03-NTP配置
本章节下载: 03-NTP配置 (490.53 KB)
目 录
NTP(Network Time Protocol,网络时间协议)是由RFC 1305定义的时间同步协议,用来在分布式时间服务器和客户端之间进行时间同步。NTP基于UDP报文进行传输,使用的UDP端口号为123。
使用NTP的目的是对网络内所有具有时钟的设备进行时钟同步,使网络内所有设备的时钟保持一致,从而使设备能够提供基于统一时间的多种应用。
对于运行NTP的本地系统,既可以接受来自其他时钟源的同步,又可以作为时钟源同步其他的时钟,并且可以和其他设备互相同步。
对于网络中的各台设备来说,如果依靠管理员手工输入命令来修改系统时钟是不可能的,不但工作量巨大,而且也不能保证时钟的精确性。通过NTP,可以很快将网络中设备的时钟同步,同时也能保证很高的精度。
NTP主要应用于需要网络中所有设备时钟保持一致的场合,比如:
· 在网络管理中,对于从不同设备采集来的日志信息、调试信息进行分析的时候,需要以时间作为参照依据。
· 计费系统要求所有设备的时钟保持一致。
· 完成某些功能,如定时重启网络中的所有设备,此时要求所有设备的时钟保持一致。
· 多个系统协同处理同一个比较复杂的事件时,为保证正确的执行顺序,多个系统必须参考同一时钟。
· 在备份服务器和客户端之间进行增量备份时,要求备份服务器和所有客户端之间的时钟同步。
NTP的优势如下:
· 采用分层的方法定义时钟的准确性,可以迅速同步网络中各台设备的时间。
· 支持访问控制和MD5验证。
· 可以选择采用单播、组播或广播的方式发送协议报文。
NTP的基本工作原理如图1-1所示。Device A和Device B通过网络相连,它们都有自己独立的系统时钟,需要通过NTP实现各自系统时钟的自动同步。为便于理解,作如下假设:
· 在Device A和Device B的系统时钟同步之前,Device A的时钟设定为10:00:00am,Device B的时钟设定为11:00:00am。
· Device B作为NTP时间服务器,即Device A将使自己的时钟与Device B的时钟同步。
· NTP报文在Device A和Device B之间单向传输所需要的时间为1秒。
图1-1 NTP基本原理图
系统时钟同步的工作过程如下:
· Device A发送一个NTP报文给Device B,该报文带有它离开Device A时的时间戳,该时间戳为10:00:00am(T1)。
· 当此NTP报文到达Device B时,Device B加上自己的时间戳,该时间戳为11:00:01am(T2)。
· 当此NTP报文离开Device B时,Device B再加上自己的时间戳,该时间戳为11:00:02am(T3)。
· 当Device A接收到该响应报文时,Device A的本地时间为10:00:03am(T4)。
至此,Device A已经拥有足够的信息来计算两个重要的参数:
· NTP报文的往返时延Delay=(T4-T1)-(T3-T2)=2秒。
· Device A相对Device B的时间差offset=((T2-T1)+(T3-T4))/2=1小时。
这样,Device A就能够根据这些信息来设定自己的时钟,使之与Device B的时钟同步。
以上内容只是对NTP工作原理的一个粗略描述,详细内容请参阅RFC 1305。
NTP有两种不同类型的报文,一种是时钟同步报文,另一种是控制报文。控制报文仅用于需要网络管理的场合,它对于时钟同步功能来说并不是必需的,这里不做介绍。
本文中提到的NTP报文,均为NTP时钟同步报文。
时钟同步报文封装在UDP报文中,其格式如图1-2所示。
主要字段的解释如下:
· LI(Leap Indicator):长度为2比特,值为“11”时表示告警状态,时钟未被同步。为其他值时NTP本身不做处理。
· VN(Version Number):长度为3比特,表示NTP的版本号,目前的最新版本为4。
· Mode:长度为3比特,表示NTP的工作模式。不同的值所表示的含义分别是:0未定义、1表示主动对等体模式、2表示被动对等体模式、3表示客户模式、4表示服务器模式、5表示广播模式或组播模式、6表示此报文为NTP控制报文、7预留给内部使用。
· Stratum:系统时钟的层数,取值范围为1~16,它定义了时钟的准确度。层数为1的时钟准确度最高,准确度从1到16依次递减,层数为16的时钟处于未同步状态,不能作为参考时钟。
· Poll:轮询时间,即两个连续NTP报文之间的时间间隔。
· Precision:系统时钟的精度。
· Root Delay:本地到主参考时钟源的往返时间。
· Root Dispersion:系统时钟相对于主参考时钟的最大误差。
· Reference Identifier:参考时钟源的标识。
· Reference Timestamp:系统时钟最后一次被设定或更新的时间。
· Originate Timestamp:NTP请求报文离开发送端时发送端的本地时间。
· Receive Timestamp:NTP请求报文到达接收端时接收端的本地时间。
· Transmit Timestamp:应答报文离开应答者时应答者的本地时间。
· Authenticator:验证信息。
设备可以采用多种NTP工作模式进行时间同步:
· 客户端/服务器模式
· 对等体模式
· 广播模式
· 组播模式
用户可以根据需要选择合适的工作模式。在不能确定服务器或对等体IP地址、网络中需要同步的设备很多等情况下,可以通过广播或组播模式实现时钟同步;客户端/服务器和对等体模式中,设备从指定的服务器或对等体获得时钟同步,增加了时钟的可靠性。
图1-3 客户端/服务器模式
在客户端/服务器模式中,客户端向服务器发送时钟同步报文,报文中的Mode字段设置为3(客户模式)。服务器端收到报文后会自动工作在服务器模式,并发送应答报文,报文中的Mode字段设置为4(服务器模式)。客户端收到应答报文后,进行时钟过滤和选择,并同步到优选的服务器。
在该模式下,客户端能同步到服务器,而服务器无法同步到客户端。
