- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
27-NTP操作
本章節下載 (319.98 KB)
目 錄
NTP(Network Time Protocol,網絡時間協議)是由RFC1305定義的時間同步協議,用於在分布式時間服務器和客戶端之間進行時間同步。NTP基於UDP報文進行傳輸,使用的UDP端口號為123。
NTP的目標是對網絡內所有具有時鍾的設備進行時鍾同步,使網絡內所有設備的時鍾基本保持一致,從而使設備能夠提供基於統一時間的多種應用(參見1.1.1 )。
對於運行NTP的本地係統,既可以接受來自其他時鍾源的同步,又可以作為時鍾源同步其他時鍾,並且可以通過交換NTP報文互相同步。
對於網絡中的設備,依靠管理員手工輸入命令來修改係統時鍾是不可思議的,這不但工作量巨大,而且也不能保證時鍾的精確性。但通過配置NTP,可以很快將網絡中各設備的時鍾同步,同時也能確保很高的精度。
NTP主要應用於需要網絡中所有設備的時鍾保持一致的場合,比如:
l
在網絡管理中,對從不同設備采集而得的日誌信息、調試信息進行分析時,需要以時間作為參照依據。
l
計費係統要求所有設備的時鍾一致。
l
完成某些功能,如定時重新啟動網絡中的所有設備,要求所有設備的時鍾保持一致。
l
多個係統協同處理同一個比較複雜的事件時,為保證正確的執行順序,多個係統必須參考同一時鍾。
l
在備份服務器和客戶機之間進行增量備份時,要求備份服務器和所有客戶機之間的時鍾同步。
NTP的優勢如下:
l
采用分層的方法來定義時鍾的準確度,可以迅速同步網絡中各設備的時間。
l
支持訪問控製(參見1.4 )和MD5加密驗證(參見1.5 )。
l
可以選擇采用單播、組播或廣播方式發送協議報文。
& 說明:
l 時鍾的層數決定了時鍾的準確度,其取值範圍為1~16。參考時鍾的層數取值範圍為1~15,準確度從1到15依次遞減。層數為16的時鍾處於未同步狀態,不能作為參考時鍾。
l H3C S5100-SI/EI係列以太網交換機不支持設置本身時鍾為參考時鍾,隻有當其時鍾被同步後,才能作為時鍾源去同步其他設備。
NTP的基本工作原理如圖1-1所示。
以太網交換機A(Device A)和以太網交換機B(Device B)通過以太網端口相連,它們都有自己獨立的係統時鍾,需要通過NTP實現各自係統時鍾的自動同步。為便於理解,作如下假設:
l
在Device A和Device B的係統時鍾同步之前,Device A的時鍾設定為10:00:00am,Device B的時鍾設定為11:00:00am。
l
把Device B作為NTP時間服務器,即Device A將使自己的時鍾與Device B的時鍾同步。
l
數據包在Device A和Device B之間單向傳輸所需要的時間為1秒。
圖1-1 NTP基本原理圖
係統時鍾同步的工作過程如下:
l
Device A發送一個NTP消息包給Device B,該消息包帶有它離開Device A時的時間戳,該時間戳為10:00:00am(T1)。
l
當此NTP消息包到達Device B時,Device B加上自己的時間戳,該時間戳為11:00:01am(T2)。
l
當此NTP消息包離開Device B時,Device B再加上自己的時間戳,該時間戳為11:00:02am(T3)。
l
當Device A接收到該響應消息包時,加上一個新的時間戳,該時間戳為10:00:03am(T4)。
至此,Device A已經擁有足夠的信息來計算兩個重要的參數:
l
NTP消息來回一個周期的時延Delay=(T4-T1)-(T3-T2)。
l
Device A相對Device B的時間差offset=((T2-T1)+(T3-T4))/2。
這樣,Device A就能夠根據這些信息來設定自己的時鍾,使之與Device B的時鍾同步。
以上內容隻是對NTP工作原理的粗略描述,詳細內容請參閱RFC1305。
根據網絡結構和以太網交換機在網絡中的位置,本地以太網交換機可以采用多種NTP工作模式進行時間同步。
圖1-2 服務器/客戶端模式
主動對等體先發出時鍾同步報文,其對等體自動工作在被動對等體模式。
如果對等體雙方都有參考時鍾,則以層數小的時鍾為準。
H3C S5100-SI/EI係列以太網交換機支持的NTP工作模式情況,如表1-1所示。
表1-1 H3C S5100-SI/EI係列以太網交換機支持的NTP工作模式
|
NTP工作模式 |
H3C S5100-SI/EI係列以太網交換機支持情況說明 |
|
服務器/客戶端模式 |
S5100-SI/EI上配置NTP客戶端模式,即:把遠程服務器作為本地時間服務器,本地以太網交換機作為客戶端 |
|
對等體模式 |
S5100-SI/EI上配置NTP對等體模式,即:把遠程服務器作為本地以太網交換機的對等體,本地交換機作為主動對等體 |
|
廣播模式 |
l S5100-SI/EI上配置NTP廣播服務器模式,即:本地以太網交換機的一個接口發送NTP的廣播消息包 l S5100-SI/EI上配置NTP廣播客戶端模式,即:本地以太網交換機的一個接口接收NTP的廣播消息包 |
|
