所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
NTP配置命令

NTP配置命令

命令支持情况

交换机连接ACU2单板的XGE接口不支持NTP功能。

交换机连接ET1D2IPS0S00、ET1D2FW00S00、ET1D2FW00S01、ET1D2FW00S02单板的XGE接口不支持NTP功能。

display ntp-service event clock-unsync

命令功能

display ntp-service event clock-unsync命令用来查看时钟不同步的原因。

命令格式

display ntp-service event clock-unsync

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

使用display ntp-service event clock-unsync命令用来查看最新的10条时钟不同步的原因,便于用户了解。

使用实例

# 查看最新的10条时钟不同步。

<HUAWEI> display ntp-service event clock-unsync
 1. Clock source   :  10.1.1.1(vrf1)
    Session type   :  client, configured
    Unsync reason  :  Peer reachability lost
    Unsync time    :  2012-07-30 12:24:44+00:00

 2. Clock source   :  10.2.1.1(vrf2)
    Session type   :  bdcast client (Interface: GE1/0/1), dynamic
    Unsync reason  :  Authentication failure 
    Unsync time    :  2011-06-15 11:24:44+00:0

表3-191  display ntp-service event clock-unsync命令输出信息描述

项目

描述

Clock source 显示服务器时钟的IP地址。
Session type 显示服务器时钟的会话类型。
Unsync reason 显示时钟不同步的原因。
Unsync time 显示时钟不同步时间。

display ntp-service sessions

命令功能

display ntp-service sessions命令用来查看本地NTP维护的所有会话信息。

命令格式

display ntp-service sessions [ verbose ]

参数说明

参数 参数说明 取值
verbose

显示NTP会话的详细信息。

如果没有指定verbose只会显示NTP会话摘要信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

在监控NTP会话或检查NTP会话的故障原因时,可执行display ntp-service sessions获取NTP会话的状态信息。用户可以根据这些信息查看NTP会话及分析故障原因等。

注意事项

  • 若不指定verbose参数,则将显示NTP会话的简要信息。

  • 若指定verbose参数,则将显示NTP会话的详细信息。

使用实例

# 查看本地设备的NTP会话信息。

<HUAWEI> display ntp-service sessions
 clock source: 224.0.1.1                                                         
 clock stratum: 1                                                              
 clock status: configured, insane, valid, unsynced                              
 reference clock ID: LOCAL(0)                                                    
 reach: 0                                                                       
 current poll: 64                                                               
 now: 9                                                                         
 offset: 0.0000 ms                                   
 delay: 0.00 ms                                                  
 disper: 0.00 ms 
表3-192  display ntp-service sessions命令输出信息描述

项目

描述

clock source

时钟源地址。

clock stratum

时钟源的层数。

时钟层数决定了时钟的准确度,取值范围为1~16,层数为1的时钟准确度最高,准确度从1到16依次递减,层数为16的时钟处于未同步状态,不能作为参考时钟。

clock status

指定时钟状态。其中:
  • configured:表示该会话是配置命令所建立的
  • master:表示该会话对应的时钟源是当前系统的主时钟源
  • selected:表示该会话对应的时钟源通过了时钟选择算法
  • candidate:表示该会话对应的时钟源为候选时钟源
  • sane:表示该会话对应的时钟源通过健全验证
  • insane:表示该会话对应的时钟源未通过健全验证
  • valid:表示该会话对应的时钟源是有效的(通过验证、处于同步状态、层数有效、根延时/离差未越界等)
  • invalid:表示该会话对应的时钟源是无效的
  • unsynced:表示该会话对应的时钟源未同步或层数非法

reference clock ID

当本地系统已被同步到一个远程NTP服务器或某个时钟源时,指示远程服务器的地址或时钟源的标识。

reach

时钟源的可达性计数,0表示时钟源不可达。

current poll

NTP报文轮询间隔,即两个连续NTP报文之间的时间间隔,单位为秒。

可以通过命令ntp-service discard min-interval 进行配置。

now

最后一次同步到现在的时间间隔。

offset

表示相对上一级时钟源的时差。

delay

表示相对上一级时钟源的延时。

disper

表示相对于上一级时钟源的离差。

# 查看本地设备NTP会话的详细信息。

<HUAWEI> display ntp-service sessions verbose
 clock source: 172.16.12.1                                                        
 clock stratum: 1                                                              
 clock status: configured, insane, valid, unsynced                              
 reference clock ID: LOCAL(0)                                                    
 local mode: client, local poll: 64, current poll: 64                            
 peer mode: server, peer poll: 64, now: 21                                               
 offset: -3.2385 ms,delay: 26.97 ms,  disper: 14.85 ms                             
 root delay: 0.00 ms, root disper: 10.94 ms                                     
 reach: 255, sync dist: 0.058, sync state: 4                                   
 precision: 2^18, version: 3, peer interface: wildcard                          
 reftime: 10:01:38.546 UTC Sep 5 2005(C6C69602.8C00DA1A)                        
 orgtime: 10:01:43.463 UTC Sep 5 2005(C6C69607.76ACC921)                        
 rcvtime: 10:01:43.480 UTC Sep 5 2005(C6C69607.7AF4ADBC)                        
 xmttime: 10:01:43.452 UTC Sep 5 2005(C6C69607.73F1E8E6)                       
 filter delay :  0.03   0.02   0.03   0.02   0.02   0.02   0.04   0.02          
 filter offset:  0.00  -0.01   0.00   0.01   0.00   0.00   0.00   0.00          
 filter disper:  0.03   0.02   0.00   0.11   0.09   0.08   0.06   0.05
 reference clock status: normal
表3-193  display ntp-service sessions verbose命令输出信息描述

项目

描述

clock source

时钟源地址。

clock stratum

本地系统所处的NTP层数。

clock status

指定时钟状态。其中:
  • configured:表示该会话是配置命令所建立的
  • master:表示该会话对应的时钟源是当前系统的主时钟源
  • selected:表示该会话对应的时钟源通过了时钟选择算法
  • candidate:表示该会话对应的时钟源为候选时钟源
  • sane:表示该会话对应的时钟源通过健全验证
  • insane:表示该会话对应的时钟源未通过健全验证
  • valid:表示该会话对应的时钟源是有效的(通过验证、处于同步状态、层数有效、根延时/离差未越界等)
  • invalid:表示该会话对应的时钟源是无效的
  • unsynced:表示该会话对应的时钟源未同步或层数非法

reference clock ID

当本地系统已被同步到一个远程NTP服务器或某个时钟源时,指示远程服务器的地址或时钟源的标识。当该服务器处于某一VPN内时,将显示该VPN实例的名称。

local mode

本地系统模式。

peer mode

对端系统模式。

local poll

本地选举模式。

peer poll

对端选举模式。

offset

表示相对上一级时钟源的时差。

delay

表示相对上一级时钟源的延时。

disper

表示相对于上一级时钟源的离差。

root delay

本地到主参考时钟总的系统延迟。缺省值是0。

root disper

本地相对主参考时钟的系统离差。缺省值是0。

reach

可达性标记。表明了相对于时钟源的可达性。

sync dist

表示相对上一级时钟源的同步距离,此参数评价描述时钟源,NTP选择同步距离最小的时钟源。

sync state

同步的状态:
  • 0:时钟没有被更新过

  • 1:从配置信息中得到频率信息

  • 2:时钟被设定

  • 3:时钟被设定,但是还没有决定频率

  • 4:时钟被同步

  • 5:发现错误

precision

对端时钟精度。

version

NTP版本。

peer interface

对端接口。

reftime

参考时间戳。

orgtime

最后发送NTP报文时间。

rcvtime

最后收到NTP报文时间。

xmttime

最后转发NTP报文时间。

filter delay

最后接收的8个报文的过滤延迟。

filter offset

最后接收的8个报文的过滤偏差。

filter disper

最后接收的8个报文的过滤误差。

reference clock status
表示参考时钟的状态,包括:
  • normal: 表示对端时钟可达。
  • abnormal: 表示对端时钟不可达。

display ntp-service statistics packet

命令功能

display ntp-service statistics packet命令用来查看NTP报文的统计信息。

命令格式

display ntp-service statistics packet [ ipv6 | peer [ ip-address [ vpn-instance vpn-instance-name ] | ipv6 [ ipv6-address [ vpn-instance vpn-instance-name ] ] ] ]