图1-4 对等体模式
在对等体模式中,主动对等体和被动对等体之间首先交互Mode字段为3(客户端模式)和4(服务器模式)的NTP报文。之后,主动对等体向被动对等体发送时钟同步报文,报文中的Mode字段设置为1(主动对等体),被动对等体收到报文后自动工作在被动对等体模式,并发送应答报文,报文中的Mode字段设置为2(被动对等体)。经过报文的交互,对等体模式建立起来。主动对等体和被动对等体可以互相同步。如果双方的时钟都已经同步,则以层数小的时钟为准。
图1-5 广播模式
在广播模式中,服务器端周期性地向广播地址255.255.255.255发送时钟同步报文,报文中的Mode字段设置为5(广播模式)。客户端侦听来自服务器的广播报文。当客户端接收到第一个广播报文后,客户端与服务器交互Mode字段为3(客户模式)和4(服务器模式)的NTP报文,以获得客户端与服务器间的网络延迟。之后,客户端就进入广播客户端模式,继续侦听广播报文的到来,根据到来的广播报文对系统时钟进行同步。
图1-6 组播模式
在组播模式中,服务器端周期性地向用户配置的组播地址(若用户没有配置组播地址,则使用默认的NTP组播地址224.0.1.1)发送时钟同步报文,报文中的Mode字段设置为5(组播模式)。客户端侦听来自服务器的组播报文。当客户端接收到第一个组播报文后,客户端与服务器交互Mode字段为3(客户模式)和4(服务器模式)的NTP报文,以获得客户端与服务器间的网络延迟。之后,客户端就进入组播客户模式,继续侦听组播报文的到来,根据到来的组播报文对系统时钟进行同步。
在对等体模式、广播模式和组播模式中,客户端(或主动对等体)和服务器(或被动对等体)之间首先要交互Mode字段为3(客户端模式)和4(服务器模式)的NTP报文,之后,才能进入指定的NTP工作模式。在此报文交互过程中,可以实现时钟的同步。
表1-1 NTP配置任务简介
配置任务 |
说明 |
详细配置 |
配置NTP工作模式 |
必选 |
|
配置本地时钟作为参考时钟 |
可选 |
|
配置NTP可选参数 |
可选 |
|
配置访问控制权限 |
可选 |
|
配置NTP验证功能 |
可选 |
设备可以采用以下NTP工作模式进行时钟同步:
· 客户端/服务器模式
· 对等体模式
· 广播模式
· 组播模式
设备采用客户端/服务器模式或对等体模式时,只需要对客户端或主动对等体进行配置;设备采用广播模式或组播模式时,则需要在服务器端和客户端都进行配置。
同一设备同一时间内存在的连接数目最多为128个,其中包括静态连接数和动态连接数。静态连接是用户手动配置NTP相关命令而建立的连接;动态连接是系统运行过程中建立的临时连接,若系统长期收不到报文就会删除该临时连接。例如,在客户端/服务器模式中,当用户在客户端配置向服务器端同步的命令的时候,系统会在客户端建立一个静态连接,服务器端在收到报文之后只是被动的响应报文,而不会建立连接(包括静态和动态连接);在对等体模式中,主动对等体端会建立静态连接,被动对等体端会建立动态连接;在组播和广播模式中,服务器端会建立静态连接,而在客户端会建立动态连接。
当设备采用客户端/服务器模式时,请在客户端进行如下配置。
表1-2 配置NTP客户端
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
指定设备的NTP服务器 |
ntp-service unicast-server { ip-address | server-name } [ authentication-keyid keyid | priority | source-interface interface-type interface-number | version number ] * |
必选 缺省情况下,没有为设备指定NTP服务器 |
· ntp-service unicast-server命令中的ip-address是一个单播地址,不能为广播地址、组播地址或本地时钟的IP地址。
· 通过source-interface参数指定NTP报文的源接口后,NTP报文的源IP地址将被设置为指定接口的主IP地址。
· 服务器端只有当其时钟被同步后,才能作为时间服务器去同步其他设备。当服务器端的时钟层数大于或等于客户端的时钟层数时,客户端将不会向其同步。
· 可以通过多次执行ntp-service unicast-server命令配置多个服务器,客户端依据时钟优选来选择最优的时钟源。
当设备采用对等体模式时,需要在主动对等体上指定被动对等体。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
指定设备的被动对等体 |
ntp-service unicast-peer { ip-address | peer-name } [ authentication-keyid keyid | priority | source-interface interface-type interface-number | version number ] * |
必选 缺省情况下,没有为设备指定被动对等体 |
· 在对等体模式中,被动对等体上需要执行ntp-service refclock-master或“1.3 配置NTP工作模式”中的任何一条NTP配置命令来使能NTP,否则被动对等体不会处理来自主动对等体的NTP报文。
· ntp-service unicast-peer 命令中的ip-address是一个单播地址,不能为广播地址、组播地址或本地时钟的IP地址。
· 通过source-interface参数指定NTP报文的源接口后,NTP报文的源IP地址将被设置为指定接口的主IP地址。
· 通常,主、被动对等体中至少有一个处于同步状态,否则他们将都无法同步。
· 可以通过多次执行ntp-service unicast-peer命令配置多个被动对等体。
广播服务器周期性地向广播地址255.255.255.255发送NTP报文,工作在NTP广播客户端模式的设备将回应这个报文,从而开始时钟同步过程。
