務的訪問控製權限
(5) (可選)配置NTP驗證功能
(6) (可選)控製NTP報文的收發
(7) (可選)控製NTP時間同步
(8) (可選)控製NTP同步時的日誌和告警信息的打印
NTP服務與SNTP服務互斥,同一時刻隻能開啟其中一個服務。因此,在開啟NTP服務器之前,請確保SNTP服務關閉。
(1) 進入係統視圖。
system-view
(2) 開啟NTP服務。
ntp-service enable
缺省情況下, NTP服務處於關閉狀態。
· 當設備采用客戶端/服務器模式時,需要在客戶端上指定服務器的地址。
· 當服務器端的時鍾層數大於或等於客戶端的時鍾層數時,客戶端將不會與其同步。
· 可以通過多次執行ntp-service unicast-server命令和ntp-service ipv6 unicast-server命令為設備指定多個服務器。
· 服務器需要通過與其他設備同步或配置本地時鍾作為參考時鍾等方式,使得自己的時鍾處於同步狀態,否則客戶端不會將自己的時間與服務器的時間同步。
(1) 進入係統視圖。
system-view
(2) 為設備指定NTP服務器。
(IPv4網絡)
ntp-service unicast-server { server-name | ip-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | priority | source interface-type interface-number | version number ] *
(IPv6網絡)
ntp-service ipv6 unicast-server { server-name | ipv6-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | priority | source interface-type interface-number ] *
缺省情況下,未指定NTP服務器。
(1) 進入係統視圖。
system-view
(2) 開啟NTP服務器功能。
(IPv4網絡)
ntp-service time-server enable
缺省情況下,NTP服務器功能處於開啟狀態。
(IPv6網絡)
ntp-service ipv6 time-server enable
缺省情況下,IPv6 NTP服務器功能處於開啟狀態。
本命令用於控製設備能否對外提供NTP同步時間:當開啟NTP服務器功能,且符合ntp-service acl或ntp-service ipv6 acl命令指定的條件時,設備可為其它設備提供NTP同步時間;當關閉NTP服務器功能時,設備不能為其它設備提供NTP同步時間。
· 當設備采用對等體模式時,需要在主動對等體上指定被動對等體的地址。
· 被動對等體上需要執行ntp-service enable命令來開啟NTP服務,否則被動對等體不會處理來自主動對等體的NTP報文。
· 主動對等體和被動對等體的時鍾至少要有一個處於同步狀態,否則它們的時間都將無法同步。
· 可以通過多次執行ntp-service unicast-peer命令或ntp-service ipv6 unicast-peer命令為設備指定多個被動對等體。
(1) 進入係統視圖。
system-view
(2) 指定設備的被動對等體。
(IPv4網絡)
ntp-service unicast-peer { peer-name | ip-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | priority | source interface-type interface-number | version number ] *
(IPv6網絡)
ntp-service ipv6 unicast-peer { peer-name | ipv6-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | priority | source interface-type interface-number ] *
缺省情況下,未指定被動對等體。
(3) 開啟NTP服務器功能。
(IPv4網絡)
ntp-service time-server enable
缺省情況下,NTP服務器功能處於開啟狀態。
(IPv6網絡)
ntp-service ipv6 time-server enable
缺省情況下,IPv6 NTP服務器功能處於開啟狀態。
本命令用於控製設備能否對外提供NTP同步時間:當開啟NTP服務器功能,且符合ntp-service acl或ntp-service ipv6 acl命令指定的條件時,設備可為其它設備提供NTP同步時間;當關閉NTP服務器功能時,設備不能為其它設備提供NTP同步時間。
· 當設備采用廣播模式時,廣播服務器端和廣播客戶端上都需要進行配置。
· 配置NTP的廣播模式之前,廣播服務器需要通過與其他設備同步或配置本地時鍾作為參考時鍾等方式,使得自己的時鍾處於同步狀態,否則廣播客戶端不會將自己的時間與廣播服務器的時間同步。
(1) 進入係統視圖。
system-view
(2) 進入要接收NTP廣播報文的接口。
interface interface-type interface-number
(3) 配置設備工作在NTP廣播客戶端模式。
ntp-service broadcast-client
缺省情況下,未配置NTP工作模式。
執行本命令後,設備將通過當前接口接收NTP廣播報文。
(1) 進入係統視圖。
system-view
(2) 開啟NTP服務器功能。
(IPv4網絡)
ntp-service time-server enable
缺省情況下,NTP服務器功能處於開啟狀態。
(IPv6網絡)
ntp-service ipv6 time-server enable
缺省情況下,IPv6 NTP服務器功能處於開啟狀態。
本命令用於控製設備能否對外提供NTP同步時間:當開啟NTP服務器功能,且符合ntp-service acl或ntp-service ipv6 acl命令指定的條件時,設備可為其它設備提供NTP同步時間;當關閉NTP服務器功能時,設備不能為其它設備提供NTP同步時間。
(3) 進入要發送NTP廣播報文的接口。
interface interface-type interface-number
(4) 配置設備工作在NTP廣播服務器模式。
ntp-service broadcast-server [ authentication-keyid keyid | version number ] *
缺省情況下,未配置NTP工作模式。
執行本命令後,設備將通過當前接口周期性發送NTP廣播報文。
· 設備采用組播模式時,在組播服務器端和組播客戶端上都需要進行本配置。
· 配置NTP的組播模式之前,組播服務器需要通過與其他設備同步或配置本地時鍾作為參考時鍾等方式,使得自己的時鍾處於同步狀態,否則組播客戶端不會將自己的時間與組播服務器的時間同步。
(1) 進入係統視圖。
system-view
(2) 進入要接收NTP組播報文的接口。
interface interface-type interface-number
(3) 配置設備工作在NTP組播客戶端模式。
(IPv4網絡)
ntp-service multicast-client [ ip-address ]
(IPv6網絡)
ntp-service ipv6 multicast-client ipv6-address
缺省情況下,未配置NTP工作模式。
執行本命令後,設備將通過當前接口接收NTP組播報文。
(1) 進入係統視圖。
system-view
(2) 開啟NTP服務器功能。
(IPv4網絡)
ntp-service time-server enable
缺省情況下,NTP服務器功能處於開啟狀態。
(IPv6網絡)
ntp-service ipv6 time-server enable
缺省情況下,IPv6 NTP服務器功能處於開啟狀態。
本命令用於控製設備能否對外提供NTP同步時間:當開啟NTP服務器功能,且符合ntp-service acl或ntp-service ipv6 acl命令指定的條件時,設備可為其它設備提供NTP同步時間;當關閉NTP服務器功能時,設備不能為其它設備提供NTP同步時間。
(3) 進入要發送NTP組播報文的接口。
interface interface-type interface-number
(4) 配置設備工作在NTP組播服務器模式。
(IPv4網絡)
ntp-service multicast-server [ ip-address ] [ authentication-keyid keyid | ttl ttl-number | version number ] *
(IPv6網絡)
ntp-service ipv6 multicast-server ipv6-address [ authentication-keyid keyid | ttl ttl-number ] *
缺省情況下,未配置NTP工作模式。
執行本命令後,設備將通過當前接口周期性發送NTP組播報文。
本配置用來指定設備與本地時鍾進行時間同步,使得該設備的時鍾處於同步狀態。
· 配置本地時鍾作為參考時鍾後,本地設備的時鍾將處於同步狀態,可以作為時間服務器為網絡中其他設備的時鍾提供時間同步。如果本地設備的時鍾不正確,則會導致網絡中設備的時間錯誤,請謹慎使用本配置。
· 設備斷電重啟後,係統時間會變成係統初始化的時間;設備軟重啟時,啟動階段的係統時鍾處於關閉狀態,啟動之後的係統時鍾將不準確。建議不要在設備上配置本地時鍾作為參考時鍾,並且不要將設備指定為時間服務器。
· 不同的設備在時鍾精度方麵存在差異,一個網段中建議隻配置一個精度最高參考時鍾,否則可能出現網絡震蕩,導致時鍾無法同步。
配置本地時鍾作為參考時鍾之前,建議先校準本地係統時間。
(1) 進入係統視圖。
system-view
(2) 配置本地時鍾作為參考時鍾。
ntp-service refclock-master [ ip-address ] [ stratum ]
缺省情況下,設備未采用本地時鍾作為參考時鍾。
在配置對本地設備NTP服務的訪問控製權限時,需要創建並配置與訪問權限關聯的ACL。ACL的配置方法請參見“ACL和QoS配置指導”中的“ACL”。
請根據設備的時間同步需求,參考表1-2,為設備配置NTP服務的訪問控製權限。
|
訪問控製權限 |
是否可以接受同步時間 (作為客戶端時是否可以配置) |
是否可以對外提供同步時間 (作為時間服務器時是否可以配置) |
是否可以對本設備進行控製查詢 |
|
peer |
可以 |
可以 |
可以 |
|
server |
不可以 |
可以 |
可以 |
|
synchronization |
不可以 |
可以 |
不可以 |
|
query |
不可以 |
不可以 |
可以 |
ntp-service noquery enable命令僅用於允許或者禁止對端設備對本設備進行控製查詢,對時鍾同步不進行限製。當設備上配置了ntp-service noquery enable、ntp-service acl、ntp-service ipv6 acl命令時,“是否可以對本設備進行控製查詢”以ntp-service noquery enable命令的配置為準。
(1) 進入係統視圖。
system-view
(2) 配置對端設備對本地設備NTP服務的訪問控製權限。
(IPv4網絡)
ntp-service { peer | query | server | synchronization } acl ipv4-acl-number
(IPv6網絡)
ntp-service ipv6 { peer | query | server | synchronization } acl ipv4-acl-number
缺省情況下,對端設備對本地設備NTP服務的訪問控製權限為peer(完全訪問權限)。
(3) 禁止對端設備對本設備進行控製查詢。
ntp-service noquery enable
缺省情況下,允許對端設備對本設備進行控製查詢。
客戶端和服務器上需要配置相同的密鑰ID、驗證算法及密鑰值,並且保證對端有權在本端使用該密鑰ID進行驗證,否則會導致NTP驗證失敗。