参数说明

参数 参数说明 取值
ipv6 查看全局IPv6的NTP包统计信息。 -
peer

指定显示与NTP对等体相关的统计信息。

-
ip-address

指定NTP对等体的IP地址。

-
vpn-instance vpn-instance-name

指定与NTP对等体相关的VPN实例。

必须是已存在的VPN实例名称。
ipv6 查看IPv6对等体的NTP包统计信息。 -
ipv6-address 查看指定IPv6地址的对等体的NTP包统计信息。 -

视图

所有视图

缺省级别

1:监控级

使用指南

display ntp-service statistics packet命令的显示信息包括如下信息,可协助用户对NTP报文进行调试。

  • 接口发送和接收的包的数目
  • 认证失败包的数目
  • 丢包数
  • 上次丢弃NTP报文的原因

使用实例

# 查看NTP报文的统计信息。

<HUAWEI> display ntp-service statistics packet
 NTP IPv4 Packet Statistical Information     
 ---------------------------------------     
 Sent                                  : 100   
    Send failures                      : 10   
 Received                              : 1000   
    Processed                          : 800   
    Dropped                            : 200   
       Validity test failures          : 50   
          Authentication failures      : 20   
       Invalid packets                 : 50   
       Access denied                   : 50   
       Rate-limited                    : 0   
       Processing delay                : 50   
       Interface disabled              : 0   
       Max dynamic association reached : 0   
       Server disabled                 : 0   
       Others                          : 0   
Last 2 packets drop reasons:
  [2011-11-24 12:19:26-08:00] Global drop: NTP service disabled for interface.
  [2011-11-24 12:20:30-08:00] Global drop: NTP service disabled for interface.
表3-194  display ntp-service statistics packet命令输出信息描述

项目

描述

NTP IPv4 Packet Statistical Information 表示IPv4 NTP包的统计信息。
Sent 表示发送的包的数目。
Send failures 表示发送包的失败次数。
Received 表示接收到的包的数目。
Processed 表示处理的包的数目。
Dropped 表示丢弃的包的数目。
Validity test failures 表示由于NTP合法性检验不通过而丢弃的包的数目。
Authentication failures 表示由于认证失败而丢弃的包的数目。
Invalid packets 表示由于包无效而丢弃的包的数目。
Access denied 表示由于访问控制权限拒绝接入而丢弃的包的数目。
Rate-limited 表示由于速度限制而丢弃的包的数目。
Processing delay 表示由于处理延迟而丢弃的包的数目。
Interface disabled 表示由于接口失效而丢弃的包的数目。
Max dynamic association reached 表示由于超过动态连接的最大数目而丢弃的包的数目。
Server disabled 表示由于服务器去使能而丢弃的包的数目。
Others 表示由于其它原因而丢弃的包的数目。
Last 2 packets drop reasons 表示最近n次丢包的原因,n最大取10。

display ntp-service status

命令功能

display ntp-service status命令用来查看NTP的状态信息。

命令格式

display ntp-service status

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

在监控NTP服务状态或定位故障原因时,可以执行display ntp-service status命令获取NTP服务的状态信息,如本设备的时钟同步状态、时钟层次等信息。用户可以根据这些信息查看NTP服务状态并进行故障原因分析等。

使用实例

# 查看NTP运行状态信息。

<HUAWEI> display ntp-service status
clock status: synchronized
clock stratum: 2
reference clock ID: LOCAL(0)
nominal frequency: 60.0002 Hz
actual frequency: 60.0002 Hz
clock precision: 2^18
clock offset: 0.0000 ms
root delay: 0.00 ms
root dispersion: 0.00 ms
peer dispersion: 10.00 ms
reference time: 15:51:36.259 UTC Apr 25 2012(C6179088.426490A3)
synchronization state: spike (clock will be set in 1010 secs)
表3-195  display ntp-service status命令输出信息描述

项目

描述

clock status

表示时钟状态:
  • synchronized: 表示本地时钟已经和某个NTP服务器或时钟源同步。

  • unsynchronized: 表示本地时钟没有与任何NTP服务器同步。

clock stratum

表示时钟源的时钟层数,取值范围为:1~15。层数越低,表示时钟准确度越高。当本端同步会话时,时钟源的时钟层数加1,即NTP所在层数的值等于会话层数+1。

reference clock ID

表示时钟源的参考时钟ID:
  • 当本地时钟已被同步到某个远程NTP服务器时,指示远程服务器的地址标识。

  • 当本地时钟已被同步到某个参考时钟源时,指示参考时钟源标识。

  • 如果采用本地时钟作为参考时钟,将显示"Local"。

nominal frequency

表示本地时钟的标称频率,单位为赫兹。

actual frequency

表示本地时钟的实际频率,单位为赫兹。

clock precision

表示本地时钟的精度。

clock offset

表示本地时钟与NTP服务器之间的偏差,单位为毫秒。

root delay

表示本地时钟与主参考时钟的延迟,单位为毫秒。

root dispersion

表示本地时钟与主参考时钟的误差,单位为毫秒。

peer dispersion

表示本地时钟与NTP对端时钟之间的离差,单位为毫秒。

reference time

表示最近一次设置或校正系统时钟时的时间。

synchronization state

表示本地时钟的同步状态:
  • clock not set: 表示时钟未更新。
  • frequency set by configuration: 表示时钟频率由NTP配置而设定。
  • clock set: 表示时钟已设定。
  • clock set but frequency not determined: 表示时钟已设定,但时钟频率没有确定。
  • clock synchronized: 表示时钟已同步。
  • spike (clock will be set in XXX secs): 表示系统检测到时钟服务器与客户端之间的时间差超过128毫秒,且时钟会在XXX秒内重新生效。

display ntp-service trace

命令功能

display ntp-service trace命令用来查看从本地设备到参考时钟源的路径。

命令格式

display ntp-service trace

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

执行display ntp-service trace命令,可以看到从本地设备起,沿着时间同步NTP服务器链路,一直回溯到参考时钟源的各NTP服务器简要信息。

说明:

display ntp-service trace命令不支持IPv6时钟源。

使用实例

# 查看从本地设备回溯到参考时钟源的各个NTP服务器的简要信息。

<HUAWEI> display ntp-service trace
server 127.0.0.1,stratum 5, offset 0.024099 s, synch distance 0.06337
server 192.168.1.2,stratum 4, offset 0.028786 s, synch distance 0.04575
server 192.168.2.2,stratum 3, offset 0.035199 s, synch distance 0.03075
server 192.168.10.1,stratum 2, offset 0.039855 s, synch distance 0.01096
refid 127.127.1.0
表3-196  display ntp-service trace命令输出信息描述

