S5130系列交換機網絡管理和監(jiān)控配置指導

1、H3C S5130-HI 系列以太網交換機網絡管理和監(jiān)控配置指導前 言H3C S5130-HI 系列以太網交換機配置指導介紹了 S5130-HI 系列交換機各軟件特性的原理及其配置方法，包含原理簡介、配置任務描述和配置舉例。網絡管理和監(jiān)控配置指導主要介紹了網絡管理和監(jiān)控相關功能的原理及具體配置。通過這些功能，您可以對網絡進行管理和監(jiān)控，包括查看系統(tǒng)信息、對網絡流量進行統(tǒng)計、對網絡質量進行分析、對網絡內所有具有時鐘的設備進行時鐘同步，并可以使用 ping、tracert、debug 等命令來檢查、調試當前網絡的連接情況。前言部分包含如下內容： HYPERLINK l _bookmark0 讀者對

2、象 HYPERLINK l _bookmark1 本書約定 HYPERLINK l _bookmark2 產品配套資料 HYPERLINK l _bookmark3 資料獲取方式 HYPERLINK l _bookmark4 技術支持 HYPERLINK l _bookmark5 資料意見反饋讀者對象本手冊主要適用于如下工程師：網絡規(guī)劃人員現場技術支持與維護人員負責網絡配置和維護的網絡管理員本書約定命令行格式約定格式意義粗體命令行關鍵字（命令中保持不變、必須照輸的部分）采用加粗字體表示。斜體命令行參數（命令中必須由實際值進行替代的部分）采用斜體表示。 表示用“ ”括起來的部分在命令配置時是可選

3、的。 x | y | . 表示從多個選項中僅選取一個。 x | y | . 表示從多個選項中選取一個或者不選。 x | y | . *表示從多個選項中至少選取一個。 x | y | . *表示從多個選項中選取一個、多個或者不選。&表示符號&前面的參數可以重復輸入1n次。#由“#”號開始的行表示為注釋行。圖形界面格式約定格式意義帶尖括號“”表示按鈕名，如“單擊按鈕”。 帶方括號“ ”表示窗口名、菜單名和數據表，如“彈出新建用戶窗口”。/多級菜單用“/”隔開。如文件/新建/文件夾多級菜單表示文件菜單下的新建子菜單下的文件夾菜單項。各類標志本書還采用各種醒目標志來表示在操作過程中應該特別注意的地方，

4、這些標志的意義如下： 該標志后的注釋需給予格外關注，不當的操作可能會對人身造成傷害。提醒操作中應注意的事項，不當的操作可能會導致數據丟失或者設備損壞。為確保設備配置成功或者正常工作而需要特別關注的操作或信息。對操作內容的描述進行必要的補充和說明。配置、操作、或使用設備的技巧、小竅門。圖標約定本書使用的圖標及其含義如下：該圖標及其相關描述文字代表一般網絡設備，如路由器、交換機、防火墻等。該圖標及其相關描述文字代表一般意義下的路由器，以及其他運行了路由協(xié)議的設備。該圖標及其相關描述文字代表二、三層以太網交換機，以及運行了二層協(xié)議的設備。該圖標及其相關描述文字代表無線控制器、無線控制器業(yè)務板和有線無

5、線一體化交換機的無線控制引擎設備。該圖標及其相關描述文字代表無線接入點設備。該圖標及其相關描述文字代表無線Mesh設備。該圖標代表發(fā)散的無線射頻信號。該圖標代表點到點的無線射頻信號。該圖標及其相關描述文字代表防火墻、UTM、多業(yè)務安全網關、負載均衡等安全設備。該圖標及其相關描述文字代表防火墻插卡、負載均衡插卡、NetStream插卡、SSL VPN插卡、IPS插卡、ACG插卡等安全插卡。端口編號示例約定本手冊中出現的端口編號僅作示例，并不代表設備上實際具有此編號的端口，實際使用中請以設備上存在的端口編號為準。產品配套資料H3C S5130-HI 系列以太網交換機的配套資料包括如下部分：大類資料