客戶端和服務器上進行不同的配置時,NTP驗證結果有所不同,詳細介紹請參見表1-3。其中,表格中的“-”表示不管此項是否配置。
|
客戶端 |
服務器 |
結果 |
|||
|
身份驗證 |
關聯密鑰 |
關聯密鑰存在且為可信密鑰 |
身份驗證 |
關聯密鑰存在且為可信密鑰 |
|
|
是 |
是 |
是 |
是 |
是 |
身份驗證成功 |
|
是 |
是 |
是 |
是 |
否 |
身份驗證失敗 |
|
是 |
是 |
是 |
否 |
- |
身份驗證失敗 |
|
是 |
是 |
否 |
- |
- |
身份驗證失敗 |
|
是 |
否 |
- |
- |
- |
不進行身份驗證 |
|
否 |
- |
- |
- |
- |
不進行身份驗證 |
(1) 進入係統視圖。
system-view
(2) 開啟NTP身份驗證功能。
ntp-service authentication enable
缺省情況下,NTP身份驗證功能處於關閉狀態。
(3) 配置NTP身份驗證密鑰。
ntp-service authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *
缺省情況下,未配置NTP身份驗證密鑰。
(4) 配置指定密鑰為可信密鑰。
ntp-service reliable authentication-keyid keyid
缺省情況下,未指定可信密鑰。
(5) 將指定密鑰與對應的NTP服務器關聯。
(IPv4網絡)
ntp-service unicast-server { server-name | ip-address } [ vpn-instance vpn-instance-name ] authentication-keyid keyid
(IPv6網絡)
ntp-service ipv6 unicast-server { server-name | ipv6-address } [ vpn-instance vpn-instance-name ] authentication-keyid keyid
(1) 進入係統視圖。
system-view
(2) 開啟NTP身份驗證功能。
ntp-service authentication enable
缺省情況下,NTP身份驗證功能處於關閉狀態。
(3) 配置NTP身份驗證密鑰。
ntp-service authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *
缺省情況下,未配置NTP身份驗證密鑰。
(4) 配置指定密鑰為可信密鑰。
ntp-service reliable authentication-keyid keyid
缺省情況下,未指定可信密鑰。
主動對等體和被動對等體上需要配置相同的密鑰ID、驗證算法及密鑰值,並且保證對端有權在本端使用該密鑰ID進行驗證,否則會導致NTP驗證失敗。
主動對等體和被動對等體上進行不同的配置時,NTP驗證結果有所不同,詳細介紹請參見表1-4。其中,表格中的“-”表示不管此項是否配置。
表1-4 主動對等體和被動對等體上進行不同配置時的NTP驗證結果
|
主動對等體 |
被動對等體 |
結果 |
||||
|
身份驗證 |
關聯密鑰 |
關聯密鑰存在且為可信密鑰 |
時鍾層數 |
身份驗證 |
關聯密鑰存在且為可信密鑰 |
|
|
是 |
是 |
是 |
- |
是 |
是 |
身份驗證成功 |
|
是 |
是 |
是 |
- |
是 |
否 |
身份驗證失敗 |
|
是 |
是 |
是 |
- |
否 |
- |
身份驗證失敗 |
|
是 |
否 |
- |
- |
是 |
- |
身份驗證失敗 |
|
是 |
否 |
- |
- |
否 |
- |
不進行身份驗證 |
|
否 |
- |
- |
- |
是 |
- |
身份驗證失敗 |
|
否 |
- |
- |
- |
否 |
- |
不進行身份驗證 |
|
是 |
是 |
否 |
大於被動對等體 |
- |
- |
身份驗證失敗 |
|
是 |
是 |
否 |
小於被動對等體 |
是 |
- |
身份驗證失敗 |
|
是 |
是 |
否 |
小於被動對等體 |
否 |
- |
不進行身份驗證 |
(1) 進入係統視圖。
system-view
(2) 開啟NTP身份驗證功能。
ntp-service authentication enable
缺省情況下,NTP身份驗證功能處於關閉狀態。
(3) 配置NTP身份驗證密鑰。
ntp-service authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *
缺省情況下,未配置NTP身份驗證密鑰。
(4) 配置指定密鑰為可信密鑰。
ntp-service reliable authentication-keyid keyid
缺省情況下,未指定可信密鑰。
(5) 將指定密鑰與對應的被動對等體關聯。
(IPv4網絡)
ntp-service unicast-peer { ip-address | peer-name } [ vpn-instance vpn-instance-name ] authentication-keyid keyid
(IPv6網絡)
ntp-service ipv6 unicast-peer { ipv6-address | peer-name } [ vpn-instance vpn-instance-name ] authentication-keyid keyid
(1) 進入係統視圖。
system-view
(2) 開啟NTP身份驗證功能。
ntp-service authentication enable
缺省情況下,NTP身份驗證功能處於關閉狀態。
(3) 配置NTP身份驗證密鑰。
ntp-service authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *
缺省情況下,未配置NTP身份驗證密鑰。
(4) 配置指定密鑰為可信密鑰。
ntp-service reliable authentication-keyid keyid
缺省情況下,未指定可信密鑰。
廣播服務器和廣播客戶端上需要配置相同的密鑰ID、驗證算法及密鑰值,並且保證對端有權在本端使用該密鑰ID進行驗證,否則會導致NTP驗證失敗。
廣播客戶端和廣播服務器上進行不同的配置時,NTP驗證結果有所不同,詳細介紹請參見表1-5。其中,表格中的“-”表示不管此項是否配置。
表1-5 廣播客戶端和廣播服務器上進行不同配置時的NTP驗證結果
|
廣播服務器 |
廣播客戶端 |
結果 |
|||
|
身份驗證 |
關聯密鑰 |
關聯密鑰存在且為可信密鑰 |
身份驗證 |
關聯密鑰存在且為可信密鑰 |
|
|
是 |
是 |
是 |
是 |
是 |
身份驗證成功 |
|
是 |
是 |
是 |
是 |
否 |
身份驗證失敗 |
|
是 |
是 |
是 |
否 |
- |
身份驗證失敗 |
|
是 |
是 |
否 |
是 |
- |
身份驗證失敗 |
|
是 |
是 |
否 |
否 |
- |
不進行身份驗證 |
|
是 |
否 |
- |
是 |
- |
身份驗證失敗 |
|
是 |
否 |
- |
否 |
- |
不進行身份驗證 |
|
否 |
- |
- |
是 |
- |
身份驗證失敗 |
|
否 |
- |
- |
否 |
- |
不進行身份驗證 |
(1) 進入係統視圖。
system-view
(2) 開啟NTP身份驗證功能。
ntp-service authentication enable
缺省情況下,NTP身份驗證功能處於關閉狀態。
(3) 配置NTP身份驗證密鑰。
ntp-service authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *
缺省情況下,未配置NTP身份驗證密鑰。
(4) 配置指定密鑰為可信密鑰。
ntp-service reliable authentication-keyid keyid
缺省情況下,未指定可信密鑰。
(1) 進入係統視圖。
system-view
(2) 開啟NTP身份驗證功能。
ntp-service authentication enable
缺省情況下,NTP身份驗證功能處於關閉狀態。
(3) 配置NTP身份驗證密鑰。
ntp-service authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *
缺省情況下,未配置NTP身份驗證密鑰。
(4) 配置指定密鑰為可信密鑰。
ntp-service reliable authentication-keyid keyid
缺省情況下,未指定可信密鑰。
(5) 進入接口視圖。
interface interface-type interface-number
(6) 將指定密鑰與對應的廣播服務器關聯。
ntp-service broadcast-server authentication-keyid keyid
缺省情況下,廣播服務器沒有與密鑰關聯。
組播服務器和組播客戶端上需要配置相同的密鑰ID、驗證算法及密鑰值,並且保證對端有權在本端使用該密鑰ID進行驗證,否則會導致NTP驗證失敗。
組播客戶端和組播服務器上進行不同的配置時,NTP驗證結果有所不同,詳細介紹請參見表1-6。其中,表格中的“-”表示不管此項是否配置。
表1-6 組播客戶端和組播服務器上進行不同配置時的NTP驗證結果
|
組播服務器 |
組播客戶端 |
結果 |
|||
|
身份驗證 |
關聯密鑰 |
關聯密鑰存在且為可信密鑰 |
身份驗證 |
關聯密鑰存在且為可信密鑰 |
|
|
是 |
是 |
是 |
是 |
是 |
身份驗證成功 |
|
是 |
是 |
是 |
是 |
否 |
身份驗證失敗 |
|
是 |
是 |
是 |
否 |
- |
身份驗證失敗 |
|
是 |
是 |
否 |
是 |
- |
身份驗證失敗 |
|
是 |
是 |
否 |
否 |
- |
不進行身份驗證 |
|
是 |
否 |
- |
是 |
- |
身份驗證失敗 |
|
是 |
否 |
- |
否 |
- |
不進行身份驗證 |
|
否 |
- |
- |
是 |
- |
身份驗證失敗 |
|
否 |
- |
- |
否 |
- |
不進行身份驗證 |
(1) 進入係統視圖。
system-view
(2) 開啟NTP身份驗證功能。
ntp-service authentication enable
缺省情況下,NTP身份驗證功能處於關閉狀態。
(3) 配置NTP身份驗證密鑰。
ntp-service authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *
缺省情況下,未配置NTP身份驗證密鑰。
(4) 配置指定密鑰為可信密鑰。
ntp-service reliable authentication-keyid keyid
缺省情況下,未指定可信密鑰。
(1) 進入係統視圖。
system-view
(2) 開啟NTP身份驗證功能。
ntp-service authentication enable
缺省情況下,NTP身份驗證功能處於關閉狀態。
(3) 配置NTP身份驗證密鑰。
ntp-service authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *
缺省情況下,未配置NTP身份驗證密鑰。
(4) 配置指定密鑰為可信密鑰。
ntp-service reliable authentication-keyid keyid
缺省情況下,未指定可信密鑰。
(5) 進入接口視圖。
interface interface-type interface-number
(6) 將指定密鑰與對應的組播服務器關聯。
(IPv4網絡)
ntp-service multicast-server [ ip-address ] authentication-keyid keyid
(IPv6網絡)
ntp-service ipv6 multicast-server ipv6-address authentication-keyid keyid
缺省情況下,組播服務器沒有與密鑰關聯。