当设备采用广播模式时,需要在服务器端和客户端都进行配置。由于广播服务器上需要指定一个发送NTP广播报文的接口,广播客户端上也需要指定一个接收NTP广播报文的接口,所以广播模式的配置只能在具体的接口视图下进行。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- 进入要接收NTP广播报文的接口 |
配置设备工作在NTP广播客户端模式 |
ntp-service broadcast-client |
必选 |
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- 进入要发送NTP广播报文的接口 |
配置设备工作在NTP广播服务器模式 |
ntp-service broadcast-server [ authentication-keyid keyid | version number ] * |
必选 |
广播服务器只有当其时钟同步后,才能去同步广播客户端。
NTP组播服务器以组播形式周期性地发送时钟同步报文,工作在NTP组播客户端模式的设备将回应这个报文,从而开始时钟同步过程。
设备采用组播模式时,需要在服务器端和客户端都进行配置。组播模式的配置只能在具体的接口视图下进行。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- 进入要接收NTP组播报文的接口 |
配置设备工作在NTP组播客户端模式 |
ntp-service multicast-client [ ip-address ] |
必选 |
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- 进入要发送NTP组播报文的接口 |
配置设备工作在NTP组播服务器模式 |
ntp-service multicast-server [ ip-address ] [ authentication-keyid keyid | ttl ttl-number | version number ] * |
必选 |
· 组播服务器只有当其时钟同步后,才能去同步组播客户端。
· 目前最多可以配置1024个组播客户端,但同时起作用的最多为128个。
网络中的设备可以通过下面两种方式进行时间同步:
· 与本地时钟进行同步:即采用本地时钟作为参考时钟。
· 与网络中的其他设备进行同步:可以采用前面介绍的四种NTP工作模式中的任何一种。
如果同时配置了两种方式,设备将通过时钟优选来选择最优的时钟源。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置本地时钟作为参考时钟 |
ntp-service refclock-master [ ip-address ] [ stratum ] |
必选 |
· 实际网络中,通常将从权威时钟(如原子时钟)获得时钟同步的NTP服务器的层数设置为1,并将其作为主参考时钟源同步网络中其他设备的时钟。网络中的设备与主参考时钟源的NTP距离,即NTP同步链上NTP服务器的数目,决定了设备上时钟的层数。
· 配置本地时钟作为参考时钟后,本地设备可以作为时钟源同步网络中的其他设备。请谨慎使用本配置,以免导致网络中设备的时钟错误。
· 命令中的ip-address只能为127.127.1.u。u的取值范围为0~3,表示NTP的进程号。
如果指定了NTP报文的源接口,则设备在主动发送NTP报文时,将报文的源IP地址设置为指定接口的主IP地址。
设备对接收到的NTP请求报文进行应答时,应答报文的源IP地址始终为接收到NTP请求报文的接口的IP地址。
表1-9 配置NTP报文的源接口
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置NTP报文的源接口 |
ntp-service source-interface interface-type interface-number |
必选 缺省情况下,没有指定NTP报文的源接口,即根据路由选择NTP报文的源IP地址 |
· 如果在命令ntp-service unicast-server或ntp-service unicast-peer中指定了NTP报文的源接口,则以ntp-service unicast-server或ntp-service unicast-peer指定的为准。
· 如果在接口视图下配置了ntp-service broadcast-server或ntp-service multicast-server,则NTP广播或组播模式报文的源接口为配置了上述命令的接口。
· 如果指定的NTP源接口处于down状态,则发送的NTP报文源IP地址为该报文出接口的主IP地址。
使能NTP功能后,缺省情况下所有接口都可以接收NTP报文。可以通过本配置,禁止从某个接口接收NTP报文。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置禁止接口接收NTP报文 |
ntp-service in-interface disable |
必选 缺省情况下,允许接口接收NTP报文 |
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置允许建立的动态NTP会话数目 |
ntp-service max-dynamic-sessions number |
必选 缺省情况下,允许建立的动态NTP会话的数目为100 |
用户可以配置对本地设备NTP服务的访问控制权限。访问控制权限可以分为四种:
· query:允许控制查询权限。该权限只允许对端设备对本地设备的NTP服务进行控制查询,但是不能向本地设备同步。所谓的控制查询,就是查询NTP的一些状态,比如告警信息,验证状态,时钟源信息等。
· synchronization:只允许服务器访问权限。该权限只允许对端设备向本地设备同步,但不能进行控制查询。
