所选语种没有对应资源,请选择:
菜单
技术支持 文档中心
AR500, AR510, AR531, AR550, AR1500, AR2500 V200R009 配置指南-设备管理(命令行)

本文档针对设备的设备管理特性,从原理、配置过程和配置举例等方面对特性进行介绍。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置NTP访问控制

配置NTP访问控制

在对安全性要求较高的网络中,用户可通过NTP安全来防止恶意攻击造成时钟报文的数据更改。

前提条件

已经完成配置NTP基本功能。

配置顺序

以下任务没有顺序关系,可以根据需要选择执行下面的配置任务。

禁止指定接口接收NTP报文

背景信息

当设备存在如下场景时,可在与外部设备相连的接口执行本命令来禁止接口接收NTP报文:
  • 该接口下存在不可靠时钟服务器。在使能NTP功能后,缺省情况下所有接口都可以接收NTP报文,但是如果存在不可靠时钟源,可造成NTP时钟数据不准确。
  • 该接口受到恶意攻击导致NTP时钟数据遭到篡改。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令interface interface-type interface-number,指定接收NTP报文的接口。
  3. 执行命令ntp-service [ ipv6 ] in-interface disable,禁止接口接收NTP报文。

关闭NTP服务功能

背景信息

如果设备不需要与外部服务器或对等体的时钟进行同步,或者该设备无需向外部客户端提供参考时钟源,可以关闭NTP的服务功能。

关闭NTP服务不会删除已有配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令undo ntp-service enable,关闭设备上NTP服务功能。

    缺省情况下,NTP功能处于使能状态。

配置NTP访问控制权限

背景信息

NTP访问控制实现一种简单的安全措施。当有一个访问请求时,按照最大访问限制到最小访问限制依次匹配,以第一个匹配的为准,匹配顺序为peer、server、synchronization、query、limited。

  • peer: 远端设备可以给本地设备发送时间请求和控制查询,本地时钟也可以同步到远端服务器。

  • server: 远端设备可以给本地设备发送时间请求和控制查询,但本地时钟不会同步到远端服务器。

  • synchronization: 只允许远端设备对本地设备提出时间请求。

  • query: 只允许远端设备对本地设备进行控制查询。

  • limited: 当NTP报文速率高于上限时,丢弃入方向的NTP报文。

不同的NTP工作模式下配置访问控制权限的设备也不同,具体见表4-3所示。

表4-3  NTP访问控制权限配置

NTP工作模式

限制的NTP请求类型

进行配置的设备

单播NTP客户端/服务器模式

限制客户端同步到服务器端

客户端

单播NTP客户端/服务器模式

限制服务器端处理客户端发送的时钟同步请求

服务器端

NTP对等体模式

限制主动对等体与被动对等体进行时钟同步

主动对等体端

NTP对等体模式

限制被动对等体端处理主动对等体发送的时钟请求

被动对等体端

NTP组播模式

限制客户端同步到服务器端

NTP组播客户端

NTP广播模式

限制客户端同步到服务器端

NTP广播客户端

NTP多播客户端模式

限制客户端同步到服务器端

NTP多播客户端

NTP多播服务器模式

限制服务器端处理客户端发送的时钟同步请求

NTP多播服务器

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 配置基本ACL。

    在配置访问控制权限之前需要先配置基本ACL,具体配置步骤请参考Huawei AR系列物联网关 配置指南-安全配置》中的“ACL配置”。

  3. 执行命令ntp-service access { peer | query | server | synchronization | limited } { acl-number | ipv6 acl6-number } *,配置NTP服务的访问控制权限。

    缺省情况下,没有配置访问控制权限。

    配置NTP服务的访问控制权限前,请先检查ACL规则的配置情况。当ACL规则配置为permit时,则允许匹配该规则中指定源IP地址的对端设备在访问本地设备NTP服务时具有使用ntp-service access命令配置的访问控制权限;而ACL规则配置为deny时,则拒绝匹配该规则中指定源IP地址的对端设备访问本地设备NTP服务。

  4. 执行命令ntp-service discard { min-interval min-interval-val | avg-interval avg-interval-val } * ,配置发送NTP报文的最小时间间隔和平均时间间隔。

    缺省情况下,NTP发送报文的最小时间间隔为2的1次方秒(2秒),平均时间间隔为2的5次方秒(32秒)。

配置KOD

背景信息

KOD(Kiss-o'-Death)是NTPv4提出的一种全新的访问控制技术,主要用于服务器向客户端上提供状态报告和接入控制等信息。

在服务器上使能KOD功能后,服务器会根据系统的运行状态向客户端发送DENY Kiss和RATE Kiss码。

  • 当客户端接收到DENY Kiss码,客户端将断开与服务器的所有连接,并停止向服务器发送报文。
  • 当客户端接收到RATE Kiss码,客户端将立即缩短与该服务器的轮询时间间隔,且以后每次接收到RATE Kiss码,轮询时间间隔都会进一步缩短。