6、名稱內容介紹硬件介紹及安裝安全兼容性手冊列出產品的兼容性聲明，并對兼容性和安全的細節(jié)進行說明快速安裝指南指導您對設備進行初始安裝，通常針對最常用的情況， 減少您的檢索時間安裝指導幫助您詳細了解設備硬件規(guī)格和安裝方法，指導您對設備進行安裝風扇安裝手冊幫助您了解產品支持的可插拔風扇模塊的外觀、功能、規(guī)格、安裝及拆卸方法電源手冊幫助您了解產品支持的可插拔電源模塊的外觀、功能、規(guī)格、安裝及拆卸方法接口模塊擴展卡用戶手冊幫助您了解該接口模塊擴展卡的外觀、規(guī)格、安裝及拆卸方法可插拔模塊手冊幫助您了解產品支持的可插拔模塊類型、外觀和規(guī)格H3C可插拔SFPSFP+XFP模塊安裝指南幫助您掌握SFP/SFP+/

7、XFP模塊的正確安裝方法，避免因操作不當而造成器件損壞業(yè)務配置配置指導幫助您掌握設備軟件功能的配置方法及配置步驟命令參考詳細介紹設備的命令，相當于命令字典，方便您查閱各個命令的功能運行維護MIB Companion與軟件版本配套的MIB Companion版本說明書幫助您了解產品版本的相關信息（包括：版本配套說明、兼容性說明、特性變更說明、技術支持信息）及軟件升級方法i目 錄 HYPERLINK l _bookmark6 系統(tǒng)維護與調試 HYPERLINK l _bookmark7 1-1 HYPERLINK l _bookmark6 Ping功能 HYPERLINK l _bookmark8

8、 1-1 HYPERLINK l _bookmark6 Ping功能簡介 HYPERLINK l _bookmark9 1-1 HYPERLINK l _bookmark6 Ping配置 HYPERLINK l _bookmark10 1-1 HYPERLINK l _bookmark6 Ping配置舉例 HYPERLINK l _bookmark11 1-1 HYPERLINK l _bookmark13 Tracert功能 HYPERLINK l _bookmark14 1-3 HYPERLINK l _bookmark13 Tracert功能簡介 HYPERLINK l _bookmar

9、k15 1-3 HYPERLINK l _bookmark17 Tracert配置 HYPERLINK l _bookmark18 1-4 HYPERLINK l _bookmark17 Tracert配置舉例 HYPERLINK l _bookmark19 1-4 HYPERLINK l _bookmark21 系統(tǒng)調試 HYPERLINK l _bookmark22 1-5 HYPERLINK l _bookmark21 系統(tǒng)調試簡介 HYPERLINK l _bookmark23 1-5 HYPERLINK l _bookmark24 系統(tǒng)調試操作 HYPERLINK l _bookma

10、rk26 1-61- PAGE 6系統(tǒng)維護與調試Ping功能Ping功能簡介通過使用 ping 功能，用戶可以檢查指定地址的設備是否可達，測試鏈路是否通暢。Ping 功能是基于 ICMP（Internet Control Message Protocol，互聯(lián)網控制消息協(xié)議）協(xié)議來實現的： 源端向目的端發(fā)送 ICMP 回顯請求（ECHO-REQUEST）報文后，根據是否收到目的端的 ICMP 回顯應答（ECHO-REPLY）報文來判斷目的端是否可達，對于可達的目的端，再根據發(fā)送報文個數、接收到響應報文個數以及 Ping 過程報文的往返時間來判斷鏈路的質量。Ping配置表1-1 Ping 配置操

11、作命令說明ping ip -a source-ip | -c count | -f | -h ttl | -i interface-type interface-number | -m interval | -n | -p pad | -q | -r | -s packet-size | -t timeout | -tos tos | -v * hostping命令用于IPv4網絡環(huán)境，ping ipv6命令用于IPv6網絡環(huán)境檢查IP網絡兩條命令均可在任意視圖中的指定地下執(zhí)行址是否可達ping ipv6 -a source-ipv6 | -c count | -i interface-typ