· server:允许服务器访问与查询权限。该权限允许对端设备向本地设备同步和控制查询,但本地设备不会同步到对端设备。
· peer:完全访问权限。该权限既允许对端设备向本地设备同步和控制查询,同时本地设备也可以同步到对端设备。
NTP服务的访问控制权限从高到低依次为peer、server、synchronization、query。当设备接收到一个NTP服务请求时,会按照此顺序进行匹配,以第一个匹配的权限为准。
在配置对本地设备NTP服务的访问控制权限之前,需要创建并配置与访问权限关联的ACL。ACL的配置方法请参见“ACL和QoS配置指导”中的“ACL配置”。
表1-12 配置对本地设备NTP服务的访问控制权限
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置对端设备对本地设备NTP服务的访问控制权限 |
ntp-service access { peer | query | server | synchronization } acl-number |
必选 缺省情况下,对端设备对本地设备NTP服务的访问控制权限为peer |
配置对本地设备NTP服务的访问控制权限,仅提供了一种最小限度的安全措施,更安全的方法是进行身份验证。
在一些对安全性要求较高的网络中,运行NTP协议时需要启用验证功能。通过客户端和服务器端的密码验证,保证客户端只与通过验证的设备进行同步,提高了网络安全性。
配置NTP验证功能可以分为配置客户端的NTP验证和配置服务器端的NTP验证两个部分。
在配置NTP验证功能时,应注意以下原则:
· 对于所有同步模式,如果使能了NTP验证功能,应同时配置验证密钥并将密钥设为可信密钥,即如果执行了ntp-service authentication enable命令,则必须同时执行ntp-service authentication-keyid命令和ntp-service reliable authentication-keyid命令。否则,无法正常启用NTP验证功能。
· 对于客户端/服务器模式和对等体模式,还应在客户端(对等体模式中的主动对等体)将指定密钥与对应的NTP服务器(对等体模式中的被动对等体)关联;对于广播服务器模式和组播服务器模式,应在广播服务器或组播服务器上将指定密钥与对应的NTP服务器关联。否则,无法正常启用NTP验证功能。
· 对于客户端/服务器同步模式,如果客户端没有成功启用NTP验证功能,不论服务器端是否使能NTP验证,客户端均可以与服务器端同步;如果客户端上成功启用了NTP验证功能,则客户端只会同步到提供可信密钥的服务器,如果服务器提供的密钥不是可信的密钥,那么客户端不会与其同步。
· 对于所有同步模式,服务器端的配置与客户端的配置应保持一致。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能NTP身份验证功能 |
ntp-service authentication enable |
必选 缺省情况下,NTP身份验证功能处于关闭状态 |
配置NTP验证密钥 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value |
必选 缺省情况下,没有配置NTP验证密钥 |
配置指定密钥为可信密钥 |
ntp-service reliable authentication-keyid keyid |
必选 缺省情况下,没有指定可信密钥 |
将指定密钥与对应的NTP服务器关联 |
客户端/服务器模式: ntp-service unicast-server { ip-address | server-name } authentication-keyid keyid |
必选 可以将不存在的密钥与NTP服务器关联。但是若想成功启用NTP验证功能,则必须在关联密钥后,配置该密钥,并将其指定为可信密钥 |
对等体模式: ntp-service unicast-peer { ip-address | peer-name } authentication-keyid keyid |
客户端使能NTP验证功能后,必须配置与服务器端相同的验证密钥,并且必须声明该密钥是可信的,否则无法与服务器同步。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能NTP验证功能 |
ntp-service authentication enable |
必选 缺省情况下,NTP身份验证功能处于关闭状态 |
配置NTP验证密钥 |
ntp-service authentication-keyid keyid authentication-mode md5 [ cipher | simple ] value |
必选 缺省情况下,没有配置NTP验证密钥 |
配置指定密钥为可信密钥 |
ntp-service reliable authentication-keyid keyid |
必选 缺省情况下,没有指定可信密钥 |
进入接口视图 |
interface interface-type interface-number |
- |
将指定密钥与对应的NTP服务器关联 |
广播服务器模式: ntp-service broadcast-server authentication-keyid keyid |
必选 可以将不存在的密钥与NTP服务器关联。但是若想成功启用NTP验证功能,则必须在关联密钥后,配置该密钥,并将其指定为可信密钥 |
组播服务器模式: ntp-service multicast-server authentication-keyid keyid |
服务器端的NTP验证配置步骤与客户端的相同,并且两端必须配置相同的密钥。
在完成上述配置后,在任意视图下执行display命令可以显示配置后NTP的运行情况,通过查看显示信息验证配置的效果。
表1-15 NTP显示与维护
操作 |
命令 |
显示NTP服务的状态信息 |
