部署NTP

部署NTP
配置实例
组网需求
如下图所示。

RouterA作为NTP单播服务器，其本地时钟作为NTP主时钟，层数为2。
RouterB作为NTP客户端，同步远端服务器RouterA的时钟。
RouterB作为局域网中的NTP服务器端，RouterC和RouterD作为NTP客户端同步RouterB的时钟。
在RouterA和RouterB上启用NTP验证。
单播NTP服务器/客户端模式组网图

 

配置思路
采用如下思路进行此案例的配置：

在RouterB上启用访火墙功能并配置ACL规则允许NTP报文通过
配置RouterA作为服务器，提供主时钟
配置RouterB作为NTP客户端
配置RouterC、RouterD作为NTP客户端，同步RouterB的时钟
在RouterA和RouterB、RouterC和RouterD上配置NTP验证
说明

配置带验证的单播NTP服务器/客户端模式时：

客户端必须先使能NTP验证，然后再指定NTP服务器地址，并同时指定发给服务器的验证密钥。否则将不进行验证，直接同步。

客户端和服务器端都需要进行完整的配置，才能验证通过。

数据准备
为完成此配置，需准备如下数据：

参考时钟的IP地址
NTP主时钟的层次数
密钥编号
密码
配置步骤
步骤 1     配置各路由器的IP地址并配置路由器间路由可达

按照上图配置IP地址，配置RouterA和RouterB路由器可达；配置RouterB、RouterC和RouterD路由可达。

具体配置过程略。

步骤 2     配置RouterB上启用防火墙功能并配置ACL规则允许NTP报文通过

# 在RouterB上使能防火墙，并确定缺省过滤方式为通过。

<RouterB> system-view

[RouterB] firewall enable all

[RouterB] firewall default permit all

# 创建访问控制列表，配置规则。

[RouterB] acl number 3000

[RouterB -acl-adv-3000] rule permit udp source 2.2.2.2 0 destination 1.0.1.11 0

[RouterB -acl-adv-3000] rule deny ip

[RouterB -acl-adv-3000] quit

# 将规则3000作用于从接口GE2/0/0进入的包。

[RouterB] interface Gigabitethernet 1/0/0

[RouterB-Gigabitethernet1/0/0] firewall packet-filter 3000 inbound

[RouterB-Gigabitethernet1/0/0] quit

步骤 3     RouterA端配置NTP主时钟并启动验证功能

# 在RouterA上指定使用自己的本地时钟作为参考时钟，层数为2。

<RouterA> system-view

[RouterA] ntp-service refclock-master 2

# 在RouterA上使能NTP验证功能、配置验证密钥并声明该密钥可信。

[RouterA] ntp-service authentication enable

[RouterA] ntp-service authentication-keyid 42 authentication-mode md5 Hello

[RouterA] ntp-service reliable authentication-keyid 42

说明

客户端不依赖于服务器是否使能验证功能，如服务器端使能验证功能，必须和客户端的验证密钥保持一致，否则会导致无法同步。

步骤 4     在RouterB服务器启动验证功能并指定NTP

# 在RouterB上使能NTP验证功能、配置验证密钥并声明该密钥可信。

<RouterB> system-view  

[RouterB] ntp-service authentication enable

[RouterB] ntp-service authentication-keyid 42 authentication-mode md5 Hello

[RouterB] ntp-service reliable authentication-keyid 42

# RouterB指定RouterA为NTP服务器，并使用已配置的验证密钥。

[RouterB] ntp-service unicast-server 2.2.2.2 authentication-keyid 42

步骤 5     RouterC指定NTP服务器

# RouterC指定RouterB作为自己的NTP服务器。

<RouterC> system-view

[RouterC] ntp-service unicast-server 10.0.0.1

步骤 6     RouterD指定NTP服务器

# RouterD指定RouterB作为自己的NTP服务器。

<RouterD> system-view

[RouterD] ntp-service unicast-server 10.0.0.1

步骤 7     验证配置结果

完成上述配置后，RouterB可以同步到RouterA的时间。

查看RouterB的NTP状态，可以看到时钟状态为“synchronized”，即，已经完成同步。时钟的层数为3，比服务器RouterB低1级。

[RouterB] display ntp-service status

 clock status: synchronized

 clock stratum: 3

 reference clock ID:2.2.2.2

 nominal frequency: 60.0002 Hz

 actual frequency: 60.0002 Hz

 clock precision: 2^18

 clock offset: 3.8128 ms

 root delay: 31.26 ms

 root dispersion: 74.20 ms

 peer dispersion: 34.30 ms

 reference time: 11:55:56.833 UTC Mar 2 2006(C7B15BCC.D5604189)