組播模式 |
l S5100-SI/EI上配置NTP組播服務器模式,即:本地以太網交換機的一個接口發送NTP組播消息包 l S5100-SI/EI上配置NTP組播客戶端模式,即:本地以太網交換機的一個接口接收NTP組播消息包 |
注意:
l 當H3C S5100-SI/EI係列以太網交換機工作於服務器模式或者被動對等體模式時,無需命令配置,隻需在客戶端或主動對等體配置即可;
l 隻有H3C S5100-SI/EI係列以太網交換機的本地時鍾被同步後,NTP服務器模式、NTP廣播服務器模式或NTP組播服務器模式才會生效;
l 當兩台以太網交換機配置了對等體模式互相同步時鍾時,必須至少有一台交換機的時鍾已經處於同步狀態,隻有這樣所作的配置才能生效。
表1-2 NTP配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置NTP工作模式 |
必選 |
參見1.3 |
|
配置訪問控製權限 |
可選 |
參見1.4 |
|
配置NTP驗證功能 |
可選 |
參見1.5 |
|
配置NTP可選參數 |
可選 |
參見1.6 |
|
NTP配置顯示 |
可選 |
參見1.7 |
根據以太網交換機在網絡中的位置和網絡結構,交換機可設置的NTP工作模式有:
|
NTP工作模式 |
詳細配置 |
|
NTP服務器/客戶端模式 |
參見1.3.1 |
|
NTP對等體模式 |
參見1.3.2 |
|
NTP廣播模式 |
參見1.3.3 |
|
NTP組播模式 |
參見1.3.4 |
& 說明:
H3C S5100-SI/EI係列以太網交換機為防止惡意用戶對未使用SOCKET的攻擊,提高交換機的安全性,提供了如下功能:
l 在啟動NTP功能時,才打開NTP使用的UDP 123端口。
l 在關閉NTP功能時,同時關閉UDP 123端口。
具體的實現是:
l 執行ntp-service unicast-server,ntp-service unicast-peer,ntp-service broadcast-client,ntp-service broadcast-server,ntp-service multicast-client,ntp-service multicast-server六條命令的其中一條,都可以啟動NTP功能,同時打開NTP使用的UDP 123端口。
l 使用上麵六條命令的undo命令來關閉NTP所有的工作模式,即可同時關閉UDP 123端口。
當交換機采用服務器/客戶端模式時,隻需在客戶端進行配置,服務器端不需進行配置。
表1-3 配置NTP服務器/客戶端模式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置NTP客戶端模式 |
ntp-service unicast-server { remote-ip | server-name
} [ authentication-keyid key-id | priority | source-interface
Vlan-interface vlan-id | version number ]* |
必選 缺省情況下,沒有配置以太網交換機工作在NTP客戶端模式 |
& 說明:
l remote-ip或server-name所指定的遠程服務器作為NTP時間服務器,本地以太網交換機作為客戶端。客戶端的時鍾將以NTP服務器的時間為準進行同步,而NTP服務器的時鍾不會被客戶端的時鍾同步。
l remote-ip不能為廣播、組播地址或本地時鍾的IP地址。
l 通過source-interface參數指定發送NTP報文的接口後,NTP報文的源IP地址將被設置為指定接口的主IP地址。
l 服務器端隻有當其時鍾被同步後,才能作為時間服務器去同步其他設備。當服務器端的時鍾層數大於或等於客戶端的時鍾層數時,客戶端將不會向其同步。
l 可以通過多次執行ntp-service unicast-server命令配置多個服務器,客戶端依據時鍾優選來選擇最優的時鍾源。
當交換機采用對等體模式時,需要在主動對等體上指定被動對等體。
表1-4 配置NTP對等體模式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置NTP對等體模式 |
ntp-service unicast-peer { remote-ip | peer-name }
[ authentication-keyid key-id | priority | source-interface
Vlan-interface vlan-id | version number ]* |
必選 缺省情況下,沒有配置以太網交換機工作在對等體模式 |
& 說明:
l 在對等體模式中,被動對等體上需要執行NTP配置的相關命令(S5100-SI/EI以太網交換機的相關命令請參見1.3 )來開啟NTP,否則被動對等體不會處理來自主動對等體的NTP報文。
l remote-ip或peer-name所指定的遠程設備作為本地以太網交換機的對等體,本地交換機運行在主動對等體模式。此時,本地交換機的時鍾可以同步到遠程設備,而遠程設備的時鍾也能同步到本地交換機。