项目

描述

server

NTP服务器的IP地址。

stratum

该NTP服务器的层数。

offset

相对上一级时钟源的时差。

synch distance

相对上一级时钟源的同步距离,此参数评价描述时钟源,NTP选择同步距离最小的时钟源。

refid

参考时钟源。

ntp-service

命令功能

ntp-service命令用来配置最大系统轮询时间、时钟服务器与客户端之间的时间差和客户端时钟同步的最大时间间隔。

undo ntp-service命令用来恢复为缺省值。

缺省情况下,最大系统轮询时间是217秒,时钟服务器与客户端之间的时间差是128毫秒,客户端时钟同步的最大时间间隔为600秒。

命令格式

ntp-service { max-sys-poll max-sys-poll-value | spike-offset spike-offset-value | sync-interval interval } *

undo ntp-service { max-sys-poll | spike-offset | sync-interval } *

参数说明

参数 参数说明 取值
max-sys-poll max-sys-poll-value 指定最大系统轮询速率。 整数形式,取值范围是6~17。
spike-offset spike-offset-value 指定时钟服务器与客户端之间的时间差。 整数形式,单位是毫秒,取值范围是32~128。
sync-interval interval 指定时钟同步的最大时间间隔。 整数形式,单位是秒。取值范围是180~600。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

NTP轮询时间间隔以2的幂指数形式表示。例如,执行命令ntp-service max-sys-poll 6,表示系统每64秒轮询一次,即每64秒检测一次服务器端的时钟变更。

执行ntp-service spike-offset命令用于减小时钟服务器与客户端之间的时间差。当服务器时间偏移量大于配置的时间差时,NTP会等到同步时间间隔再去设置系统时钟。

当服务器的时钟发生变化时,客户端的时钟需要与服务器的时钟进行同步。如果服务器的时钟不稳定,可以在客户端执行ntp-service sync-interval命令适当减小时间间隔。

ntp-service max-distance命令主要应用于NTP客户端。在客户端,NTP会计算到各个NTP服务器的同步距离并且会和使用ntp-service max-distance命令配置的距离阈值相比较,如果同步距离超过了配置的阈值,客户端将不会同步该服务器的时钟。

注意事项

NTP轮询时间间隔是以2的整数幂进行计算,因此客户端同步的时间间隔是配置的最接近2的整数幂的值。例如,如果用户配置的时间间隔是180秒,客户端将会在128秒后的任意时间内同步。

ntp-service命令为覆盖式命令,即最新一次配置会覆盖原来的配置。

使用实例

# 配置时钟同步的最大时间间隔为200秒。

<HUAWEI> system-view
[HUAWEI] ntp-service sync-interval 200

ntp-service access

命令功能

ntp-service access命令用来设置本地设备NTP的访问控制权限。

undo ntp-service access命令用来取消设置的访问控制权限。

缺省情况下,没有配置访问控制权限。

命令格式

ntp-service access { peer | query | server | synchronization | limited } { acl-number | ipv6 acl6-number } *

undo ntp-service access { peer | query | server | synchronization | limited } [ ipv6 | all ]

undo ntp-service access { peer | query | server | synchronization | limited } [ acl-number | ipv6 acl6-number ] *

参数说明

参数 参数说明 取值
peer 设置最大访问权限。可以对本地NTP服务进行时间请求和控制查询,本地时钟也可以同步到远程服务器。 -
query 设置最小访问权限,只允许对本地NTP服务进行控制查询。 -
server 允许服务器访问与查询。可以对本地NTP服务进行时间请求和控制查询,但本地时钟不会同步到远程服务器。 -
synchronization 只允许服务器访问。只允许对本地NTP服务进行时间请求。 -
limited 当NTP报文速率高于上限时,丢弃入方向的NTP报文。如果使能KOD功能,此时还发送Kiss码。 -
acl-number 指定IPv4地址访问控制列表编号。 整数形式,取值范围是2000~2999。
ipv6 acl6-number

IPv6地址访问控制列表编号。

整数形式,取值范围是2000~2999。
all

所有的访问控制权限。

-

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

相对于NTP认证,ntp-service access命令实现一种简单的安全措施。当有一个访问请求时,按照最大访问权限到最小访问权限依次匹配,以第一个匹配的为准,匹配顺序为peerserversynchronizationquerylimited

根据所要实现的访问限制,需要配置该命令的设备也不相同,具体信息参见下表。

表3-197  NTP访问控制权限配置

NTP工作模式

应用场景

进行配置的设备

单播NTP服务器/客户端模式

限制客户端同步到服务器端,可防止网络中不可信赖的单播NTP服务器对客户端进行同步。

客户端

单播NTP服务器/客户端模式

限制服务器端处理客户端的同步时间请求,从而控制服务器同步的范围。

服务器

NTP对等体模式

限制两端相互同步,可防止网络中不可信赖的被动对等体对客户端进行同步。

主动对等体端

NTP对等体模式

限制被动对等体端处理时间请求,从而控制被动对等体同步的范围。

被动对等体端

NTP组播模式

限制客户端同步到服务器端,可防止网络中不可信赖的组播NTP服务器对客户端进行同步。

NTP组播客户端

NTP广播模式

限制客户端同步到服务器端,可防止网络中不可信赖的广播NTP服务器对客户端进行同步。

NTP广播客户端

NTP多播客户端模式

限制客户端同步到服务器端。

NTP多播客户端

NTP多播服务器模式

限制服务器端处理客户端发送的时钟同步请求。

NTP多播服务器

ntp-service access命令提供了一种最小限度的安全措施,更安全的方法是进行身份验证。相关配置可参考命令ntp-service authentication enable

注意事项
在ACL中配置访问控制权限前,请先检查ACL规则的配置情况:
  • 当ACL规则配置为permit或空时,则匹配结果是允许。
  • 当ACL规则配置为deny或对等体不在ACL规则内时,则匹配结果是拒绝。

使用实例

# 设置允许匹配ACL 2000的peer可以对本地设备进行时间请求、查询控制、时间同步。

<HUAWEI> system-view
[HUAWEI] ntp-service access peer 2000

# 设置允许匹配ACL 2002的server对本地设备进行时间请求、查询控制。

<HUAWEI> system-view
[HUAWEI] ntp-service access server 2002

ntp-service authentication enable

命令功能

ntp-service authentication enable命令用来设置NTP身份认证功能。

undo ntp-service authentication enable命令用来取消身份认证功能。

缺省情况下,未配置身份认证功能。

命令格式

ntp-service authentication enable

undo ntp-service authentication enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

在一些对安全性要求较高的网络中,运行NTP协议时需要启用认证功能。通过客户端和服务器端的密码认证,保证客户端只与通过认证的设备进行同步,提高了网络安全性。

使用实例

# 使能NTP身份认证功能。

<HUAWEI> system-view
[HUAWEI] ntp-service authentication enable

ntp-service authentication-keyid

命令功能

ntp-service authentication-keyid命令用来设置NTP认证密钥。

undo ntp-service authentication-keyid命令用来取消NTP认证密钥。

缺省情况下,没有配置验证密钥。

命令格式

ntp-service authentication-keyid key-id authentication-mode { md5 | hmac-sha256 } [ cipher ] password

undo ntp-service authentication-keyid key-id

参数说明

参数 参数说明 取值
key-id

指定密钥ID。

整数形式,取值范围1~4294967295。
authentication-mode md5

指定认证算法为MD5。

-
authentication-mode hmac-sha256

指定认证算法为HMAC-SHA256。

-
cipher

指定以密文形式显示配置的密码。

-
password

指定认证密码(明文或密文)。

当输入的字符串两端使用双引号时,可在字符串中输入空格。

字符串形式,区分大小写,支持空格,长度范围是:
  • 1~255(明文)
  • 20~392(密文)
说明:

