- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-NTP配置
本章節下載: 05-NTP配置 (930.38 KB)
在大型的網絡中,如果依靠管理員手工配置來修改網絡中各台設備的係統時間,不但工作量巨大,而且也不能保證時間的精確性。NTP(Network Time Protocol,網絡時間協議)可以用來在分布式時間服務器和客戶端之間進行時間同步,使網絡內所有設備的時間保持一致,並提供較高的時間同步精度。
這裏的“分布式”指的是運行NTP的設備既可以與其他設備的時間同步,又可以作為時間服務器為其他設備提供時間同步。
NTP主要應用於需要網絡中所有設備的時間保持一致的場合,比如:
· 需要以時間作為依據,對從不同設備采集來的日誌信息、調試信息進行分析的網絡管理係統。
· 對設備時間一致性有要求的計費係統。
· 多個係統協同處理同一個比較複雜的事件的場合。此時,為保證正確的執行順序,多個係統的時間必須保持一致。
NTP的基本工作原理如圖1-1所示。Device A和Device B通過網絡相連,Device A和Device B的時間不同,需要通過NTP實現時間的自動同步。為便於理解,作如下假設:
· 在Device A和Device B的時間同步之前,Device A的時間設定為10:00:00 am,Device B的時間設定為11:00:00 am。
· Device B作為NTP時間服務器,即Device A與Device B的時間同步。
· NTP報文從Device A到Device B、從Device B到Device A單向傳輸所需要的時間均為1秒。
· Device B處理NTP報文所需的時間是1秒。
圖1-1 NTP基本工作原理圖
Device A和Device B時間同步的工作過程如下:
(1) Device A發送一個NTP報文給Device B,該報文帶有它離開Device A時的時間戳,該時間戳為10:00:00 am(T1)。
(2) 當此NTP報文到達Device B時,Device B在NTP報文上增加該報文到達Device B時的時間戳,該時間戳為11:00:01 am(T2)。
(3) 當此NTP報文離開Device B時,Device B再在NTP報文上增加該報文離開Device B時的時間戳,該時間戳為11:00:02 am(T3)。
(4) 當Device A接收到該響應報文時,Device A的本地時間為10:00:03 am(T4)。
至此,Device A可以根據上述時間戳計算兩個重要的參數:
· NTP報文的往返時延Delay = (T4 – T1) – (T3 – T2) = 2秒。
· Device A相對Device B的時間差Offset = ((T2 – T1) + (T3 – T4)) / 2 = 1小時。
這樣,Device A就能夠根據這些信息來設定自己的時間,使之與Device B的時間同步。
以上內容隻是對NTP工作原理的一個粗略描述,詳細內容請參閱相關的協議規範。
設備作為NTP客戶端時,要求NTP服務器的時鍾層數必須大於等於0小於等於14。如果NTP服務器的時鍾層數大於14,則不同步該NTP服務器的時鍾。可登錄NTP服務器並執行ntp-service refclock-master命令修改NTP服務器的時鍾層數。
· 對於IPv4 NTP功能,在設備上執行display ntp-service sessions命令,通過顯示信息中的stra字段可查看NTP服務器的時鍾層數。
· 對於IPv6 NTP功能,在設備上執行display ntp-service ipv6 sessions命令,通過顯示信息中的Clock stratum字段可查看NTP服務器的時鍾層數。
NTP通過時鍾層數來定義時鍾的準確度。時鍾層數的取值範圍為0~16,取值越小,時鍾準確度越高。
圖1-2 NTP網絡結構
如圖1-2所示,實際網絡中,通常將從權威時鍾(如原子時鍾)獲得時間同步的NTP服務器的層數設置為1,並將其作為主時間服務器,為網絡中其他設備的時鍾提供時間同步。網絡中的設備與主時間服務器的NTP距離,即NTP同步鏈上NTP服務器的數目,決定了設備上時鍾的層數。例如,從主時間服務器獲得時間同步的設備的時鍾層數為2,即比主時間服務器的時鍾層數大1;從時鍾層數為2的時間服務器獲得時間同步的設備的時鍾層數為3,以此類推。
為了保證時間的準確性和可靠性,可以為一台設備指定多個時間服務器,設備根據時鍾層數等參數進行時鍾過濾和選擇,從多個時間服務器中選擇最優的時鍾,與其同步。設備選中的時鍾稱為參考時鍾。時鍾優選過程的詳細介紹,請參閱相關的協議規範。
在某些網絡中,例如無法與外界通信的孤立網絡,網絡中的設備無法與權威時鍾進行時間同步。此時,可以從該網絡中選擇一台時鍾較為準確的設備,指定該設備與本地時鍾進行時間同步,即采用本地時鍾作為參考時鍾,使得該設備的時鍾處於同步狀態。該設備作為時間服務器為網絡中的其他設備提供時間同步,從而實現整個網絡的時間同步。
NTP支持以下幾種工作模式:
· 客戶端/服務器模式
· 對等體模式
· 廣播模式
· 組播模式
用戶可以根據需要選擇一種或幾種工作模式進行時間同步。各種模式的詳細介紹,如表1-1所示。
本文中NTP服務器或服務器指的是客戶端/服務器模式中工作在服務器模式的設備;時間服務器指的是所有能夠提供時間同步的設備,包括NTP服務器、NTP對等體、廣播服務器和組播服務器。
表1-1 NTP模式介紹
|
模式 |
工作過程 |
時間同步方向 |
應用場合 |
|
客戶端/服務器模式 |
客戶端上需要手工指定NTP服務器的地址。客戶端向NTP服務器發送NTP時間同步報文。NTP服務器收到報文後會自動工作在服務器模式,並回複應答報文 如果客戶端可以從多個時間服務器獲取時間同步,則客戶端收到應答報文後,進行時鍾過濾和選擇,並與優選的時鍾進行時間同步 |
· 客戶端能夠與NTP服務器的時間同步 · NTP服務器無法與客戶端的時間同步 |
如圖1-2所示,該模式通常用於下級的設備從上級的時間服務器獲取時間同步 |
|
對等體模式 |
主動對等體(Symmetric active peer)上需要手工指定被動對等體(Symmetric passive peer)的地址。主動對等體向被動對等體發送NTP時間同步報文。被動對等體收到報文後會自動工作在被動對等體模式,並回複應答報文 如果主動對等體可以從多個時間服務器獲取時間同步,則主動對等體收到應答報文後,進行時鍾過濾和選擇,並與優選的時鍾進行時間同步 |
· 主動對等體和被動對等體的時間可以互相同步 · 如果雙方的時鍾都處於同步狀態,則層數大的時鍾與層數小的時鍾的時間同步 |
如圖1-2所示,該模式通常用於同級的設備間互相同步,以便在同級的設備間形成備份。如果某台設備與所有上級時間服務器的通信出現故障,則該設備仍然可以從同級的時間服務器獲得時間同步 |
|
廣播模式 |
廣播服務器周期性地向廣播地址255.255.255.255發送NTP時間同步報文。廣播客戶端偵聽來自廣播服務器的廣播報文,根據接收的廣播報文將設備的時間與廣播服務器的時間進行同步 廣播客戶端接收到廣播服務器發送的第一個NTP報文後,會與廣播服務器進行報文交互,以獲得報文的往返時延,為時間同步提供必要的參數。之後,隻有廣播服務器單方向發送報文 |
· 廣播客戶端能夠與廣播服務器的時間同步 · 廣播服務器無法與廣播客戶端的時間同步 |
廣播服務器廣播發送時間同步報文,可以同時同步同一個子網中多個廣播客戶端的時間。如圖1-2所示,使用同一個時間服務器為同一個子網中的大量設備提供時間同步時,可以使用廣播模式,以簡化網絡配置 由於隻有廣播服務器單方向發送報文,廣播模式的時間準確度不如客戶端/服務器模式和對等體模式 |
|
組播模式 |
組播服務器周期性地向指定的組播地址發送NTP時間同步報文。客戶端偵聽來自服務器的組播報文,根據接收的組播報文將設備的時間與組播服務器的時間進行同步 |
· 組播客戶端能夠與組播服務器的時間同步 · 組播服務器無法與組播客戶端的時間同步 |
組播模式對廣播模式進行了擴展,組播服務器可以同時為同一子網、不同子網的多個組播客戶端提供時間同步 組播模式的時間準確度不如客戶端/服務器模式和對等體模式 |
為了提高時間同步的安全性,NTP提供了NTP服務的訪問控製權限和NTP驗證功能。
本功能是指利用ACL限製對端設備對本地設備上NTP服務的訪問控製權限。NTP服務的訪問控製權限從高到低依次為peer、server、synchronization、query。
· peer:完全訪問權限。該權限既允許對端設備向本地設備的時間同步,對本地設備進行控製查詢(查詢NTP的一些狀態,比如告警信息、驗證狀態、時間服務器信息等),同時本地設備也可以向對端設備的時間同步。
· server:服務器訪問與查詢權限。該權限允許對端設備向本地設備的時間同步,對本地設備進行控製查詢,但本地設備不會向對端設備的時間同步。
· synchronization:僅具有訪問服務器的權限。該權限隻允許對端設備向本地設備的時間同步,但不能進行控製查詢。
· query:僅具有控製查詢的權限。該權限隻允許對端設備對本地設備的NTP服務進行控製查詢,但是不能向本地設備的時間同步。
|
訪問控製權限 |
作為客戶端時是否可以配置 |
作為時間服務器時是否可以配置 |
是否可以對本設備進行控製查詢 |
|
peer |
可以 |
可以 |
可以 |
|
server |
可以 |
不可以 |
可以 |
|
synchronization |
可以 |
不可以 |
不可以 |
|
query |
不可以 |
不可以 |
可以 |
當設備接收到NTP服務請求時,會按照權限從高到低的順序依次進行匹配。匹配原則為:
· 如果沒有指定權限應用的ACL或權限應用的ACL尚未創建,則繼續匹配下一個權限。
· 如果所有的權限都沒有應用ACL或權限應用的ACL尚未創建,則所有對端設備對本地設備NTP服務的訪問控製權限均為peer。
· 如果存在應用了ACL的權限,且該ACL已經創建,則隻有NTP服務請求匹配了某個權限應用的ACL中的permit規則,發送該NTP服務請求的對端設備才會具有該訪問控製權限。其他情況下(NTP服務請求匹配某個權限應用的ACL中的deny規則或沒有匹配任何權限的任何規則),發送該NTP服務請求的對端設備不具有任何權限。
配置NTP服務的訪問控製權限,僅提供了一種最小限度的安全措施,更安全的方法是使用NTP驗證功能。
在一些對時間同步的安全性要求較高的網絡中,運行NTP協議時需要使用NTP驗證功能。NTP驗證功能可以用來驗證接收到的NTP報文的合法性。隻有報文通過驗證後,設備才會接收該報文,並從中獲取時間同步信息;否則,設備會丟棄該報文。從而,保證設備不會與非法的時間服務器進行時間同步,避免時間同步錯誤。
圖1-3 NTP驗證功能示意圖
如圖1-3所示,NTP驗證功能的工作過程為:
(1) NTP報文發送者利用密鑰ID標識的密鑰對NTP報文進行MD5運算,並將計算出來的摘要信息連同NTP報文和密鑰ID一起發送給接收者。
(2) 接收者接收到該NTP報文後,根據報文中的密鑰ID找到對應的密鑰,並利用該密鑰對報文進行MD5運算。接收者將運算結果與報文中的摘要信息比較,依據比較結果,有以下兩種情況:
· 比較結果不相同,則丟棄該報文。
· 比較結果相同,則檢查NTP報文發送者是否有權在本端使用該密鑰ID,檢查通過,則接收該報文;否則,丟棄該報文。
設備作為NTP客戶端或主動對等體時支持VPN多實例,實現設備與位於MPLS L3VPN中的NTP服務器或NTP被動對等體進行時間同步。
如下圖所示,私網VPN 1和VPN 2中的用戶通過PE(Provider Edge,服務提供商網絡邊緣)設備接入MPLS骨幹網,各VPN實例之間的業務相互隔離。配置PE設備工作在NTP客戶端或NTP主動對等體模式,並指定NTP服務器或NTP被動對等體所屬的VPN實例後,可以實現PE設備與各VPN實例中的設備進行時間同步。有關MPLS L3VPN、VPN實例和PE的詳細介紹,請參見“MPLS配置指導”中的“MPLS L3VPN”。
圖1-4 NTP支持VPN多實例組網應用圖
目前隻有單播方式(客戶端/服務器模式和對等體模式)的NTP時間同步支持VPN多實例,廣播模式和組播模式的時間同步暫時不支持VPN多實例。
與NTP相關的協議規範有:
· RFC 1305:Network Time Protocol (Version 3) Specification, Implementation and Analysis
· RFC 5905:Network Time Protocol Version 4: Protocol and Algorithms Specification
配置NTP時,需要注意:
· 缺省情況下,NTP使用UDP端口號123進行通信。如果該端口已被其他業務模塊占用,NTP功能將無法啟動。此外,由於SNTP也使用UDP端口號123,因此設備上不能同時啟用NTP和SNTP功能。