NTP報文源地址的配置方式有兩種:一是配置NTP報文的源接口,二是直接配置NTP報文的源地址。如果配置了NTP報文的源接口,則設備在主動發送NTP報文時,NTP報文的源地址為指定的源接口的地址。
· 建議將Loopback接口指定為源接口,以避免設備上某個接口的狀態變化而導致NTP報文無法接收。
· 設備對接收到的NTP請求報文進行應答時,應答報文的源地址始終為接收到的NTP請求報文的目的地址。
· 如果在命令ntp-service unicast-server/ntp-service ipv6 unicast-server或ntp-service unicast-peer/ntp-service ipv6 unicast-peer中指定了NTP報文的源接口,則優先使用ntp-service unicast-server/ntp-service ipv6 unicast-server或ntp-service unicast-peer/ntp-service ipv6 unicast-peer命令指定的接口作為NTP報文的源接口。
· 如果在接口視圖下配置了ntp-service broadcast-server或ntp-service multicast-server/ntp-service ipv6 multicast-server,則NTP廣播或組播模式報文的源接口為配置了ntp-service broadcast-server或ntp-service multicast-server/ntp-service ipv6 multicast-server命令的接口。
(1) 進入係統視圖。
system-view
(2) 配置NTP報文的源地址。
(IPv4網絡)
ntp-service source { interface-type interface-number | ipv4-address }
(IPv6網絡)
ntp-service ipv6 source interface-type interface-number
缺省情況下,未指定NTP報文的源地址。
啟動NTP服務後,缺省情況下所有接口都可以接收NTP報文。如果出於安全性、簡化網絡管理等方麵的考慮,不希望設備為某個接口對應網段內的對端設備提供時間同步,或不希望設備從某個接口對應網段內的對端設備獲得時間同步,則可以在該接口上執行本配置,使該接口關閉接收NTP報文功能。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 關閉接口接收NTP報文功能。
(IPv4網絡)
undo ntp-service inbound enable
(IPv6網絡)
undo ntp-service ipv6 inbound enable
缺省情況下,接口接收NTP報文。
本功能用來限製動態會話的數目,以避免設備上維護過多的動態會話,占用過多的係統資源。
NTP會話分為兩種:
· 靜態會話:用戶手動配置NTP相關命令而建立的會話。
· 動態會話:NTP協議運行過程中建立的臨時會話,若係統長期(大約12分鍾)沒有報文交互就會刪除該臨時會話。
各種模式中,會話的建立情況如下:
· 客戶端/服務器模式中,在客戶端上指定了NTP服務器後,客戶端上會建立一個靜態會話,服務器端在收到報文之後隻是被動的響應報文,而不會建立會話(包括靜態和動態會話)。
· 對等體模式中,在主動對等體上指定了被動對等體後,主動對等體上會建立靜態會話,被動對等體端會建立動態會話。
· 廣播模式和組播模式中,在廣播/組播服務器端上會建立靜態會話,而在廣播/組播客戶端上會建立動態會話。
設備同一時間內最多可以建立的會話數目為128個,其中包括靜態會話數和動態會話數。
(1) 進入係統視圖。
system-view
(2) 配置NTP動態會話的最大數目。
ntp-service max-dynamic-sessions number
缺省情況下,NTP動態會話的最大數目為100。
DSCP優先級用來體現報文自身的優先等級,決定報文傳輸的優先程度。通過本配置可以指定NTP/IPv6 NTP服務器發送的NTP報文的DSCP優先級。
(1) 進入係統視圖。
system-view
(2) 配置NTP報文的DSCP優先級。
¡ (IPv4網絡)
ntp-service dscp dscp-value
缺省情況下,IPv4 NTP報文的DSCP優先級為48。
¡ (IPv6網絡)
ntp-service ipv6 dscp dscp-value
缺省情況下,IPv6 NTP報文的DSCP優先級為56。
該功能用於設備作為NTP服務器時,控製設備是否要響應NTP客戶端的時間同步請求。
缺省情況下,NTP服務器收到NTP客戶端的時鍾同步請求時,會檢查NTP客戶端的時鍾層級,隻有NTP客戶端的時鍾層級高於NTP服務器的時鍾層級時,NTP服務器才會響應NTP客戶端的請求,才能進行時鍾同步。在一些網絡環境中,如果NTP客戶端的時鍾層級小於或等於NTP服務器的時鍾層級,且不支持修改時鍾層級時,可以通過配置該功能,讓NTP服務器忽略對NTP時鍾層級的限製。
(1) 進入係統視圖。
system-view
(2) 配置忽略NTP時鍾層級限製。
ntp-service ignore clock-stratum
缺省情況下,NTP服務器在向NTP客戶端同步時鍾的時候,存在NTP時鍾層級限製。
本功能用於設備作為NTP客戶端時,控製設備是否要同步NTP服務器提供的時間。
設備將NTP服務器端提供的時間減去NTP客戶端的本地時間,得到時間偏移。經過多次采樣,可以得到多個時間偏移。正常情況下,這個時間偏移應該穩定在一個較小的範圍內變化,即時間偏移應該小於等於本功能配置的最大偏差。如果時間偏移大於配置的最大偏差,NTP客戶端會認為NTP服務器端的時間不可靠,不進行同步。
(1) 進入係統視圖。
system-view
(2) 配置NTP允許時間同步的最大偏差,超過閾值不進行時間同步。
ntp-service time-offset-limit limit-threshold
缺省情況下,未配置NTP允許時間同步的最大偏差。
缺省情況下,NTP客戶端與服務器端的時間差經過多次采樣得到的時間偏移超過128ms時,客戶端將進行一次時間同步,並打印日誌信息和告警信息。配置本功能後,NTP客戶端與服務器端的時間差經過多次采樣得到的時間偏移超過128ms時,客戶端將進行一次時間同步,但是時間偏移大於log-threshold時,才會打印日誌;時間偏移大於trap-threshold時,才會打印告警信息。
(1) 進入係統視圖。
system-view
(2) 配置NTP的時間同步日誌打印閾值。
ntp-service time-offset-threshold { log log-threshold | trap trap-threshold } *
缺省情況下,未配置NTP打印日誌和告警信息的時間偏移閾值。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後NTP的運行情況,通過查看顯示信息驗證配置的效果。
ntp-service noquery enable命令與display ntp-service trace命令功能互斥,如需使用display ntp-service trace命令,請配置允許對本設備進行控製查詢。
表1-7 NTP顯示和維護
|
操作 |
命令 |
|
顯示NTP服務的所有IPv6會話信息 |
display ntp-service ipv6 sessions [ verbose ] |
|
顯示NTP服務的所有IPv4會話信息 |
display ntp-service sessions [ verbose ] |
|
顯示NTP服務的狀態信息 |
display ntp-service status |
|
顯示從本地設備回溯到主時間服務器的各個NTP時間服務器的簡要信息 |
display ntp-service trace [ source interface-type interface-number ] |
為了通過NTP實現Device B與Device A的時間同步,要求:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· 配置Device B工作在客戶端模式,指定Device A為NTP服務器。
圖1-4 配置NTP客戶端/服務器模式組網圖
(1) 按照圖1-4配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Device A
# 開啟NTP服務。
<DeviceA> system-view
[DeviceA] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[DeviceA] ntp-service refclock-master 2
(3) 配置Device B
# 開啟NTP服務。
<DeviceB> system-view
[DeviceB] ntp-service enable
# 配置通過NTP協議獲取時間。
[DeviceB] clock protocol ntp
# 設置Device A為Device B的NTP服務器。
[DeviceB] ntp-service unicast-server 1.0.1.11
# 完成上述配置後,Device B向Device A進行時間同步。同步後查看Device B的NTP狀態。可以看出,Device B已經與Device A同步,層數比Device A的層數大1,為3。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 1.0.1.11
Local mode: client
Reference clock ID: 1.0.1.11
Leap indicator: 00
Clock jitter: 0.000977 s
Stability: 0.000 pps
Clock precision: 2^-20
Root delay: 0.00383 ms
Root dispersion: 16.26572 ms
Reference time: d0c6033f.b9923965 Wed, Dec 29 2019 18:58:07.724
System poll interval: 64 s
# 查看Device B的NTP服務的所有IPv4會話信息,可以看到Device B與Device A建立了會話。
[DeviceB] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[12345]1.0.1.11 127.127.1.0 2 1 64 15 -4.0 0.0038 16.262
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
為了通過IPv6 NTP實現Device B與Device A的時間同步,要求:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· 配置Device B工作在客戶端模式,指定Device A為IPv6 NTP服務器。
圖1-5 配置IPv6 NTP客戶端/服務器模式組網圖
(1) 按照圖1-5配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Device A
# 開啟NTP服務。
<DeviceA> system-view
[DeviceA] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[DeviceA] ntp-service refclock-master 2
(3) 配置Device B
# 開啟NTP服務。
<DeviceB> system-view
[DeviceB] ntp-service enable
# 配置通過NTP協議獲取時間。
[DeviceB] clock protocol ntp
# 設置Device A為Device B的IPv6 NTP服務器。
[DeviceB] ntp-service ipv6 unicast-server 3000::34