完成上述配置后，RouterC可以同步到RouterB的时间。

查看RouterC的NTP状态，可以看到时钟状态为“synchronized”，即，已经完成同步。时钟的层数为4，比服务器RouterB低1级。

[RouterC] display ntp-service status

 clock status: synchronized

 clock stratum: 4

 reference clock ID: 10.0.0.1

 nominal frequency: 60.0002 Hz

 actual frequency: 60.0002 Hz

 clock precision: 2^18

 clock offset: 3.8128 ms

 root delay: 31.26 ms

 root dispersion: 74.20 ms

 peer dispersion: 34.30 ms

 reference time: 11:55:56.833 UTC Mar 2 2006(C7B15BCC.D5604189)

查看RouterD的NTP状态，可以看到时钟状态为“synchronized”，即，已经完成同步。时钟的层数为4，比服务器RouterB低1级。

[RouterD] display ntp-service status

 clock status: synchronized

 clock stratum: 4

 reference clock ID: 10.0.0.1

 nominal frequency: 60.0002 Hz

 actual frequency: 60.0002 Hz

 clock precision: 2^18

 clock offset: 3.8128 ms

 root delay: 31.26 ms

 root dispersion: 74.20 ms

 peer dispersion: 34.30 ms

 reference time: 11:55:56.833 UTC Mar 2 2006(C7B15BCC.D5604189)

查看RouterA的NTP状态。

[RouterA] display ntp-service status

 clock status: synchronized

 clock stratum: 2

 reference clock ID: LOCAL(0)

 nominal frequency: 60.0002 Hz

 actual frequency: 60.0002 Hz

 clock precision: 2^18

 clock offset: 0.0000 ms

 root delay: 0.00 ms

 root dispersion: 26.50 ms

 peer dispersion: 10.00 ms

 reference time: 12:01:48.377 UTC Mar 2 2006(C7B15D2C.60A15981)

配置文件
RouterA的配置文件
#

 sysname RouterA

#

interface GigabitEthernet1/0/0

ip address 2.2.2.2 255.255.255.0

#

ntp-service authentication enable

ntp-service authentication-keyid 42 authentication-mode md5 %@ENC;8HX\#Q=^Q`MAF4<1!!

ntp-service reliable authentication-keyid 42

ntp-service refclock-master 2

#

return

RouterB的配置文件
#

 sysname RouterB

#

acl number 3000

rule 5 permit udp source 2.2.2.2 0 destination 1.0.1.11 0

rule 10 deny ip

#

interface GigabitEthernet2/0/0

firewall packet-filter 3000 inbound

#

interface GigabitEthernet1/0/0

 ip address 10.0.0.1 255.255.255.0

interface GigabitEthernet2/0/0

 ip address 1.0.1.11 255.255.255.0

#

ntp-service authenticationenable

ntp-service authentication-keyid 42 authentication-mode md5 %@ENC;8HX\#Q=^Q`MAF4<1!!

ntp-service reliable authentication-keyid 42

ntp-service unicast-server 2.2.2.2 authentication-keyid 42

#

return

RouterC的配置文件
#

 sysname RouterC

#

interface GigabitEthernet1/0/0

 ip address 10.0.0.2 255.255.255.0

#

ntp-service unicast-server 10.0.0.1

#

return

RouterD的配置文件
#

 sysname RouterD

#

interface GigabitEthernet1/0/0

 ip address 10.0.0.3 255.255.255.0

#

ntp-service unicast-server 10.0.0.1

#

return