为提高安全性,建议密码至少包含小写字母、大写字母、数字、特殊字符这四种形式中的两种,同时密码长度不小于6个字符。

当密码包含空格时,需要加双引号,并且只能有这一个双引号。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在一些对安全性要求较高的网络中,运行NTP协议时需要启用验证功能。通过客户端和服务器端的密码验证,可以保证客户端只与通过验证的设备进行同步,从而提高网络安全性。如果使能了NTP认证功能,应同时配置一个可信的密钥。在服务器端和客户端上配置的密钥必须相同。

说明:

在NTP对等体模式下,主动对等体相当于客户端,被动对等体相当于服务器端。

后续任务

每台设备可以配置多个密钥。配置NTP认证密钥后,还需要通过ntp-service reliable authentication-keyid命令将该密钥设置为可信密钥,否则NTP密钥不生效。

注意事项

为了保证安全性,建议您使用更安全的HMAC-SHA256算法作为NTP认证算法。

每台设备最多可以配置1024个密钥。

如果NTP认证密钥被指定为可信密钥,删除密钥后,该密钥将自动变为不可信密钥,不必再执行undo ntp-service reliable authentication-keyid命令。

使用实例

# 设置HMAC-SHA256身份验证密钥,密钥ID号为10,密钥为BetterKey。

<HUAWEI> system-view
[HUAWEI] ntp-service authentication-keyid 10 authentication-mode hmac-sha256 BetterKey

# 设置HMAC-SHA256身份验证密钥,密文密钥为"xyz123"。

<HUAWEI> system-view
[HUAWEI] ntp-service authentication-keyid 10 authentication-mode hmac-sha256 cipher xyz123 

ntp-service broadcast-client

命令功能

ntp-service broadcast-client命令用来配置NTP广播客户模式。

undo ntp-service broadcast-client命令用来取消NTP广播客户模式。

缺省情况下,未配置NTP广播客户端模式。

命令格式

ntp-service broadcast-client

undo ntp-service broadcast-client

参数说明

视图

接口视图

缺省级别

2:配置级

使用指南

在同步子网中,如果不能确定服务器或对等体IP地址,或者网络中需要时间同步的设备数量很多等情况下,可以通过广播模式实现时钟同步。

在广播客户端上指定接口上,使用ntp-service broadcast-client命令指定本地设备的当前接口接收NTP广播报文,本地设备自动运行在客户端(broadcast-client)模式,即可接收广播服务器发送的同步报文。广播服务器的配置请参见命令ntp-service broadcast-server

配置完成后,可以使用display ntp-service sessions命令来了解广播服务器和本地设备会话信息。

使用实例

# 配置在VLANIF100接口上接收NTP广播消息。

<HUAWEI> system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 10.1.1.1 24
[HUAWEI-Vlanif100] ntp-service broadcast-client

# 配置在GigabitEthernet1/0/1接口上接收NTP广播消息。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] ntp-service broadcast-client

ntp-service broadcast-server

命令功能

ntp-service broadcast-server命令用来配置NTP广播服务器模式。

undo ntp-service broadcast-server命令用来取消NTP广播服务器模式。

缺省情况下,未配置广播服务器模式。

命令格式

ntp-service broadcast-server [ version number | authentication-keyid key-id | port port-number ] *

undo ntp-service broadcast-server [ version number | authentication-keyid key-id | port port-number ] *

参数说明

参数 参数说明 取值
version number

指定NTP版本号。

如果不指定该参数,则版本号为缺省值。

整数形式,取值范围是1~4。缺省值是3。
authentication-keyid key-id

指定向广播客户端发送消息时使用的密钥ID号。

如果不指定该参数,则表示无认证。

整数形式,NTPv1、NTPv2和NTPv3的取值范围是1~4294967295,NTPv4的取值范围是1~65535。
port port-number 指定发送NTP广播报文的端口号。 整数形式,取值范围是123,1025~65535,缺省值为123。

视图

接口视图

缺省级别

2:配置级

使用指南

在同步子网中,如果不能确定服务器或对等体IP地址,或者网络中需要时间同步的设备数量很多等情况下,可以通过广播模式实现时钟同步。

在广播服务器的指定接口上,使用ntp-service broadcast-server命令指定本地设备的当前接口发送NTP广播报文,本地设备自动运行在服务器端(broadcast-server)模式,即可向客户端发送的同步报文。广播客户端的配置请参见命令ntp-service broadcast-client

配置完成后,可以使用display ntp-service sessions命令来了解广播客户端和本地设备会话信息。

使用实例

# 在VLANIF100接口上发送NTP广播消息包,NTP版本号为2,用4号密钥加密。

<HUAWEI> system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 10.1.1.1 24
[HUAWEI-Vlanif100] ntp-service broadcast-server version 2 authentication-keyid 4

# 在GigabitEthernet1/0/1接口上发送NTP广播消息包,NTP版本号为3,用100号密钥加密。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] ntp-service broadcast-server version 3 authentication-keyid 100

ntp-service disable

命令功能

ntp-service disable命令用来关闭IPv4和IPv6 NTP功能。

undo ntp-service disable命令用来使能IPv4和IPv6 NTP功能。

缺省情况下,IPv4和IPv6 NTP功能处于使能状态。

命令格式

ntp-service [ ipv6 ] disable

undo ntp-service [ ipv6 ] disable

参数说明

参数 参数说明 取值
ipv6 指定IPv6 NTP功能。 -

视图

系统视图

缺省级别

2: 配置级

使用指南

应用场景

在系统视图下执行ntp-service disablentp-service ipv6 disable,可以关闭IPv4和IPv6 NTP功能。

ntp-service disable可以用于以下两种情况:
  • 设备不需要同步外部IPv4或IPv6服务器或对等体。

  • 设备不需要为外部IPv4或IPv6服务器提供参考时钟源。

注意事项

关闭NTP服务将不会删除已有配置。

NTP功能使能默认侦听的IP地址为0.0.0.0,即侦听所有IP地址,存在安全风险。建议使用ntp-service access { peer | query | server | synchronization | limited } { acl-number | ipv6 acl6-number } *命令设置对本地设备NTP服务的访问控制权限,也可以使用ntp-service authentication enable命令设置NTP身份验证功能。

使用实例

# 关闭IPv4 NTP功能。

<HUAWEI> system-view
[HUAWEI] ntp-service disable

# 关闭IPv6 NTP功能。

<HUAWEI> system-view
[HUAWEI] ntp-service ipv6 disable

ntp-service discard

命令功能

ntp-service discard命令用来配置NTP发送报文的最小时间间隔和平均时间间隔。

undo ntp-service discard命令用来取消NTP发送报文的最小时间间隔和平均时间间隔。

缺省情况下,NTP发送报文的最小时间间隔为2的1次方秒(2秒),平均时间间隔为2的5次方秒(32秒)。

命令格式

ntp-service discard { min-interval min-interval-val | avg-interval avg-interval-val } *

undo ntp-service discard

参数说明

参数 参数说明 取值
min-interval min-interval-val

指定发送NTP报文的最小时间间隔。

NTP报文的最小时间间隔实际值为2的min-interval-val次方的计算值,单位为秒。

整数形式,取值范围是1~8。
avg-interval avg-interval-val

指定发送NTP报文的平均时间间隔。

NTP报文的平均时间间隔实际值为2的avg-interval-val次方的计算值,单位为秒。

整数形式,取值范围是1~8。

视图

系统视图

缺省级别

2:配置级

使用指南

ntp-service discard命令可以用来配置发送NTP报文的最小和平均时间间隔。只有设置了NTP报文的最小时间间隔和平均时间间隔才能产生RATE Kiss码。