KOD支持单播客户端/服务器模式、对等体模式和多播模式。

KOD仅在NTPv4上有效。

以下配置在服务器端执行。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令ntp-service kod-enable,使能KOD功能。

    缺省情况下,没有使能KOD功能。

  3. 配置基本ACL。

    在配置访问控制权限之前需要先配置基本ACL,具体配置步骤请参考Huawei AR系列物联网关 配置指南-安全配置》中的“ACL配置”。

  4. 执行命令ntp-service access limited { acl-number | ipv6 acl6-number } *,使能对入方向NTP报文速率的控制。

    缺省情况下,没有使能对入方向NTP报文速率的控制。

    使能对入方向NTP报文速率的控制前,请先检查ACL规则的配置情况。当ACL规则为deny,此时服务器发送DENY Kiss码;当ACL规则为permit且接收到的NTP报文速率达到速率上限时,此时服务器发送RATE Kiss码。

  5. 执行命令ntp-service discard { min-interval min-interval-val | avg-interval avg-interval-val } * ,配置发送NTP报文的最小时间间隔和平均时间间隔。

    缺省情况下,NTP发送报文的最小时间间隔为2的1次方秒(2秒),平均时间间隔为2的5次方秒(32秒)。

配置NTP认证

背景信息

在一些对安全性要求较高的网络中,运行NTP协议时需要启用验证功能。通过客户端和服务器端的密码验证,可以保证客户端只与通过验证的设备进行同步,从而提高网络安全性。

在配置NTP认证功能时,应注意以下原则:

  • 必须先使能NTP认证功能,否则不会进行验证。

  • 客户端和服务器端均需要配置NTP认证功能。否则,NTP认证功能不生效。

  • 如果使能了NTP认证功能,在客户端配置一个可信的密钥。

  • 在服务器端和客户端上配置的密钥必须相同。

  • 需要进行时间同步的设备必须声明其密钥可信,否则无法通过验证。

在NTP对等体模式下,主动对等体相当于客户端,被动对等体相当于服务器端。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令ntp-service authentication enable,使能NTP认证功能。

    缺省情况下,没有配置身份认证功能。

  3. (可选)执行命令ntp-service authentication complexity-check disable,去使能NTP认证密码复杂度检查功能。

    缺省情况下,NTP认证密码复杂度检查功能处于使能状态。

    由于V200R006C10之前版本设备对NTP认证密码复杂度不做检查,当V200R006C10及之后版本设备和V200R006C10之前版本设备对接时,需要在V200R006C10及之后版本设备上执行ntp-service authentication complexity-check disable命令去使能NTP认证密码复杂度检查功能。否则当配置的NTP认证密码复杂度不符合要求时,将导致对接失败。

  4. 执行命令ntp-service authentication-keyid key-id authentication-mode { md5 | hmac-sha256 } [ cipher ] password,配置NTP认证密钥。

    缺省情况下,没有配置验证密钥。

    • 在使用中需要注意,MD5属于不安全的加密算法,建议使用HMAC-SHA256加密算法。
    • 为提高安全性,建议密码至少包含小写字母、大写字母、数字、特殊字符这四种形式中的两种,同时密码长度不小于6个字符。当密码包含空格时,需要加双引号,并且只能有这一个双引号。

  5. 执行命令ntp-service reliable authentication-keyid key-id,声明可信的密钥。

    缺省情况下,没有声明可信的密钥。

后续处理

配置完成NTP认证后,请在配置NTP工作模式时应用NTP认证密钥,即指定参数authentication-keyid

检查NTP访问控制配置结果

前提条件

已经完成NTP配置NTP访问控制的配置。

操作步骤

  • 执行display current-configuration | include ntp命令,查看NTP的配置情况。
  • 执行display ntp-service status命令,查看NTP服务的状态。
  • 执行display ntp-service sessions [ verbose ]命令,查看NTP会话的状态。
翻译
English
下载文档
更新时间:2020-09-07

文档编号:EDOC1000177770

浏览量:18044

下载量:88

平均得分:
本文档适用于这些产品

相关版本

相关文档

分享
上一页 下一页
华为企业业务APP

版权所有 © 华为技术有限公司 1998-2021。 保留一切权利。粤A2-20044005号

您正离开华为站点,前往: