网络时钟同步也叫“对钟”,要把分布在各地的时钟同步起来,最直观的方法就是搬钟,可用一个标准钟作搬钟,使各地的钟均与标准钟对准。或者使搬钟首先与系统的标准时钟对准,然后使系统中的其他时针与搬钟比对,实现系统其他时钟与系统统一标准时钟同步。下面让我们看看网络时钟不同步的问题是怎样解决的。
网络环境
如图图所示,在NE16E和NE80E上配置NTP,其中NE16E以NE80E为时钟服务器,与之同步,NE80E与远端时钟服务器同步。
时钟同步组网图
配置完成后,发现NE16E与NE80E及NE80E与远端服务器之间均未能时钟同步。
故障分析
步骤 1 分别在NE16E、NE80E执行命令display ntp status,确认NE16E与NE80E,NE80E与远端服务器之间均未能时钟同步
步骤 2 在NE80E执行命令display this,查看NE80E上ACL和NTP设置。
显示信息如下:
- #
- acl number 2050
- rule 2 permit source 222.55.0.49 0
- rule 3 permit source 222.55.0.46 0
- rule 10 permit source 222.55.1.206 0
- rule 127 deny
- #
- ntp-service access query 2050
- ntp-service unicast-server 211.98.3.140
- Return
步骤 3 在NE16E执行命令display this,查看NE16E上NTP设置。
显示信息如下:
- #
- ntp-service unicast-server 222.55.0.9
- Return
步骤 4 在NE80E执行命令undo ntp-service access query 2050,去掉ACL限制后能够正常执行时间同步。
步骤 5 NE80E需要接受NE16E的时间请求,同时又要同步到远端时钟服务器。所以,此种情况应选择支持时间请求和同步到远端服务器的peer访问权限方式。
说明:NTP的四种访问权限:
1、query:只允许对本地NTP服务进行控制查询。
2、synchronization:只允许对本地NTP进行时间请求。
3、server:可以对本地NTP服务进行时间请求和控制查询,但本地时钟不会同步到远端服务器。
4、peer:即可以对本地NTP服务进行时间请求和控制查询,本地时钟又可以同步到远端服务器。采用记录路由的方式ping NE5000E-2,NE5000E-2接到报文后需要上送主控处理。
步骤 6 进一步分析,如果NE80E与远端时钟服务器交互,NE80E的ACL列表配置存在错误。在NE80E配置的ACL中没有加入允许进行访问的远端服务器的IP,而仅允许NE16E的IP通过。这样自然无法同远端服务器进行同步交互。
----结束
处理步骤
步骤 1 登陆NE80E,执行命令system-view,进入系统视图。
步骤 2 执行命令ntp-service access peer 2050,指定NE80E对等体建立的ACL。
步骤 3 执行命令ntp-service unicast-server 211.98.3.140,指定NE80E的时钟同步服务器。
步骤 4 执行命令acl number 2050,进入ACL编号为2050的视图。
步骤 5 执行命令rule 2 permit source 222.55.0.49 0,ACL添加允许NE16E的源地址接入规则,从而实现接受NE16E的时钟查询。
步骤 6 执行命令rule 3 permit source 222.55.0.46 0,ACL添加允许接入的IP地址。
步骤 7 执行命令rule 3 permit source 211.98.3.140 0,ACL添加允许远端时钟服务器地址接入规则,从而可以实现NE80与远端时钟服务器交互。
步骤 8 执行命令quit,退出ACL编辑视图。
步骤 9 执行命令return退回到用户视图,执行命令save,保存对配置的修改。
步骤 10 登陆NE80E执行命令display ntp-service status,
显示信息如下:
- clock status: synchronized
- clock stratum: 3
- reference clock ID: 211.98.3.104
确认NE80E与远端服务器之间时钟均能够正常同步。
步骤 11 登陆NE16E执行命令display ntp-service status,
显示信息如下:
- clock status: synchronized
- clock stratum: 4
- reference clock ID: 222.55.0.9
NE16能与NE80时钟进行正常同步。
故障排除。
----结束
案例总结
通过设置访问权限保护本地NTP服务,是VRP提供的一种比较简单的安全措施。VRP提供4个等级的访问限制,当1个NTP访问请求到达本地时,按照最小访问限制到***访问限制依次匹配,以第1个匹配的为准,匹配顺序如下:peer,server,synchronization,query。
需要根据实际组网需求设置正确的访问权限。在选用peer权限时,对主动对等体添加ACL时候,要注意允许被动对等体的访问。
【编辑推荐】