l remote-ip不能為廣播、組播地址或本地時鍾的IP地址。
l 通過source-interface參數指定發送NTP報文的接口後,NTP報文的源IP地址將被設置為指定接口的IP地址。
l 通常,主/被動對等體的時鍾中至少有一個處於同步狀態,否則它們將都無法同步。
l 可以通過多次執行ntp-service unicast-peer命令為本地交換機配置多個被動對等體,本地時鍾將選擇層數最小的對等體的時鍾進行同步。
當交換機采用廣播模式時,需要在服務器端和客戶端都進行配置。廣播服務器周期性地向廣播地址255.255.255.255發送NTP廣播報文,配置了NTP廣播客戶端模式的設備將回應這個報文,從而開始時鍾同步過程。
H3C S5100-SI/EI係列以太網交換機支持廣播服務器和廣播客戶端兩種工作模式:
l
交換機工作於NTP廣播服務器模式的配置參見表1-5
l
交換機工作於NTP廣播客戶端模式的配置參見表1-6
& 說明:
廣播服務器隻有當其時鍾被同步後,才能去同步廣播客戶端。
表1-5 配置交換機工作於NTP廣播服務器模式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN接口視圖 |
interface Vlan-interface vlan-id |
- |
|
配置交換機工作於NTP廣播服務器模式 |
ntp-service broadcast-server [ authentication-keyid key-id | version number ]* |
必選 缺省情況下,沒有配置以太網交換機工作在NTP廣播服務器模式 |
表1-6 配置交換機工作於NTP廣播客戶端模式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN接口視圖 |
interface Vlan-interface vlan-id |
- |
|
配置交換機工作於NTP廣播客戶端模式 |
ntp-service broadcast-client |
必選 缺省情況下,沒有配置以太網交換機工作在NTP廣播客戶端模式 |
交換機采用組播模式時,需要在服務器端和客戶端都進行配置。NTP組播服務器將以組播形式周期性發送時鍾同步報文,配置了NTP組播客戶端模式的設備將回應這個報文,從而開始時鍾同步過程。
H3C S5100-SI/EI係列以太網交換機支持組播服務器和組播客戶端兩種工作模式:
l
交換機工作於NTP組播服務器模式的配置參見表1-7
l
交換機工作於NTP組播客戶端模式的配置參見表1-8
& 說明:
l 組播服務器隻有當其時鍾被同步後,才能去同步組播客戶端。
l 工作在組播服務器模式的S5100-SI/EI係列交換機最多可以支持1024個組播客戶端。
表1-7 配置交換機工作於NTP組播服務器模式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN接口視圖 |
interface Vlan-interface vlan-id |
- |
|
配置交換機工作於NTP組播服務器模式 |
ntp-service multicast-server [ ip-address
] [ authentication-keyid keyid | ttl ttl-number | version number ]* |
必選 缺省情況下,沒有配置以太網交換機工作在NTP組播服務器模式 |
表1-8 配置交換機工作於NTP組播客戶端模式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN接口視圖 |
interface Vlan-interface vlan-id |
- |
|
配置交換機工作於NTP組播客戶端模式 |
ntp-service multicast-client [ ip-address ] |
必選 缺省情況下,沒有配置以太網交換機工作在NTP組播客戶端模式 |
用戶可以配置遠程設備對本地交換機NTP服務的訪問控製權限。
訪問控製權限可分為四種:
l
query:控製查詢權限。該權限隻允許遠程設備對本地交換機的NTP服務進行控製查詢,但是不能向本地交換機同步時鍾。所謂的控製查詢,就是查詢NTP的一些狀態,比如告警信息,驗證狀態,時鍾源信息等。
l
synchronization:同步權限。該權限隻允許遠程設備向本地交換機同步時鍾,但不能進行控製查詢。
l
server:服務器權限。該權限允許遠程設備向本地交換機同步時鍾和控製查詢,但本地交換機不會向遠程設備同步時鍾。
l
peer:對等體權限。該權限既允許遠程設備向本地交換機同步時鍾和控製查詢,同時本地交換機把本地時鍾同步到遠程設備。
NTP服務的訪問控製權限從高到低依次為peer、server、synchronization、query。當設備接收到一個NTP服務請求時,會按照此順序進行匹配,以第一個匹配的權限為準。
在配置遠程設備對本地交換機NTP服務的訪問控製權限之前,需要創建並配置與訪問權限相關聯的ACL。ACL的配置方法請參見本手冊的“ACL操作”部分。
