华为 USG6000 NTP配置参考
配置带验证的单播NTP服务器/客户端模式以单播NTP服务器和客户端模式为例进行配置的介绍。组网需求单播NTP服务器/客户端模式如图1所示。· NGFW_A作为NTP单播服务器,其本地时钟作为NTP主时钟,层数为2。· NGFW_B作为NTP客户端,同步远端服务器NGFW_A的时钟。· NGFW_C和NGFW_D作为NTP客户端,把NGFW_B作为自己的NTP服务器。· 启用NTP验证。图1 单播NTP服务器/客户端模式组网图http://forum.huawei.com/enterprise/zh/data/attachment/forum/dm/ecommunity/uploads/2015/0402/13/551cdabeb606d.png
项目数据
参考时钟的IP地址2.2.2.2/24
NTP主时钟的层次数2
密钥编号42
验证方式HMAC-SHA256
密码Hello@123
配置思路采用如下思路进行此案例的配置:1.配置NGFW_A作为服务器,提供主时钟。2.配置NGFW_B作为NTP客户端,同步NGFW_A的时钟。3.配置NGFW_C、NGFW_D作为NTP客户端,同步NGFW_B的时钟。http://forum.huawei.com/enterprise/zh/data/attachment/forum/dm/ecommunity/uploads/2015/0402/13/551cdabed6cf5.gif说明:配置带验证的单播NTP服务器/客户端模式时:o 客户端需先启用NTP验证,然后再指定NTP服务器地址,并同时指定发给服务器的验证密钥。如果不先启用验证功能,将不进行验证而直接进行同步。o 客户端和服务器端都需要进行完整的配置,才能验证通过。操作步骤
[*]配置IP地址。
# 配置NGFW_A的IP地址。<NGFW_A> system-view interface GigabitEthernet 1/0/2 ip address 2.2.2.2 24 quit# 配置NGFW_B的IP地址。<NGFW_B> system-view interface GigabitEthernet 1/0/2 ip address 10.0.0.1 24 quit interface GigabitEthernet 1/0/1 ip address 10.0.1.1 24 quit# 配置NGFW_C的IP地址。<NGFW_C> system-view interface GigabitEthernet 1/0/2 ip address 10.0.0.2 24 quit# 配置NGFW_D的IP地址。<NGFW_D> system-view interface GigabitEthernet 1/0/2 ip address 10.0.0.3 24 quit
[*]将接口加入安全区域,并在域间配置安全策略,以保证网络基本通信正常,具体步骤略。
[*]在NGFW_A配置NTP主时钟并启动验证功能。
# 在NGFW_A上指定使用自己的本地时钟作为参考时钟,层数为2。 ntp-service refclock-master 2# 在NGFW_A上开启NTP验证功能、配置验证密钥并声明该密钥可信。 ntp-service authentication enable ntp-service authentication-keyid 42 authentication-mode hmac-sha256 Hello@123 ntp-service reliable authentication-keyid 42http://forum.huawei.com/enterprise/zh/data/attachment/forum/dm/ecommunity/uploads/2015/0402/13/551cdabeedbaa.gif注意:注意NTP服务器端与客户端必须配置相同的验证密钥。
[*]在NGFW_B指定NTP服务器并启动验证功能。
# 在NGFW_B上开启NTP验证功能、配置验证密钥并声明该密钥可信。 ntp-service authentication enable ntp-service authentication-keyid 42 authentication-mode hmac-sha256 Hello@123 ntp-service reliable authentication-keyid 42# NGFW_B指定NGFW_A为NTP服务器,并使用已配置的验证密钥。 ntp-service unicast-server 2.2.2.2 authentication-keyid 42
[*]在NGFW_C指定NTP服务器。
# NGFW_C指定NGFW_B作为自己的NTP服务器。 ntp-service authentication enable ntp-service authentication-keyid 42 authentication-mode hmac-sha256 Hello@123 ntp-service reliable authentication-keyid 42 ntp-service unicast-server 10.0.0.1 authentication-keyid 42
[*]在NGFW_D指定NTP服务器。
# NGFW_D指定NGFW_B作为自己的NTP服务器。 ntp-service authentication enable ntp-service authentication-keyid 42 authentication-mode hmac-sha256 Hello@123 ntp-service reliable authentication-keyid 42 ntp-service unicast-server 10.0.0.1 authentication-keyid 42结果验证· 完成上述配置后,NGFW_B可以同步到NGFW_A的时间。查看NGFW_B的NTP状态,可以看到时钟状态为“synchronized”,即已经完成同步。时钟的层数为3,比服务器NGFW_A低1级。display ntp-service status clock status: synchronized clock stratum: 3 reference clock ID: 2.2.2.2 nominal frequency: 60.0002 Hz actual frequency: 60.0002 Hz clock precision: 2^13 clock offset: 3.8128 ms root delay: 31.26 ms root dispersion: 74.20 ms peer dispersion: 34.30 ms reference time: 11:55:56.833 UTC Mar 2 2009(C7B15BCC.D5604189)· 完成上述配置后,NGFW_C可以同步到NGFW_B的时间。查看NGFW_C的NTP状态,可以看到时钟状态为“synchronized”,即已经完成同步。时钟的层数为4,比服务器NGFW_B低1级。display ntp-service statusclock status: synchronized clock stratum: 4 reference clock ID: 10.0.0.1 nominal frequency: 60.0002 Hz actual frequency: 60.0002 Hz clock precision: 2^13 clock offset: 3.8128 ms root delay: 31.26 ms root dispersion: 74.20 ms peer dispersion: 34.30 ms reference time: 11:55:56.833 UTC Mar 2 2009(C7B15BCC.D5604189)· 查看NGFW_D的NTP状态,可以看到时钟状态为“synchronized”,即已经完成同步。时钟的层数为4,比服务器NGFW_B低1级。· display ntp-service status· clock status: synchronized· clock stratum: 4· reference clock ID: 10.0.0.1· nominal frequency: 60.0002 Hz· actual frequency: 60.0002 Hz· clock precision: 2^13· clock offset: 3.8128 ms· root delay: 31.26 ms· root dispersion: 74.20 ms· peer dispersion: 34.30 ms· reference time: 11:55:56.833 UTC Mar 2 2009(C7B15BCC.D5604189)· 查看NGFW_A的NTP状态。· display ntp-service status· clock status: synchronized· clock stratum: 2· reference clock ID: LOCAL(0)· nominal frequency: 60.0002 Hz· actual frequency: 60.0002 Hz· clock precision: 2^13· clock offset: 0.0000 ms· root delay: 0.00 ms· root dispersion: 26.50 ms· peer dispersion: 10.00 ms· reference time: 12:01:48.377 UTC Mar 2 2009(C7B15D2C.60A15981)
感谢楼主分享! 太精彩了,赞 太精彩了,赞 感谢分享 ddddddddddd
页:
[1]