部署NTP
配置实例
组网需求
如下图所示。
RouterA作为NTP单播服务器,其本地时钟作为NTP主时钟,层数为2。
RouterB作为NTP客户端,同步远端服务器RouterA的时钟。
RouterB作为局域网中的NTP服务器端,RouterC和RouterD作为NTP客户端同步RouterB的时钟。
在RouterA和RouterB上启用NTP验证。
单播NTP服务器/客户端模式组网图
配置思路
采用如下思路进行此案例的配置:
在RouterB上启用访火墙功能并配置ACL规则允许NTP报文通过
配置RouterA作为服务器,提供主时钟
配置RouterB作为NTP客户端
配置RouterC、RouterD作为NTP客户端,同步RouterB的时钟
在RouterA和RouterB、RouterC和RouterD上配置NTP验证
说明
配置带验证的单播NTP服务器/客户端模式时:
客户端必须先使能NTP验证,然后再指定NTP服务器地址,并同时指定发给服务器的验证密钥。否则将不进行验证,直接同步。
客户端和服务器端都需要进行完整的配置,才能验证通过。
数据准备
为完成此配置,需准备如下数据:
参考时钟的IP地址
NTP主时钟的层次数
密钥编号
密码
配置步骤
步骤 1 配置各路由器的IP地址并配置路由器间路由可达
按照上图配置IP地址,配置RouterA和RouterB路由器可达;配置RouterB、RouterC和RouterD路由可达。
具体配置过程略。
步骤 2 配置RouterB上启用防火墙功能并配置ACL规则允许NTP报文通过
# 在RouterB上使能防火墙,并确定缺省过滤方式为通过。
<RouterB> system-view
[RouterB] firewall enable all
[RouterB] firewall default permit all
# 创建访问控制列表,配置规则。
[RouterB] acl number 3000
[RouterB -acl-adv-3000] rule permit udp source 2.2.2.2 0 destination 1.0.1.11 0
[RouterB -acl-adv-3000] rule deny ip
[RouterB -acl-adv-3000] quit
# 将规则3000作用于从接口GE2/0/0进入的包。
[RouterB] interface Gigabitethernet 1/0/0
[RouterB-Gigabitethernet1/0/0] firewall packet-filter 3000 inbound
[RouterB-Gigabitethernet1/0/0] quit
步骤 3 RouterA端配置NTP主时钟并启动验证功能
# 在RouterA上指定使用自己的本地时钟作为参考时钟,层数为2。
<RouterA> system-view
[RouterA] ntp-service refclock-master 2
# 在RouterA上使能NTP验证功能、配置验证密钥并声明该密钥可信。
[RouterA] ntp-service authentication enable
[RouterA] ntp-service authentication-keyid 42 authentication-mode md5 Hello
[RouterA] ntp-service reliable authentication-keyid 42
说明
客户端不依赖于服务器是否使能验证功能,如服务器端使能验证功能,必须和客户端的验证密钥保持一致,否则会导致无法同步。
步骤 4 在RouterB服务器启动验证功能并指定NTP
# 在RouterB上使能NTP验证功能、配置验证密钥并声明该密钥可信。
<RouterB> system-view
[RouterB] ntp-service authentication enable
[RouterB] ntp-service authentication-keyid 42 authentication-mode md5 Hello
[RouterB] ntp-service reliable authentication-keyid 42
# RouterB指定RouterA为NTP服务器,并使用已配置的验证密钥。
[RouterB] ntp-service unicast-server 2.2.2.2 authentication-keyid 42
步骤 5 RouterC指定NTP服务器
# RouterC指定RouterB作为自己的NTP服务器。
<RouterC> system-view
[RouterC] ntp-service unicast-server 10.0.0.1
步骤 6 RouterD指定NTP服务器
# RouterD指定RouterB作为自己的NTP服务器。
<RouterD> system-view
[RouterD] ntp-service unicast-server 10.0.0.1
步骤 7 验证配置结果
完成上述配置后,RouterB可以同步到RouterA的时间。
查看RouterB的NTP状态,可以看到时钟状态为“synchronized”,即,已经完成同步。时钟的层数为3,比服务器RouterB低1级。
[RouterB] display ntp-service status
clock status: synchronized
clock stratum: 3
reference clock ID:2.2.2.2
nominal frequency: 60.0002 Hz
actual frequency: 60.0002 Hz
clock precision: 2^18
clock offset: 3.8128 ms
root delay: 31.26 ms
root dispersion: 74.20 ms
peer dispersion: 34.30 ms
reference time: 11:55:56.833 UTC Mar 2 2006(C7B15BCC.D5604189)
完成上述配置后,RouterC可以同步到RouterB的时间。
查看RouterC的NTP状态,可以看到时钟状态为“synchronized”,即,已经完成同步。时钟的层数为4,比服务器RouterB低1级。
[RouterC] display ntp-service status
clock status: synchronized