使用实例

# 将发送NTP报文的最小时间间隔和平均时间间隔设置为4,即最小时间间隔和平均时间间隔均设置为16秒。

<HUAWEI> system-view
[HUAWEI] ntp-service discard min-interval 4 avg-interval 4

ntp-service in-interface disable

命令功能

ntp-service in-interface disable命令用于禁止接口接收NTP报文。

undo ntp-service in-interface disable命令用于使能接口接收NTP报文。

缺省情况下,接口可以接收NTP报文。

命令格式

ntp-service [ ipv6 ] in-interface disable

undo ntp-service [ ipv6 ] in-interface disable

参数说明

参数 参数说明 取值
ipv6 指定IPv6 NTP功能。 -

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

ntp-service [ ipv6 ] in-interface disable命令提供了一种接入控制的方法。

当设备存在如下场景时,可在与外部设备相连的接口执行本命令来禁止接口接收NTP报文:
  • 该接口下存在不可靠时钟服务器。在使能NTP功能后,缺省情况下所有接口都可以接收NTP报文。但是如果存在不可靠时钟源,可造成NTP时钟数据不准确。
  • 该接口受到恶意攻击导致NTP时钟数据遭到篡改。

前置条件

在配置禁止接口接收IPv6 NTP报文时,需要先在该接口下使能IPv6功能。

使用实例

# 禁止VLANIF100接口接收NTP报文。

<HUAWEI> system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ntp-service in-interface disable

# 禁止GigabitEthernet1/0/1接口接收NTP报文。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] ntp-service in-interface disable

ntp-service kod-enable

命令功能

ntp-service kod-enable命令用来使能KOD功能。

undo ntp-service kod-enable命令用来去使能KOD功能。

缺省情况下,没有使能KOD功能。

命令格式

ntp-service kod-enable

undo ntp-service kod-enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

KOD(Kiss-o'-Death)是NTPv4提出的一种全新的访问控制技术,主要用于服务器向客户端上提供状态报告和接入控制等信息。在服务器上使能KOD功能后,服务器会根据系统的运行状态向客户端发送DENY Kiss和RATE Kiss码。

当用户需要在某种特定的场景下生成kiss码时,可以执行命令ntp-service kod-enable

后续任务

通过ntp-service access limited命令使能对入方向NTP报文速率的控制,当入方向NTP报文速率达到速率上限时就会发送Kiss码。

使用实例

# 使能KOD。
<HUAWEI> system-view
[HUAWEI] ntp-service kod-enable

ntp-service manycast-client

命令功能

ntp-service manycast-client命令用来配置NTP多播客户端模式。

undo ntp-service manycast-client命令用来取消NTP多播客户端模式。

缺省情况下,没有使能NTP多播客户端模式。

命令格式

ntp-service manycast-client [ ip-address | ipv6 [ ipv6-address ] ] [ authentication-keyid key-id | ttl ttl-number | port port-number ] *

undo ntp-service manycast-client [ ip-address | ipv6 [ ipv6-address ] ] [ authentication-keyid key-id | ttl ttl-number | port port-number ] *

参数说明

参数 参数说明 取值
ip-address

多播IPv4地址,这是一个D类地址。

缺省地址为224.0.1.1。
ipv6 [ ipv6-address ]

多播IPv6地址。

缺省地址为FF0E::0101。
authentication-keyid key-id

向多播服务器发送报文时使用的验证密钥ID。

整数形式,取值范围是1~65535
ttl ttl-number

多播报文的TTL值。

整数形式,取值范围是1~255。
port port-number 指定发送NTP多播报文的端口号。 整数形式,取值范围是123,1025~65535,缺省值为123。

视图

接口视图

缺省级别

2: 配置级

使用指南

本地设备运行在多播客户端模式,并且周期性的向多播服务器发送多播报文。在收到多播服务器发送的回应报文后,本地设备与服务器建立动态C/S关联。

说明:

配置多播客户端时,若不指定服务器地址,则默认采用224.0.1.1或FF0E::0101作为服务器地址。

使用实例

# 配置在VLANIF100接口上接收NTP多播报文。

<HUAWEI> system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 10.1.1.1 24
[HUAWEI-Vlanif100] ntp-service manycast-client 

# 配置GigabitEthernet1/0/1接口接收NTP多播报文。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] ntp-service manycast-client

ntp-service manycast-server

命令功能

ntp-service manycast-server命令用来配置多播服务器模式。

undo ntp-service manycast-server命令用来取消NTP多播服务器模式。

缺省情况下,没有配置NTP多播服务器模式。

命令格式

ntp-service manycast-server [ ip-address | ipv6 [ ipv6-address ] ]

undo ntp-service manycast-server [ ip-address | ipv6 [ ipv6-address ] ]

参数说明

参数 参数说明 取值
ip-address

多播IPv4地址,这是一个D类地址。

缺省地址为224.0.1.1。
ipv6 [ ipv6-address ]

多播IPv6地址。

缺省地址为FF0E::0101。

视图

接口视图

缺省级别

2: 配置级

使用指南

使用场景

多播服务器回应客户端发送的多播报文。在收到回应报文以后,多播客户端与服务器建立短暂的关联并进入C/S模式。

注意事项

如果在执行undo ntp-service manycast-server命令时没有指定组播IP地址,本地设备查找缺省的IP地址。在IPv4网络中,组播服务器的缺省IP地址为224.0.1.1;在IPv6网络中,组播服务器的缺省IP地址为FF0E::0101。如果本地设备查找到了缺省的IP地址,undo ntp-service manycast-server生效;否则undo ntp-service manycast-server命令不生效。

使用实例

# 配置VLANIF100接口为服务器上的接口。该接口用来回应组播地址的多播客户端请求。

<HUAWEI> system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 10.1.1.1 24
[HUAWEI-Vlanif100] ntp-service manycast-server 

# 配置GigabitEthernet1/0/1接口为服务器上的接口。该接口用来回应组播地址的多播客户端请求。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] ntp-service manycast-server 

ntp-service max-distance

命令功能

ntp-service max-distance命令用来配置NTP最大同步距离的阈值。

undo ntp-service max-distance命令用来将配置的NTP最大同步距离阈值恢复到缺省情况。

缺省情况下,NTP的最大同步距离阈值是1秒。

命令格式

ntp-service max-distance max-distance-value

undo ntp-service max-distance

参数说明

参数 参数说明 取值
max-distance-value 指定NTP最大同步距离的阈值。 整数形式,取值范围是1~16,单位是秒,缺省值是1。

视图

系统视图

缺省级别

2:配置级

使用指南

ntp-service max-distance命令主要应用于NTP客户端,在客户端,NTP会计算到各个NTP服务器的同步距离并且会和使用ntp-service max-distance命令配置的距离阈值相比较,如果同步距离超过了配置的阈值,客户端将不会同步该服务器的时钟。

使用实例

# 配置NTP最大同步距离阈值为16秒。

<HUAWEI> system-view
[HUAWEI] ntp-service max-distance 16

ntp-service max-dynamic-sessions

命令功能

ntp-service max-dynamic-sessions命令用来设置本地允许建立的最大NTP动态会话数。

undo ntp-service max-dynamic-sessions命令用来恢复本地允许建立的最大NTP动态会话数为缺省值。

缺省情况下,最多允许建立100个NTP动态会话。

命令格式

ntp-service max-dynamic-sessions number

undo ntp-service max-dynamic-sessions

参数说明

参数 参数说明 取值
number

指定本地允许建立动态会话数。

整数形式,取值范围是0~100。缺省值是100。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

运行NTP功能的同一设备同一时间内存在的会话数最多为128个,其中包括静态会话和动态会话。单播服务器/客户端模式和对等体模式都是通过命令行建立连接,属于静态会话。广播模式、多播模式和组播模式建立的是动态会话。