12、einterface-number | -m interval | -q | -s packet-size | -t timeout | -v |-tc traffic-class * host如果網絡傳輸速度較慢， 用戶在使用ping命令時，可以適當增大超時時間-t參數的值Ping配置舉例組網需求檢查 Device A 與 Device C 之間是否路由可達，如果路由可達，需要了解 Device A 到 Device C 的路由細節(jié)。組網圖圖1-1 Ping 應用組網圖配置步驟# 使用 ping 命令查看 Device A 和 Device C 之間路由是否可達。 ping Ping ():

13、 56 data bytes, press CTRL_C to break56 bytes from : icmp_seq=0 ttl=254 time=2.137 ms56 bytes from : icmp_seq=1 ttl=254 time=2.051 ms56 bytes from : icmp_seq=2 ttl=254 time=1.996 ms56 bytes from : icmp_seq=3 ttl=254 time=1.963 ms56 bytes from : icmp_seq=4 ttl=254 time=1.991 ms Ping statistics for 5

14、packet(s) transmitted, 5 packet(s) received, 0.0% packet loss round-trip min/avg/max/std-dev = 1.963/2.028/2.137/0.062 ms以上顯示信息表明 Device A 給 Device C 發(fā)送了 5 個 ICMP 報文，收到 5 個 ICMP 報文，沒有報文丟失，路由可達。# 了解 Device A 到 Device C 的路由細節(jié)。 ping r Ping (): 56 data bytes, press CTRL_C to break56 bytes from : icmp_se

15、q=0 ttl=254 time=4.685 ms RR:56 bytes from : icmp_seq=1 ttl=254 time=4.834 ms(same route)56 bytes from : icmp_seq=2 ttl=254 time=4.770 ms(same route)56 bytes from : icmp_seq=3 ttl=254 time=4.812 ms(same route)56 bytes from : icmp_seq=4 ttl=254 time=4.704 ms(same route) Ping statistics for 5 packet(s

16、) transmitted, 5 packet(s) received, 0.0% packet loss round-trip min/avg/max/std-dev = 4.685/4.761/4.834/0.058 ms ping -r的原理如 HYPERLINK l _bookmark12 圖 1-1 所示：源端（Device A）發(fā)送 RR 選項（ICMP 報文中的一個字段）為空的 ICMP 回顯請求給目的端（Device C）。中間設備（Device B）將自己出接口的 IP 地址（）添加到 ICMP 回顯請求報文的 RR選項中，并轉發(fā)該報文。目的端收到請求報文后，發(fā)送 ICMP

17、回顯響應報文，響應報文會拷貝請求報文的 RR 選項，并將自己出接口的 IP 地址（）添加到 RR 選項中。中間設備將自己出接口的 IP 地址（）添加到 RR 選項中，并轉發(fā)該報文。源端收到 ICMP 回顯響應報文，將自己入接口的 IP 地址（）添加到 RR 選項中。最后得到，Device A 到 Device C 具體路由為 ; 。Tracert功能Tracert功能簡介通過使用 tracert 功能，用戶可以查看 IP 報文從源端到達目的端所經過的三層設備，從而檢查網絡連接是否可用。當網絡出現故障時，用戶可以使用該功能分析出現故障的網絡節(jié)點。圖1-2 Tracert 原理示意圖Device

18、ADevice BDevice CDevice D/24/24/24/24/24/24Hop Lmit=1 TTL exceededHop Lmit=2 TTL exceeded Hop Lmit=n UDP port unreachableTracert功能也是基于ICMP協(xié)議來實現的，如 HYPERLINK l _bookmark16 圖 1-2 所示，Tracert功能的原理為：源端（Device A）向目的端（Device D）發(fā)送一個 IP 數據報文，TTL 值為 1，報文的 UDP 端口號是目的端的任何一個應用程序都不可能使用的端口號；第一跳（即該報文所到達的第一個三層設備，Dev