表1-9 設置遠程設備對本地交換機NTP服務的訪問控製權限
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
設置遠程設備對本地交換機NTP服務的訪問控製權限 |
ntp-service access { peer | server | synchronization | query
} acl-number |
可選 缺省情況下,遠程設備對本地NTP服務器的訪問控製權限為peer |
& 說明:
配置遠程設備對本地交換機NTP服務的訪問控製權限,僅對本地交換機提供了一種最小限度的安全措施,更安全的方法是進行身份驗證。
在一些對安全性要求較高的網絡中,運行NTP協議時需要開啟驗證功能。通過客戶端和服務器端的密碼驗證,從而保證了客戶端隻與通過驗證的設備進行時鍾同步,提高了網絡安全性。NTP驗證功能角色分類如表1-10所示。
表1-10 NTP驗證功能角色分類
|
設備角色 |
工作模式 |
|
客戶端 |
服務器/客戶端模式的客戶端- |
|
廣播模式的客戶端 |
|
|
組播模式的客戶端 |
|
|
對等體模式的主動對等體 |
|
|
服務器端 |
服務器/客戶端模式的服務器端 |
|
廣播模式的服務器端 |
|
|
組播模式的服務器端 |
|
|
對等體模式的被動對等體 |
配置NTP驗證功能分為兩個部分:客戶端的NTP驗證和服務器端的NTP驗證。
在配置NTP驗證功能時,應注意以下原則:
l
如果客戶端沒有開啟NTP驗證功能,不論服務器端是否開啟NTP驗證,客戶端均可以與服務器端同步時鍾(其他配置無誤)。
l
服務器端和客戶端開啟了NTP驗證功能後,還都需要配置可信的密鑰。否則, NTP驗證功能將不能生效。
l
客戶端隻會把本地時鍾同步到提供可信密鑰的服務器,如果服務器提供的密鑰不是可信的密鑰,那麼客戶端不會與其同步時鍾。
l
對於服務器/客戶端模式和對等體模式,還應在客戶端(對等體模式中的主動對等體)將指定密鑰與對應的NTP服務器(對等體模式的被動對等體)關聯;對於NTP廣/組播模式,應在廣/組播服務器端將指定密鑰與對應NTP廣/組播客戶端關聯。否則,無法正常啟用NTP驗證功能。
l
服務器的配置與客戶端的配置應保持一致。
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
開啟NTP驗證功能 |
ntp-service authentication enable |
必選 缺省情況下,NTP身份驗證功能處於關閉狀態 |
|
|
配置NTP驗證密鑰 |
ntp-service authentication-keyid key-id authentication-mode md5
value |
必選 缺省情況下,沒有設置NTP驗證密鑰 |
|
|
配置指定密鑰為可信密鑰 |
ntp-service reliable authentication-keyid key-id |
必選 缺省情況下,沒有設置可信驗證密鑰 |
|
|
將指定密鑰與對應的NTP服務器關聯 |
NTP服務器/客戶端模式的客戶端 |
ntp-service unicast-server { remote-ip | server-name } authentication-keyid
key-id |
必選 對於NTP廣/組播模式的客戶端,無需此項配置,隻需在對應服務器端將密鑰和NTP客戶端關聯 |
|
NTP對等體模式的主動對等體端 |
ntp-service unicast-peer { remote-ip | peer-name } authentication-keyid key-id |
||
& 說明:
l 客戶端開啟NTP驗證功能後,必須配置與服務器端相同的驗證密鑰,並且必須聲明該密鑰是可信的,否則無法與服務器同步時鍾。
l 對於NTP服務器模式和NTP對等體模式,應在客戶端(對等體模式中的被動對等體)將指定密鑰與對應的NTP服務器(對等體模式的主動對等體)關聯。這兩種模式下,客戶端可能同時配置了多個時間服務器,所以需要利用驗證密鑰來決定把本地時鍾同步哪一個時間服務器。
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
開啟NTP驗證功能 |
ntp-service authentication enable |
必選 缺省情況下, NTP身份驗證功能處於關閉狀態 |
|
|
配置NTP驗證密鑰 |
ntp-service authentication-keyid key-id authentication-mode
md5 value |
必選 缺省情況下,沒有設置NTP驗證密鑰 |
|
|
配置指定密鑰為可信密鑰 |
ntp-service reliable authentication-keyid key-id |
必選 缺省情況下,沒有設置可信驗證密鑰 |
|
|
進入VLAN接口視圖 |
interface Vlan-interface vlan-id |
- |
|
|
將指定密鑰與對應的NTP廣/組播客戶端關聯 |
NTP廣播服務器端 |
