华为网络设备部署单播NTP组网

组网需求

如下图所示。

RouterA作为NTP单播服务器，其本地时钟作为NTP主时钟，层数为2。

RouterB作为NTP客户端，同步远端服务器RouterA的时钟。

RouterB作为局域网中的NTP服务器端，RouterC和RouterD作为NTP客户端同步RouterB的时钟。

在RouterA和RouterB上启用NTP验证。

单播NTP服务器/客户端模式组网图

配置思路

采用如下思路进行此案例的配置：

》在RouterB上启用访火墙功能并配置ACL规则允许NTP报文通过

》配置RouterA作为服务器，提供主时钟

》配置RouterB作为NTP客户端

》配置RouterC、RouterD作为NTP客户端，同步RouterB的时钟

》在RouterA和RouterB、RouterC和RouterD上配置NTP验证

说明

配置带验证的单播NTP服务器/客户端模式时：

客户端必须先使能NTP验证，然后再指定NTP服务器地址，并同时指定发给服务器的验证密钥。否则将不进行验证，直接同步。

客户端和服务器端都需要进行完整的配置，才能验证通过。

数据准备

为完成此配置，需准备如下数据：

参考时钟的IP地址

NTP主时钟的层次数

密钥编号

密码

配置步骤

步骤 1     配置各路由器的IP地址并配置路由器间路由可达

按照上图配置IP地址，配置RouterA和RouterB路由器可达；配置RouterB、RouterC和RouterD路由可达。

具体配置过程略。

步骤 2     配置RouterB上启用防火墙功能并配置ACL规则允许NTP报文通过

# 在RouterB上使能防火墙，并确定缺省过滤方式为通过。
<RouterB> system-view
[RouterB] firewall enable all
[RouterB] firewall default permit all
# 创建访问控制列表，配置规则。
[RouterB] acl number 3000
[RouterB -acl-adv-3000] rule permit udp source  2.2.2.2 0 destination 1.0.1.11 0
[RouterB -acl-adv-3000] rule deny ip
[RouterB -acl-adv-3000] quit
# 将规则3000作用于从接口GE2/0/0进入的包。
[RouterB] interface Gigabitethernet 1/0/0
[RouterB-Gigabitethernet1/0/0] firewall  packet-filter 3000 inbound
[RouterB-Gigabitethernet1/0/0] quit

步骤 3     RouterA端配置NTP主时钟并启动验证功能

# 在RouterA上指定使用自己的本地时钟作为参考时钟，层数为2。
<RouterA> system-view
[RouterA] ntp-service refclock-master 2
# 在RouterA上使能NTP验证功能、配置验证密钥并声明该密钥可信。
[RouterA] ntp-service authentication enable
[RouterA] ntp-service authentication-keyid 42  authentication-mode md5 Hello
[RouterA] ntp-service reliable authentication-keyid  42

说明

客户端不依赖于服务器是否使能验证功能，如服务器端使能验证功能，必须和客户端的验证密钥保持一致，否则会导致无法同步。

步骤 4     在RouterB服务器启动验证功能并指定NTP

# 在RouterB上使能NTP验证功能、配置验证密钥并声明该密钥可信。
<RouterB> system-view
[RouterB] ntp-service authentication enable
[RouterB] ntp-service authentication-keyid 42  authentication-mode md5 Hello
[RouterB] ntp-service reliable authentication-keyid  42
# RouterB指定RouterA为NTP服务器，并使用已配置的验证密钥。
[RouterB] ntp-service unicast-server 2.2.2.2  authentication-keyid 42