# 完成上述配置後,Device B向Device A進行時間同步。同步後查看Device B的NTP狀態。可以看出,Device B已經與Device A同步,層數比Device A的層數大1,為3。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3000::34
Local mode: client
Reference clock ID: 163.29.247.19
Leap indicator: 00
Clock jitter: 0.000977 s
Stability: 0.000 pps
Clock precision: 2^-20
Root delay: 0.02649 ms
Root dispersion: 12.24641 ms
Reference time: d0c60419.9952fb3e Wed, Dec 29 2019 19:01:45.598
System poll interval: 64 s
# 查看Device B的NTP服務的所有IPv6會話信息,可以看到Device B與Device A建立了會話。
[DeviceB] display ntp-service ipv6 sessions
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
Source: [12345]3000::34
Reference: 127.127.1.0 Clock stratum: 2
Reachabilities: 15 Poll interval: 64
Last receive time: 19 Offset: 0.0
Roundtrip delay: 0.0 Dispersion: 0.0
Total sessions: 1
網絡中存在時間服務器Device A。為了通過NTP實現Device B與Device A進行時間同步,要求:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· 配置Device A工作在對等體模式,指定Device B為被動對等體,即Device A為主動對等體,Device B為被動對等體。
圖1-6 配置NTP對等體模式組網圖
(1) 按照圖1-6配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Device B
# 開啟NTP服務。
<DeviceB> system-view
[DeviceB] ntp-service enable
# 配置通過NTP協議獲取時間。
[DeviceB] clock protocol ntp
(3) 配置Device A
# 開啟NTP服務。
<DeviceA> system-view
[DeviceA] ntp-service enable
# 配置通過NTP協議獲取時間。
[DeviceA] clock protocol ntp
# 設置本地時鍾作為參考時鍾,層數為2。
[DeviceA] ntp-service refclock-master 2
# 設置Device B為被動對等體。Device A處於主動對等體模式。
[DeviceA] ntp-service unicast-peer 3.0.1.32
# 完成上述配置後,Device B選擇Device A作為參考時鍾,與Device A進行時間同步。同步後查看Device B的狀態。可以看出,Device B已經與Device A同步,層數比Device A的層數大1,為3。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3.0.1.31
Local mode: sym_passive
Reference clock ID: 3.0.1.31
Leap indicator: 00
Clock jitter: 0.000916 s
Stability: 0.000 pps
Clock precision: 2^-20
Root delay: 0.00609 ms
Root dispersion: 1.95859 ms
Reference time: 83aec681.deb6d3e5 Wed, Jan 8 2019 14:33:11.081
System poll interval: 64 s
# 查看Device B的NTP服務的IPv4會話信息,可以看到Device B與Device A建立了會話。
[DeviceB] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[12]3.0.1.31 127.127.1.0 2 62 64 34 0.4251 6.0882 1392.1
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
Total sessions: 1
網絡中存在時間服務器Device A。為了通過IPv6 NTP實現Device B與Device A進行時間同步,要求:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· 配置Device A工作在對等體模式,指定Device B為被動對等體,即Device A為主動對等體,Device B為被動對等體。
圖1-7 配置IPv6 NTP對等體模式組網圖
(1) 按照圖1-7配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Device B
# 開啟NTP服務。
<DeviceB> system-view
[DeviceB] ntp-service enable
# 配置通過NTP協議獲取時間。
[DeviceB] clock protocol ntp
(3) 配置Device A
# 開啟NTP服務。
<DeviceA> system-view
[DeviceA] ntp-service enable
# 配置通過NTP協議獲取時間。
[DeviceA] clock protocol ntp
# 設置本地時鍾作為參考時鍾,層數為2。
[DeviceA] ntp-service refclock-master 2
# 設置Device B為IPv6被動對等體。Device A處於主動對等體模式。
[DeviceA] ntp-service ipv6 unicast-peer 3000::36
# 完成上述配置後,Device B選擇Device A作為參考時鍾,與Device A進行時間同步。同步後查看Device B的狀態。可以看出,Device B已經與Device A同步,層數比Device A的層數大1,為3。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3000::35
Local mode: sym_passive
Reference clock ID: 251.73.79.32
Leap indicator: 11
Clock jitter: 0.000977 s
Stability: 0.000 pps
Clock precision: 2^-20
Root delay: 0.01855 ms
Root dispersion: 9.23483 ms
Reference time: d0c6047c.97199f9f Wed, Dec 29 2019 19:03:24.590
System poll interval: 64 s
# 查看Device B的NTP服務的IPv6會話信息,可以看到Device B與Device A建立了會話。
[DeviceB] display ntp-service ipv6 sessions
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
Source: [1234]3000::35
Reference: 127.127.1.0 Clock stratum: 2
Reachabilities: 15 Poll interval: 64
Last receive time: 19 Offset: 0.0
Roundtrip delay: 0.0 Dispersion: 0.0
Total sessions: 1
為了實現Switch C作為同一網段中多個設備的時間服務器,同時同步多個設備的時間,要求:
· 在Switch C上設置本地時鍾作為參考時鍾,層數為2;
· Switch C工作在廣播服務器模式,從VLAN接口2向外廣播發送NTP報文;
· Switch A和Switch B工作在廣播客戶端模式,分別從各自的VLAN接口2監聽NTP廣播報文。
圖1-8 配置NTP廣播模式組網圖
(1) 按照圖1-8配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Switch C
# 開啟NTP服務。
<SwitchC> system-view
[SwitchC] ntp-service enable
# 配置通過NTP協議獲取時間。
[SwitchC] clock protocol ntp
# 設置本地時鍾作為參考時鍾,層數為2。
[SwitchC] ntp-service refclock-master 2
# 設置Switch C為廣播服務器,從VLAN接口2發送廣播報文。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ntp-service broadcast-server
(3) 配置Switch A
# 開啟NTP服務。
<SwitchA> system-view
[SwitchA] ntp-service enable
# 配置通過NTP協議獲取時間。
[SwitchA] clock protocol ntp
# 設置Switch A為廣播客戶端,從VLAN接口2監聽廣播報文。
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ntp-service broadcast-client
(4) 配置Switch B
# 開啟NTP服務。
<SwitchB> system-view
[SwitchB] ntp-service enable
# 配置通過NTP協議獲取時間。
[SwitchB] clock protocol ntp
# 設置Switch B為廣播客戶端,從VLAN接口2監聽廣播報文。
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ntp-service broadcast-client
# Switch A和Switch B接收到Switch C發出的廣播報文後,與其同步。以Switch A為例,同步後查看Switch A的狀態。可以看出,Switch A已經與Switch C同步,層數比Switch C的層數大1,為3。
[SwitchA-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3.0.1.31
Local mode: bclient
Reference clock ID: 3.0.1.31
Leap indicator: 00
Clock jitter: 0.044281 s
Stability: 0.000 pps
Clock precision: 2^-20
Root delay: 0.00229 ms
Root dispersion: 4.12572 ms
Reference time: d0d289fe.ec43c720 Sat, Jan 8 2019 7:00:14.922
System poll interval: 64 s
# 查看Switch A的NTP服務的IPv4會話信息,可以看到Switch A與Switch C建立了會話。
[SwitchA-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[1245]3.0.1.31 127.127.1.0 2 1 64 519 -0.0 0.0022 4.1257
Notes: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured.