display ntp-service status [ | { begin | exclude | include } regular-expression ] |
显示NTP服务维护的会话信息 |
display ntp-service sessions [ verbose ] [ | { begin | exclude | include } regular-expression ] |
显示从本地设备回溯到主参考时钟源的各个NTP时间服务器的简要信息 |
display ntp-service trace [ | { begin | exclude | include } regular-expression ] |
该配置举例中对于以太网接口的配置,请参见表1-16。本配置举例以WX5004为例,实际使用中请以设备实际情况为准。
硬件及型号 |
以太网接口配置前提说明 |
|
安装在交换机上的无线控制业务板 |
LSQM1WCMB0 LSQM1WCMD0 LSBM1WCM2A0 LSRM1WCM2A1 LSRM1WCM3A1 |
请直接在交换机的以太网接口上配置(无线控制业务板插在交换机的扩展插槽上) 在交换机上使用命令oap connect slot slot-number 可以登录到LSQM1WCMB0 / LSQM1WCMD0 / LSBM1WCM2A0 / LSRM1WCM2A1 / LSRM1WCM3A1无线控制业务板上 |
LSWM1WCM10 LSWM1WCM20 |
请直接在交换机的以太网接口上配置(无线控制业务板插在交换机的扩展插槽上) 在交换机上使用命令oap connect slot 1 slot-number system system-name可以登录到LSWM1WCM10 / LSWM1WCM20无线控制业务板上 |
|
有线无线一体化交换机 |
WX3024E |
在无线控制引擎上使用命令oap connect slot 0 登录到交换引擎上,在交换引擎的以太网接口上配置 |
WX3010E |
在无线控制引擎上使用命令oap connect slot 0 登录到交换引擎上,在交换引擎的以太网接口上配置 |
|
无线控制器 |
WX6103 |
在主控板上使用命令oap connect slot 0 登录到交换板上,在交换板的以太网接口上配置 |
WX5002V2 WX5004 |
直接在设备的GE口上配置 |
|
WX6100E |
请直接在WX6100E的交换板的以太网接口上配置(无线控制业务板插在控制器的扩展插槽上) 在无线控制器上使用命令oap connect slot slot-number可以登录到EWPXM2WCMD0 无线控制业务板上 |
为了实现AC的时钟与Switch的时钟同步,需要进行以下配置:
· 在Switch上设置本地时钟作为参考时钟,层数为2;
· AC工作在客户端模式,指定Switch为NTP服务器。
图1-7 配置NTP客户端/服务器模式组网图
(1) 按照图1-7配置各接口的IP地址,具体配置过程略。
(2) 配置Switch
# 设置本地时钟作为参考时钟,层数为2。
<Switch> system-view
[Switch] ntp-service refclock-master 2
(3) 配置AC
# 同步前查看AC的NTP状态。
<AC> display ntp-service status
Clock status: unsynchronized
Clock stratum: 16
Reference clock ID: none
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^17
Clock offset: 0.0000 ms
Root delay: 0.00 ms
Root dispersion: 0.00 ms
Peer dispersion: 0.00 ms
Reference time: 00:00:00.000 UTC Jan 1 1900 (00000000.00000000)
# 设置Switch为AC的NTP服务器。
<AC> system-view
[AC] ntp-service unicast-server 1.0.1.11
# 以上配置将AC向Switch进行时间同步,同步后查看AC的NTP状态。
[AC] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 1.0.1.11
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^17
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 1.05 ms
Peer dispersion: 7.81 ms
Reference time: 14:53:27.371 UTC Sep 19 2005 (C6D94F67.5EF9DB22)
此时AC已经与Switch同步,层数比AC的层数大1,为3。
# 查看AC的NTP会话信息,可以看到AC与Switch建立了连接。
[AC] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[12345] 1.0.1.11 127.127.1.0 2 63 64 3 -75.5 31.0 16.5
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
为了实现设备之间的时钟同步,需要进行以下配置:
· 在Switch上设置本地时钟作为参考时钟,层数为2;
· AC 1工作在客户端模式,指定Switch为NTP服务器;
· AC 2工作在对等体模式,将AC 1设为对等体。AC 2为主动对等体,AC 1为被动对等体。
图1-8 配置NTP对等体模式组网图
(1) 按照图1-8配置各接口的IP地址,具体配置过程略。
(2) 配置Switch
# 设置本地时钟作为参考时钟,层数为2。
<Switch> system-view