19、ice B）回應一個 TTL 超時的 ICMP 錯誤消息（該報文中含有第一跳的 IP 地址 ），這樣源端就得到了第一個三層設備的地址（）；源端重新向目的端發(fā)送一個 IP 數據報文，TTL 值為 2；第二跳（Device C）回應一個 TTL 超時的 ICMP 錯誤消息，這樣源端就得到了第二個三層設備的地址（）；以上過程不斷進行，直到該報文到達目的端，因目的端沒有應用程序使用該 UDP 端口，目的端返回一個端口不可達的 ICMP 錯誤消息（攜帶了目的端的 IP 地址 ）；當源端收到這個端口不可達的 ICMP 錯誤消息后，就知道報文已經到達了目的端，從而得到數據報文從源端到目的端所經歷的路徑（；）

20、。Tracert配置配置準備IPv4 網絡環(huán)境：需要在中間設備（源端與目的端之間的設備）上開啟 ICMP 超時報文發(fā)送功能。如果中間設備是 H3C 設備，需要在設備上執(zhí)行 ip ttl-expires enable 命令（該命令的詳細介紹請參見“三層技術-IP 業(yè)務命令參考”中的“IP 性能優(yōu)化”）。需要在目的端開啟 ICMP 目的不可達報文發(fā)送功能。如果目的端是 H3C 設備，需要在設備上執(zhí)行 ip unreachables enable 命令（該命令的詳細介紹請參見“三層技術-IP 業(yè)務命令參考” 中的“IP 性能優(yōu)化”）。IPv6 網絡環(huán)境：需要在中間設備（源端與目的端之間的設備）上開啟

21、設備的 ICMPv6 超時報文的發(fā)送功能。如果中間設備是 H3C 設備，需要在設備上執(zhí)行 ipv6 hoplimit-expires enable 命令（該命令的詳細介紹請參見“三層技術-IP 業(yè)務命令參考”中的“IPv6 基礎”）。需要在目的端開啟設備的 ICMPv6 目的不可達報文的發(fā)送功能。如果目的端是 H3C 設備，需要在設備上執(zhí)行 ipv6 unreachables enable 命令（該命令的詳細介紹請參見“三層技術-IP 業(yè)務命令參考”中的“IPv6 基礎”）。Tracert配置表1-2 Tracert 配置操作命令說明查看源端到目的端的路由tracert -a source-i

22、p | -f first-ttl | -m max-ttl | -pport | -q packet-number | -t tos | -w timeout * hosttracert命令用于IPv4網絡環(huán)境， tracert ipv6命令用于IPv6網絡環(huán)境兩條命令均可在任意視圖下執(zhí)行tracert ipv6 -f first-hop | -m max-hops | -p port |-q packet-number | -t traffic-class | -w timeout *hostTracert配置舉例組網需求Device A 使用 Telnet 登錄 Device C 失敗，現

23、需要確認 Device A 與 Device C 之間是否路由可達， 如果路由不可達，需要確定故障的網絡節(jié)點。組網圖圖1-3 Tracert 應用組網圖/24/24/24/24Device ADevice BDevice C配置步驟在Device A、Device B和Device C上分別配置IP地址，IP地址值如 HYPERLINK l _bookmark20 圖 1-3 所示。在 Device A 上配置一條靜態(tài)路由。 system-viewDeviceA ip route-static DeviceA quit使用 ping 命令查看 Device A 和 Device C 之間路由是

24、否可達。 ping Ping (): 56 data bytes, press CTRL_C to break Request time outRequest time out Request time out Request time out Request time out Ping statistics for 5 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss路由不可達，使用 tracert 命令確定故障的網絡節(jié)點。# 在 Device B 上開啟 ICMP 超時報文發(fā)送功能。 system-viewDev

