所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-设备管理

本文档介绍了设备管理的配置,具体包括查看设备状态、 硬件管理、 堆叠配置、 SVF配置、 云管理、 PoE配置、 监控口配置、 OPS配置、 节能管理、 信息中心配置、 故障管理配置、 NTP配置、 以太时钟同步配置、 PTP配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
NTP访问控制

NTP访问控制

当同步子网中的一台时间服务器发生意外或遭到恶意攻击时,通常不应该导致子网中其它时间服务器的计时错误。因此,NTP还提供了如下安全机制:访问权限、KOD和NTP认证功能。这样就对网络的安全性提供了保障。

访问权限

设备提供一种比较简单安全措施:访问权限,即通过设置访问权限对本地时钟进行保护。

NTP的访问控制基于访问控制列表ACL(Access Control List)实现。NTP支持5个等级的访问限制,每个访问限制可指定相应的ACL规则。如果NTP访问请求命中该访问限制的ACL规则,则说明两者匹配成功,即该访问请求享有此级别的访问限制。

当1个NTP访问请求到达本地时,按照最大访问限制到最小访问限制依次匹配,以第1个匹配的为准,匹配顺序如下:
  1. peer:可以对本地时钟进行时间请求和控制查询,本地时钟也可以同步到远程服务器。

  2. server:可以对本地时钟进行时间请求和控制查询,但本地时钟不会同步到远程服务器。

  3. synchronization:只允许对本地时钟进行时间请求。

  4. query:只允许对本地时钟进行控制查询。

  5. limited:当NTP报文速率高于上限时,丢弃入方向的NTP报文。如果使能KOD功能,此时还发送Kiss码。

KOD

当单位时间内,服务器收到大量客户端访问报文导致无法负荷时,可在服务器上使能KOD(Kiss-o'-Death)功能来进行接入控制。KOD是NTPv4提出的一种全新的访问控制技术,主要用于服务器向客户端提供状态报告和接入控制等信息。

KOD报文是特殊的NTP报文,当NTP报文携带的层数(Stratum)信息为0时,该报文被称为KOD报文,此时报文中会携带代表接入控制信息的ASCII(又称Kiss码)。目前仅支持DENY和RATE两种Kiss码。

在服务器上使能KOD功能后,服务器会根据配置向客户端发送DENY或RATE Kiss码。

说明:

使能KOD功能后,还需要配置相应的ACL规则。当ACL规则为deny,此时服务器发送DENY Kiss码;当ACL规则为permit且接收到的NTP报文速率达到配置的上限时,此时服务器发送RATE Kiss码。

  • 当客户端接收到DENY Kiss码,客户端将断开与服务器的所有连接,并停止向服务器发送报文。
  • 当客户端接收到RATE Kiss码,客户端将立即缩短与该服务器的轮询时间间隔,且以后每次接收到RATE Kiss码,轮询时间间隔都会进一步缩短。

认证功能

在安全性要求较高的网络中,可以启用NTP认证功能。不同工作模式下可配置不同的密钥。

当用户在某一NTP工作模式下启用NTP认证时,系统会记录下此工作模式下相应的密钥ID。

  • 发送过程

    首先判断在此工作模式下是否需要认证。如果不需要则直接发送报文;如果需要则根据相应密钥ID和加密算法对报文进行加密,然后发送报文。

  • 接收过程

    在接收报文时,首先判断是否要对报文进行认证处理。如果不需要认证,则直接对报文进行后续处理;如果需要认证,则根据对应密钥ID和解密算法来认证。如果认证失败,则直接丢弃报文;如果认证通过,则对接收到的报文进行处理。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038438

浏览量:35087

下载量:2056

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页