¡ 當開啟NTP服務時,設備將作為NTP服務器和客戶端,通過UDP端口號123提供NTP服務。如果此端口號被其他業務模塊占用,NTP服務將啟動失敗。
¡ 在NTP功能運行期間,如果用戶執行undo ntp-service time-server enable和undo ntp-service ipv6 time-server enable命令以關閉IPv4和IPv6 NTP服務器功能,設備將僅作為NTP客戶端運行。為了安全起見,係統會關閉UDP端口號123,並重新為NTP分配一個空閑的UDP端口號。一旦後續重新啟用NTP服務器功能,設備將把NTP的偵聽端口切換回123。
· 支持NTP的接口均為三層接口,包括三層以太網接口/子接口、三層聚合接口/子接口、VLAN接口、Tunnel接口等。
· 建議用戶不要在聚合成員口上進行NTP相關配置。
· 為保證時間同步的準確性,不建議用戶在組網中配置兩個或者兩個以上的時鍾源,以免造成時鍾震蕩,甚至出現無法同步的情況。
· NTP時鍾源與設備當前係統時間的偏差必須小於68年,否則無法正常時間同步。
· 用戶需要保證通過clock protocol命令,配置以NTP方式獲取係統時間。有關clock protocol命令的詳細介紹,請參見“基礎配置命令參考”中的“設備管理”。
設備作為NTP客戶端時,要求NTP服務器的時鍾層數必須大於等於0小於等於14。如果NTP服務器的時鍾層數大於14,則不同步該NTP服務器的時鍾。可登錄NTP服務器並執行ntp-service refclock-master命令修改NTP服務器的時鍾層數。
· 對於IPv4 NTP功能,在設備上執行display ntp-service sessions命令,通過顯示信息中的stra字段可查看NTP服務器的時鍾層數。
· 對於IPv6 NTP功能,在設備上執行display ntp-service ipv6 sessions命令,通過顯示信息中的Clock stratum字段可查看NTP服務器的時鍾層數。
NTP配置任務如下:
(1) 開啟NTP服務
(2) 配置不同工作模式下的NTP
(3) (可選)配置本地時鍾作為參考時鍾
(4) (可選)配置NTP服務的訪問控製權限
(5) (可選)配置NTP驗證功能
(6) (可選)控製NTP報文的收發
(7) (可選)控製NTP同步時日誌和告警信息的打印
NTP服務與SNTP服務互斥,同一時刻隻能開啟其中一個服務。因此,在開啟NTP服務器之前,請確保SNTP服務關閉。
(1) 進入係統視圖。
system-view
(2) 開啟NTP服務。
ntp-service enable
缺省情況下, NTP服務處於關閉狀態。
· 當設備采用客戶端/服務器模式時,需要在客戶端上指定服務器的地址。
· 當服務器端的時鍾層數大於或等於客戶端的時鍾層數時,客戶端將不會與其同步。
· 可以通過多次執行ntp-service unicast-server命令和ntp-service ipv6 unicast-server命令為設備指定多個服務器。
· 服務器需要通過與其他設備同步或配置本地時鍾作為參考時鍾等方式,使得自己的時鍾處於同步狀態,否則客戶端不會將自己的時間與服務器的時間同步。
(1) 進入係統視圖。
system-view
(2) 為設備指定NTP服務器。
(IPv4網絡)
ntp-service unicast-server { server-name | ip-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | priority | source interface-type interface-number | version number ] *
(IPv6網絡)
ntp-service ipv6 unicast-server { server-name | ipv6-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | priority | source interface-type interface-number ] *
缺省情況下,未指定NTP服務器。
(3) 配置CWMP協議中要求的NTP服務器參數。
ntp-service cwmp unicast-server { host-name | ipv4-address | ipv6 ipv6-address } { first | second | third | fourth | fifth }
缺省情況下,未配置CWMP協議中要求的NTP服務器參數。
通常情況下使用ntp-service unicast-server命令為設備指定NTP服務器即可。如果需要對應配置CWMP協議中的NTPServer1、NTPServer2、NTPServer3、NTPServer4、NTPServer5,請使用本命令配置。需要注意的是這兩個命令行中配置的NTP服務器不能重複。
(1) 進入係統視圖。
system-view
(2) 開啟NTP服務器功能。
(IPv4網絡)
ntp-service time-server enable
缺省情況下,NTP服務器功能處於開啟狀態。
(IPv6網絡)
ntp-service ipv6 time-server enable
缺省情況下,IPv6 NTP服務器功能處於開啟狀態。
本命令用於控製設備能否對外提供NTP同步時間:當開啟NTP服務器功能,且符合ntp-service acl或ntp-service ipv6 acl命令指定的條件時,設備可為其它設備提供NTP同步時間;當關閉NTP服務器功能時,設備不能為其它設備提供NTP同步時間。
· 當設備采用對等體模式時,需要在主動對等體上指定被動對等體的地址。
· 被動對等體上需要執行ntp-service enable命令來開啟NTP服務,否則被動對等體不會處理來自主動對等體的NTP報文。
· 主動對等體和被動對等體的時鍾至少要有一個處於同步狀態,否則它們的時間都將無法同步。
· 可以通過多次執行ntp-service unicast-peer命令或ntp-service ipv6 unicast-peer命令為設備指定多個被動對等體。
(1) 進入係統視圖。
system-view
(2) 指定設備的被動對等體。
(IPv4網絡)
ntp-service unicast-peer { peer-name | ip-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | priority | source interface-type interface-number | version number ] *
(IPv6網絡)
ntp-service ipv6 unicast-peer { peer-name | ipv6-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | priority | source interface-type interface-number ] *
缺省情況下,未指定被動對等體。
(3) 開啟NTP服務器功能。
(IPv4網絡)
ntp-service time-server enable
缺省情況下,NTP服務器功能處於開啟狀態。
(IPv6網絡)
ntp-service ipv6 time-server enable
缺省情況下,IPv6 NTP服務器功能處於開啟狀態。
本命令用於控製設備能否對外提供NTP同步時間:當開啟NTP服務器功能,且符合ntp-service acl或ntp-service ipv6 acl命令指定的條件時,設備可為其它設備提供NTP同步時間;當關閉NTP服務器功能時,設備不能為其它設備提供NTP同步時間。
· 當設備采用廣播模式時,廣播服務器端和廣播客戶端上都需要進行配置。
· 配置NTP的廣播模式之前,廣播服務器需要通過與其他設備同步或配置本地時鍾作為參考時鍾等方式,使得自己的時鍾處於同步狀態,否則廣播客戶端不會將自己的時間與廣播服務器的時間同步。
(1) 進入係統視圖。
system-view
(2) 進入要接收NTP廣播報文的接口。
interface interface-type interface-number
(3) 配置設備工作在NTP廣播客戶端模式。
ntp-service broadcast-client
缺省情況下,未配置NTP工作模式。
執行本命令後,設備將通過當前接口接收NTP廣播報文。
(1) 進入係統視圖。
system-view
(2) 進入要發送NTP廣播報文的接口。
interface interface-type interface-number
(3) 配置設備工作在NTP廣播服務器模式。
ntp-service broadcast-server [ authentication-keyid keyid | version number ] *
缺省情況下,未配置NTP工作模式。
執行本命令後,設備將通過當前接口周期性發送NTP廣播報文。
(4) 開啟NTP服務器功能。
(IPv4網絡)
ntp-service time-server enable
缺省情況下,NTP服務器功能處於開啟狀態。
(IPv6網絡)
ntp-service ipv6 time-server enable
缺省情況下,IPv6 NTP服務器功能處於開啟狀態。
本命令用於控製設備能否對外提供NTP同步時間:當開啟NTP服務器功能,且符合ntp-service acl或ntp-service ipv6 acl命令指定的條件時,設備可為其它設備提供NTP同步時間;當關閉NTP服務器功能時,設備不能為其它設備提供NTP同步時間。
· 設備采用組播模式時,在組播服務器端和組播客戶端上都需要進行本配置。
· 配置NTP的組播模式之前,組播服務器需要通過與其他設備同步或配置本地時鍾作為參考時鍾等方式,使得自己的時鍾處於同步狀態,否則組播客戶端不會將自己的時間與組播服務器的時間同步。
(1) 進入係統視圖。
system-view
(2) 進入要接收NTP組播報文的接口。
interface interface-type interface-number
(3) 配置設備工作在NTP組播客戶端模式。
(IPv4網絡)
ntp-service multicast-client [ ip-address ]
(IPv6網絡)
ntp-service ipv6 multicast-client ipv6-address
缺省情況下,未配置NTP工作模式。
執行本命令後,設備將通過當前接口接收NTP組播報文。
(1) 進入係統視圖。
system-view
(2) 進入要發送NTP組播報文的接口。
interface interface-type interface-number
(3) 配置設備工作在NTP組播服務器模式。
(IPv4網絡)
ntp-service multicast-server [ ip-address ] [ authentication-keyid keyid | ttl ttl-number | version number ] *
(IPv6網絡)
ntp-service ipv6 multicast-server ipv6-address [ authentication-keyid keyid | ttl ttl-number ] *
缺省情況下,未配置NTP工作模式。
執行本命令後,設備將通過當前接口周期性發送NTP組播報文。
(4) 開啟NTP服務器功能。
(IPv4網絡)
ntp-service time-server enable
缺省情況下,NTP服務器功能處於開啟狀態。
(IPv6網絡)
ntp-service ipv6 time-server enable
缺省情況下,IPv6 NTP服務器功能處於開啟狀態。
本命令用於控製設備能否對外提供NTP同步時間:當開啟NTP服務器功能,且符合ntp-service acl或ntp-service ipv6 acl命令指定的條件時,設備可為其它設備提供NTP同步時間;當關閉NTP服務器功能時,設備不能為其它設備提供NTP同步時間。
本配置用來指定設備與本地時鍾進行時間同步,使得該設備的時鍾處於同步狀態。
· 配置本地時鍾作為參考時鍾後,本地設備的時鍾將處於同步狀態,可以作為時間服務器為網絡中其他設備的時鍾提供時間同步。如果本地設備的時鍾不正確,則會導致網絡中設備的時間錯誤,請謹慎使用本配置。
· 有些設備重啟後,係統時間會變成係統初始化的時間。建議不要在這些設備上配置本地時鍾作為參考時鍾,並且不要將這些設備指定為時間服務器。
· 設備斷電重啟後,係統時間會變成係統初始化的時間;設備軟重啟時,啟動階段的係統時鍾處於關閉狀態,啟動之後的係統時鍾將不準確。建議不要在設備上配置本地時鍾作為參考時鍾,並且不要將設備指定為時間服務器。
