华为网络设备部署广播模式的NTP

应用环境

在局域网中，路由器之间共处一个网段内，其中的一台路由设置为广播服务器，其他的路由器，无需知道广播服务器的地址，只需配置为客户端，就可以接收到广播服务器端发送来的报文，并同步本路由器的时钟，从而实现整个网络中的时钟同步。同时，在广播域之外的路由器，由于无法接收到广播服务器的报文，也有效的提高局域网络的安全性。

配置思路

部署NTP广播模式采用如下的配置思路：

1.         配置其中的一台路由器作为主时钟服务器。

2.         配置步骤1中路由器为NTP广播服务器，并启用验证模式。

3.         配置其他的路由器作为客户端，并启用验证模式。

4.         配置局域网络外的一台路由器作为客户端，验证广播模式的有效性。（可选）

配置注意事项

广播服务器和客户端都要使能验证模式，配置相同的密钥和密钥ID，并且都需要声明密钥可信。

组网需求

如下图所示。

RouterC和RouterD在同一个网段，RouterA在另一个网段。RouterF连接这两个网段。

RouterC作为NTP广播服务器，使用本地时钟作为NTP主时钟，层数为3，从接口GE1/0/0向外发送广播消息包。

RouterD和RouterA分别从各自的接口GE1/0/0监听广播消息。

启用NTP验证。

配置思路

采用如下思路进行此案例的配置：

配置RouterC为NTP广播服务器

配置RouterA和RouterD为NTP广播客户端

在RouterA、RouterC和RouterD上配置NTP验证

数据准备

为完成此配置例，需准备如下数据：

各路由器的接口IP地址

NTP主时钟的层次数

验证密钥和密钥ID

配置步骤

步骤 1     配置各路由器的IP地址

按上图配置各接口的IP地址。具体过程略。

步骤 2     配置NTP广播服务器，并启用验证

# 配置RouterC使用本地时钟作为NTP主时钟，层数为3。
<RouterC> system-view
[RouterC] ntp-service refclock-master 3
# 启用NTP验证。
[RouterC] ntp-service authentication enable
[RouterC] ntp-service authentication-keyid 16  authentication-mode md5 Hello
[RouterC] ntp-service reliable authentication-keyid  16
# 配置RouterC为NTP广播服务器，从接口GE1/0/0发送NTP广播消息包，并指定使用密钥ID 16加密。
[RouterC] interface gigabitethernet 1/0/0
[RouterC-GigabitEthernet1/0/0] ntp-service  broadcast-server authentication-keyid 16
[RouterC-GigabitEthernet1/0/0] quit

步骤 3     配置与服务器在同一网段的NTP广播客户端RouterD

# 启用NTP验证。
<RouterD> system-view
[RouterD] ntp-service authentication enable
[RouterD] ntp-service authentication-keyid 16  authentication-mode md5 Hello
[RouterD] ntp-service reliable authentication-keyid  16
# 配置RouterD为NTP广播客户端，从接口GE1/0/0侦听NTP广播消息包。
[RouterD] interface gigabitethernet 1/0/0
[RouterD-GigabitEthernet1/0/0] ntp-service  broadcast-client
[RouterD-GigabitEthernet1/0/0] quit

配置完成后，RouterD的时钟同步到RouterC。

步骤 4     配置与服务器在不同网段的NTP广播客户端RouterA（可选）

# 启用NTP验证。
[RouterA] ntp-service authentication enable
[RouterA] ntp-service authentication-keyid 16  authentication-mode md5 Hello
[RouterA] ntp-service reliable authentication-keyid  16
# 配置RouterA为NTP广播客户端，从接口GE1/0/0侦听NTP广播消息包。
[RouterA] interface gigabitethernet 1/0/0
[RouterA-GigabitEthernet1/0/0] ntp-service  broadcast-client
[RouterA-GigabitEthernet1/0/0] quit

步骤 5     验证配置结果

完成以上配置后，RouterD能够同步到RouterC，而RouterA不能同步到RouterC。

这是因为RouterA和RouterC不在同一个网段，收不到RouterC发出的广播包；而RouterD和RouterC在同一个网段，能够收到RouterC发出的广播包。

查看RouterD的NTP状态，可以看到时钟状态为“synchronized”，即，已经完成同步。时钟的层数为4，比服务器RouterC低1级。

[RouterD] display ntp-service status

clock status: synchronized

clock stratum: 4

reference clock ID: 3.0.1.31

nominal frequency: 60.0002 Hz

actual frequency: 60.0002 Hz

clock precision: 2^18

clock offset: 0.0000 ms

root delay: 0.00 ms

root dispersion: 0.42 ms

peer dispersion: 0.00 ms

reference time: 12:17:21.773 UTC Mar 7 2006(C7B7F851.C5EAF25B)

配置文件

RouterA的配置文件

sysname RouterA
#
interface GigabitEthernet1/0/0
ip address 1.0.1.11 255.255.255.0
ntp-service broadcast-client
#
ntp-service authentication enable
ntp-service authentication-keyid 16  authentication-mode md5 %@ENC;8HX\#Q=^Q`MAF4<1!!
ntp-service reliable authentication-keyid 16
#
return

RouterC的配置文件

sysname RouterC
#
interface GigabitEthernet1/0/0
ip address 3.0.1.31 255.255.255.0
ntp-service broadcast-server authentication-keyid  16
#
ntp-service authentication enable
ntp-service authentication-keyid 16  authentication-mode md5 %@ENC;8HX\#Q=^Q`MAF4<1!!
ntp-service reliable authentication-keyid 16
ntp-service refclock-master 3
#
return

RouterD的配置文件

sysname RouterD
#
interface GigabitEthernet1/0/0
ip address 3.0.1.32 255.255.255.0
ntp-service broadcast-client
#
ntp-service authentication enable
ntp-service authentication-keyid 16  authentication-mode md5 %@ENC;8HX\#Q=^Q`MAF4<1!!
ntp-service reliable authentication-keyid 16
#
return