ntp-service broadcast-server authentication-keyid key-id |
l 對於NTP廣播服務器模式和NTP組播服務器模式,必須在服務器端將指定密鑰與對應的NTP廣/組播客戶端進行關聯 l 可以在配置NTP工作模式的同時,將NTP服務器與驗證密鑰進行關聯;也可以在配置好NTP工作模式後,通過本命令進行關聯操作 |
|
NTP組播服務器端 |
ntp-service multicast-server authentication-keyid
key-id |
||
& 說明:
服務器端的NTP驗證配置步驟與客戶端的相同,並且兩端必須配置相同的密鑰。
表1-13 NTP可選參數配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置本地交換機發送NTP報文的接口 |
可選 |
參見1.6.2 |
|
配置本地交換機允許建立的動態會話數目 |
可選 |
參見1.6.3 |
|
配置禁止接口接收NTP報文 |
可選 |
參見1.6.4 |
表1-14 配置本地交換機發送NTP報文的接口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
設置本地交換機發送NTP消息的接口 |
ntp-service source-interface Vlan-interface vlan-id |
必選 |
注意:
如果在ntp-service unicast-server命令或ntp-service unicast-peer命令中也指定了發送接口,則報文中的源IP地址以這些命令指定的為準。
表1-15 配置本地交換機允許建立的動態會話數目
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
設置本地交換機允許建立的動態會話數目 |
ntp-service max-dynamic-sessions number |
必選 缺省情況下,本地允許建立的動態會話數目為100 |
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN接口視圖 |
interface Vlan-interface vlan-id |
- |
|
設置禁止接口接收NTP報文 |
ntp-service in-interface disable |
必選 缺省情況下,接口接收NTP報文 |
完成上述配置後,在任意視圖下執行display命令,可以顯示交換機配置NTP後的運行情況。通過查看顯示信息,用戶可以驗證配置的效果。
表1-17 NTP配置顯示
|
操作 |
命令 |
說明 |
|
顯示NTP服務的狀態信息 |
display ntp-service status |
display命令可以在任意視圖下執行 |
|
顯示NTP服務維護的會話信息 |
display ntp-service sessions [ verbose ] |
|
|
顯示從本地設備回溯到參考時鍾源的各個NTP時間服務器的簡要信息 |
display ntp-service trace |
l
Device A是支持本地時鍾作為主時鍾的交換機,並已設置本地時鍾作為NTP主時鍾,層數為2。
l
Device B是一台S5100-SI/EI以太網交換機,以Device A作為時間服務器。
l
配置Device B工作於客戶端模式,則Device A將自動工作於服務器模式。
圖1-6 NTP服務器/客戶端模式配置組網圖
以下配置都是在Device B上進行。
# 同步前查看Device B的NTP狀態。
<DeviceB> display ntp-service status
Clock status: unsynchronized
Clock stratum: 16
Reference clock ID: none
Nominal frequency: 60.0002 Hz
Actual frequency: 60.0002 Hz
Clock precision: 2^18
Clock offset: 0.0000 ms
Root delay: 0.00 ms
Root dispersion: 0.00 ms
Peer dispersion: 0.00 ms
Reference time: 00:00:00.000 UTC Jan 1 1900 (00000000.00000000)
# 設置Device B以Device A作為時間服務器。
<DeviceB> system-view
[DeviceB] ntp-service unicast-server 1.0.1.11
# 以上配置將使Device B向Device A進行時間同步,同步後查看Device B的NTP狀態。
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 1.0.1.11
Nominal frequency: 60.0002 Hz
Actual frequency: 60.0002 Hz
Clock precision: 2^18