為了實現Switch C作為不同網段中多個設備的時間服務器,同時同步多個設備的時間,要求:
· 在Switch C上設置本地時鍾作為參考時鍾,層數為2;
· Switch C工作在組播服務器模式,從VLAN接口2向外組播發送NTP報文;
· Switch A和Switch D工作在組播客戶端模式,Switch A從VLAN接口3監聽NTP組播報文,Switch D從VLAN接口2監聽NTP組播報文。
圖1-9 配置NTP組播模式組網圖
(1) 按照圖1-9配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Switch C
# 開啟NTP服務。
<SwitchC> system-view
[SwitchC] ntp-service enable
# 配置通過NTP協議獲取時間。
[SwitchC] clock protocol ntp
# 設置本地時鍾作為參考時鍾,層數為2。
[SwitchC] ntp-service refclock-master 2
# 設置Switch C為組播服務器,從VLAN接口2發送組播報文。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ntp-service multicast-server
(3) 配置Switch D
# 開啟NTP服務。
<SwitchD> system-view
[SwitchD] ntp-service enable
# 配置通過NTP協議獲取時間。
[SwitchD] clock protocol ntp
# 設置Switch D為組播客戶端,從VLAN接口2監聽組播報文。
[SwitchD] interface vlan-interface 2
[SwitchD-Vlan-interface2] ntp-service multicast-client
(4) 驗證配置一
# 由於Switch D和Switch C在同一個網段,不需要配置組播功能,Switch D就可以收到Switch C發出的組播報文,並與其同步。同步後查看Switch D的狀態。可以看出,Switch D已經與Switch C同步,層數比Switch C的層數大1,為3。
[SwitchD-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3.0.1.31
Local mode: bclient
Reference clock ID: 3.0.1.31
Leap indicator: 00
Clock jitter: 0.044281 s
Stability: 0.000 pps
Clock precision: 2^-20
Root delay: 0.00229 ms
Root dispersion: 4.12572 ms
Reference time: d0d289fe.ec43c720 Sat, Jan 8 2019 7:00:14.922
System poll interval: 64 s
# 查看Switch D的NTP服務的所有IPv4會話信息,可以看到Switch D與Switch C建立了會話。
[SwitchD-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[1245]3.0.1.31 127.127.1.0 2 1 64 519 -0.0 0.0022 4.1257
Notes: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured.
Total sessions: 1
(5) 配置Switch B
由於Switch A與Switch C不在同一網段,所以Switch B上需要配置組播功能,否則Switch A收不到Switch C發出的組播報文。
# 配置組播功能。
<SwitchB> system-view
[SwitchB] multicast routing
[SwitchB-mrib] quit
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] pim dm
[SwitchB-Vlan-interface2] quit
[SwitchB] vlan 3
[SwitchB-vlan3] port gigabitethernet 1/0/1
[SwitchB-vlan3] quit
[SwitchB] interface vlan-interface 3
[SwitchB-Vlan-interface3] igmp enable
[SwitchB-Vlan-interface3] igmp static-group 224.0.1.1
[SwitchB-Vlan-interface3] quit
[SwitchB] igmp-snooping
[SwitchB-igmp-snooping] quit
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] igmp-snooping static-group 224.0.1.1 vlan 3
(6) 配置Switch A
# 開啟NTP服務。
<SwitchA> system-view
[SwitchA] ntp-service enable
# 配置通過NTP協議獲取時間。
[SwitchA] clock protocol ntp
# 設置Switch A為組播客戶端,從VLAN接口3監聽組播報文。
[SwitchA] interface vlan-interface 3
[SwitchA-Vlan-interface3] ntp-service multicast-client
(7) 驗證配置二
# 同步後查看Switch A的狀態。可以看出,Switch A已經與Switch C同步,層數比Switch C的層數大1,為3。
[SwitchA-Vlan-interface3] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3.0.1.31
Local mode: bclient
Reference clock ID: 3.0.1.31
Leap indicator: 00
Clock jitter: 0.165741 s
Stability: 0.000 pps
Clock precision: 2^-20
Root delay: 0.00534 ms
Root dispersion: 4.51282 ms
Reference time: d0c61289.10b1193f Wed, Dec 29 2019 20:03:21.065
System poll interval: 64 s
# 查看Switch A的NTP服務的所有IPv4會話信息,可以看到Switch A與Switch C建立了會話。
[SwitchA-Vlan-interface3] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[1234]3.0.1.31 127.127.1.0 2 247 64 381 -0.0 0.0053 4.5128
Notes: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured.
Total sessions: 1
為了實現Switch C作為不同網段中多個設備的時間服務器,同時同步多個設備的時間,要求:
· 在Switch C上設置本地時鍾作為參考時鍾,層數為2;
· Switch C工作在IPv6組播服務器模式,從VLAN接口2向外組播發送IPv6 NTP報文;
· Switch A和Switch D工作在IPv6組播客戶端模式,Switch A從VLAN接口3監聽IPv6 NTP組播報文,Switch D從VLAN接口2監聽IPv6 NTP組播報文。
圖1-10 配置IPv6 NTP組播模式組網圖
(1) 按照圖1-10配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Switch C
# 開啟NTP服務。
<SwitchC> system-view
[SwitchC] ntp-service enable
# 配置通過NTP協議獲取時間。
[SwitchC] clock protocol ntp
# 設置本地時鍾作為參考時鍾,層數為2。
[SwitchC] ntp-service refclock-master 2
# 設置Switch C為IPv6組播服務器,從VLAN接口2向組播地址FF24::1發送NTP報文。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ntp-service ipv6 multicast-server ff24::1
(3) 配置Switch D
# 開啟NTP服務。
<SwitchD> system-view
[SwitchD] ntp-service enable
# 配置通過NTP協議獲取時間。
[SwitchD] clock protocol ntp
# 設置Switch D為IPv6組播客戶端,在VLAN接口2監聽目的地址為FF24::1的NTP組播報文。
[SwitchD] interface vlan-interface 2
[SwitchD-Vlan-interface2] ntp-service ipv6 multicast-client ff24::1
(4) 驗證配置一
# 由於Switch D和Switch C在同一個網段,不需要配置IPv6組播功能,Switch D就可以收到Switch C發出的IPv6組播報文,並與其同步。同步後查看Switch D的狀態。Switch D已經與Switch C同步,層數比Switch C的層數大1,為3。
[SwitchD-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3000::2
Local mode: bclient
Reference clock ID: 165.84.121.65
Leap indicator: 00
Clock jitter: 0.000977 s
Stability: 0.000 pps
Clock precision: 2^-20
Root delay: 0.00000 ms
Root dispersion: 8.00578 ms
Reference time: d0c60680.9754fb17 Wed, Dec 29 2019 19:12:00.591
System poll interval: 64 s
# 查看Switch D的NTP服務的所有IPv6會話信息,可以看到Switch D與Switch C建立了會話。
[SwitchD-Vlan-interface2] display ntp-service ipv6 sessions
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
Source: [1234]3000::2
Reference: 127.127.1.0 Clock stratum: 2
Reachabilities: 111 Poll interval: 64
Last receive time: 23 Offset: -0.0
Roundtrip delay: 0.0 Dispersion: 0.0
Total sessions: 1
(5) 配置Switch B
由於Switch A與Switch C不在同一網段,所以Switch B上需要配置IPv6組播功能,否則Switch A收不到Switch C發出的IPv6組播報文。
# 配置IPv6組播功能。
<SwitchB> system-view
[SwitchB] ipv6 multicast routing
[SwitchB-mrib6] quit
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ipv6 pim dm
[SwitchB-Vlan-interface2] quit
[SwitchB] vlan 3
[SwitchB-vlan3] port gigabitethernet 1/0/1
[SwitchB-vlan3] quit
[SwitchB] interface vlan-interface 3
[SwitchB-Vlan-interface3] mld enable
[SwitchB-Vlan-interface3] mld static-group ff24::1
[SwitchB-Vlan-interface3] quit
[SwitchB] mld-snooping
[SwitchB-mld-snooping] quit
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] mld-snooping static-group ff24::1 vlan 3
(6) 配置Switch A
# 開啟NTP服務。
<SwitchA> system-view
[SwitchA] ntp-service enable
# 配置通過NTP協議獲取時間。
[SwitchA] clock protocol ntp
# 設置Switch A為IPv6組播客戶端,在VLAN接口3監聽目的地址為FF24::1的NTP組播報文。
[SwitchA] interface vlan-interface 3