25、iceB ip ttl-expires enable# 在 Device C 上開啟 ICMP 目的不可達報文發(fā)送功能。 system-viewDeviceC ip unreachables enable# 在 Device A 上使用 tracert 命令確定故障的網絡節(jié)點。 tracert traceroute to (), 30 hops at most, 40 bytes each packet, press CTRL_C to break 1 () 1 ms 2 ms 1 ms2* * *3* * *4* * *5從上面結果可以看出，Device A 和 Device C 之間路由不

26、可達。Device A 發(fā)往 Device C 的報文已經到達 Device B，Device B 和 Device C 之間的連接出了問題。此時可以在 Device A 和 Device C 上使用 debugging ip icmp 命令打開ICMP 報文的調試開關，查看設備有沒有收發(fā)指定的 ICMP 報文?；蛘呤褂?display ip routing-table 查看有沒有到對端的路由。系統(tǒng)調試系統(tǒng)調試簡介設備提供了種類豐富的調試功能。設備支持的大部分功能模塊，系統(tǒng)都提供了相應的調試信息，幫助用戶對錯誤進行診斷和定位。調試信息的輸出可以由兩個開關控制：模塊調試開關，控制是否生成某模塊的

27、調試信息。屏幕輸出開關，控制是否在某個用戶屏幕上顯示調試信息。屏幕輸出開關可以使用 terminalmonitor 和 terminal logging level 命令打開，terminal monitor 和 terminal logging level命令的詳細介紹請參見“網絡管理與監(jiān)控命令參考”中的“信息中心”。如 HYPERLINK l _bookmark25 圖 1-4 所示：假設設備可以為 1、2、3 三個模塊提供調試信息，用戶只有將兩個開關都打開，調試信息才會在終端顯示出來。圖1-4 系統(tǒng)調試開關關系圖在控制臺上顯示是最常用的調試信息輸出方式，用戶還可以將調試信息發(fā)送到別的輸出

28、方向，具體配置請參見“網絡管理與監(jiān)控配置指導”中的“信息中心”。系統(tǒng)調試操作debugging 命令一般在維護人員進行網絡故障診斷時使用。由于調試信息的輸出會影響系統(tǒng)的運行效率，所以建議在需要進行網絡故障診斷時根據需要打開某個功能模塊的調試開關，不要同時打開多個功能模塊的調試開關。在調試結束后，建議使用 undo debugging all 命令關閉所有模塊的調試開關。表1-3 系統(tǒng)調試操作操作命令說明打開指定模塊的調試開關debugging all timeout time |module-name option 缺省情況下，所有模塊的調試開關均處于關閉狀態(tài)該命令在用戶視圖下執(zhí)行（可選）顯示

29、已經打開的調試開關display debugging module-name 該命令可在任意視圖下執(zhí)行 PAGE * roman ii目 錄 HYPERLINK l _bookmark27 1 NTP HYPERLINK l _bookmark28 1-1 HYPERLINK l _bookmark27 NTP簡介 HYPERLINK l _bookmark29 1-1 HYPERLINK l _bookmark27 NTP基本工作原理 HYPERLINK l _bookmark30 1-1 HYPERLINK l _bookmark31 NTP網絡結構及時鐘層數 HYPERLINK l _b

30、ookmark33 1-2 HYPERLINK l _bookmark34 NTP的工作模式 HYPERLINK l _bookmark36 1-3 HYPERLINK l _bookmark38 NTP安全功能 HYPERLINK l _bookmark39 1-5 HYPERLINK l _bookmark41 協(xié)議規(guī)范 HYPERLINK l _bookmark42 1-6 HYPERLINK l _bookmark41 NTP配置任務簡介 HYPERLINK l _bookmark43 1-6 HYPERLINK l _bookmark41 開啟NTP服務 HYPERLINK l _b

31、ookmark44 1-6 HYPERLINK l _bookmark45 配置NTP工作模式 HYPERLINK l _bookmark46 1-7 HYPERLINK l _bookmark45 配置NTP客戶端/服務器模式 HYPERLINK l _bookmark47 1-7 HYPERLINK l _bookmark45 配置NTP對等體模式 HYPERLINK l _bookmark48 1-7 HYPERLINK l _bookmark49 配置NTP廣播模式 HYPERLINK l _bookmark50 1-8 HYPERLINK l _bookmark49 配置NTP組播模