· 不同的設備在時鍾精度方麵存在差異,一個網段中建議隻配置一個精度最高參考時鍾,否則可能出現網絡震蕩,導致時鍾無法同步。
配置本地時鍾作為參考時鍾之前,建議先校準本地係統時間。
(1) 進入係統視圖。
system-view
(2) 配置本地時鍾作為參考時鍾。
ntp-service refclock-master [ ip-address ] [ stratum ]
缺省情況下,設備未采用本地時鍾作為參考時鍾。
在配置對本地設備NTP服務的訪問控製權限時,需要創建並配置與訪問權限關聯的ACL。ACL的配置方法請參見“ACL和QoS配置指導”中的“ACL”。
請根據設備的時間同步需求,參考表1-2,為設備配置NTP服務的訪問控製權限。
|
訪問控製權限 |
是否可以接受同步時間 (作為客戶端時是否可以配置) |
是否可以對外提供同步時間 (作為時間服務器時是否可以配置) |
是否可以對本設備進行控製查詢 |
|
peer |
可以 |
可以 |
可以 |
|
server |
不可以 |
可以 |
可以 |
|
synchronization |
不可以 |
可以 |
不可以 |
|
query |
不可以 |
不可以 |
可以 |
ntp-service noquery enable命令僅用於允許或者禁止對端設備對本設備進行控製查詢,對時鍾同步不進行限製。當設備上配置了ntp-service noquery enable、ntp-service acl、ntp-service ipv6 acl命令時,“是否可以對本設備進行控製查詢”以ntp-service noquery enable命令的配置為準。
(1) 進入係統視圖。
system-view
(2) 配置對端設備對本地設備NTP服務的訪問控製權限。
(IPv4網絡)
ntp-service { peer | query | server | synchronization } acl ipv4-acl-number
(IPv6網絡)
ntp-service ipv6 { peer | query | server | synchronization } acl ipv4-acl-number
缺省情況下,對端設備對本地設備NTP服務的訪問控製權限為peer(完全訪問權限)。
(3) 禁止對端設備對本設備進行控製查詢。
ntp-service noquery enable
缺省情況下,允許對端設備對本設備進行控製查詢。
客戶端和服務器上需要配置相同的密鑰ID及密鑰值,並且保證對端有權在本端使用該密鑰ID進行驗證,否則會導致NTP驗證失敗。
客戶端和服務器上進行不同的配置時,NTP驗證結果有所不同,詳細介紹請參見表1-3。其中,表格中的“-”表示不管此項是否配置。
|
客戶端 |
服務器 |
結果 |
|||
|
身份驗證 |
關聯密鑰 |
關聯密鑰存在且為可信密鑰 |
身份驗證 |
關聯密鑰存在且為可信密鑰 |
|
|
是 |
是 |
是 |
是 |
是 |
身份驗證成功 |
|
是 |
是 |
是 |
是 |
否 |
身份驗證失敗 |
|
是 |
是 |
是 |
否 |
- |
身份驗證失敗 |
|
是 |
是 |
否 |
- |
- |
身份驗證失敗 |
|
是 |
否 |
- |
- |
- |
不進行身份驗證 |
|
否 |
- |
- |
- |
- |
不進行身份驗證 |
(1) 進入係統視圖。
system-view
(2) 開啟NTP身份驗證功能。
ntp-service authentication enable
缺省情況下,NTP身份驗證功能處於關閉狀態。
(3) 配置NTP身份驗證密鑰。
ntp-service authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *
缺省情況下,未配置NTP身份驗證密鑰。
(4) 配置指定密鑰為可信密鑰。
ntp-service reliable authentication-keyid keyid
缺省情況下,未指定可信密鑰。
(5) 將指定密鑰與對應的NTP服務器關聯。
(IPv4網絡)
ntp-service unicast-server { server-name | ip-address } [ vpn-instance vpn-instance-name ] authentication-keyid keyid
(IPv6網絡)
ntp-service ipv6 unicast-server { server-name | ipv6-address } [ vpn-instance vpn-instance-name ] authentication-keyid keyid
(1) 進入係統視圖。
system-view
(2) 開啟NTP身份驗證功能。
ntp-service authentication enable
缺省情況下,NTP身份驗證功能處於關閉狀態。
(3) 配置NTP身份驗證密鑰。
ntp-service authentication-keyid keyid authentication-mode md5{ cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *
缺省情況下,未配置NTP身份驗證密鑰。
(4) 配置指定密鑰為可信密鑰。
ntp-service reliable authentication-keyid keyid
缺省情況下,未指定可信密鑰。
主動對等體和被動對等體上需要配置相同的密鑰ID及密鑰值,並且保證對端有權在本端使用該密鑰ID進行驗證,否則會導致NTP驗證失敗。
主動對等體和被動對等體上進行不同的配置時,NTP驗證結果有所不同,詳細介紹請參見表1-4。其中,表格中的“-”表示不管此項是否配置。
表1-4 主動對等體和被動對等體上進行不同配置時的NTP驗證結果
|
主動對等體 |
被動對等體 |
結果 |
||||
|
身份驗證 |
關聯密鑰 |
關聯密鑰存在且為可信密鑰 |
時鍾層數 |
身份驗證 |
關聯密鑰存在且為可信密鑰 |
|
|
是 |
是 |
是 |
- |
是 |
是 |
身份驗證成功 |
|
是 |
是 |
是 |
- |
是 |
否 |
身份驗證失敗 |
|
是 |
是 |
是 |
- |
否 |
- |
身份驗證失敗 |
|
是 |
否 |
- |
- |
是 |
- |
身份驗證失敗 |
|
是 |
否 |
- |
- |
否 |
- |
不進行身份驗證 |
|
否 |
- |
- |
- |
是 |
- |
身份驗證失敗 |
|
否 |
- |
- |
- |
否 |
- |
不進行身份驗證 |
|
是 |
是 |
否 |
大於被動對等體 |
- |
- |
身份驗證失敗 |
|
是 |
是 |
否 |
小於被動對等體 |
是 |
- |
身份驗證失敗 |
|
是 |
是 |
否 |
小於被動對等體 |
否 |
- |
不進行身份驗證 |
(1) 進入係統視圖。
system-view
(2) 開啟NTP身份驗證功能。
ntp-service authentication enable
缺省情況下,NTP身份驗證功能處於關閉狀態。
(3) 配置NTP身份驗證密鑰。
ntp-service authentication-keyid keyid authentication-mode md5 { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *
缺省情況下,未配置NTP身份驗證密鑰。
(4) 配置指定密鑰為可信密鑰。
ntp-service reliable authentication-keyid keyid
缺省情況下,未指定可信密鑰。
(5) 將指定密鑰與對應的被動對等體關聯。
(IPv4網絡)
ntp-service unicast-peer { ip-address | peer-name } [ vpn-instance vpn-instance-name ] authentication-keyid keyid
(IPv6網絡)
ntp-service ipv6 unicast-peer { ipv6-address | peer-name } [ vpn-instance vpn-instance-name ] authentication-keyid keyid
(1) 進入係統視圖。
system-view
(2) 開啟NTP身份驗證功能。
ntp-service authentication enable
缺省情況下,NTP身份驗證功能處於關閉狀態。
(3) 配置NTP身份驗證密鑰。
ntp-service authentication-keyid keyid authentication-mode md5 { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *
缺省情況下,未配置NTP身份驗證密鑰。
(4) 配置指定密鑰為可信密鑰。
ntp-service reliable authentication-keyid keyid
缺省情況下,未指定可信密鑰。
廣播服務器和廣播客戶端上需要配置相同的密鑰ID及密鑰值,並且保證對端有權在本端使用該密鑰ID進行驗證,否則會導致NTP驗證失敗。
廣播客戶端和廣播服務器上進行不同的配置時,NTP驗證結果有所不同,詳細介紹請參見表1-5。其中,表格中的“-”表示不管此項是否配置。
表1-5 廣播客戶端和廣播服務器上進行不同配置時的NTP驗證結果
|
廣播服務器 |
廣播客戶端 |
結果 |
|||
|
身份驗證 |
關聯密鑰 |
關聯密鑰存在且為可信密鑰 |
身份驗證 |
關聯密鑰存在且為可信密鑰 |
|
|
是 |
是 |
是 |
是 |
是 |
身份驗證成功 |
|
是 |
是 |
是 |
是 |
否 |
身份驗證失敗 |
|
是 |
是 |
是 |
否 |
- |
身份驗證失敗 |
|
是 |
是 |
否 |
是 |
- |
身份驗證失敗 |
|
是 |
是 |
否 |
否 |
- |
不進行身份驗證 |
|
是 |
否 |
- |
是 |
- |
身份驗證失敗 |
|
是 |
否 |
- |
否 |
- |
不進行身份驗證 |
|
否 |
- |
- |
是 |
- |
身份驗證失敗 |
|
否 |
- |
- |
否 |
- |
不進行身份驗證 |
(1) 進入係統視圖。
system-view
(2) 開啟NTP身份驗證功能。
ntp-service authentication enable
缺省情況下,NTP身份驗證功能處於關閉狀態。
(3) 配置NTP身份驗證密鑰。
ntp-service authentication-keyid keyid authentication-mode md5 { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *
缺省情況下,未配置NTP身份驗證密鑰。
(4) 配置指定密鑰為可信密鑰。
ntp-service reliable authentication-keyid keyid
缺省情況下,未指定可信密鑰。
(1) 進入係統視圖。
system-view
(2) 開啟NTP身份驗證功能。
ntp-service authentication enable
缺省情況下,NTP身份驗證功能處於關閉狀態。
(3) 配置NTP身份驗證密鑰。
ntp-service authentication-keyid keyid authentication-mode md5 { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *
缺省情況下,未配置NTP身份驗證密鑰。
(4) 配置指定密鑰為可信密鑰。
ntp-service reliable authentication-keyid keyid
缺省情況下,未指定可信密鑰。
(5) 進入接口視圖。
interface interface-type interface-number
(6) 將指定密鑰與對應的廣播服務器關聯。
ntp-service broadcast-server authentication-keyid keyid
缺省情況下,廣播服務器沒有與密鑰關聯。
組播服務器和組播客戶端上需要配置相同的密鑰ID及密鑰值,並且保證對端有權在本端使用該密鑰ID進行驗證,否則會導致NTP驗證失敗。
組播客戶端和組播服務器上進行不同的配置時,NTP驗證結果有所不同,詳細介紹請參見表1-6。其中,表格中的“-”表示不管此項是否配置。
表1-6 組播客戶端和組播服務器上進行不同配置時的NTP驗證結果
|
組播服務器 |
組播客戶端 |
結果 |
|||
|
身份驗證 |
關聯密鑰 |
關聯密鑰存在且為可信密鑰 |
身份驗證 |
關聯密鑰存在且為可信密鑰 |
|
|
是 |
是 |
是 |
是 |
是 |