clock stratum: 4
reference clock ID: 10.0.0.1
nominal frequency: 60.0002 Hz
actual frequency: 60.0002 Hz
clock precision: 2^18
clock offset: 3.8128 ms
root delay: 31.26 ms
root dispersion: 74.20 ms
peer dispersion: 34.30 ms
reference time: 11:55:56.833 UTC Mar 2 2006(C7B15BCC.D5604189)
查看RouterD的NTP状态,可以看到时钟状态为“synchronized”,即,已经完成同步。时钟的层数为4,比服务器RouterB低1级。
[RouterD] display ntp-service status
clock status: synchronized
clock stratum: 4
reference clock ID: 10.0.0.1
nominal frequency: 60.0002 Hz
actual frequency: 60.0002 Hz
clock precision: 2^18
clock offset: 3.8128 ms
root delay: 31.26 ms
root dispersion: 74.20 ms
peer dispersion: 34.30 ms
reference time: 11:55:56.833 UTC Mar 2 2006(C7B15BCC.D5604189)
查看RouterA的NTP状态。
[RouterA] display ntp-service status
clock status: synchronized
clock stratum: 2
reference clock ID: LOCAL(0)
nominal frequency: 60.0002 Hz
actual frequency: 60.0002 Hz
clock precision: 2^18
clock offset: 0.0000 ms
root delay: 0.00 ms
root dispersion: 26.50 ms
peer dispersion: 10.00 ms
reference time: 12:01:48.377 UTC Mar 2 2006(C7B15D2C.60A15981)
配置文件
RouterA的配置文件
#
sysname RouterA
#
interface GigabitEthernet1/0/0
ip address 2.2.2.2 255.255.255.0
#
ntp-service authentication enable
ntp-service authentication-keyid 42 authentication-mode md5 %@ENC;8HX\#Q=^Q`MAF4<1!!
ntp-service reliable authentication-keyid 42
ntp-service refclock-master 2
#
return
RouterB的配置文件
#
sysname RouterB
#
acl number 3000
rule 5 permit udp source 2.2.2.2 0 destination 1.0.1.11 0
rule 10 deny ip
#
interface GigabitEthernet2/0/0
firewall packet-filter 3000 inbound
#
interface GigabitEthernet1/0/0
ip address 10.0.0.1 255.255.255.0
interface GigabitEthernet2/0/0
ip address 1.0.1.11 255.255.255.0
#
ntp-service authenticationenable
ntp-service authentication-keyid 42 authentication-mode md5 %@ENC;8HX\#Q=^Q`MAF4<1!!
ntp-service reliable authentication-keyid 42
ntp-service unicast-server 2.2.2.2 authentication-keyid 42
#
return
RouterC的配置文件
#
sysname RouterC
#
interface GigabitEthernet1/0/0
ip address 10.0.0.2 255.255.255.0
#
ntp-service unicast-server 10.0.0.1
#
return
RouterD的配置文件
#
sysname RouterD
#
interface GigabitEthernet1/0/0
ip address 10.0.0.3 255.255.255.0
#
ntp-service unicast-server 10.0.0.1
#
return
|
|
||
|
|
||
|
|
7月26 |
H3CNE认证 |
热报中 |
8月16 |
H3C-IMC认证 |
热报中 |
7月26 |
H3CNE认证 |
热报中 |
7月26 |
H3CIE+认证 |
热报中 |
8月16 |
H3C-IMC认证 |
热报中 |
7月26 |
H3CNE培训 |
热报中 |
7月26 |
H3CSE认证 |
热报中 |
8月16 |
H3C无线 |
热报中 |
7月26 |
H3CSE培训 |
热报中 |
8月16 |
H3CIMC培训 |
热报中 |
8月16 |
H3C无线培训 |
热报中 |
8月31 |
H3CEAD培训 |
热报中 |
8月16 |
H3CPME认证 |
热报中 |
8月16 |
H3C安全认证 |
热报中 |
8月16 |
H3CIMC培训 |
热报中 |
8月16 |
H3C无线培训 |
热报中 |
8月09 |
H3CEAD培训 |
热报中 |
8月16 |
H3CPME认证 |
热报中 |
8月16 |
H3C安全认证 |
热报中 |
8月16 |
H3CIMC培训 |
热报中 |
8月09 |
H3C无线培训 |
热报中 |
8月09 |
H3CEAD培训 |
热报中 |
8月09 |
H3CPME认证 |
热报中 |
8月09 |
H3C安全认证 |
热报中 |