Clock offset: 0.66 ms
Root delay: 27.47 ms
Root dispersion: 208.39 ms
Peer dispersion: 9.63 ms
Reference time: 17:03:32.022 UTC Thu Sep 7 2006 (BF422AE4.05AEA86C)
此時,Device B的時鍾已經與Device A的時鍾同步,層數為3(比Device A的層數大1)。
# 查看Device B的NTP會話信息,可以看到Device B與Device A建立了連接。
[DeviceB] display ntp-service sessions
source reference stra reach poll now offset delay disper
*************************************************************************
[12345]1.0.1.11 127.127.1.0 2 1 64 1 350.1 15.1 0.0
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured Total associations : 1
l
Device A是支持本地時鍾作為主時鍾的交換機,並已設置本地時鍾作為NTP主時鍾,層數為2。
l
Device C是一台S5100-SI/EI以太網交換機,以Device A作為時間服務器,此時Device A自動工作於服務器模式。
l
Device B是支持本地時鍾作為主時鍾的交換機,並設置本地時鍾作為NTP主時鍾,層數為1。設置Device B將Device C設為對等體。
圖1-7 NTP對等體模式配置組網圖
(1)
配置Device C
# 設置Device A為時間服務器。
<DeviceC> system-view
[DeviceC] ntp-service unicast-server 3.0.1.31
(2)
配置Device B(Device C向Device A同步後)
# 進入係統視圖。
<DeviceB> system-view
# 設置Device C為對等體。
[DeviceB] ntp-service unicast-peer 3.0.1.33
以上配置將Device C和Device B配置為對等體,Device B處於主動對等體模式,Device C處於被動對等體模式。由於Device B本地時鍾的層數為1,而Device C的層數為3,所以Device C向Device B同步時鍾。
同步時鍾後查看Device C的狀態為:
[DeviceC] display ntp-service status
Clock status: synchronized
Clock stratum: 2
Reference clock ID: 3.0.1.32
Nominal frequency: 60.0002 Hz
Actual frequency: 60.0002 Hz
Clock precision: 2^18
Clock offset: 0.66 ms
Root delay: 27.47 ms
Root dispersion: 208.39 ms
Peer dispersion: 9.63 ms
Reference time: 17:03:32.022 UTC Thu Sep 7 2006 (BF422AE4.05AEA86C)
此時Device C已經與Device B同步時鍾,層數為2,比Device B大1。
# 查看Device C的NTP會話信息,可以看到Device C與Device B建立了連接。
[DeviceC] display ntp-service sessions
source reference stra reach poll now offset delay disper
*************************************************************************
[1234]3.0.1.32 LOCL
1 95 64 42 -14.3 12.9 2.7
[25]3.0.1.31 127.127.1.0 2 1 64 1 4408.6 38.7 0.0
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 2
l
Device C是支持本地時鍾作為主時鍾的交換機,並設置本地時鍾作為NTP主時鍾,層數為2。設置Device C工作於廣播服務器模式,由Vlan-interface2向外發送廣播消息包。
l
Device A和Device D是兩台S5100-SI/EI以太網交換機。設置Device A和Device D工作於廣播客戶端模式,分別從各自的Vlan-interface2監聽廣播消息。
圖1-8 NTP廣播模式配置組網圖
(1)
配置Device C
# 進入係統視圖。
<DeviceC> system-view
