华为 USG6000 NTP配置参考

小乔

配置带验证的单播NTP服务器/客户端模式

以单播NTP服务器和客户端模式为例进行配置的介绍。

组网需求

单播NTP服务器/客户端模式如图1所示。

·         NGFW_A作为NTP单播服务器，其本地时钟作为NTP主时钟，层数为2。

·         NGFW_B作为NTP客户端，同步远端服务器NGFW_A的时钟。

·         NGFW_C和NGFW_D作为NTP客户端，把NGFW_B作为自己的NTP服务器。

·         启用NTP验证。

图1 单播NTP服务器/客户端模式组网图

                               
登录/注册后可看大图

项目

数据

参考时钟的IP地址

2.2.2.2/24

NTP主时钟的层次数

2

密钥编号

42

验证方式

HMAC-SHA256

密码

Hello@123

配置思路

采用如下思路进行此案例的配置：

1.  配置NGFW_A作为服务器，提供主时钟。

2.  配置NGFW_B作为NTP客户端，同步NGFW_A的时钟。

3.  配置NGFW_C、NGFW_D作为NTP客户端，同步NGFW_B的时钟。

                               
登录/注册后可看大图

说明：

配置带验证的单播NTP服务器/客户端模式时：

o    客户端需先启用NTP验证，然后再指定NTP服务器地址，并同时指定发给服务器的验证密钥。如果不先启用验证功能，将不进行验证而直接进行同步。

o    客户端和服务器端都需要进行完整的配置，才能验证通过。

操作步骤

• 配置IP地址。
  

# 配置NGFW_A的IP地址。

<NGFW_A> system-view[NGFW_A] interface GigabitEthernet 1/0/2[NGFW_A-GigabitEthernet1/0/2] ip address 2.2.2.2 24[NGFW_A-GigabitEthernet1/0/2] quit

# 配置NGFW_B的IP地址。

<NGFW_B> system-view[NGFW_B] interface GigabitEthernet 1/0/2[NGFW_B-GigabitEthernet1/0/2] ip address 10.0.0.1 24[NGFW_B-GigabitEthernet1/0/2] quit[NGFW_B] interface GigabitEthernet 1/0/1[NGFW_B-GigabitEthernet1/0/1] ip address 10.0.1.1 24[NGFW_B-GigabitEthernet1/0/1] quit

# 配置NGFW_C的IP地址。

<NGFW_C> system-view[NGFW_C] interface GigabitEthernet 1/0/2[NGFW_C-GigabitEthernet1/0/2] ip address 10.0.0.2 24[NGFW_C-GigabitEthernet1/0/2] quit

# 配置NGFW_D的IP地址。

<NGFW_D> system-view[NGFW_D] interface GigabitEthernet 1/0/2[NGFW_D-GigabitEthernet1/0/2] ip address 10.0.0.3 24[NGFW_D-GigabitEthernet1/0/2] quit

• 将接口加入安全区域，并在域间配置安全策略，以保证网络基本通信正常，具体步骤略。
• 在NGFW_A配置NTP主时钟并启动验证功能。
  

# 在NGFW_A上指定使用自己的本地时钟作为参考时钟，层数为2。

[NGFW_A] ntp-service refclock-master 2

# 在NGFW_A上开启NTP验证功能、配置验证密钥并声明该密钥可信。

[NGFW_A] ntp-service authentication enable[NGFW_A] ntp-service authentication-keyid 42 authentication-mode hmac-sha256 Hello@123[NGFW_A] ntp-service reliable authentication-keyid 42

                               
登录/注册后可看大图

注意：

注意NTP服务器端与客户端必须配置相同的验证密钥。

• 在NGFW_B指定NTP服务器并启动验证功能。
  

# 在NGFW_B上开启NTP验证功能、配置验证密钥并声明该密钥可信。

[NGFW_B] ntp-service authentication enable[NGFW_B] ntp-service authentication-keyid 42 authentication-mode hmac-sha256 Hello@123[NGFW_B] ntp-service reliable authentication-keyid 42