过多的动态会话直接影响静态会话的建立,用户可通过限制本地动态会话数来解决这一问题。

注意事项

当设备限制本地动态会话数时:
  • 只限制动态会话的数目,对静态会话无效。
  • 不影响已经建立的NTP动态会话,即当动态会话数超过允许的最大数目时,不会删除已经建立的会话,但不能再建立新的动态会话。
  • 应配置在客户端,因为服务器端并不记录建立的NTP会话数目。

使用实例

# 设置本地最多允许建立50个NTP动态会话。

<HUAWEI> system-view
[HUAWEI] ntp-service max-dynamic-sessions 50

ntp-service multicast-client

命令功能

ntp-service multicast-client命令用来配置NTP组播客户模式。

undo ntp-service multicast-client命令用来取消NTP组播客户模式。

缺省情况下,没有配置组播客户模式。

命令格式

ntp-service multicast-client [ ip-address | ipv6 [ ipv6-address ] ]

undo ntp-service multicast-client [ ip-address | ipv6 [ ipv6-address ] ]

参数说明

参数 参数说明 取值
ip-address

指定组播IP地址。

缺省地址为224.0.1.1。
ipv6 [ ipv6-address ]

指定组播IPv6地址。

缺省地址为FF0E::0101。

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

当网络中设备需要通过组播模式进行时钟同步时,可通过命令ntp-service multicast-client指定本地设备上的某个接口接收NTP组播报文,本地设备运行在组播客户端模式。

如果指定有效的组播服务器,本地设备将会和组播服务器同步。本地设备时间被服务器时间更新。

后续任务

配置完成后,可以使用display ntp-service sessions命令来了解组播服务器和本地设备会话信息。

说明:

在同一接口下,可以配置多个不同组播地址的组播客户端。在配置多个组播客户端时,设备依据时钟优选来选择最优的时钟源。

本地设备上最多可配置1024个组播客户端,但同时起作用的最多为128个。

使用实例

# 配置在VLANIF100接口上接收NTP组播消息包,组播消息包对应的组播组地址为224.0.1.2。

<HUAWEI> system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 10.1.1.1 24
[HUAWEI-Vlanif100] ntp-service multicast-client 224.0.1.2

# 配置在GigabitEthernet1/0/1接口上接收NTP组播消息包,组播消息包对应的组播组地址为224.0.1.1。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] ntp-service multicast-client 224.0.1.1

ntp-service multicast-server

命令功能

ntp-service multicast-server命令用来配置在当前接口发送NTP组播消息包,以及本地设备运行在NTP组播服务器模式。

undo ntp-service multicast-server命令用来取消NTP组播服务器的配置。

缺省情况下,没有配置组播服务器模式。

命令格式

ntp-service multicast-server [ ip-address ] [ version number | authentication-keyid key-id | ttl ttl-number | port port-number ] *

ntp-service multicast-server ipv6 [ ipv6-address ] [ authentication-keyid key-id | ttl ttl-number | port port-number ] *

undo ntp-service multicast-server [ ip-address ] [ version number | authentication-keyid key-id | ttl ttl-number | port port-number ] *

undo ntp-service multicast-server ipv6 [ ipv6-address ] [ authentication-keyid key-id | ttl ttl-number | port port-number ] *

参数说明

参数 参数说明 取值
ip-address

指定组播IP地址。

缺省地址为224.0.1.1。
ipv6 [ ipv6-address ]

指定组播IPv6地址。

缺省地址为FF0E::0101。
version number

指定NTP版本号。

如果不指定该参数,则版本号为缺省值。

整数形式,取值范围是1~4。缺省值是3。
authentication-keyid key-id

指定向组播客户端发送消息时使用的密钥ID号。

如果不指定该参数,则表示无认证。

整数形式,当NTP版本号为1~3时,取值范围1~4294967295;当指定的NTP版本号为4或者指定的远端服务器为IPv6地址时,取值范围1~65535。
ttl ttl-number

指定组播包的生存期。

如果不指定该参数,则组播包生存周期为缺省值。

整数形式,取值范围是1~255。缺省值是255。
port port-number 指定发送NTP组播报文的端口号。 整数形式,取值范围是123,1025~65535,缺省值为123。

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

当网络中设备需要通过组播模式进行时钟同步时,可通过命令ntp-service multicast-server指定本地设备上的某个接口来发送NTP组播报文,本地设备运行在组播服务器模式,作为组播服务器周期性地发送组播报文到组播客户端。

后续任务

配置完成后,可以使用display ntp-service sessions命令来了解组播服务器和本地设备会话信息。

说明:

本地设备上最多可配置128个组播服务器。

使用实例

# 配置在VLANIF100接口上发送NTP组播消息包,组播组地址为224.0.1.1,进行加密的密钥ID是4,NTP版本号是3。

<HUAWEI> system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 10.1.1.1 24
[HUAWEI-Vlanif100] ntp-service multicast-server 224.0.1.1 authentication-keyid 4 version 3

# 配置在GigabitEthernet1/0/1接口上发送NTP组播消息包,组播组地址为224.0.1.1,进行加密的密钥ID是4,NTP版本号是3。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] ntp-service multicast-server 224.0.1.1 authentication-keyid 4 version 3

ntp-service port

命令功能

ntp-service port命令用来修改发送NTP报文的端口号。

undo ntp-service port命令用来恢复NTP报文发送端口号为123端口。

缺省情况下,NTP报文发送端口号为123端口。

命令格式

ntp-service port port-value

undo ntp-service port

参数说明

参数 参数说明 取值
port-value 指定发送NTP报文的端口号。 整数形式,取值范围是1025~65535。
说明:

可以将port-value配置为缺省端口123。

视图

系统视图

缺省级别

2:配置级

使用指南

执行此命令,用户可以将发送NTP报文的端口号设置为固定端口,用户防火墙可以针对此端口进行报文过滤,从而提高网络报文的安全性。

使用实例

# 设置发送NTP报文的端口号为5000。

<HUAWEI> system-view
[HUAWEI] ntp-service port 5000

ntp-service refclock-master

命令功能

ntp-service refclock-master命令用来设置本地时钟作为NTP主时钟,为其它设备提供同步时间。

undo ntp-service refclock-master命令用来取消NTP主时钟设置。

缺省情况下,没有设置NTP主时钟。

命令格式

ntp-service refclock-master [ ip-address ] [ stratum ]

undo ntp-service refclock-master [ ip-address ] [ stratum ]

参数说明

参数 参数说明 取值
ip-address

指定本地参考时钟。

当不指定IP地址时,默认设置本地时钟127.127.1.0为NTP主时钟。

取值为127.127.1.u,其中u的取值范围是0~3,表示选定的本地时钟的编号。
stratum

指定NTP主时钟所处的层数。

如果不指定该参数,则层数为缺省值。

整数形式,取值范围是1~15。缺省值是8。值越小表示时钟准确度越高。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

本地时钟是指设备本身的时钟。执行ntp-service refclock-master命令用来设置本地时钟作为NTP主时钟,为其它设备提供同步时间。

NTP协议规定:在NTP同步子网中时间的同步自层级小的层次向较大的层次进行,即由第1级向第15级同步。权威时钟作为同步子网的基准时间参考源,位于同步子网的最顶端,层级为0。目前权威时钟通常是Radio Clock或卫星定位系统等。权威时钟通过播发的UTC时间代码而非通过NTP进行时间同步。