# 設置為廣播服務器,從Vlan-interface2發送廣播消息包。
[DeviceC] interface Vlan-interface 2
[DeviceC-Vlan-interface2] ntp-service broadcast-server
(2)
配置Device A(在Device D上做同樣配置)
# 進入係統視圖。
<DeviceA> system-view
# 設置為廣播客戶端,從Vlan-interface2監聽廣播消息。
[DeviceA] interface Vlan-interface 2
[DeviceA-Vlan-interface2] ntp-service broadcast-client
以上配置將Device A和Device D配置為從Vlan-interface2監聽廣播消息,而Device C從Vlan-interface2發送廣播消息包。由於Device A與Device C不在相同的網段,所以接收不到Device C發出的廣播包,而Device D接收到Device C發出的廣播包後與其同步時鍾。
同步時鍾後查看Device D的NTP狀態為:
[DeviceD] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 3.0.1.31
Nominal frequency: 60.0002 Hz
Actual frequency: 60.0002 Hz
Clock precision: 2^18
Clock offset: 198.7425 ms
Root delay: 27.47 ms
Root dispersion: 208.39 ms
Peer dispersion: 9.63 ms
Reference time: 17:03:32.022 UTC Thu Sep 7 2006 (BF422AE4.05AEA86C)
此時Device D已經與Device C同步,層數為3(比Device C大1)。
# 查看Device D的NTP會話信息情況,可以看到Device D與Device C建立了連接。
[DeviceD] display ntp-service sessions
source reference stra reach poll now offset delay disper
*************************************************************************
[1234]3.0.1.31 127.127.1.0 2 1
64 377 26.1 199.53 9.7
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured Total associations : 1
l
Device C是支持本地時鍾作為主時鍾的交換機,並設置本地時鍾作為NTP主時鍾,層數為2。設置Device C工作於組播服務器模式,從Vlan-interface2向外發送組播消息包。
l
Device A和Device D是兩台S5100-SI/EI以太網交換機。設置Device A和Device D工作於組播客戶端模式,分別從各自的Vlan-interface2監聽組播消息。
圖1-9 NTP組播模式配置組網圖
(1)
配置Device C
# 進入係統視圖。
<DeviceC> system-view
# 設置Device C為組播服務器, 從Vlan-interface2發送組播消息包。
[DeviceC] interface Vlan-interface 2
[DeviceC-Vlan-interface2] ntp-service multicast-server
(2)
配置Device A(在Device D上做同樣配置)
# 進入係統視圖。
<DeviceA> system-view
# 設置Device A為組播客戶端,從Vlan-interface2監聽組播消息。
[DeviceA] interface Vlan-interface 2
[DeviceA-Vlan-interface2] ntp-service multicast-client
以上配置將Device A和Device D配置為從Vlan-interface2監聽組播消息,而Device C從Vlan-interface2發送組播消息包。由於Device A與Device C不在同一網段,所以Device A收不到Device C發出的組播包,而Device D接收到Device C發出的組播包後與其同步時鍾。
同步時鍾後查看Device D的狀態為:
[DeviceD] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 3.0.1.31
Nominal frequency: 60.0002 Hz
Actual frequency: 60.0002 Hz
Clock precision: 2^18
Clock offset: 198.7425 ms
Root delay: 27.47 ms