32、式 HYPERLINK l _bookmark51 1-8 HYPERLINK l _bookmark52 配置NTP服務的訪問控制權限 HYPERLINK l _bookmark53 1-9 HYPERLINK l _bookmark52 配置NTP驗證功能 HYPERLINK l _bookmark54 1-9 HYPERLINK l _bookmark52 配置客戶端/服務器模式的NTP驗證功能 HYPERLINK l _bookmark55 1-9 HYPERLINK l _bookmark57 配置對等體模式的NTP驗證功能 HYPERLINK l _bookmark58 1-11

33、HYPERLINK l _bookmark59 配置廣播模式的NTP驗證功能 HYPERLINK l _bookmark61 1-12 HYPERLINK l _bookmark63 配置組播模式的NTP驗證功能 HYPERLINK l _bookmark64 1-14 HYPERLINK l _bookmark65 配置NTP可選參數 HYPERLINK l _bookmark67 1-15 HYPERLINK l _bookmark65 配置NTP報文的源接口 HYPERLINK l _bookmark68 1-15 HYPERLINK l _bookmark69 配置接口不處理收到的NT

34、P報文 HYPERLINK l _bookmark70 1-16 HYPERLINK l _bookmark69 配置動態(tài)會話的最大數目 HYPERLINK l _bookmark71 1-16 HYPERLINK l _bookmark72 配置NTP報文的DSCP優(yōu)先級 HYPERLINK l _bookmark73 1-17 HYPERLINK l _bookmark72 配置本地時鐘作為參考時鐘 HYPERLINK l _bookmark74 1-17 HYPERLINK l _bookmark75 NTP顯示和維護 HYPERLINK l _bookmark76 1-18 HYPER

35、LINK l _bookmark75 NTP典型配置舉例 HYPERLINK l _bookmark77 1-18 HYPERLINK l _bookmark75 配置NTP客戶端/服務器模式 HYPERLINK l _bookmark78 1-18 HYPERLINK l _bookmark80 配置IPv6 NTP客戶端/服務器模式 HYPERLINK l _bookmark81 1-19 HYPERLINK l _bookmark83 配置NTP對等體模式 HYPERLINK l _bookmark84 1-21 HYPERLINK l _bookmark86 配置IPv6 NTP對等體

36、模式 HYPERLINK l _bookmark87 1-22 HYPERLINK l _bookmark89 配置NTP廣播模式 HYPERLINK l _bookmark90 1-23 HYPERLINK l _bookmark92 配置NTP組播模式 HYPERLINK l _bookmark93 1-25 HYPERLINK l _bookmark95 配置IPv6 NTP組播模式 HYPERLINK l _bookmark96 1-28 HYPERLINK l _bookmark98 配置帶驗證功能的NTP客戶端/服務器模式 HYPERLINK l _bookmark99 1-31

37、HYPERLINK l _bookmark101 配置帶驗證功能的NTP廣播模式 HYPERLINK l _bookmark102 1-32 HYPERLINK l _bookmark104 SNTP HYPERLINK l _bookmark105 2-1 HYPERLINK l _bookmark104 SNTP簡介 HYPERLINK l _bookmark106 2-1 HYPERLINK l _bookmark104 SNTP配置任務簡介 HYPERLINK l _bookmark107 2-1 HYPERLINK l _bookmark104 開啟SNTP服務 HYPERLINK

38、l _bookmark108 2-1 HYPERLINK l _bookmark109 為SNTP客戶端指定NTP服務器 HYPERLINK l _bookmark110 2-2 HYPERLINK l _bookmark109 配置SNTP驗證功能 HYPERLINK l _bookmark111 2-2 HYPERLINK l _bookmark112 SNTP顯示和維護 HYPERLINK l _bookmark113 2-3 HYPERLINK l _bookmark112 SNTP典型配置舉例 HYPERLINK l _bookmark114 2-31- PAGE 351 NTP設備