[SwitchA-Vlan-interface3] ntp-service ipv6 multicast-client ff24::1
(7) 驗證配置二
# 同步後查看Switch A的狀態。可以看出,Switch A已經與Switch C同步,層數比Switch C的層數大1,為3。
[SwitchA-Vlan-interface3] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3000::2
Local mode: bclient
Reference clock ID: 165.84.121.65
Leap indicator: 00
Clock jitter: 0.165741 s
Stability: 0.000 pps
Clock precision: 2^-20
Root delay: 0.00534 ms
Root dispersion: 4.51282 ms
Reference time: d0c61289.10b1193f Wed, Dec 29 2019 20:03:21.065
System poll interval: 64 s
# 查看Switch A的NTP服務的IPv6會話信息,可以看到Switch A與Switch C建立了會話。
[SwitchA-Vlan-interface3] display ntp-service ipv6 sessions
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
Source: [124]3000::2
Reference: 127.127.1.0 Clock stratum: 2
Reachabilities: 2 Poll interval: 64
Last receive time: 71 Offset: -0.0
Roundtrip delay: 0.0 Dispersion: 0.0
Total sessions: 1
為了通過NTP實現Device B與Device A的時間同步,並保證時間同步的安全性,要求:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· Device B工作在客戶端模式,指定Device A為NTP服務器;
· Device A和Device B上同時配置NTP驗證。
圖1-11 配置帶身份驗證的NTP客戶端/服務器模式組網圖
(1) 按照圖1-11配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Device A的本地時鍾作為參考時鍾
# 開啟NTP服務。
<DeviceA> system-view
[DeviceA] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[DeviceA] ntp-service refclock-master 2
(3) 配置Device B
# 開啟NTP服務。
<DeviceB> system-view
[DeviceB] ntp-service enable
# 配置通過NTP協議獲取時間。
[DeviceB] clock protocol ntp
# 在Device B上啟動NTP驗證功能。
[DeviceB] ntp-service authentication enable
# 創建編號為42的NTP驗證密鑰,密鑰值為aNiceKey,以明文形式輸入。
[DeviceB] ntp-service authentication-keyid 42 authentication-mode md5 simple aNiceKey
# 配置編號為42的密鑰為可信密鑰。
[DeviceB] ntp-service reliable authentication-keyid 42
# 設置Device A為Device B的NTP服務器,並將該服務器與編號為42的密鑰關聯。
[DeviceB] ntp-service unicast-server 1.0.1.11 authentication-keyid 42
以上配置將使得Device B與Device A進行時間同步,但由於Device A沒有開啟NTP身份驗證,所以,Device B還是無法與Device A同步。
(4) 在Device A上配置NTP驗證功能。
# 在Device A上啟動NTP驗證功能。
[DeviceA] ntp-service authentication enable
# 創建編號為42的NTP驗證密鑰,密鑰值為aNiceKey,以明文形式輸入。
[DeviceA] ntp-service authentication-keyid 42 authentication-mode md5 simple aNiceKey
# 配置編號為42的密鑰為可信密鑰。
[DeviceA] ntp-service reliable authentication-keyid 42
# 完成上述配置後,Device B可以與Device A的時間同步。同步後查看Device B的狀態。可以看出,Device B已經與Device A同步,層數比Device A的層數大1,為3。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 1.0.1.11
Local mode: client
Reference clock ID: 1.0.1.11
Leap indicator: 00
Clock jitter: 0.005096 s
Stability: 0.000 pps
Clock precision: 2^-20
Root delay: 0.00655 ms
Root dispersion: 1.15869 ms
Reference time: d0c62687.ab1bba7d Wed, Dec 29 2019 21:28:39.668
System poll interval: 64 s
# 查看Device B的NTP服務的所有IPv4會話信息,可以看到Device B與Device A建立了會話。
[DeviceB] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[1245]1.0.1.11 127.127.1.0 2 1 64 519 -0.0 0.0065 0.0
Notes: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured.
Total sessions: 1
Switch C作為同一網段中多個設備的時間服務器,同時同步多個設備的時間。Switch A和Switch B要求對時間服務器進行驗證,以保證時間同步的安全性。為了實現上述需求,要求:
· 在Switch C上設置本地時鍾作為參考時鍾,層數為3;
· Switch C工作在廣播服務器模式,從VLAN接口2向外廣播發送NTP報文;
· Switch A和Switch B工作在廣播客戶端模式,從VLAN接口2監聽NTP廣播報文;
· 在Switch A、Switch B和Switch C上配置NTP驗證功能。
圖1-12 配置帶身份驗證的NTP廣播模式組網圖
(1) 按照圖1-12配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Switch A
# 開啟NTP服務。
<SwitchA> system-view
[SwitchA] ntp-service enable
# 配置通過NTP協議獲取時間。
[SwitchA] clock protocol ntp
# 開啟NTP驗證功能,創建ID為88的NTP驗證密鑰,密鑰值為123456,以明文形式輸入,並將密鑰88指定為可信密鑰。
[SwitchA] ntp-service authentication enable
[SwitchA] ntp-service authentication-keyid 88 authentication-mode md5 simple 123456
[SwitchA] ntp-service reliable authentication-keyid 88
# 設置Switch A為NTP廣播客戶端,從VLAN接口2監聽廣播報文。
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ntp-service broadcast-client
(3) 配置Switch B
# 開啟NTP服務。
<SwitchB> system-view
[SwitchB] ntp-service enable
# 配置通過NTP協議獲取時間。
[SwitchB] clock protocol ntp
# 開啟NTP驗證功能,創建ID為88的NTP驗證密鑰,密鑰值為123456,以明文形式輸入,並將密鑰88指定為可信密鑰。
[SwitchB] ntp-service authentication enable
[SwitchB] ntp-service authentication-keyid 88 authentication-mode md5 simple 123456
[SwitchB] ntp-service reliable authentication-keyid 88
# 設置Switch B為NTP廣播客戶端,從VLAN接口2監聽廣播報文。
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ntp-service broadcast-client
(4) 配置Switch C作為NTP廣播服務器
# 開啟NTP服務。
<SwitchC> system-view
[SwitchC] ntp-service enable
# 配置通過NTP協議獲取時間。
[SwitchC] clock protocol ntp
# 設置本地時鍾作為參考時鍾,層數為3。
[SwitchC] ntp-service refclock-master 3
# 設置Switch C為NTP廣播服務器,從VLAN接口2向外發送廣播報文。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ntp-service broadcast-server
[SwitchC-Vlan-interface2] quit
(5) 驗證配置一
# 由於Switch A和Switch B上開啟了NTP驗證功能,Switch C上沒有開啟NTP驗證功能。因此,Switch A和Switch B無法與Switch C的時間同步。以Switch B為例,查看NTP服務的狀態。
[SwitchB-Vlan-interface2] display ntp-service status
Clock status: unsynchronized
Clock stratum: 16
Reference clock ID: none
(6) 在Switch C上配置NTP驗證功能
# 在Switch C上開啟NTP驗證功能,創建ID為88的NTP驗證密鑰,密鑰值為123456,以明文形式輸入,並將密鑰88指定為可信密鑰。
[SwitchC] ntp-service authentication enable
[SwitchC] ntp-service authentication-keyid 88 authentication-mode md5 simple 123456
[SwitchC] ntp-service reliable authentication-keyid 88
# 設置Switch C為NTP廣播服務器並指定關聯的密鑰編號為88。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ntp-service broadcast-server authentication-keyid 88
(7) 驗證配置二
# 在Switch C上開啟NTP驗證功能後,Switch A和Switch B可以與Switch C的時間同步。以Switch B為例,查看NTP服務的狀態信息,可以看到Switch B已經與Switch C同步,層數比Switch C的層數大1,為4。
[SwitchB-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 4
System peer: 3.0.1.31
Local mode: bclient
Reference clock ID: 3.0.1.31
Leap indicator: 00
Clock jitter: 0.006683 s
Stability: 0.000 pps
Clock precision: 2^-20
Root delay: 0.00127 ms
Root dispersion: 2.89877 ms
Reference time: d0d287a7.3119666f Sat, Jan 8 2019 6:50:15.191
System poll interval: 64 s
# 查看Switch B的NTP服務的所有IPv4會話信息,可以看到Switch B與Switch C建立了連接。
[SwitchB-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[1245]3.0.1.31 127.127.1.0 3 3 64 68 -0.0 0.0000 0.0
Notes: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured.