# NGFW_B指定NGFW_A为NTP服务器，并使用已配置的验证密钥。

[NGFW_B] ntp-service unicast-server 2.2.2.2 authentication-keyid 42

• 在NGFW_C指定NTP服务器。
  

# NGFW_C指定NGFW_B作为自己的NTP服务器。

[NGFW_C] ntp-service authentication enable[NGFW_C] ntp-service authentication-keyid 42 authentication-mode hmac-sha256 Hello@123[NGFW_C] ntp-service reliable authentication-keyid 42[NGFW_C] ntp-service unicast-server 10.0.0.1 authentication-keyid 42

• 在NGFW_D指定NTP服务器。
  

# NGFW_D指定NGFW_B作为自己的NTP服务器。

[NGFW_D] ntp-service authentication enable[NGFW_D] ntp-service authentication-keyid 42 authentication-mode hmac-sha256 Hello@123[NGFW_D] ntp-service reliable authentication-keyid 42[NGFW_D] ntp-service unicast-server 10.0.0.1 authentication-keyid 42结果验证

·         完成上述配置后，NGFW_B可以同步到NGFW_A的时间。

查看NGFW_B的NTP状态，可以看到时钟状态为“synchronized”，即已经完成同步。时钟的层数为3，比服务器NGFW_A低1级。

[NGFW_B]  display ntp-service status clock status: synchronized clock stratum: 3 reference clock ID: 2.2.2.2 nominal frequency: 60.0002 Hz actual frequency: 60.0002 Hz clock precision: 2^13 clock offset: 3.8128 ms root delay: 31.26 ms root dispersion: 74.20 ms peer dispersion: 34.30 ms reference time: 11:55:56.833 UTC Mar 2 2009(C7B15BCC.D5604189)

·         完成上述配置后，NGFW_C可以同步到NGFW_B的时间。

查看NGFW_C的NTP状态，可以看到时钟状态为“synchronized”，即已经完成同步。时钟的层数为4，比服务器NGFW_B低1级。

[NGFW_C]  display ntp-service statusclock status: synchronized clock stratum: 4 reference clock ID: 10.0.0.1 nominal frequency: 60.0002 Hz actual frequency: 60.0002 Hz clock precision: 2^13 clock offset: 3.8128 ms root delay: 31.26 ms root dispersion: 74.20 ms peer dispersion: 34.30 ms reference time: 11:55:56.833 UTC Mar 2 2009(C7B15BCC.D5604189)

·         查看NGFW_D的NTP状态，可以看到时钟状态为“synchronized”，即已经完成同步。时钟的层数为4，比服务器NGFW_B低1级。

·         [NGFW_D]  display ntp-service status·          clock status: synchronized·          clock stratum: 4·          reference clock ID: 10.0.0.1·          nominal frequency: 60.0002 Hz·          actual frequency: 60.0002 Hz·          clock precision: 2^13·          clock offset: 3.8128 ms·          root delay: 31.26 ms·          root dispersion: 74.20 ms·          peer dispersion: 34.30 ms·          reference time: 11:55:56.833 UTC Mar 2 2009(C7B15BCC.D5604189)

·         查看NGFW_A的NTP状态。

·         [NGFW_A] display ntp-service status·         clock status: synchronized·          clock stratum: 2·          reference clock ID: LOCAL(0)·          nominal frequency: 60.0002 Hz·          actual frequency: 60.0002 Hz·          clock precision: 2^13·          clock offset: 0.0000 ms·          root delay: 0.00 ms·          root dispersion: 26.50 ms·          peer dispersion: 10.00 ms·          reference time: 12:01:48.377 UTC Mar 2 2009(C7B15D2C.60A15981)

Rockyw

感谢楼主分享！

ozphero

太精彩了，赞

ozphero

太精彩了，赞

阳_仔

感谢分享

wang88520

ddddddddddd