注意事项

网络中的设备可以通过以下两种方式进行时钟同步:
  • 与本地时钟进行同步:即采用本地时钟作为参考时钟。
  • 与网络中的其他设备进行同步:即采用其他设备作为NTP时钟服务器为本地提供参考时钟。

如果同时配置了两种方式,设备将通过时钟优选来选择最优的时钟源,即比较两者的层数,层数低者为优选时钟源。

使用实例

# 设置本地设备时钟作为NTP主时钟,层数为3。

<HUAWEI> system-view
[HUAWEI] ntp-service refclock-master 3

ntp-service reliable authentication-keyid

命令功能

ntp-service reliable authentication-keyid命令用来指定密钥是可信的。

undo ntp-service reliable authentication-keyid命令用来取消指定密钥为可信的配置。

缺省情况下,没有设置可信验证密钥。

命令格式

ntp-service reliable authentication-keyid key-id

undo ntp-service reliable authentication-keyid key-id

参数说明

参数 参数说明 取值
key-id

指定密钥ID。

整数形式,取值范围1~4294967295。

视图

系统视图

缺省级别

2:配置级

使用指南

当启用身份验证时,ntp-service reliable authentication-keyid命令用于指定一个或多个密钥是可信的。客户端只同步到提供可信密钥的服务器,如果服务器提供的不是可信密钥,客户端不与其同步。

使用实例

# 设置启用NTP身份验证,采用HMAC-SHA256加密,密钥ID为37,密钥为BetterKey,指定该密钥为可信密钥。

<HUAWEI> system-view
[HUAWEI] ntp-service authentication enable
[HUAWEI] ntp-service authentication-keyid 37 authentication-mode hmac-sha256 cipher BetterKey
[HUAWEI] ntp-service reliable authentication-keyid 37

ntp-service server disable

命令功能

ntp-service server disable命令用来去使能NTP服务器功能。

undo ntp-service server disable命令用来使能NTP服务器功能。

缺省情况下,NTP服务器使能。

命令格式

ntp-service [ ipv6 ] server disable

undo ntp-service [ ipv6 ] server disable

参数说明

参数 参数说明 取值
ipv6 指定IPv6 NTP服务器。 -

视图

系统视图

缺省级别

2: 配置级

使用指南

为了提高安全性,当客户不需要设备作为NTP服务器时可以去使能此功能。

缺省情况下,未使能NTP服务器。如果需要使能服务器功能,需要先配置其他NTP命令,例如先配置时钟源,服务器功能才能生效。仅配置undo ntp-service [ ipv6 ] server disable命令,服务器功能无法开启。

使用实例

# 去使能IPv4 NTP服务器功能。

<HUAWEI> system-view
[HUAWEI] ntp-service server disable

# 去使能IPv6 NTP服务器功能。

<HUAWEI> system-view
[HUAWEI] ntp-service ipv6 server disable

ntp-service source-interface

命令功能

ntp-service source-interface命令用来指定本地发送NTP报文的源接口。

undo ntp-service source-interface命令用来取消本地发送NTP报文的源接口。

缺省情况下,没有指定本地发送NTP报文源接口,即根据路由选择NTP报文的源接口。

命令格式

ntp-service [ ipv6 ] source-interface interface-type interface-number [ vpn-instance vpn-instance-name ]

undo ntp-service [ ipv6 ] source-interface [ interface-type interface-number ] [ vpn-instance vpn-instance-name ]

参数说明

参数 参数说明 取值
ipv6 指定源接口的网络类型为IPv6。 -
interface-type interface-number

指定发送NTP报文的源接口。

-
vpn-instance vpn-instance-name 指定VPN实例名称。 必须是已存在的VPN实例名称。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

配置发送/接收NTP报文的本地源接口,可避免本设备上其他接口收到应答消息。如果不指定,则根据路由选择NTP报文的源IP地址。

通过本命令配置源IP时如果指定了vpn-instance,源地址只能给对应vpn-instance的NTP客户端使用,不能给其他vpn-instance和没有指定vpn-instance的NTP客户端使用。

注意事项

对于广播、组播方式和多播模式,NTP功能是在特定的接口下进行的,源接口就是该接口。因此,ntp-service source-interface命令对广播、组播方式和多播模式无效。

使用实例

# 指定NTP所有输出报文的源IP地址都用接口VLANIF100的IP地址。

<HUAWEI> system-view
[HUAWEI] ntp-service source-interface vlanif 100

ntp-service unicast-peer

命令功能

ntp-service unicast-peer命令用来配置NTP对等体模式。

undo ntp-service unicast-peer命令用来取消NTP对等体模式。

缺省情况下,未配置NTP对等体模式。

命令格式

ntp-service unicast-peer ip-address [ version number | authentication-keyid key-id | source-interface interface-type interface-number | preference | vpn-instance vpn-instance-name | maxpoll max-number | minpoll min-number | preempt | port port-number ] *

ntp-service unicast-peer ipv6 ipv6-address [ authentication-keyid key-id | source-interface interface-type interface-number | preference | vpn-instance vpn-instance-name | maxpoll max-number | minpoll min-number | preempt | port port-number ] *

undo ntp-service unicast-peer { ip-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

参数说明

参数 参数说明 取值
ip-address

指定远端对等体的IPv4地址。

ip-address是一个主机地址,不能为广播、组播地址或参考时钟的IP地址。
ipv6 ipv6-address

指定远端服务器的IPv6地址。

ipv6-address是一个单播地址,且不能是参考时钟的IPv6地址。
version number

指定NTP版本号。如果不指定该参数,则版本号为缺省值。

整数形式,取值范围是1~4。缺省值是3。

authentication-keyid key-id

指定向该远端对等体发送消息使用的密钥ID号。如果不指定该参数,则表示无认证。

整数形式,当NTP版本号为1~3时,取值范围1~4294967295;当指定的NTP版本号为4或者指定的远端服务器为IPv6地址时,取值范围1~65535。

maxpoll max-number

指定NTP最大轮询间隔。

整数形式,取值范围是10~17。

minpoll min-number

指定NTP最小轮询间隔。

整数形式,取值范围是3~6。

source-interface interface-type interface-number

指定主动对等体向被动对等体发送NTP报文时使用的源接口,报文中的源IP地址从该接口获取。

-

vpn-instance vpn-instance-name

指定VPN实例名称。

必须是已存在的VPN实例名称。

preference

指定该远端对等体为优先选择的对等体。缺省情况下,远端对等体不是优先的。

-

preempt 指定对等体为抢占模式。如果联动中检测出任何错误(验证失败),那么对等体被标记为不可选择的。因此,在没有其他联动可供选择时,对等体被标记为可选择。 -
port port-number 指定发送NTP单播报文的端口号。 整数形式,取值范围是123,1025~65535,缺省值为123。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当网络中设备需要通过对等体模式进行时钟同步时,可执行ntp-service unicast-peer命令来配置远端节点作为本端设备的对等体。本地运行在主动对等体模式。在这种模式下,本端设备能同步到远端对等体,远端对等体也能同步到本端设备。

