NTP协议

NTP协议原理与配置
内容导读
随着网络拓扑的日益复杂,整个网络内设备的时钟同步将变得十分重要。如果依靠管理员手工修改系统时钟,不仅工作量巨大,而且时钟的准确性也无法得到保证。网络时间协议( NetworkTime Protocol,NTP)的出现就是为了解决网络内设备系统时钟的同步问题。NTP是 TCP/IP协议簇里的一个应用层协议。NTP用于在一系列分布式时间服务器与客户端之间同步时钟。NTP的实现
基于|P和UDP。NTP报文通过UDP传输,端口号是123
本次将依次介绍NTP协议基本原理、NTP协议常见应用场景、NTP协议基础配置命令,并通过案例来说明如何在设备上配置NTP协议。

1.NTP网络结构

在NTP的网络结构中,主要存在如下概念

(1)同步子网。

如图3.2所示,由主时间服务器、二级时间服务器、PC客户端和它们之间互连的传输路径组成同步子网。

(2)主时间服务器。

通过线缆或无线电直接同步到标准参考时钟,标准参考时钟通常是 Radio Clock或卫星定位系统等。

(3)二级时间服务器。

通过网络中的主时间服务器或者其他二级服务器来取得同步。二级时间服务器通过NTP将时间信息传送到局域网内部的其他主机。

(4)层数( Stratum)。

层数是对时钟同步情况的一个分级标准,代表了—个时钟的精确度,取值范围是1~16,数值越小,精确度越高。1表示时钟精确度最高,而16表示未同步。

2.NTP访问控制

当同步子网中的一台时间服务器发生意外或遭到恶意攻击时,通常不应该导致子网中其他时间服务器的计时错误。在安全性要求较高的网络中,可以启用NTP认证功能。这样就对网络的安全性提供了保障不同工作模式下可配置不同的密钥。当用户在某一NTP工作模式下启用NTP认证时,系统会记录此工作模式下相应的密钥ID

(1)发送过程

首先判断在此工作模式下是否需要认证。如果不需要则直接发送报文;如果需要则根据相应密钥I和加密算法对报文进行加密,然后发送报文

(2)接收过程。

在接收报文时,首先判断是否要对报文进行认证处理。如果不需要认证,则直接对报文进行后续处理;如果需要认证,则根据对应密钥ID和解密算法来认证。如果认证失败,则直接丢弃报文;如果认证通过,则对接收到的报文进行处理。

3.NTP协议配置命令解析

一.ntp- service refclock-master命令

1.命令功能

ntp-service refclock-master   //命令用来设置本地时钟作为NTP主时钟,为其他设备提供同步时间

undo ntp-service refclock-master命令用来取消NTP主时钟设置。

缺省情况下,没有设置NTP主时钟

2.命令格式

ntp-service refclock-master [ip-address ][ stratum ]

undo ntp-service refclock-master [ip-address]

3.参数说明

4.使用实例

设置本地设备时钟作为NTP主时钟，层数为3

Ntp-service refclock-master 3

 

二.ntp-service authentication enables命令

1.命令功能

ntp- service authentication enable命令用来设置NTP身份认证功能

undo ntp- service authentication enable命令用来取消身份认证功能

缺省情况下,没有配置身份认证功能。

2.命令格式

ntp-service authentication enable

undo ntp-service authentication enable

3.参数说明

无参数

4.使用实例

使能NTP身份认证功能。

< Huawei> system-view

[Huawei] ntp-service authentication enable

三.ntp- service authentication- keyid命令

1.命令功能

ntp-service authentication- keyid命令用来设置NTP认证密钥。

undo ntp- service authentication- keyid命令用来取消NTP认证密钥。

缺省情况下,没有配置验证密钥。

2.命令格式

ntp-service authentication-keyid key-id authentication-mode( md5 hmac-sha256)[ cipher] password

undo ntp-service authentication-keyid key-id

3.参数说明

.

4.使用实例

配置 HMAC-SHA256身份验证密钥,密钥ID号为10,密钥为 Bettered

 

 system-vie
[Huawei] ntp-service authentication-keyid 10 authentication-mode hmac-sha256 Betterkey
四. ntp-service reliable authentication-keyid命令
1.命令功能
ntp-service reliable authentication-keyd   //命令用来指定密钥是可信的配置
undo ntp-service reliable authentication-keyid命令用来取消指定密钥为可信的配置
缺省情况下,没有设置可信验证密钥。
2,命令格式
ntp-service reliable authentication-keyid key-id
undo ntp-service reliable authentication-keyid key-id
3.参数说明
key-id

参数说明：指定密钥|D
取值：整数形式,取值范围是1~4294967295
4.使用实例
设置启用NTP身份验证,采用 HMAC-SHA256加密,密钥ID为37,密钥为 BetterKey,指定该密钥为
可信密钥。
 system-view
(Huawei) ntp-service authentication enable
(Huawei) ntp-service authentication-keyid 37 authentication-mode hmac-sha256 Betterkey
(Huawei] ntp-service reliable authentication-keyid 37

五·ntp- service unicast-server命令

1.命令功能

ntp-service unicast-server命令用来配置NTP服务器模式

undo ntp-service unicast-server命令用来取消NTP服务器模式。

缺省情况下,未配置NTP服务器模式

2.命令格式

ntp-service unicast-server ip-address version number I authentication-keyid key-id |maxpoll max-number | minpoll min-number | source-interface interface-type interface-number |-instance -instance-name preference ]*

ntp-service unicast-server ipv6 ipv6-address 【 authentication-keyid key-id 】 maxpoll max-number | minpoll min-number | source-interface interface-type interface-number | -instance  -instance-name | preference 】*

undo ntp-service unicast-server {ip-address |ipv6 ipv6-address }[ -instance -instance-name]

3.参数说明

4.使用实例

本地设备被配置成由服务器10.10.1.1 提供同步时间，版本号为3.

Ntp-service unicast-server 10.10.1.1 vercion 3

 

NTP实验

配置带验证的单播NTP服务器/客户端

搭建拓扑

配置各个设备上的IP地址

1. 让着三台设备都配置相同时区（ensp实验情况下，我们需要设备的时区都为标准时区）

1. 配置主时间服务器
2. 配置client端

1. 跟新时间
   

5.对等体设置

6.NTP认证

开启认证

配置钥匙

3.启用钥匙

4.调用钥匙

查看NTP状态