39、上不能同時配置 NTP 和 SNTP 功能。NTP 功能中所指的“接口”為三層接口，包括 VLAN 接口、三層以太網接口等。三層以太網接口是指在以太網接口視圖下通過 port link-mode route 命令切換為三層模式的以太網接口，有關以太網接口模式切換的操作，請參見“二層技術-以太網交換配置指導”中的“以太網接口配置”。NTP簡介在大型的網絡中，如果依靠管理員手工配置來修改網絡中各臺設備的系統(tǒng)時間，不但工作量巨大， 而且也不能保證時間的精確性。NTP（Network Time Protocol，網絡時間協(xié)議）可以用來在分布式時間服務器和客戶端之間進行時間同步，使網絡內所有設備的時間保

40、持一致，并提供較高的時間同步精度。NTP 采用的傳輸層協(xié)議為 UDP，使用的 UDP 端口號為 123。這里的“分布式”指的是運行 NTP 的設備既可以與其他設備的時間同步，又可以作為時間服務器為其他設備提供時間同步。NTP 主要應用于需要網絡中所有設備的時間保持一致的場合，比如：需要以時間作為參照依據，對從不同設備采集來的日志信息、調試信息進行分析的網絡管理系統(tǒng)。對設備時間一致性有要求的計費系統(tǒng)。多個系統(tǒng)協(xié)同處理同一個比較復雜的事件的場合。此時，為保證正確的執(zhí)行順序，多個系統(tǒng)的時間必須保持一致。NTP基本工作原理NTP的基本工作原理如 HYPERLINK l _bookmark32 圖 1-

41、1 所示。Device A和Device B通過網絡相連，Device A和Device B的時間不同，需要通過NTP實現時間的自動同步。為便于理解，作如下假設：在 Device A 和 Device B 的時間同步之前，Device A 的時間設定為 10:00:00 am，Device B的時間設定為 11:00:00 am。Device B 作為 NTP 時間服務器，即 Device A 與 Device B 的時間同步。NTP 報文從 Device A 到 Device B、從 Device B 到 Device A 單向傳輸所需要的時間均為 1秒。Device B 處理 NTP 報文

42、所需的時間是 1 秒。圖1-1 NTP 基本工作原理圖IP networkDevice ADevice B1.NTP message10:00:00 am11:00:01 am10:00:00 amNTP message2.NTP message10:00:00 am11:00:01 am11:00:02 am3.NTP message10:00:00 am11:00:01 am11:00:02 amDevice A receives the NTP message at 10:00:03 amDevice A 和 Device B 時間同步的工作過程如下：Device A 發(fā)送一個 NTP

43、報文給 Device B，該報文帶有它離開 Device A 時的時間戳，該時間戳為 10:00:00 am（T1）。當此 NTP 報文到達 Device B 時，Device B 在 NTP 報文上增加該報文到達 Device B 時的時間戳，該時間戳為 11:00:01 am（T2）。當此 NTP 報文離開 Device B 時，Device B 再在 NTP 報文上增加該報文離開 Device B 時的時間戳，該時間戳為 11:00:02 am（T3）。當 Device A 接收到該響應報文時，Device A 的本地時間為 10:00:03 am（T4）。至此，Device A 可以根

44、據上述時間戳計算兩個重要的參數：NTP 報文的往返時延 Delay = (T4 T1) (T3 T2) = 2 秒。Device A 相對 Device B 的時間差 Offset = (T2 T1) + (T3 T4) / 2 = 1 小時。這樣，Device A 就能夠根據這些信息來設定自己的時間，使之與 Device B 的時間同步。以上內容只是對 NTP 工作原理的一個粗略描述，詳細內容請參閱相關的協(xié)議規(guī)范。NTP網絡結構及時鐘層數NTP 通過時鐘層數來定義時鐘的準確度。時鐘層數的取值范圍為 116，取值越小，時鐘準確度越高。層數為 115 的時鐘處于同步狀態(tài)；層數為 16 的時鐘處于