[Switch] ntp-service refclock-master 2
(3) 配置AC 1
# 设置Switch为AC 1的NTP服务器。
<AC1> system-view
[AC1] ntp-service unicast-server 3.0.1.31
(4) 配置AC 2(AC 1向Switch同步后)
# 设置本地时钟作为参考时钟,层数为1。
<AC2> system-view
[AC2] ntp-service refclock-master 1
# 本地同步后,设置AC 1为对等体。
[AC2] ntp-service unicast-peer 3.0.1.32
以上配置将AC 1和AC 2配置为对等体,AC 2处于主动对等体模式,AC 1处于被动对等体模式,由于AC 2系统时钟的层数为1,而AC 1的层数为3,所以AC 1向AC 2同步。
# 同步后查看AC 1的状态。
[AC1] display ntp-service status
Clock status: synchronized
Clock stratum: 2
Reference clock ID: 3.0.1.33
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^17
Clock offset: -21.1982 ms
Root delay: 15.00 ms
Root dispersion: 775.15 ms
Peer dispersion: 34.29 ms
Reference time: 15:22:47.083 UTC Sep 19 2005 (C6D95647.153F7CED)
此时AC 1已经与AC 2同步,层数比AC 2的层数大1,为2。
# 查看AC 1的NTP会话信息,可以看到AC 1与AC 2建立了连接。
[AC1] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[245] 3.0.1.31 127.127.1.0 2 15 64 24 10535.0 19.6 14.5
[1234] 3.0.1.33 LOCL 1 14 64 27 -77.0 16.0 14.8
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 2
AC2作为同一网段中多个设备的NTP服务器,同时同步多个设备的时钟。为了实现该需求,需要进行以下配置:
· 在AC 2上设置本地时钟作为参考时钟,层数为2;
· AC 2工作在广播服务器模式,从VLAN接口2向外发送广播报文;
· AC 1和AC 3工作在广播客户端模式,AC 1从VLAN接口3监听广播报文,AC 3从VLAN接口2监听广播报文。
图1-9 配置NTP广播模式组网图
(1) 按照图1-9配置各接口的IP地址,具体配置过程略。
(2) 配置AC 2
# 设置本地时钟作为参考时钟,层数为2。
<AC2> system-view
[AC2] ntp-service refclock-master 2
# 设置AC2为广播服务器,从VLAN接口2发送广播报文。
[AC2] interface vlan-interface 2
[AC2-Vlan-interface2] ntp-service broadcast-server
(3) 配置AC 3
# 设置AC 3为广播客户端,从VLAN接口2监听广播报文。
<AC3> system-view
[AC3] interface vlan-interface 2
[AC3-Vlan-interface2] ntp-service broadcast-client
(4) 配置AC 1
# 设置AC 1为广播客户端,从VLAN接口3监听广播报文。
<AC1> system-view
[AC1] interface vlan-interface 3
[AC1-Vlan-interface3] ntp-service broadcast-client
由于AC 1与AC 2不在相同的网段,所以接收不到AC 2发出的广播报文,而AC 3接收到AC 2发出的广播报文后与其同步。
# 同步后查看AC 3的状态。
[AC3-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 3.0.1.31
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^17
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 8.31 ms
Peer dispersion: 34.30 ms
Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
此时AC 3已经与AC 2同步,层数比AC 2的层数大1,为3。
# 查看AC 3的NTP会话信息,可以看到AC 3与AC 2建立了连接。
[AC3-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 2 254 64 62 -16.0 32.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
AC2作为不同网段中多个设备的NTP服务器,同时同步多个设备的时钟。为了实现该需求,需要进行以下配置:
· AC 2设置本地时钟作为参考时钟,层数为2;
· AC 2工作在组播服务器模式,从VLAN接口2向外发送组播报文;
· AC 1和AC 3工作在组播客户端模式,AC 1从VLAN接口3监听组播报文,AC 3从VLAN接口2监听组播报文。
图1-10 配置NTP组播模式组网图
(1) 按照图1-10配置各接口的IP地址,具体配置过程略。
(2) 配置AC 2
# 设置本地时钟作为参考时钟,层数为2。
<AC2> system-view
[AC2] ntp-service refclock-master 2