步骤 5     RouterC指定NTP服务器

# RouterC指定RouterB作为自己的NTP服务器。
<RouterC> system-view
[RouterC] ntp-service unicast-server  10.0.0.1

步骤 6     RouterD指定NTP服务器

# RouterD指定RouterB作为自己的NTP服务器。
<RouterD> system-view
[RouterD] ntp-service unicast-server  10.0.0.1

步骤 7     验证配置结果

完成上述配置后，RouterB可以同步到RouterA的时间。

查看RouterB的NTP状态，可以看到时钟状态为“synchronized”，即，已经完成同步。时钟的层数为3，比服务器RouterB低1级。

[RouterB] display ntp-service status

clock status: synchronized

clock stratum: 3

reference clock ID:2.2.2.2

nominal frequency: 60.0002 Hz

actual frequency: 60.0002 Hz

clock precision: 2^18

clock offset: 3.8128 ms

root delay: 31.26 ms

root dispersion: 74.20 ms

peer dispersion: 34.30 ms

reference time: 11:55:56.833 UTC Mar 2 2006(C7B15BCC.D5604189)

完成上述配置后，RouterC可以同步到RouterB的时间。

查看RouterC的NTP状态，可以看到时钟状态为“synchronized”，即，已经完成同步。时钟的层数为4，比服务器RouterB低1级。

[RouterC] display ntp-service status

clock status: synchronized

clock stratum: 4

reference clock ID: 10.0.0.1

nominal frequency: 60.0002 Hz

actual frequency: 60.0002 Hz

clock precision: 2^18

clock offset: 3.8128 ms

root delay: 31.26 ms

root dispersion: 74.20 ms

peer dispersion: 34.30 ms

reference time: 11:55:56.833 UTC Mar 2 2006(C7B15BCC.D5604189)

查看RouterD的NTP状态，可以看到时钟状态为“synchronized”，即，已经完成同步。时钟的层数为4，比服务器RouterB低1级。

[RouterD] display ntp-service status

clock status: synchronized

clock stratum: 4

reference clock ID: 10.0.0.1

nominal frequency: 60.0002 Hz

actual frequency: 60.0002 Hz

clock precision: 2^18

clock offset: 3.8128 ms

root delay: 31.26 ms

root dispersion: 74.20 ms

peer dispersion: 34.30 ms

reference time: 11:55:56.833 UTC Mar 2 2006(C7B15BCC.D5604189)

查看RouterA的NTP状态。

[RouterA] display ntp-service status

clock status: synchronized

clock stratum: 2

reference clock ID: LOCAL(0)

nominal frequency: 60.0002 Hz

actual frequency: 60.0002 Hz

clock precision: 2^18

clock offset: 0.0000 ms

root delay: 0.00 ms

root dispersion: 26.50 ms

peer dispersion: 10.00 ms

reference time: 12:01:48.377 UTC Mar 2 2006(C7B15D2C.60A15981)

配置文件

RouterA的配置文件

sysname RouterA
#
interface GigabitEthernet1/0/0
ip address 2.2.2.2 255.255.255.0
#
ntp-service authentication enable
ntp-service authentication-keyid 42 authentication-mode  md5 %@ENC;8HX\#Q=^Q`MAF4<1!!
ntp-service reliable authentication-keyid 42
ntp-service refclock-master 2
#
return

RouterB的配置文件

sysname RouterB
#
acl number 3000
rule 5 permit udp source 2.2.2.2 0 destination 1.0.1.11  0
rule 10 deny ip
#
interface GigabitEthernet2/0/0
firewall packet-filter 3000 inbound
#
interface GigabitEthernet1/0/0
ip address 10.0.0.1 255.255.255.0
interface GigabitEthernet2/0/0
ip address 1.0.1.11 255.255.255.0
#
ntp-service authenticationenable
ntp-service authentication-keyid 42 authentication-mode  md5 %@ENC;8HX\#Q=^Q`MAF4<1!!
ntp-service reliable authentication-keyid 42
ntp-service unicast-server 2.2.2.2 authentication-keyid  42
#
return

RouterC的配置文件

sysname RouterC
#
interface GigabitEthernet1/0/0
ip address 10.0.0.2 255.255.255.0
#
ntp-service unicast-server 10.0.0.1
#
return

RouterD的配置文件

sysname RouterD
#
interface GigabitEthernet1/0/0
ip address 10.0.0.3 255.255.255.0
#
ntp-service unicast-server 10.0.0.1
#
return