注意事项

  • 本地设备上最多可配置128个对等体。其中,最优对等体将被选择为同步源。
  • 在配置对等体模式时,如果指定同一个服务器的配置命令有多条(包括2条),在进行配置恢复时,会按照命令在配置文件中的顺序,执行最后一条命令来恢复配置。如:执行命令ntp-service unicast-peer 10.10.1.1 source-interface vlanif 10后,又执行命令ntp-peer unicast-peer 10.10.1.1,在进行配置恢复时,只有ntp-service unicast-peer 10.10.1.1命令生效。
  • 配置PE向某个VPN内的其他PE或CE同步时,需要指定vpn-instance vpn-instance-name参数。
  • 在执行undo ntp-service unicast-peer命令时,如果指定vpn-instance vpn-instance-name参数,则取消指定VPN内IP地址为ip-addressipv6-address的NTP被动对等体配置;如果没有指定vpn-instance vpn-instance-name参数,则取消公网中IP地址为ip-addressipv6-address的NTP被动对等体配置。

使用实例

# 本地被配置成由peer 10.10.1.1提供同步时间,本地对等体也能为peer提供同步时间,版本号为3。NTP报文的IP地址从VLANIF100获得。
<HUAWEI> system-view
[HUAWEI] ntp-service unicast-peer 10.10.1.1 version 3 source-interface vlanif 100

ntp-service unicast-server

命令功能

ntp-service unicast-server命令用来配置NTP服务器模式。

undo ntp-service unicast-server命令用来取消NTP服务器模式。

缺省情况下,未配置NTP服务器模式。

命令格式

ntp-service unicast-server ip-address [ version number | authentication-keyid key-id | source-interface interface-type interface-number | preference | vpn-instance vpn-instance-name | maxpoll max-number | minpoll min-number | burst | iburst | preempt | port port-number ] *

ntp-service unicast-server ipv6 ipv6-address [ authentication-keyid key-id | source-interface interface-type interface-number | preference | vpn-instance vpn-instance-name | maxpoll max-number | minpoll min-number | burst | iburst | preempt | port port-number ] *

undo ntp-service unicast-server { ip-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

参数说明

参数 参数说明 取值
ip-address

指定远端服务器IPv4地址。

ip-address是一个主机地址,不能为广播、组播地址或参考时钟的IP地址。
ipv6 ipv6-address

指定远端服务器的IPv6地址。

ipv6-address是一个主机IP地址,而不能是一个广播地址、组播地址、或者是参考时钟的IP地址。
version number

指定NTP版本号。如果不指定该参数,则版本号为缺省值。

整数形式,取值范围是1~4。缺省值是3。

authentication-keyid key-id

指定向该远程服务器发送消息使用的密钥ID号。如果不指定该参数,则表示无认证。

整数形式,当NTP版本号为1~3时,取值范围1~4294967295;当指定的NTP版本号为4或者指定的远端服务器为IPv6地址时,取值范围1~65535。

maxpoll max-number

指定NTP最大轮询间隔。

整数形式,取值范围是10~17

minpoll min-number

指定NTP最小轮询间隔。

整数形式,取值范围是3~6。

source-interface interface-type interface-number

指定单播客户端向服务器发送NTP报文时使用的源接口,消息包中的源IP地址从该接口获取。

-

vpn-instance vpn-instance-name

指定VPN实例名称。

必须是已存在的VPN实例名称。
preference

指定该远程服务器为优先选择的服务器。缺省情况下,远程服务器不是优先的。

-

burst 指定在每个固定的轮询周期内发送一阵突发式的报文。当轮询周期较长时,该方法能够有助于准确地测量出时间抖动。

-

iburst 指定当收到一个不可达服务器的回应时,设备会发送一阵突发式的报文。使用该参数可以加速时间同步。

-

preempt 指定服务器为可抢占模式。标识为“preempt”的服务器所在联接若出现任何错误(例如认证失败等),则在以后选择时,该服务器都会被认为不可选。但是,若网络中无其他联接可选,且该服务器的联接无错误时,则该服务器变为可选。

-

port port-number 指定发送NTP单播报文的端口号。

整数形式,取值范围是123,1025~65535,缺省值为123。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当网络中设备需要通过单播服务器/客户端模式进行时钟同步时,可执行本命令,并以ip-addressipv6-address所指定的远程服务器作为本地时间服务器。本地设备工作在客户端模式。在这种工作模式下,只能是本地客户端同步到远程服务器,而远程服务器从来不会同步到本地客户端。

该命令在指定远端服务器的同时,也可以对使用的服务器模式进行设定,如配置NTP的版本、认证密钥、轮询时间间隔等。

注意事项

  • 本地设备上最多可配置128个服务器。其中,最优对等体将被选择为同步源。
  • 如果客户端使能了认证功能,并配置了相应的认证密钥,则服务器端在接收到客户端发送的同步请求后,会给客户端发送带认证的NTP报文,客户端对接收的报文进行认证,认证通过后,进行时钟同步;如果客户端没有使能认证功能,则服务器端在接收到客户端发送的同步请求后,会发送没有认证的NTP报文给客户端,客户端接收到此报文后,进行时钟同步。
  • 配置PE向某个VPN内的其他PE或CE同步时,需要指定vpn-instance vpn-instance-name参数。
  • 在执行undo ntp-service unicast-server命令时,如果指定vpn-instance vpn-instance-name参数,则取消指定VPN内IP地址为ip-addressipv6-address的NTP服务器配置;如果没有指定vpn-instance vpn-instance-name参数,则取消公网中IP地址为ip-addressipv6-address的NTP服务器配置。
  • 如果要删除VPN实例,需要确认是否与NTP服务器绑定,以确保配置改变后符合用户的需求。如下所示:
    1. 指定NTP服务器绑定VPN实例,查看配置信息可以看到:
      <HUAWEI> display current-configuration | begin ntp
      ntp-service unicast-server 10.1.1.1 vpn-instance vpn2
      ntp-service refclock-master
    2. 如果删除此VPN实例vpn2,NTP服务器绑定的VPN实例也会被删除:
      <HUAWEI> display current-configuration | be ntp
      ntp-service unicast-server 10.1.1.1
      ntp-service refclock-master

使用实例

# 本地设备被配置成由服务器10.10.1.1提供同步时间,版本号为3。

<HUAWEI> system-view
[HUAWEI] ntp-service unicast-server 10.10.1.1 version 3
# 本地设备被配置成由属于VPN实例“abc”的服务器10.10.1.1提供同步时间。
<HUAWEI> system-view
[HUAWEI] ntp-service unicast-server 10.10.1.1 vpn-instance abc

reset ntp-service statistics packet

命令功能

reset ntp-service statistics packet命令用来清除NTP报文的统计信息。

命令格式

reset ntp-service statistics packet [ ipv6 | peer [ ip-address [ vpn-instance vpn-instance-name ] | ipv6 [ ipv6-address [ vpn-instance vpn-instance-name ] ] ] ]

参数说明

参数 参数说明 取值
ipv6 清除全局IPv6的NTP包统计信息。 -
peer 指定清除与NTP对等体相关的统计信息。 -
ip-address 指定NTP对等体的IP地址。 -
vpn-instance vpn-instance-name 指定与NTP对等体相关的VPN实例。 必须是已存在的VPN实例名称。
ipv6 清除IPv6远端对等体的NTP包统计信息。 -
ipv6-address 清除指定IPv6地址的远端对等体的NTP包统计信息。 -

视图

用户视图

缺省级别

3:管理级

使用指南

用户在调试NTP时,可以使用该命令清除NTP的统计信息。

NTP的统计信息被清除后不能恢复,删除前请确认。

使用实例

# 清除NTP报文的统计信息。

<HUAWEI> reset ntp-service statistics packet 

# 清除NTP对等体的统计信息。

<HUAWEI> reset ntp-service statistics packet peer 
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:10382

下载量:200

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页