# 设置AC 2为组播服务器,从VLAN接口2发送组播报文。
[AC2] interface vlan-interface 2
[AC2-Vlan-interface2] ntp-service multicast-server
(3) 配置AC 3
# 设置AC 3为组播客户端,从VLAN接口2监听组播报文。
<AC3> system-view
[AC3] interface vlan-interface 2
[AC3-Vlan-interface2] ntp-service multicast-client
由于AC 3和AC 2在同一个网段,不需要配置组播功能,AC 3就可以收到AC 2发出的组播报文,并与其同步。
# 同步后查看AC 3的状态。
[AC3-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 3.0.1.31
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^17
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 8.31 ms
Peer dispersion: 34.30 ms
Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
此时AC 3已经与AC 2同步,层数比AC 2的层数大1,为3。
# 查看AC 3的NTP会话信息,可以看到AC 3与AC 2建立了连接。
[AC3-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 2 254 64 62 -16.0 31.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
(4) 配置Switch
由于AC 1与AC 2不在同一网段,所以Switch上需要配置组播功能,否则AC 1收不到AC 2发出的组播报文。
# 配置组播功能。
<Switch> system-view
[Switch] multicast routing-enable
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] pim dm
[Switch-Vlan-interface2] quit
[Switch] vlan 3
[Switch-vlan3] port gigabitethernet 1/0/1
[Switch-vlan3] quit
[Switch] interface vlan-interface 3
[Switch-Vlan-interface3] igmp enable
[Switch-Vlan-interface3] quit
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] igmp-snooping static-group 224.0.1.1 vlan 3
(5) 配置AC 1
<AC1> system-view
[AC1] interface vlan-interface 3
# 设置AC 1为组播客户端,从VLAN接口3监听组播报文。
[AC1-Vlan-interface3] ntp-service multicast-client
# 同步后查看AC 1的状态。
[AC1-Vlan-interface3] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 3.0.1.31
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^17
Clock offset: 0.0000 ms
Root delay: 40.00 ms
Root dispersion: 10.83 ms
Peer dispersion: 34.30 ms
Reference time: 16:02:49.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
此时AC 1已经与AC 2同步,层数比AC 2的层数大1,为3。
# 查看AC 1的NTP会话信息,可以看到AC 1与AC 2建立了连接。
[AC1-Vlan-interface3] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 2 255 64 26 -16.0 40.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
为了实现AC的时钟与Switch的时钟同步,并保证时钟同步的安全性,需要进行以下配置:
· 在Switch上设置本地时钟作为参考时钟,层数为2;
· AC工作在客户端模式,指定Switch为NTP服务器;
· Switch和AC上同时配置NTP验证。
图1-11 配置带身份验证的NTP客户端/服务器模式组网图
(1) 按照图1-11配置各接口的IP地址,具体配置过程略。
(2) 配置Switch
# 设置本地时钟作为参考时钟,层数为2。
<Switch> system-view
[Switch] ntp-service refclock-master 2
(3) 配置AC
<AC> system-view
# 在AC上启动身份验证。
[AC] ntp-service authentication enable
# 设置密钥。
[AC] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey
# 指定密钥为可信密钥。
[AC] ntp-service reliable authentication-keyid 42
# 设置Switch为AC的NTP服务器。
[AC] ntp-service unicast-server 1.0.1.11 authentication-keyid 42