Total sessions: 1
NTP時間同步過程中需要進行複雜的時鍾優選運算,時間同步速度較慢,並且占用較多的係統資源。SNTP(Simple NTP,簡單NTP)是由RFC 4330定義的客戶端版本的簡單NTP,采用與NTP相同的報文格式及交互過程,但簡化了NTP的時間同步過程,以犧牲時間精度為代價實現了時間的快速同步,並減少了占用的係統資源。在時間精度要求不高的情況下,可以使用SNTP來實現時間同步。
SNTP支持以下幾種工作模式:
· 客戶端/服務器模式
· 廣播模式
用戶可以根據需要選擇一種或幾種工作模式進行時間同步。各種模式的詳細介紹,如表2-1所示。
本文中NTP服務器或服務器指的是客戶端/服務器模式中工作在服務器模式的設備;時間服務器指的是所有能夠提供時間同步的設備,包括NTP服務器、NTP廣播服務器。
表2-1 SNTP模式介紹
|
模式 |
工作過程 |
時間同步方向 |
應用場合 |
|
客戶端/服務器模式 |
1. 客戶端向NTP服務器發送NTP時間同步請求報文 2. NTP服務器收到報文後,自動工作在服務器模式,並回複應答報文 3. 客戶端對收到的應答報文進行時鍾過濾和選擇,並與優選的時鍾進行時間同步 |
服務器——>客戶端 設備作為客戶端 |
如圖1-2所示,該模式通常用於下級的設備從上級的時間服務器獲取時間同步 |
|
廣播模式 |
1. 廣播服務器周期性地向廣播地址255.255.255.255發送NTP時間同步請求報文 2. 廣播客戶端偵聽來自廣播服務器的廣播報文,根據接收的廣播報文將設備的時間與廣播服務器的時間進行同步 3. 廣播客戶端接收到廣播服務器發送的第一個NTP報文後,會與廣播服務器進行報文交互,以獲得報文的往返時延,為時間同步提供必要的參數。之後,隻有廣播服務器單方向發送報文 |
廣播服務器——>廣播客戶端 設備作為廣播客戶端 |
如圖1-2所示,使用同一個時間服務器為同一個子網中的大量設備提供時間同步時,可以使用廣播模式,以簡化網絡配置 由於隻有廣播服務器單方向發送報文,廣播模式的時間準確度不如客戶端/服務器模式和對等體模式 |
與SNTP相關的協議規範有:
· RFC 4330:Simple Network Time Protocol (SNTP) Version 4 for IPv4, IPv6 and OSI
由於FIPS模式對安全要求更高,所以,設備運行於FIPS模式時,
· SNTP僅支持使用版本3和4的NTP報文,不支持使用版本1和2的NTP報文。
· SNTP支持HMAC-SHA-1、HMAC-SHA-256、HMAC-SHA-384、HMAC-SHA-512身份驗證算法,不支持MD5身份驗證算法。
有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
配置SNTP時,需要注意:
· 設備上不能同時配置NTP和SNTP功能。
· 用戶需要保證通過clock protocol命令,配置在指定的MDC(Multitenant Device Context,多租戶設備環境)或Context(邏輯防火牆),以NTP方式設置係統時間。有關clock protocol命令的詳細介紹,請參見“基礎配置命令參考”中的“設備管理”。
· 隻支持在一個MDC或一個Context上配置SNTP功能。
SNTP配置任務如下:
(1) 開啟SNTP服務
設備可以同時工作在客戶端/服務器模式和廣播模式。如果設備作為客戶端,並同時收到多路NTP時鍾信號,則會選擇最優的NTP時鍾進行同步。
¡ 指定NTP服務器
¡ (可選)配置客戶端/服務器模式下的SNTP驗證功能
(3) 廣播模式下的SNTP配置
設備可以同時工作在客戶端/服務器模式和廣播模式。如果設備作為客戶端,並同時收到多路NTP時鍾信號,則會選擇最優的NTP時鍾進行同步。
¡ (可選)配置廣播模式下的SNTP驗證功能
(4) (可選)控製SNTP時間同步
(5) (可選)檢測SNTP時間同步效果
(6) (可選)控製SNTP同步時的日誌和告警信息的打印
NTP服務與SNTP服務互斥,同一時刻隻能開啟其中一個服務。因此,在開啟SNTP服務器之前,請確保NTP服務關閉。
(1) 進入係統視圖。
system-view
(2) 開啟SNTP服務。
sntp enable
缺省情況下, SNTP服務處於關閉狀態。
在SNTP客戶端/服務器模式下,設備僅支持作為客戶端,去同步NTP服務器的時鍾。
NTP服務器的時鍾隻有處於同步狀態時,才能作為時間服務器為SNTP客戶端提供時間同步。當NTP服務器的時鍾層數大於或等於客戶端的時鍾層數時,客戶端將不會與其同步。
(1) 進入係統視圖。
system-view
(2) 為設備指定NTP服務器。
(IPv4網絡)
sntp unicast-server { server-name | ip-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | source interface-type interface-number | version number ] *
缺省情況下,未指定IPv4 NTP服務器。
可以通過多次執行本命令配置多個NTP服務器。authentication-keyid參數用來將指定密鑰與對應的NTP服務器關聯。使用驗證功能時,需要指定本參數。
(IPv6網絡)
sntp ipv6 unicast-server { server-name | ipv6-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | source interface-type interface-number ] *
缺省情況下,未指定IPv6 NTP服務器。
可以通過多次執行本命令配置多個IPv6 NTP服務器。authentication-keyid參數用來將指定密鑰與對應的NTP服務器關聯。使用驗證功能時,需要指定本參數。
在一些對時間同步安全性要求較高的網絡中,運行SNTP協議時需要啟用驗證功能。通過客戶端和服務器端的身份驗證,保證客戶端隻與通過驗證的服務器進行時間同步,提高了網絡安全性。
· 在NTP服務器和SNTP客戶端上都需要開啟驗證功能。
· NTP服務器和SNTP客戶端上必須配置相同的驗證密鑰(包括密鑰ID、驗證算法及密鑰值),並將密鑰設為可信密鑰。NTP服務器上驗證功能的配置方法,請參見“1.9.1 配置客戶端/服務器模式的NTP驗證功能”。
· 在客戶端需要將指定密鑰與對應的NTP服務器關聯,並保證服務端有權在本端使用該密鑰ID進行驗證。
· 如果客戶端沒有成功啟用SNTP驗證功能,不論服務器端是否開啟驗證功能,客戶端均可以與服務器端同步。
(1) 進入係統視圖。
system-view
(2) 開啟SNTP身份驗證功能。
sntp authentication enable
缺省情況下,SNTP身份驗證功能處於關閉狀態。
(3) 配置SNTP身份驗證密鑰。
sntp authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *
缺省情況下,未配置SNTP身份驗證密鑰。
(4) 配置指定密鑰為可信密鑰。
sntp reliable authentication-keyid keyid
缺省情況下,未指定可信密鑰。
(5) 將指定密鑰與對應的NTP服務器關聯。
(IPv4網絡)
sntp unicast-server { server-name | ip-address } [ vpn-instance vpn-instance-name ] authentication-keyid keyid
(IPv6網絡)
sntp ipv6 unicast-server { server-name | ipv6-address } [ vpn-instance vpn-instance-name ] authentication-keyid keyid
缺省情況下,未指定NTP服務器。
在SNTP廣播模式下,設備僅支持作為SNTP廣播客戶端,去同步NTP廣播服務器的時鍾。
(1) 進入係統視圖。
system-view
(2) 進入要接收NTP廣播報文的接口。
interface interface-type interface-number
(3) 配置設備工作在SNTP廣播客戶端模式,並使用當前接口接收SNTP廣播報文。
sntp broadcast-client
缺省情況下,未配置NTP工作模式。
執行本命令後,未配置SNTP的工作模式。
在一些對時間同步安全性要求較高的網絡中,運行SNTP協議時需要啟用驗證功能。通過客戶端和服務器端的身份驗證,保證客戶端隻與通過驗證的服務器進行時間同步,提高了網絡安全性。
· 在NTP廣播服務器和SNTP廣播客戶端上都需要開啟驗證功能。
· NTP廣播服務器和SNTP廣播客戶端上必須配置相同的驗證密鑰(包括密鑰ID、驗證算法及密鑰值),並將密鑰設為可信密鑰。NTP服務器上驗證功能的配置方法,請參見“1.9.3 配置廣播模式的NTP驗證功能”。
· 如果客戶端沒有成功啟用SNTP驗證功能,不論服務器端是否開啟驗證功能,客戶端均可以與服務器端同步。
(1) 進入係統視圖。
system-view
(2) 開啟SNTP身份驗證功能。
sntp authentication enable
缺省情況下,SNTP身份驗證功能處於關閉狀態。
(3) 配置SNTP身份驗證密鑰。
sntp authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *
缺省情況下,未配置SNTP身份驗證密鑰。
(4) 配置指定密鑰為可信密鑰。
sntp reliable authentication-keyid keyid
缺省情況下,未指定可信密鑰。
該功能用於設備作為SNTP服務器時,控製設備是否要響應SNTP客戶端的時間同步請求。
缺省情況下,SNTP服務器收到SNTP客戶端的時鍾同步請求時,會檢查SNTP客戶端的時鍾層級,隻有SNTP客戶端的時鍾層級高於SNTP服務器的時鍾層級時,SNTP服務器才會響應SNTP客戶端的請求,才能進行時鍾同步。如果SNTP客戶端的時鍾層級小於或等於SNTP服務器的時鍾層級,且不支持修改時鍾層級時,可以通過配置該命令,讓SNTP服務器忽略對SNTP時鍾層級的限製。
(1) 進入係統視圖。
system-view
(2) 忽略SNTP時鍾層級限製。
sntp ignore clock-stratum
缺省情況下,SNTP服務器在向SNTP客戶端同步時鍾的時候,存在SNTP時鍾層級限製。
本功能用於設備作為SNTP客戶端時,控製設備是否要同步SNTP服務器提供的時間。
設備將SNTP服務器端提供的時間減去SNTP客戶端的本地時間,得到時間偏移。經過多次采樣,可以得到多個時間偏移。正常情況下,這個時間偏移應該穩定在一個較小的範圍內變化,即時間偏移應該小於等於本命令配置的最大偏差。如果時間偏移大於配置的最大偏差,SNTP客戶端會認為SNTP服務器端的時間不可靠,不進行同步。
(1) 進入係統視圖。
system-view
(2) 配置SNTP允許時間同步的最大偏差,超過最大偏差不進行時間同步。
sntp time-offset-limit limit-threshold
缺省情況下,未配置SNTP允許時間同步的最大偏差。
