评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置NTP访问控制权限
当有一个访问请求到达时,按照最大访问限制到最小访问限制依次匹配,以第一个匹配的为准,匹配顺序为peer、server、synchronization、query、limited。
操作步骤
- 执行命令system-view,进入系统视图。
- 创建基本访问控制列表,过滤管理设备的网管用户。
- 执行命令acl acl-number创建一个IPv4的基本访问控制列表。
- 执行命令acl ipv6 acl6-number1创建一个IPv6的基本访问控制列表。
- 配置ACL规则。
- 执行命令rule [ rule-id ] [ name rule-name ] { deny | permit } [ fragment-type { fragment | non-fragment | non-subseq | fragment-subseq | fragment-spe-first } | source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] ] *,配置基本ACL的规则。
- 执行命令rule [ rule-id ] [ name rule-name ] { deny | permit } [ fragment | source { source-ipv6-address { prefix-length | source-wildcard } | source-ipv6-address/prefix-length | any } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] ] *,配置基本ACL6的规则。
在ACL中配置访问控制权限前,请先检查ACL规则的配置情况。- 当ACL规则配置源IP地址为permit时,则匹配结果是允许,即允许接收该源IP地址的报文。
- 当ACL规则配置源IP地址为deny时,则匹配结果是拒绝,即拒绝接收该源IP地址的报文。
- 当源IP地址未匹配上ACL规则时,则匹配结果是拒绝,即拒绝接收该源IP地址的报文。
- 当ACL中不存在规则或者引用的ACL不存在时,则匹配结果是拒绝,即拒绝接收所有源IP地址的报文。
- 执行命令quit,退回至系统视图。
- 执行命令ntp-service access { peer | query | server | synchronization | limited } { { acl-number | acl-name acl-name } | ipv6 { acl6-number | acl6-name acl6-name } } *,设置对本地路由器NTP服务的访问控制权限。
在引用acl-number之前,请确保ACL已经配置。
用户需要根据实际需求决定在哪台设备上配置ntp-service access命令。具体描述如下。
表5-2 NTP访问控制权限配置NTP工作模式
限制的NTP请求类型
进行配置的设备
单播NTP服务器/客户端模式
限制客户端同步到服务器端
客户端
单播NTP服务器/客户端模式
限制服务器端处理客户端的同步时间请求
服务器
NTP对等体模式
限制两端相互同步
主动对等体端
NTP对等体模式
限制被动对等体端处理时间请求
被动对等体端
NTP组播模式
限制客户端同步到服务器端
NTP组播客户端
NTP广播模式
限制客户端同步到服务器端
NTP广播客户端
- 执行命令commit,提交配置。