身份驗證成功 |
|
是 |
是 |
是 |
是 |
否 |
身份驗證失敗 |
|
是 |
是 |
是 |
否 |
- |
身份驗證失敗 |
|
是 |
是 |
否 |
是 |
- |
身份驗證失敗 |
|
是 |
是 |
否 |
否 |
- |
不進行身份驗證 |
|
是 |
否 |
- |
是 |
- |
身份驗證失敗 |
|
是 |
否 |
- |
否 |
- |
不進行身份驗證 |
|
否 |
- |
- |
是 |
- |
身份驗證失敗 |
|
否 |
- |
- |
否 |
- |
不進行身份驗證 |
(1) 進入係統視圖。
system-view
(2) 開啟NTP身份驗證功能。
ntp-service authentication enable
缺省情況下,NTP身份驗證功能處於關閉狀態。
(3) 配置NTP身份驗證密鑰。
ntp-service authentication-keyid keyid authentication-mode md5 { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *
缺省情況下,未配置NTP身份驗證密鑰。
(4) 配置指定密鑰為可信密鑰。
ntp-service reliable authentication-keyid keyid
缺省情況下,未指定可信密鑰。
(1) 進入係統視圖。
system-view
(2) 開啟NTP身份驗證功能。
ntp-service authentication enable
缺省情況下,NTP身份驗證功能處於關閉狀態。
(3) 配置NTP身份驗證密鑰。
ntp-service authentication-keyid keyid authentication-mode md5 { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *
缺省情況下,未配置NTP身份驗證密鑰。
(4) 配置指定密鑰為可信密鑰。
ntp-service reliable authentication-keyid keyid
缺省情況下,未指定可信密鑰。
(5) 進入接口視圖。
interface interface-type interface-number
(6) 將指定密鑰與對應的組播服務器關聯。
(IPv4網絡)
ntp-service multicast-server [ ip-address ] authentication-keyid keyid
(IPv6網絡)
ntp-service ipv6 multicast-server ipv6-address authentication-keyid keyid
缺省情況下,組播服務器沒有與密鑰關聯。
· 如果指定了NTP報文的源接口,則設備在主動發送NTP報文時,NTP報文的源地址為指定的源接口的地址。建議將Loopback接口指定為源接口,以避免設備上某個接口的狀態變化而導致NTP報文無法接收。
· 設備對接收到的NTP請求報文進行應答時,應答報文的源地址始終為接收到的NTP請求報文的目的地址。
· 如果在命令ntp-service unicast-server/ntp-service ipv6 unicast-server或ntp-service unicast-peer/ntp-service ipv6 unicast-peer中指定了NTP報文的源接口,則優先使用ntp-service unicast-server/ntp-service ipv6 unicast-server或ntp-service unicast-peer/ntp-service ipv6 unicast-peer命令指定的接口作為NTP報文的源接口。
· 如果在接口視圖下配置了ntp-service broadcast-server或ntp-service multicast-server/ntp-service ipv6 multicast-server,則NTP廣播或組播模式報文的源接口為配置了ntp-service broadcast-server或ntp-service multicast-server/ntp-service ipv6 multicast-server命令的接口。
(1) 進入係統視圖。
system-view
(2) 配置NTP報文的源接口。
(IPv4網絡)
ntp-service source interface-type interface-number
(IPv6網絡)
ntp-service ipv6 source interface-type interface-number
缺省情況下,未指定NTP報文的源接口。
啟動NTP服務後,缺省情況下所有接口都可以接收NTP報文。如果出於安全性、簡化網絡管理等方麵的考慮,不希望設備為某個接口對應網段內的對端設備提供時間同步,或不希望設備從某個接口對應網段內的對端設備獲得時間同步,則可以在該接口上執行本配置,使該接口關閉接收NTP報文功能。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 關閉接口接收NTP報文功能。
(IPv4網絡)
undo ntp-service inbound enable
(IPv6網絡)
undo ntp-service ipv6 inbound enable
缺省情況下,接口接收NTP報文。
本功能用來限製動態會話的數目,以避免設備上維護過多的動態會話,占用過多的係統資源。
NTP會話分為兩種:
· 靜態會話:用戶手動配置NTP相關命令而建立的會話。
· 動態會話:NTP協議運行過程中建立的臨時會話,若係統長期(大約12分鍾)沒有報文交互就會刪除該臨時會話。
各種模式中,會話的建立情況如下:
· 客戶端/服務器模式中,在客戶端上指定了NTP服務器後,客戶端上會建立一個靜態會話,服務器端在收到報文之後隻是被動的響應報文,而不會建立會話(包括靜態和動態會話)。
· 對等體模式中,在主動對等體上指定了被動對等體後,主動對等體上會建立靜態會話,被動對等體端會建立動態會話。
· 廣播模式和組播模式中,在廣播/組播服務器端上會建立靜態會話,而在廣播/組播客戶端上會建立動態會話。
設備同一時間內最多可以建立的會話數目為128個,其中包括靜態會話數和動態會話數。
(1) 進入係統視圖。
system-view
(2) 配置NTP動態會話的最大數目。
ntp-service max-dynamic-sessions number
缺省情況下,NTP動態會話的最大數目為100。
DSCP優先級用來體現報文自身的優先等級,決定報文傳輸的優先程度。通過本配置可以指定NTP/IPv6 NTP服務器發送的NTP報文的DSCP優先級。
(1) 進入係統視圖。
system-view
(2) 配置NTP報文的DSCP優先級。
¡ (IPv4網絡)
ntp-service dscp dscp-value
缺省情況下,IPv4 NTP報文的DSCP優先級為48。
¡ (IPv6網絡)
ntp-service ipv6 dscp dscp-value
缺省情況下,IPv6 NTP報文的DSCP優先級為56。
缺省情況下,NTP客戶端與服務器端的時間差經過多次采樣得到的時間偏移超過128ms時,客戶端將進行一次時間同步,並打印日誌信息和告警信息。配置本功能後,NTP客戶端與服務器端的時間差經過多次采樣得到的時間偏移超過128ms時,客戶端將進行一次時間同步,但是時間偏移大於閾值時,才會打印日誌;時間偏移大於閾值時,才會打印告警信息。
(1) 進入係統視圖。
system-view
(2) 配置NTP時間同步過程中,打印日誌和告警信息的時間偏移閾值。
ntp-service time-offset-threshold { log log-threshold | trap trap-threshold } *
缺省情況下,未配置NTP打印日誌和告警信息的時間偏移閾值。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後NTP的運行情況,通過查看顯示信息驗證配置的效果。
ntp-service noquery enable命令與display ntp-service trace命令功能互斥,如需使用display ntp-service trace命令,請配置允許對本設備進行控製查詢。
表1-7 NTP顯示和維護
|
操作 |
命令 |
|
顯示NTP服務的所有IPv6會話信息 |
display ntp-service ipv6 sessions [ verbose ] |
|
顯示NTP服務的所有IPv4會話信息 |
display ntp-service sessions [ verbose ] |
|
顯示NTP服務的狀態信息 |
display ntp-service status |
|
顯示從本地設備回溯到主時間服務器的各個NTP時間服務器的簡要信息 |
display ntp-service trace [ source interface-type interface-number ] |
為了通過NTP實現Device B與Device A的時間同步,要求:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· 配置Device B工作在客戶端模式,指定Device A為NTP服務器。
圖1-5 配置NTP客戶端/服務器模式組網圖
(1) 按照圖1-5配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Device A
# 開啟NTP服務。
<DeviceA> system-view
[DeviceA] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[DeviceA] ntp-service refclock-master 2
(3) 配置Device B
# 開啟NTP服務。
<DeviceB> system-view
[DeviceB] ntp-service enable
# 配置通過NTP協議獲取時間。
[DeviceB] clock protocol ntp
# 設置Device A為Device B的NTP服務器。
[DeviceB] ntp-service unicast-server 1.0.1.11
# 完成上述配置後,Device B向Device A進行時間同步。同步後查看Device B的NTP狀態。可以看出,Device B已經與Device A同步,層數比Device A的層數大1,為3。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 1.0.1.11
Local mode: client
Reference clock ID: 1.0.1.11
Leap indicator: 00
Clock jitter: 0.000977 s
Stability: 0.000 pps
Clock precision: 2^-10
Root delay: 0.00383 ms
Root dispersion: 16.26572 ms
Reference time: d0c6033f.b9923965 Wed, Dec 29 2010 18:58:07.724
# 查看Device B的NTP服務的所有IPv4會話信息,可以看到Device B與Device A建立了會話。
[DeviceB] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[12345]1.0.1.11 127.127.1.0 2 1 64 15 -4.0 0.0038 16.262
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
為了通過IPv6 NTP實現Device B與Device A的時間同步,要求:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· 配置Device B工作在客戶端模式,指定Device A為IPv6 NTP服務器。
圖1-6 配置IPv6 NTP客戶端/服務器模式組網圖
(1) 按照圖1-6配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Device A
# 開啟NTP服務。
<DeviceA> system-view
[DeviceA] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[DeviceA] ntp-service refclock-master 2
(3) 配置Device B
# 開啟NTP服務。
<DeviceB> system-view