Root dispersion: 208.39 ms
Peer dispersion: 9.63 ms
Reference time: 17:03:32.022 UTC Thu Sep 7 2006 (BF422AE4.05AEA86C)
此時Device D已經與Device C同步,層數為3(比Device C大1)。
# 查看Device D的NTP會話信息,可以看到Device D與Device C建立了連接。
[DeviceD] display ntp-service sessions
source reference stra reach poll now offset delay disper
*************************************************************************
[1234]3.0.1.31 127.127.1.0 2 1 64 377 26.1 199.53 9.7
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured Total associations : 1
l
Device A是支持本地時鍾作為主時鍾的交換機,並設置本地時鍾作為NTP主時鍾,層數為2。
l
Device B是一台S5100-SI/EI以太網交換機,以Device A作為時間服務器,將自己設置為客戶端模式,此時Device A將自動工作於服務器模式。
l
在Device A和Device B之間配置NTP驗證。
圖1-10 帶身份驗證的NTP服務器/客戶端模式配置組網圖
(1)
配置Device B
# 進入係統視圖。
<DeviceB> system-view
# 設置Device A為時間服務器。
[DeviceB] ntp-service unicast-server 1.0.1.11
# 開啟NTP驗證功能。
[DeviceB] ntp-service authentication enable
# 設置編號為42的MD5密鑰,內容為“aNiceKey”。
[DeviceB] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey
# 指定42號密鑰為可信密鑰。
[DeviceB] ntp-service reliable authentication-keyid 42
[DeviceB] ntp-service unicast-server 1.0.1.11 authentication-keyid 42
以上配置將Device B向Device A進行時間同步,但由於Device A沒有開啟NTP身份驗證,所以Device B還是無法向Device A同步時鍾。
(2)
現在,在Device A上做如下配置:
#開啟身份驗證功能。
[DeviceA] system-view
[DeviceA] ntp-service authentication enable
# 設置編號為42的MD5密鑰,內容為“aNiceKey”。
[DeviceA] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey
# 指定42號密鑰為可信密鑰。
[DeviceA] ntp-service reliable authentication-keyid 42
此時,Device B可以向Device A同步時鍾,同步時鍾後查看Device B的狀態為:
[DeviceB] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 1.0.1.11
Nominal frequence: 60.0002 Hz
Actual frequence: 60.0002 Hz
Clock precision: 2^18
Clock offset: 0.66 ms
Root delay: 27.47 ms
Root dispersion: 208.39 ms
Peer dispersion: 9.63 ms
Reference time: 17:03:32.022 UTC Thu Sep 7 2006 (BF422AE4.05AEA86C)
可以看出,Device B已經與Device A同步時鍾,層數為3(比Device A大1)。
# 查看Device B的NTP會話信息,可以看到Device B與Device A建立了連接。
<DeviceB> display ntp-service sessions
source
reference stra reach poll now offset delay disper
*************************************************************************
[12345] 1.0.1.11 127.127.1.0
2 255 64 8 2.8 17.7 1.2
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