以上配置将AC向Switch进行时间同步,但由于Switch没有使能NTP身份验证,所以,AC还是无法向Switch同步。
现在,向Switch增加以下配置:
# 在Switch上启动身份验证。
[Switch] ntp-service authentication enable
# 设置密钥。
[Switch] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey
# 指定密钥为可信密钥。
[Switch] ntp-service reliable authentication-keyid 42
此时,AC可以向Switch同步。
# 同步后查看AC的状态。
[AC] display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 1.0.1.11
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^17
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 1.05 ms
Peer dispersion: 7.81 ms
Reference time: 14:53:27.371 UTC Sep 19 2005 (C6D94F67.5EF9DB22)
可以看出,AC已经与Switch同步,层数比Switch的层数大1,为3。
# 查看AC的NTP会话信息,可以看到AC与Switch建立了连接。
[AC] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[12345] 1.0.1.11 127.127.1.0 2 63 64 3 -75.5 31.0 16.5
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
AC2作为同一网段中多个设备的NTP服务器,同时同步多个设备的时钟。为了实现该需求,并保证时钟同步的安全性,需要进行以下配置:
· 在AC 2上设置本地时钟作为参考时钟,层数为3;
· AC 2工作在广播服务器模式,从VLAN接口2向外发送广播报文;
· AC 3工作在广播客户端模式,从VLAN接口2监听广播报文;
· 同时在AC 2和AC 3上配置NTP验证。
图1-12 配置带身份验证的NTP广播模式组网图
(1) 按照图1-12配置各接口的IP地址,具体配置过程略。
(2) 配置AC 2
# 设置本地时钟作为参考时钟,层数为3。
<AC2> system-view
[AC2] ntp-service refclock-master 3
# 配置NTP验证。
[AC2] ntp-service authentication enable
[AC2] ntp-service authentication-keyid 88 authentication-mode md5 123456
[AC2] ntp-service reliable authentication-keyid 88
# 设置AC 2为NTP广播服务器并指定密钥编号。
[AC2] interface vlan-interface 2
[AC2-Vlan-interface2] ntp-service broadcast-server authentication-keyid 88
(3) 配置AC 3
# 配置NTP验证。
<AC3> system-view
[AC3] ntp-service authentication enable
[AC3] ntp-service authentication-keyid 88 authentication-mode md5 123456
[AC3] ntp-service reliable authentication-keyid 88
# 设置AC 3为NTP广播客户端。
[AC3] interface vlan-interface 2
[AC3-Vlan-interface2] ntp-service broadcast-client
以上配置将AC 3配置为从VLAN接口2监听广播报文,AC 2从VLAN接口2发送广播报文。AC 3接收到AC 2发出的广播报文后与其同步。
# 同步后查看AC 3的状态。
[AC3-Vlan-interface2] display ntp-service status
Clock status: synchronized
Clock stratum: 4
Reference clock ID: 3.0.1.31
Nominal frequency: 64.0000 Hz
Actual frequency: 64.0000 Hz
Clock precision: 2^7
Clock offset: 0.0000 ms
Root delay: 31.00 ms
Root dispersion: 8.31 ms
Peer dispersion: 34.30 ms
Reference time: 16:01:51.713 UTC Sep 19 2005 (C6D95F6F.B6872B02)
此时AC 3已经与AC 2同步,层数比AC 2的层数大1,为4。
# 查看AC 3的NTP会话信息,可以看到AC 3与AC 2建立了连接。
[AC3-Vlan-interface2] display ntp-service sessions
source reference stra reach poll now offset delay disper
**************************************************************************
[1234] 3.0.1.31 127.127.1.0 3 254 64 62 -16.0 32.0 16.6
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!