[DeviceB] ntp-service enable
# 配置通過NTP協議獲取時間。
[DeviceB] clock protocol ntp
# 設置Device A為Device B的IPv6 NTP服務器。
[DeviceB] ntp-service ipv6 unicast-server 3000::34
# 完成上述配置後,Device B向Device A進行時間同步。同步後查看Device B的NTP狀態。可以看出,Device B已經與Device A同步,層數比Device A的層數大1,為3。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3000::34
Local mode: client
Reference clock ID: 163.29.247.19
Leap indicator: 00
Clock jitter: 0.000977 s
Stability: 0.000 pps
Clock precision: 2^-10
Root delay: 0.02649 ms
Root dispersion: 12.24641 ms
Reference time: d0c60419.9952fb3e Wed, Dec 29 2010 19:01:45.598
# 查看Device B的NTP服務的所有IPv6會話信息,可以看到Device B與Device A建立了會話。
[DeviceB] display ntp-service ipv6 sessions
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
Source: [12345]3000::34
Reference: 127.127.1.0 Clock stratum: 2
Reachabilities: 15 Poll interval: 64
Last receive time: 19 Offset: 0.0
Roundtrip delay: 0.0 Dispersion: 0.0
Total sessions: 1
網絡中存在時間服務器Device A。為了通過NTP實現Device B與Device A進行時間同步,要求:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· 配置Device A工作在對等體模式,指定Device B為被動對等體,即Device A為主動對等體,Device B為被動對等體。
圖1-7 配置NTP對等體模式組網圖
(1) 按照圖1-7配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Device B
# 開啟NTP服務。
<DeviceB> system-view
[DeviceB] ntp-service enable
# 配置通過NTP協議獲取時間。
[DeviceB] clock protocol ntp
(3) 配置Device A
# 開啟NTP服務。
<DeviceA> system-view
[DeviceA] ntp-service enable
# 配置通過NTP協議獲取時間。
[DeviceA] clock protocol ntp
# 設置本地時鍾作為參考時鍾,層數為2。
[DeviceA] ntp-service refclock-master 2
# 設置Device B為被動對等體。Device A處於主動對等體模式。
[DeviceA] ntp-service unicast-peer 3.0.1.32
# 完成上述配置後,Device B選擇Device A作為參考時鍾,與Device A進行時間同步。同步後查看Device B的狀態。可以看出,Device B已經與Device A同步,層數比Device A的層數大1,為3。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3.0.1.31
Local mode: sym_passive
Reference clock ID: 3.0.1.31
Leap indicator: 00
Clock jitter: 0.000916 s
Stability: 0.000 pps
Clock precision: 2^-10
Root delay: 0.00609 ms
Root dispersion: 1.95859 ms
Reference time: 83aec681.deb6d3e5 Wed, Jan 8 2014 14:33:11.081
# 查看Device B的NTP服務的IPv4會話信息,可以看到Device B與Device A建立了會話。
[DeviceB] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[12]3.0.1.31 127.127.1.0 2 62 64 34 0.4251 6.0882 1392.1
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
Total sessions: 1
網絡中存在時間服務器Device A。為了通過IPv6 NTP實現Device B與Device A進行時間同步,要求:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· 配置Device A工作在對等體模式,指定Device B為被動對等體,即Device A為主動對等體,Device B為被動對等體。
圖1-8 配置IPv6 NTP對等體模式組網圖
(1) 按照圖1-8配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Device B
# 開啟NTP服務。
<DeviceB> system-view
[DeviceB] ntp-service enable
# 配置通過NTP協議獲取時間。
[DeviceB] clock protocol ntp
(3) 配置Device A
# 開啟NTP服務。
<DeviceA> system-view
[DeviceA] ntp-service enable
# 配置通過NTP協議獲取時間。
[DeviceA] clock protocol ntp
# 設置本地時鍾作為參考時鍾,層數為2。
[DeviceA] ntp-service refclock-master 2
# 設置Device B為IPv6被動對等體。Device A處於主動對等體模式。
[DeviceA] ntp-service ipv6 unicast-peer 3000::36
# 完成上述配置後,Device B選擇Device A作為參考時鍾,與Device A進行時間同步。同步後查看Device B的狀態。可以看出,Device B已經與Device A同步,層數比Device A的層數大1,為3。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3000::35
Local mode: sym_passive
Reference clock ID: 251.73.79.32
Leap indicator: 11
Clock jitter: 0.000977 s
Stability: 0.000 pps
Clock precision: 2^-10
Root delay: 0.01855 ms
Root dispersion: 9.23483 ms
Reference time: d0c6047c.97199f9f Wed, Dec 29 2010 19:03:24.590
# 查看Device B的NTP服務的IPv6會話信息,可以看到Device B與Device A建立了會話。
[DeviceB] display ntp-service ipv6 sessions
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
Source: [1234]3000::35
Reference: 127.127.1.0 Clock stratum: 2
Reachabilities: 15 Poll interval: 64
Last receive time: 19 Offset: 0.0
Roundtrip delay: 0.0 Dispersion: 0.0
Total sessions: 1
為了實現Router C作為同一網段中多個設備的時間服務器,同時同步多個設備的時間,要求:
· 在Router C上設置本地時鍾作為參考時鍾,層數為2;
· Router C工作在廣播服務器模式,從接口GigabitEthernet1/0/1向外廣播發送NTP報文;
· Router A和Router B工作在廣播客戶端模式,分別從各自的接口GigabitEthernet1/0/1監聽NTP廣播報文。
圖1-9 配置NTP廣播模式組網圖
(1) 按照圖1-9配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Router C
# 開啟NTP服務。
<RouterC> system-view
[RouterC] ntp-service enable
# 配置通過NTP協議獲取時間。
[RouterC] clock protocol ntp
# 設置本地時鍾作為參考時鍾,層數為2。
[RouterC] ntp-service refclock-master 2
# 設置Router C為廣播服務器,從接口GigabitEthernet1/0/1發送廣播報文。
[RouterC] interface gigabitethernet 1/0/1
[RouterC-GigabitEthernet1/0/1] ntp-service broadcast-server
(3) 配置Router A
# 開啟NTP服務。
<RouterA> system-view
[RouterA] ntp-service enable
# 配置通過NTP協議獲取時間。
[RouterA] clock protocol ntp
# 設置Router A為廣播客戶端,從接口GigabitEthernet1/0/1監聽廣播報文。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ntp-service broadcast-client
(4) 配置Router B
# 開啟NTP服務。
<RouterB> system-view
[RouterB] ntp-service enable
# 配置通過NTP協議獲取時間。
[RouterB] clock protocol ntp
# 設置Router B為廣播客戶端,從接口GigabitEthernet1/0/1監聽廣播報文。
[RouterB] interface gigabitethernet 1/0/1
[RouterB-GigabitEthernet1/0/1] ntp-service broadcast-client
# Router A和Router B接收到Router C發出的廣播報文後,與其同步。以Router A為例,同步後查看Router A的狀態。可以看出,Router A已經與Router C同步,層數比Router C的層數大1,為3。
[RouterA-GigabitEthernet1/0/1] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3.0.1.31
Local mode: bclient
Reference clock ID: 3.0.1.31
Leap indicator: 00
Clock jitter: 0.044281 s
Stability: 0.000 pps
Clock precision: 2^-10
Root delay: 0.00229 ms
Root dispersion: 4.12572 ms
Reference time: d0d289fe.ec43c720 Sat, Jan 8 2011 7:00:14.922
# 查看Router A的NTP服務的所有IPv4會話信息,可以看到Router A與Router C建立了會話。
[RouterA-GigabitEthernet1/0/1] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[1245]3.0.1.31 127.127.1.0 2 1 64 519 -0.0 0.0022 4.1257
Notes: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured.