網絡通過非SNTP(例如專用時間同步網)做時間同步,僅使用本功能來監測設備時鍾同步的效果。具體可以監測設備同步到的時間和時鍾源之間的時間誤差是否在允許範圍內,以及時鍾源如果發生時鍾跳變,設備上的時間是否會受到影響等。
圖2-1 SNTP工作在監測模式
SNTP報文中的TSSM(Time Synchronization Status Monitoring)標記是一個特定的字段,它用於增強時間同步過程中的安全性和可靠性。TSSM標記通常在更高安全級別的時間同步應用中使用,目的是為了確保僅響應來自已知和信任的時間源的SNTP請求。
設備作為SNTP客戶端時,不受該命令的影響,發送的報文不帶TSSM標識。可以正常和SNTP服務器進行時間同步。
開啟SNTP功能,設備就自動開啟SNTP服務器功能。設備作為SNTP服務器時:
· 缺省情況下,設備收到SNTP請求後,不管該請求中是否攜帶TSSM標誌,均作為時鍾同步請求處理,回應不帶TSSM標誌的響應報文。
· 如果配置了該命令,則SNTP服務器將檢查進入的SNTP請求報文是否包含TSSM標誌。如果不包含TSSM標誌,設備會直接丟棄該請求不會響應;隻有當請求報文中包含TSSM標誌時,設備才會進行響應。
配置本功能後,設備可以作為SNTP客戶端同步上級設備的時鍾,但是不能對下級設備提供SNTP時間同步功能。
(1) 進入係統視圖。
system-view
(2) 配置設備作為SNTP服務器時,僅響應帶TSSM標誌的SNTP請求報文。
sntp respond-to-withtssm
缺省情況下,設備作為SNTP服務器時,不判斷SNTP請求報文中是否攜帶TSSM標誌,均會進行處理。
缺省情況下,SNTP客戶端與服務器端的時間差經過多次采樣得到的時間偏移超過128ms時,客戶端將進行一次時間同步,並打印日誌信息和告警信息。配置本功能後,SNTP客戶端與服務器端的時間差經過多次采樣得到的時間偏移超過128ms時,客戶端將進行一次時間同步,但是時間偏移大於log-threshold時,才會打印日誌;時間偏移大於trap-threshold時,才會打印告警信息。
(1) 進入係統視圖。
system-view
(2) 配置SNTP的時間同步日誌打印閾值。
sntp time-offset-threshold { log log-threshold | trap trap-threshold } *
缺省情況下,未配置SNTP打印日誌和告警信息的時間偏移閾值。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後SNTP的運行情況,通過查看顯示信息驗證配置的效果。
表2-2 SNTP顯示和維護
|
操作 |
命令 |
|
顯示SNTP服務維護的IPv6會話信息 |
display sntp ipv6 sessions |
|
顯示SNTP服務維護的IPv4會話信息 |
display sntp sessions |
Device B對時間精度要求不高。為了實現Device B與Device A的時間同步,要求:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· Device B工作在SNTP客戶端模式,指定Device A為NTP服務器。
· Device B要求對NTP服務器進行驗證,以保證時間同步的安全性。
圖2-2 SNTP配置組網圖
(1) 按照圖2-2配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Device A
# 開啟NTP服務。
<DeviceA> system-view
[DeviceA] ntp-service enable
# 配置通過NTP協議獲取時間。
[DeviceA] clock protocol ntp
# 設置本地時鍾作為參考時鍾,層數為2。
[DeviceA] ntp-service refclock-master 2
# 在Device A上啟動NTP驗證功能。
[DeviceA] ntp-service authentication enable
# 創建編號為10的NTP驗證密鑰,密鑰值為aNiceKey,以明文形式輸入。
[DeviceA] ntp-service authentication-keyid 10 authentication-mode md5 simple aNiceKey
# 設置編號為10的密鑰為可信密鑰。
[DeviceA] ntp-service reliable authentication-keyid 10
(3) 配置Device B
# 開啟SNTP服務。
<DeviceB> system-view
[DeviceB] sntp enable
# 配置通過NTP協議獲取時間。
[DeviceB] clock protocol ntp
# 在Device B上啟動SNTP驗證功能。
[DeviceB] sntp authentication enable
# 創建編號為10的SNTP驗證密鑰,密鑰值為aNiceKey,以明文形式輸入。
[DeviceB] sntp authentication-keyid 10 authentication-mode md5 simple aNiceKey
# 設置編號為10的密鑰為可信密鑰。
[DeviceB] sntp reliable authentication-keyid 10
# 設置Device A為Device B的NTP服務器,並將該服務器與編號為10的密鑰關聯。
[DeviceB] sntp unicast-server 1.0.1.11 authentication-keyid 10
# 查看Device B的SNTP會話信息,可以看到Device B與Device A建立了會話,並且處於已同步狀態。
[DeviceB] display sntp sessions
SNTP server Stratum Version Poll Last receive time
1.0.1.11 2 4 64 Tue, May 17 2019 9:11:20.833 (Synced)
局域網中的設備,Switch A性能更好,作為時鍾源,為局域網中的其它設備提供NTP時鍾。要求:
· 在Switch A上設置本地時鍾作為參考時鍾,層數為2;
· Switch A工作在廣播服務器模式,從VLAN接口2向外廣播發送NTP報文;
· Switch B和Switch C工作在廣播客戶端模式,分別從各自的VLAN接口2監聽NTP廣播報文。
圖2-3 SNTP廣播模式組網圖
(1) 配置Switch A
# 配置設備使用本地時鍾。
<SwitchA> system-view
[SwitchA] clock protocol none
# 校準本地係統時間,假設當前的係統時間為2022年11月17日8時8分8秒。
[SwitchA] quit
<SwitchA> clock datetime 8:8:8 11/17/2022
# 開啟NTP服務。
<SwitchA> system-view
[SwitchA] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[SwitchA] ntp-service refclock-master 2
# 創建VLAN 2,使用VLAN接口2發送NTP廣播報文,並將連接Switch B的接口GigabitEthernet1/0/2和連接Switch C的接口GigabitEthernet1/0/3加入VLAN 2。
[SwitchA] vlan 2
[SwitchA-vlan2] port gigabitethernet 1/0/2 gigabitethernet 1/0/3
[SwitchA-vlan2] quit
# 設置Switch A為NTP廣播服務器,從VLAN接口2發送NTP廣播報文。
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 3.0.1.31 24
[SwitchA-Vlan-interface2] ntp-service broadcast-server
[SwitchA-Vlan-interface2] quit
(2) 配置Switch B
# 開啟SNTP服務。
<SwitchB> system-view
[SwitchB] sntp enable
# 配置通過NTP協議獲取時間。
[SwitchB] clock protocol ntp
# 創建VLAN 2,使用VLAN接口2接收NTP廣播報文,並將連接Switch A的接口GigabitEthernet1/0/2加入VLAN 2。
[SwitchA] vlan 2
[SwitchA-vlan2] port gigabitethernet 1/0/2
[SwitchA-vlan2] quit
# 設置Switch B為SNTP廣播客戶端,從VLAN接口2監聽NTP廣播報文。
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ip address 3.0.1.32 24
[SwitchB-Vlan-interface2] sntp broadcast-client
[SwitchB-Vlan-interface2] quit
(3) 配置Switch C
# 開啟NTP服務。
<SwitchC> system-view
[SwitchC] sntp enable
# 配置通過NTP協議獲取時間。
[SwitchC] clock protocol ntp
# 創建VLAN 2,使用VLAN接口2接收NTP廣播報文,並將連接Switch A的接口GigabitEthernet1/0/3加入VLAN 2。
[SwitchA] vlan 2
[SwitchA-vlan2] port gigabitethernet 1/0/3
[SwitchA-vlan2] quit
# 設置Switch C為SNTP廣播客戶端,從VLAN接口2監聽NTP廣播報文。
[SwitchC] interface vlan-interface 2
[SwitchC-Vlan-interface2] ip address 3.0.1.33 24
[SwitchC-Vlan-interface2] sntp broadcast-client
[SwitchC-Vlan-interface2] quit
# 查看Switch B、Switch C的SNTP會話信息,可以看到Switch B、Switch C已經與Switch A建立了會話,並且處於已同步狀態。(下麵以Switch B上的顯示為例)
[SwitchB] display sntp sessions
SNTP server Stratum Version Poll Last receive time
3.0.1.31 2 4 64 Thu, Nov 17 2022 08:08:40.442 (Synced)
# 查看Switch B、Switch C的當前係統時鍾,可以看到Switch B、Switch C與Switch A的係統時間一致。(下麵以Switch B上的顯示為例)
[SwitchB] display clock
08:08:45.120 UTC Thu 11/17/2022
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