Total sessions: 1
為了實現Router C作為不同網段中多個設備的時間服務器,同時同步多個設備的時間,要求:
· 在Router C上設置本地時鍾作為參考時鍾,層數為2;
· Router C工作在組播服務器模式,從接口GigabitEthernet1/0/1向外組播發送NTP報文;
· Router A和Router D工作在組播客戶端模式,分別從各自的接口GigabitEthernet1/0/1監聽NTP組播報文。
圖1-10 配置NTP組播模式組網圖
(1) 按照圖1-10配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Router C
# 開啟NTP服務。
<RouterC> system-view
[RouterC] ntp-service enable
# 配置通過NTP協議獲取時間。
[RouterC] clock protocol ntp
# 設置本地時鍾作為參考時鍾,層數為2。
[RouterC] ntp-service refclock-master 2
# 設置Router C為組播服務器,從接口GigabitEthernet1/0/1發送組播報文。
[RouterC] interface gigabitethernet 1/0/1
[RouterC-GigabitEthernet1/0/1] ntp-service multicast-server
(3) 配置Router D
# 開啟NTP服務。
<RouterD> system-view
[RouterD] ntp-service enable
# 配置通過NTP協議獲取時間。
[RouterD] clock protocol ntp
# 設置Router D為組播客戶端,從接口GigabitEthernet1/0/1監聽組播報文。
[RouterD] interface gigabitethernet 1/0/1
[RouterD-GigabitEthernet1/0/1] ntp-service multicast-client
(4) 驗證配置一
# 由於Router D和Router C在同一個網段,不需要配置組播功能,Router D就可以收到Router C發出的組播報文,並與其同步。同步後查看Router D的狀態。可以看出,Router D已經與Router C同步,層數比Router C的層數大1,為3。
[RouterD-GigabitEthernet1/0/1] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3.0.1.31
Local mode: bclient
Reference clock ID: 3.0.1.31
Leap indicator: 00
Clock jitter: 0.044281 s
Stability: 0.000 pps
Clock precision: 2^-10
Root delay: 0.00229 ms
Root dispersion: 4.12572 ms
Reference time: d0d289fe.ec43c720 Sat, Jan 8 2011 7:00:14.922
# 查看Router D的NTP服務的所有IPv4會話信息,可以看到Router D與Router C建立了會話。
[RouterD-GigabitEthernet1/0/1] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[1245]3.0.1.31 127.127.1.0 2 1 64 519 -0.0 0.0022 4.1257
Notes: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured.
Total sessions: 1
(5) 配置Router B
由於Router A與Router C不在同一網段,所以Router B上需要配置組播功能,否則Router A收不到Router C發出的組播報文。
# 配置組播功能。
<RouterB> system-view
[RouterB] multicast routing
[RouterB-mrib] quit
[RouterB] interface gigabitethernet 1/0/1
[RouterB-GigabitEthernet1/0/1] igmp enable
[RouterB-GigabitEthernet1/0/1] igmp static-group 224.0.1.1
[RouterB-GigabitEthernet1/0/1] quit
[RouterB] interface gigabitethernet 1/0/2
[RouterB-GigabitEthernet1/0/2] pim dm
(6) 配置Router A
# 開啟NTP服務。
<RouterA> system-view
[RouterA] ntp-service enable
# 配置通過NTP協議獲取時間。
[RouterA] clock protocol ntp
# 設置Router A為組播客戶端,從接口GigabitEthernet1/0/1監聽組播報文。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ntp-service multicast-client
(7) 驗證配置二
# 同步後查看Router A的狀態。可以看出,Router A已經與Router C同步,層數比Router C的層數大1,為3。
[RouterA-GigabitEthernet1/0/1] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3.0.1.31
Local mode: bclient
Reference clock ID: 3.0.1.31
Leap indicator: 00
Clock jitter: 0.165741 s
Stability: 0.000 pps
Clock precision: 2^-10
Root delay: 0.00534 ms
Root dispersion: 4.51282 ms
Reference time: d0c61289.10b1193f Wed, Dec 29 2010 20:03:21.065
# 查看Router A的NTP服務的所有IPv4會話信息,可以看到Router A與Router C建立了會話。
[RouterA-GigabitEthernet1/0/1] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[1234]3.0.1.31 127.127.1.0 2 247 64 381 -0.0 0.0053 4.5128
Notes: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured.
Total sessions: 1
為了實現Router C作為不同網段中多個設備的時間服務器,同時同步多個設備的時間,要求:
· 在Router C上設置本地時鍾作為參考時鍾,層數為2;
· Router C工作在IPv6組播服務器模式,從接口GigabitEthernet1/0/1向外組播發送IPv6 NTP報文;
· Router A和Router D工作在IPv6組播客戶端模式,分別從各自的接口GigabitEthernet1/0/1監聽IPv6 NTP組播報文。
圖1-11 配置IPv6 NTP組播模式組網圖
(1) 按照圖1-11配置各個接口的IP地址,並確保路由可達,具體配置步驟略。
(2) 配置Router C
# 開啟NTP服務。
<RouterC> system-view
[RouterC] ntp-service enable
# 配置通過NTP協議獲取時間。
[RouterC] clock protocol ntp
# 設置本地時鍾作為參考時鍾,層數為2。
[RouterC] ntp-service refclock-master 2
# 設置Router C為IPv6組播服務器,從接口GigabitEthernet1/0/1向組播地址FF24::1發送NTP報文。
[RouterC] interface gigabitethernet 1/0/1
[RouterC-GigabitEthernet1/0/1] ntp-service ipv6 multicast-server ff24::1
(3) 配置Router D
# 開啟NTP服務。
<RouterD> system-view
[RouterD] ntp-service enable
# 配置通過NTP協議獲取時間。
[RouterD] clock protocol ntp
# 設置Router D為IPv6組播客戶端,在接口GigabitEthernet1/0/1監聽目的地址為FF24::1的NTP組播報文。
[RouterD] interface gigabitethernet 1/0/1
[RouterD-GigabitEthernet1/0/1] ntp-service ipv6 multicast-client ff24::1
(4) 驗證配置一
# 由於Router D和Router C在同一個網段,不需要配置IPv6組播功能,Router D就可以收到Router C發出的IPv6組播報文,並與其同步。同步後查看Router D的狀態。可以看出,Router D已經與Router C同步,層數比Router C的層數大1,為3。
[RouterD-GigabitEthernet1/0/1] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 3000::2
Local mode: bclient
Reference clock ID: 165.84.121.65
Leap indicator: 00
Clock jitter: 0.000977 s
Stability: 0.000 pps
Clock precision: 2^-10
Root delay: 0.00000 ms
Root dispersion: 8.00578 ms
Reference time: d0c60680.9754fb17 Wed, Dec 29 2010 19:12:00.591
# 查看Router D的NTP服務的所有IPv6會話信息,可以看到Router D與Router C建立了會話。
[RouterD-GigabitEthernet1/0/1] display ntp-service ipv6 sessions
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
Source: [1234]3000::2
Reference: 127.127.1.0 Clock stratum: 2
Reachabilities: 111 Poll interval: 64
Last receive time: 23 Offset: -0.0
Roundtrip delay: 0.0 Dispersion: 0.0
Total sessions: 1
(5) 配置Router B
由於Router A與Router C不在同一網段,所以Router B上需要配置IPv6組播功能,否則Router A收不到Router C發出的IPv6組播報文。
# 配置IPv6組播功能。
<RouterB> system-view
[RouterB] ipv6 multicast routing
[RouterB-mrib6] quit
[RouterB] interface gigabitethernet 1/0/1
[RouterB-GigabitEthernet1/0/1] mld enable
[RouterB-GigabitEthernet1/0/1] mld static-group ff24::1
[RouterB-GigabitEthernet1/0/1] quit
[RouterB] interface gigabitethernet 1/0/2
[RouterB-GigabitEthernet1/0/2] ipv6 pim dm
(6) 配置Router A
# 開啟NTP服務。
<RouterA> system-view
[RouterA] ntp-service enable
# 配置通過NTP協議獲取時間。
[RouterA] clock protocol ntp
# 設置Router A為IPv6組播客戶端,在接口GigabitEthernet1/0/1監聽目的地址為FF24::1的NTP組播報文。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ntp-service ipv6 multicast-client ff24::1
(7) 驗證配置二
# 同步後查看Router A的狀態。可以看出,Router A已經與Router C同步,層數比Router C的層數大1,為3。
[RouterA-GigabitEthernet1/0/1] display ntp status
Clock status: synchronized
Clock stratum: 3
System peer: 3000::2
Local mode: bclient
Reference clock ID: 165.84.121.65
Leap indicator: 00
Clock jitter: 0.165741 s
Stability: 0.000 pps
Clock precision: 2^-10
Root delay: 0.00534 ms
Root dispersion: 4.51282 ms
Reference time: d0c61289.10b1193f Wed, Dec 29 2010 20:03:21.065
# 查看Router A的NTP服務的IPv6會話信息,可以看到Router A與Router C建立了會話。
[RouterA-GigabitEthernet1/0/1] display ntp-service ipv6 sessions
Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.
Source: [124]3000::2
Reference: 127.127.1.0 Clock stratum: 2
Reachabilities: 2 Poll interval: 64
Last receive time: 71 Offset: -0.0
Roundtrip delay: 0.0 Dispersion: 0.0
Total sessions: 1
為了通過NTP實現Device B與Device A的時間同步,並保證時間同步的安全性,要求:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· Device B工作在客戶端模式,指定Device A為NTP服務器;
· Device A和Device B上同時配置NTP驗證。
圖1-12 配置帶身份驗證的NTP客戶端/服務器模式組網圖
(1) 按照圖1-12配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Device A的本地時鍾作為參考時鍾
# 開啟NTP服務。
<DeviceA> system-view
[DeviceA] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[DeviceA] ntp-service refclock-master 2
(3) 配置Device B
# 開啟NTP服務。
<DeviceB> system-view
[DeviceB] ntp-service enable
# 配置通過NTP協議獲取時間。
[DeviceB] clock protocol ntp
# 在Device B上啟動NTP驗證功能。
[DeviceB] ntp-service authentication enable
# 創建編號為42的NTP驗證密鑰,密鑰值為aNiceKey,以明文形式輸入。
[DeviceB] ntp-service authentication-keyid 42 authentication-mode md5 simple aNiceKey
# 配置編號為42的密鑰為可信密鑰。
[DeviceB] ntp-service reliable authentication-keyid 42
# 設置Device A為Device B的NTP服務器,並將該服務器與編號為42的密鑰關聯。
[DeviceB] ntp-service unicast-server 1.0.1.11 authentication-keyid 42
以上配置將使得Device B與Device A進行時間同步,但由於Device A沒有開啟NTP身份驗證,所以,Device B還是無法與Device A同步。
(4) 在Device A上配置NTP驗證功能。
# 在Device A上啟動NTP驗證功能。
[DeviceA] ntp-service authentication enable
# 創建編號為42的NTP驗證密鑰,密鑰值為aNiceKey,以明文形式輸入。
[DeviceA] ntp-service authentication-keyid 42 authentication-mode md5 simple aNiceKey
# 配置編號為42的密鑰為可信密鑰。
[DeviceA] ntp-service reliable authentication-keyid 42
# 完成上述配置後,Device B可以與Device A的時間同步。同步後查看Device B的狀態。可以看出,Device B已經與Device A同步,層數比Device A的層數大1,為3。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 1.0.1.11
Local mode: client
Reference clock ID: 1.0.1.11
Leap indicator: 00
Clock jitter: 0.005096 s
Stability: 0.000 pps
Clock precision: 2^-10
Root delay: 0.00655 ms
Root dispersion: 1.15869 ms
Reference time: d0c62687.ab1bba7d Wed, Dec 29 2010 21:28:39.668
# 查看Device B的NTP服務的所有IPv4會話信息,可以看到Device B與Device A建立了會話。
[DeviceB] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[1245]1.0.1.11 127.127.1.0 2 1 64 519 -0.0 0.0065 0.0
Notes: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured.
Total sessions: 1
Router C作為同一網段中多個設備的時間服務器,同時同步多個設備的時間。Router A和Router B要求對時間服務器進行驗證,以保證時間同步的安全性。為了實現上述需求,要求:
· 在Router C上設置本地時鍾作為參考時鍾,層數為3;
· Router C工作在廣播服務器模式,從接口GigabitEthernet1/0/1向外廣播發送NTP報文;
· Router A和Router B工作在廣播客戶端模式,從接口GigabitEthernet1/0/1監聽NTP廣播報文;
· 在Router A、Router B和Router C上配置NTP驗證功能。
圖1-13 配置帶身份驗證的NTP廣播模式組網圖
(1) 按照圖1-13配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Router A
# 開啟NTP服務。
<RouterA> system-view
[RouterA] ntp-service enable
# 配置通過NTP協議獲取時間。
[RouterA] clock protocol ntp
# 開啟NTP驗證功能,創建編號為88的NTP驗證密鑰,密鑰值為123456,以明文形式輸入,並將密鑰88指定為可信密鑰。
[RouterA] ntp-service authentication enable
[RouterA] ntp-service authentication-keyid 88 authentication-mode md5 simple 123456
[RouterA] ntp-service reliable authentication-keyid 88
# 設置Router A為NTP廣播客戶端,從接口GigabitEthernet1/0/1監聽廣播報文。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ntp-service broadcast-client
(3) 配置Router B
# 開啟NTP服務。
<RouterB> system-view
[RouterB] ntp-service enable
# 配置通過NTP協議獲取時間。
[RouterB] clock protocol ntp
# 開啟NTP驗證功能,創建編號為88的NTP驗證密鑰,密鑰值為123456,以明文形式輸入,並將密鑰88指定為可信密鑰。
[RouterB] ntp-service authentication enable
[RouterB] ntp-service authentication-keyid 88 authentication-mode md5 simple 123456
[RouterB] ntp-service reliable authentication-keyid 88
# 設置Router B為NTP廣播客戶端,從接口GigabitEthernet1/0/1監聽廣播報文。
[RouterB] interface gigabitethernet 1/0/1
[RouterB-GigabitEthernet1/0/1] ntp-service broadcast-client
(4) 配置Router C作為NTP廣播服務器
# 開啟NTP服務。
<RouterC> system-view
[RouterC] ntp-service enable
# 配置通過NTP協議獲取時間。
[RouterC] clock protocol ntp
# 設置本地時鍾作為參考時鍾,層數為3。
[RouterC] ntp-service refclock-master 3
# 設置Router C為NTP廣播服務器,從接口GigabitEthernet1/0/1向外發送廣播報文。
[RouterC] interface gigabitethernet 1/0/1
[RouterC-GigabitEthernet1/0/1] ntp-service broadcast-server
[RouterC-GigabitEthernet1/0/1] quit
(5) 驗證配置一
# 由於Router A和Router B上開啟了NTP驗證功能,Router C上沒有開啟NTP驗證功能。因此,Router A和Router B無法與Router C的時間同步。以Router B為例,查看NTP服務的狀態。
[RouterB-GigabitEthernet1/0/1] display ntp-service status
Clock status: unsynchronized
Clock stratum: 16
Reference clock ID: none
(6) 在Router C上配置NTP驗證功能
# 在Router C上開啟NTP驗證功能,創建ID為88的NTP驗證密鑰,密鑰值為123456,以明文形式輸入,並將密鑰88指定為可信密鑰。
[RouterC] ntp-service authentication enable
[RouterC] ntp-service authentication-keyid 88 authentication-mode md5 simple 123456
[RouterC] ntp-service reliable authentication-keyid 88
# 設置Router C為NTP廣播服務器並指定關聯的密鑰編號為88。
[RouterC] interface gigabitethernet 1/0/1
[RouterC-GigabitEthernet1/0/1] ntp-service broadcast-server authentication-keyid 88
(7) 驗證配置二
# 在Router C上開啟NTP驗證功能後,Router A和Router B可以與Router C的時間同步。以Router B為例,查看NTP服務的狀態信息,可以看到Router B已經與Router C同步,層數比Router C的層數大1,為4。
[RouterB-GigabitEthernet1/0/1] display ntp-service status
Clock status: synchronized
Clock stratum: 4
System peer: 3.0.1.31
Local mode: bclient
Reference clock ID: 3.0.1.31
Leap indicator: 00
Clock jitter: 0.006683 s
Stability: 0.000 pps
Clock precision: 2^-10
Root delay: 0.00127 ms
Root dispersion: 2.89877 ms
Reference time: d0d287a7.3119666f Sat, Jan 8 2011 6:50:15.191
# 查看Router B的NTP服務的所有IPv4會話信息,可以看到Router B與Router C建立了會話。
[RouterB-GigabitEthernet1/0/1] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[1245]3.0.1.31 127.127.1.0 3 3 64 68 -0.0 0.0000 0.0
Notes: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured.
Total sessions: 1
PE 1和PE 2上同時存在兩個VPN實例:VPN 1和VPN 2。CE 1和CE 3是VPN 1內的設備。為了通過NTP實現PE 2與VPN 1內的CE 1時間同步,要求:
· 在CE 1上設置本地時鍾作為參考時鍾,層數為2;
· 采用客戶端/服務器模式實現PE 2向CE 1進行時間同步,並指定VPN實例為VPN 1。
圖1-14 配置MPLS VPN網絡的時間同步組網圖
|
設備 |
接口 |
IP地址 |
設備 |
接口 |
IP地址 |
|
CE 1 |
Ser2/1/0 |
10.1.1.1/24 |
PE 1 |
Ser2/1/0 |
10.1.1.2/24 |
|
CE 2 |
Ser2/1/0 |
10.2.1.1/24 |
|
Ser2/1/1 |
172.1.1.1/24 |
|
CE 3 |
Ser2/1/0 |
10.3.1.1/24 |
|
Ser2/1/2 |
10.2.1.2/24 |
|
CE 4 |
Ser2/1/0 |
10.4.1.1/24 |
PE 2 |
Ser2/1/0 |
10.3.1.2/24 |
|
P |
Ser2/1/0 |
172.1.1.2/24 |
|
Ser2/1/1 |
172.2.1.2/24 |
|
|
Ser2/1/1 |
172.2.1.1/24 |
|
Ser2/1/2 |
10.4.1.2/24 |
在下麵的配置之前,MPLS VPN的相關配置必須完成。MPLS VPN的配置方法請參見“MPLS配置指導”中的“MPLS L3VPN”。
(1) 按照圖1-14配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置CE 1
# 開啟NTP服務。
<CE1> system-view
[CE1] ntp-service enable
# 設置本地時鍾作為參考時鍾,層數為2。
[CE1] ntp-service refclock-master 2
(3) 配置PE 2
# 開啟NTP服務。
<PE2> system-view
[PE2] ntp-service enable
# 配置通過NTP協議獲取時間。
[PE2] clock protocol ntp
# 設置VPN 1中的CE 1為PE 2的NTP服務器。
[PE2] ntp-service unicast-server 10.1.1.1 vpn-instance vpn1
# 經過一段時間之後在PE 2上可以查看NTP服務的狀態信息,可以看出PE 2已經同步到CE 1了,層數為3。
[PE2] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 10.1.1.1
Local mode: client
Reference clock ID: 10.1.1.1
Leap indicator: 00
Clock jitter: 0.005096 s
Stability: 0.000 pps
Clock precision: 2^-10
Root delay: 0.00655 ms
Root dispersion: 1.15869 ms
Reference time: d0c62687.ab1bba7d Wed, Dec 29 2010 21:28:39.668
# 查看PE 2的NTP服務的所有IPv4會話信息,可以看到PE 2與CE 1建立了連接。
[PE2] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[1245]10.1.1.1 127.127.1.0 2 1 64 519 -0.0 0.0065 0.0
Notes: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured.
Total sessions: 1
# 查看從本地設備回溯到主時間服務器的各個NTP時間服務器的簡要信息,可以看到服務器127.0.0.1的同步鏈:服務器127.0.0.1同步到服務器10.1.1.1,服務器10.1.1.1從本地時鍾得到同步。
[PE2] display ntp-service trace
Server 127.0.0.1
Stratum 3 , jitter 0.000, synch distance 796.50.
Server 10.1.1.1
Stratum 2 , jitter 939.00, synch distance 0.0000.
RefID 127.127.1.0
PE 1和PE 2上同時存在兩個VPN實例:VPN 1和VPN 2。CE 1和CE 3是VPN 1內的設備。為了通過NTP實現PE 1與VPN 1內的CE 1時間同步,要求:
· 在CE 1上設置本地時鍾作為參考時鍾,層數為2;
· 采用對等體模式實現PE 1向CE 1進行時間同步,並指定VPN實例為VPN 1。
圖1-15 配置采用對等體模式實現MPLS VPN網絡的時間同步組網圖
|
設備 |
接口 |
IP地址 |
設備 |
接口 |
IP地址 |
|
CE 1 |
Ser2/1/0 |
10.1.1.1/24 |
PE 1 |
Ser2/1/0 |
10.1.1.2/24 |
|
CE 2 |
Ser2/1/0 |
10.2.1.1/24 |
|
Ser2/1/1 |
172.1.1.1/24 |
|
CE 3 |
Ser2/1/0 |
10.3.1.1/24 |
|
Ser2/1/2 |
10.2.1.2/24 |
|
CE 4 |
Ser2/1/0 |
10.4.1.1/24 |
PE 2 |
Ser2/1/0 |
10.3.1.2/24 |
|
P |
Ser2/1/0 |
172.1.1.2/24 |
|
Ser2/1/1 |
172.2.1.2/24 |
|
|
Ser2/1/1 |
172.2.1.1/24 |
|
Ser2/1/2 |
10.4.1.2/24 |
在下麵的配置之前,MPLS VPN的相關配置必須完成。
(1) 按照圖1-15配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置CE 1
# 開啟NTP服務。
<CE1> system-view
[CE1] ntp-service enable
# 配置通過NTP協議獲取時間。
[CE1] clock protocol ntp
# 設置本地時鍾作為參考時鍾,層數為2。
[CE1] ntp-service refclock-master 2
(3) 配置PE 1
# 開啟NTP服務。
<PE1> system-view
[PE1] ntp-service enable
# 配置通過NTP協議獲取時間。
[PE1] clock protocol ntp
# 設置VPN 1中的CE 1為PE 1的被動對等體。
[PE1] ntp-service unicast-peer 10.1.1.1 vpn-instance vpn1
# 經過一段時間之後在PE 1上可以查看NTP服務的狀態信息,可以看出PE 1已經同步到CE 1了,層數為3。
[PE1] display ntp-service status
Clock status: synchronized
Clock stratum: 3
System peer: 10.1.1.1
Local mode: sym_active
Reference clock ID: 10.1.1.1
Leap indicator: 00
Clock jitter: 0.005096 s
Stability: 0.000 pps
Clock precision: 2^-10
Root delay: 0.00655 ms
Root dispersion: 1.15869 ms
Reference time: d0c62687.ab1bba7d Wed, Dec 29 2010 21:28:39.668
# 查看PE 1的NTP服務的所有IPv4會話信息,可以看到PE 1與CE 1建立了連接。
[PE1] display ntp-service sessions
source reference stra reach poll now offset delay disper
********************************************************************************
[1245]10.1.1.1 127.127.1.0 2 1 64 519 -0.0 0.0000 0.0
Notes: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured.
Total sessions: 1
# 查看從本地設備回溯到主時間服務器的各個NTP時間服務器的簡要信息,可以看到服務器127.0.0.1的同步鏈:服務器127.0.0.1同步到服務器10.1.1.1,服務器10.1.1.1從本地時鍾得到同步。
[PE1] display ntp-service trace
Server 127.0.0.1
Stratum 3 , jitter 0.000, synch distance 796.50.
Server 10.1.1.1
Stratum 2 , jitter 939.00, synch distance 0.0000.
RefID 127.127.1.0
NTP時間同步過程中需要進行複雜的時鍾優選運算,時間同步速度較慢,並且占用較多的係統資源。SNTP(Simple NTP,簡單NTP)是由RFC 4330定義的客戶端版本的簡單NTP,采用與NTP相同的報文格式及交互過程,但簡化了NTP的時間同步過程,以犧牲時間精度為代價實現了時間的快速同步,並減少了占用的係統資源。在時間精度要求不高的情況下,可以使用SNTP來實現時間同步。
SNTP隻支持客戶端/服務器模式,在模式中提供客戶端功能,即作為客戶端,從NTP服務器獲得時間同步,不能作為服務器為其他設備提供時間同步。
如果同時為SNTP客戶端指定了多個NTP服務器,則SNTP客戶端根據如下方法選擇與哪個服務器的時間同步:
(1) 優先選擇時鍾層數值最小的NTP服務器。
(2) 如果時鍾層數相同,則選擇接收到的第一個NTP報文對應的NTP服務器。
與SNTP相關的協議規範有:
· RFC 4330:Simple Network Time Protocol (SNTP) Version 4 for IPv4, IPv6 and OSI
配置SNTP時,需要注意:
· SNTP使用UDP端口號123進行通信。如果該端口已被其他業務模塊占用,SNTP功能將無法啟動。此外,由於缺省情況下NTP也使用UDP端口號123,因此設備上不能同時啟用NTP和SNTP功能。在任意視圖下執行display tcp [ verbose ]命令,可以查看當前運行的業務使用的UDP端口號。
· 用戶需要保證通過clock protocol命令,配置在以NTP方式設置係統時間。有關clock protocol命令的詳細介紹,請參見“基礎配置命令參考”中的“設備管理”。
SNTP配置任務如下:
(1) 開啟SNTP服務
(2) 為SNTP客戶端指定NTP服務器
(3) (可選)配置SNTP驗證功能
(4) (可選)控製SNTP同步時的日誌和告警信息打印
NTP服務與SNTP服務互斥,同一時刻隻能開啟其中一個服務。因此,在開啟SNTP服務器之前,請確保NTP服務關閉。
(1) 進入係統視圖。
system-view
(2) 開啟SNTP服務。
sntp enable
缺省情況下, SNTP服務處於關閉狀態。
NTP服務器的時鍾隻有處於同步狀態時,才能作為時間服務器為SNTP客戶端提供時間同步。當NTP服務器的時鍾層數大於或等於客戶端的時鍾層數時,客戶端將不會與其同步。
(1) 進入係統視圖。
system-view
(2) 為設備指定NTP服務器。
(IPv4網絡)
sntp unicast-server { server-name | ip-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | source interface-type interface-number | version number ] *
缺省情況下,未指定IPv4 NTP服務器。
可以通過多次執行本命令配置多個NTP服務器。authentication-keyid參數用來將指定密鑰與對應的NTP服務器關聯。使用驗證功能時,需要指定本參數。
(IPv6網絡)
sntp ipv6 unicast-server { server-name | ipv6-address } [ vpn-instance vpn-instance-name ] [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | source interface-type interface-number ] *
缺省情況下,未指定IPv6 NTP服務器。
可以通過多次執行本命令配置多個IPv6 NTP服務器。authentication-keyid參數用來將指定密鑰與對應的NTP服務器關聯。使用驗證功能時,需要指定本參數。
在一些對時間同步安全性要求較高的網絡中,運行SNTP協議時需要啟用驗證功能。通過客戶端和服務器端的身份驗證,保證客戶端隻與通過驗證的服務器進行時間同步,提高了網絡安全性。
· 在NTP服務器和SNTP客戶端上都需要開啟驗證功能。
· NTP服務器和SNTP客戶端上必須配置相同的驗證密鑰(包括密鑰ID及密鑰值),並將密鑰設為可信密鑰。NTP服務器上驗證功能的配置方法,請參見“1.8.1 配置客戶端/服務器模式的NTP驗證功能”。
· 在客戶端需要將指定密鑰與對應的NTP服務器關聯,並保證服務端有權在本端使用該密鑰ID進行驗證。
· 如果客戶端沒有成功啟用SNTP驗證功能,不論服務器端是否開啟驗證功能,客戶端均可以與服務器端同步。
(1) 進入係統視圖。
system-view
(2) 開啟SNTP身份驗證功能。
sntp authentication enable
缺省情況下,SNTP身份驗證功能處於關閉狀態。
(3) 配置SNTP身份驗證密鑰。
sntp authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *
缺省情況下,未配置SNTP身份驗證密鑰。
(4) 配置指定密鑰為可信密鑰。
sntp reliable authentication-keyid keyid
缺省情況下,未指定可信密鑰。
(5) 將指定密鑰與對應的NTP服務器關聯。
(IPv4網絡)
sntp unicast-server { server-name | ip-address } [ vpn-instance vpn-instance-name ] authentication-keyid keyid
(IPv6網絡)
sntp ipv6 unicast-server { server-name | ipv6-address } [ vpn-instance vpn-instance-name ] authentication-keyid keyid
缺省情況下,未指定NTP服務器。
缺省情況下,SNTP客戶端與服務器端的時間差經過多次采樣得到的時間偏移超過128ms時,客戶端將進行一次時間同步,並打印日誌信息和告警信息。配置本功能後,SNTP客戶端與服務器端的時間差經過多次采樣得到的時間偏移超過128ms時,客戶端將進行一次時間同步,但是時間偏移大於閾值時,才會打印日誌;時間偏移大於閾值時,才會打印告警信息。
(1) 進入係統視圖。
system-view
(2) 配置SNTP時間同步過程中,打印日誌和告警信息的時間偏移閾值。
sntp time-offset-threshold { log log-threshold | trap trap-threshold } *
缺省情況下,未配置SNTP打印日誌和告警信息的時間偏移閾值。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後SNTP的運行情況,通過查看顯示信息驗證配置的效果。
表2-1 SNTP顯示和維護
|
操作 |
命令 |
|
顯示SNTP服務維護的IPv6會話信息 |
display sntp ipv6 sessions |
|
顯示SNTP服務維護的IPv4會話信息 |
display sntp sessions |
Device B對時間精度要求不高。為了實現Device B與Device A的時間同步,要求:
· 在Device A上設置本地時鍾作為參考時鍾,層數為2;
· Device B工作在SNTP客戶端模式,指定Device A為NTP服務器。
· Device B要求對NTP服務器進行驗證,以保證時間同步的安全性。
圖2-1 SNTP配置組網圖
(1) 按照圖2-1配置各接口的IP地址,並確保路由可達,具體配置過程略。
(2) 配置Device A
# 開啟NTP服務。
<DeviceA> system-view
[DeviceA] ntp-service enable
# 配置通過NTP協議獲取時間。
[DeviceA] clock protocol ntp
# 設置本地時鍾作為參考時鍾,層數為2。
[DeviceA] ntp-service refclock-master 2
# 在Device A上啟動NTP驗證功能。
[DeviceA] ntp-service authentication enable
# 創建編號為10的NTP驗證密鑰,密鑰值為aNiceKey,以明文形式輸入。
[DeviceA] ntp-service authentication-keyid 10 authentication-mode md5 simple aNiceKey
# 設置編號為10的密鑰為可信密鑰。
[DeviceA] ntp-service reliable authentication-keyid 10
(3) 配置Device B
# 開啟SNTP服務。
<DeviceB> system-view
[DeviceB] sntp enable
# 配置通過NTP協議獲取時間。
[DeviceB] clock protocol ntp
# 在Device B上啟動SNTP驗證功能。
[DeviceB] sntp authentication enable
# 創建編號為10的SNTP驗證密鑰,密鑰值為aNiceKey,以明文形式輸入。
[DeviceB] sntp authentication-keyid 10 authentication-mode md5 simple aNiceKey
# 設置編號為10的密鑰為可信密鑰。
[DeviceB] sntp reliable authentication-keyid 10
# 設置Device A為Device B的NTP服務器,並將該服務器與編號為10的密鑰關聯。
[DeviceB] sntp unicast-server 1.0.1.11 authentication-keyid 10
# 查看Device B的SNTP會話信息,可以看到Device B與Device A建立了會話,並且處於已同步狀態。
[DeviceB] display sntp sessions
SNTP server Stratum Version Last receive time
1.0.1.11 2 4 Tue, May 17 2011 9:11:20.833 (Synced)
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