45、未同步狀態(tài)。圖1-2 NTP 網絡結構權威時鐘主時間服務器時鐘層數為1二級時間服務器時鐘層數為2三級時間服務器時鐘層數為3四級時間服務器時鐘層數為4服務器客戶端對等體對等體 廣播/組播服務器廣播/組播客戶端如 HYPERLINK l _bookmark35 圖 1-2 所示，實際網絡中，通常將從權威時鐘（如原子時鐘）獲得時間同步的NTP服務器的層數設置為 1，并將其作為主時間服務器，為網絡中其他設備的時鐘提供時間同步。網絡中的設備與主時間服務器的NTP距離，即NTP同步鏈上NTP服務器的數目，決定了設備上時鐘的層數。例如，從主時間服務器獲得時間同步的設備的時鐘層數為 2，即比主時間服務器的時鐘

46、層數大 1；從時鐘層數為 2 的時間服務器獲得時間同步的設備的時鐘層數為 3，以此類推。為了保證時間的準確性和可靠性，可以為一臺設備指定多個時間服務器，設備根據時鐘層數等參數進行時鐘過濾和選擇，從多個時間服務器中選擇最優(yōu)的時鐘，與其同步。設備選中的時鐘稱為參考時鐘。時鐘優(yōu)選過程的詳細介紹，請參閱相關的協(xié)議規(guī)范。在某些網絡中，例如無法與外界通信的孤立網絡，網絡中的設備無法與權威時鐘進行時間同步。此時，可以從該網絡中選擇一臺時鐘較為準確的設備，指定該設備與本地時鐘進行時間同步，即采用本地時鐘作為參考時鐘，使得該設備的時鐘處于同步狀態(tài)。該設備作為時間服務器為網絡中的其他設備提供時間同步，從而實現整個

47、網絡的時間同步。NTP的工作模式NTP 支持以下幾種工作模式：客戶端/服務器模式對等體模式廣播模式組播模式用戶可以根據需要選擇一種或幾種工作模式進行時間同步。各種模式的詳細介紹，如 HYPERLINK l _bookmark37 表 1-1 所示。表1-1 NTP 模式介紹模式工作過程時間同步方向應用場合客戶端/服務器模式客戶端上需要手工指定NTP服務器的地址。客戶端向NTP服務器發(fā)送NTP 時間同步報文。NTP服務器收到報文后會自動工作在服務器模式，并回復應答報文如果客戶端可以從多個時間服務器獲取時間同步，則客戶端收到應答報文后，進行時鐘過濾和選擇，并與優(yōu)選的時鐘進行時間同步客戶端能夠與 N

48、TP服務器的時間同步NTP 服務器無法與客戶端的時間同步如 HYPERLINK l _bookmark35 圖1-2所示，該模式通常用于下級的設備從上級的時間服務器獲取時間同步對等體模式主動對等體（Symmetric active peer） 上需要手工指定被動對等體（Symmetric passive peer）的地址。主動對等體向被動對等體發(fā)送NTP時間同步報文。被動對等體收到報文后會自動工作在被動對等體模式，并回復應答報文如果主動對等體可以從多個時間服務器獲取時間同步，則主動對等體收到應答報文后，進行時鐘過濾和選擇，并與優(yōu)選的時鐘進行時間同步主動對等體和被動對等體的時間可以互相同步如果雙

49、方的時鐘都處于同步狀態(tài)，則層數大的時鐘與層數小的時鐘的時間同步如 HYPERLINK l _bookmark35 圖1-2所示，該模式通常用于同級的設備間互相同步，以便在同級的設備間形成備份。如果某臺設備與所有上級時間服務器的通信出現故障，則該設備仍然可以從同級的時間服務器獲得時間同步廣播模式廣播服務器周期性地向廣播地址55發(fā)送NTP時間同步報文。廣播客戶端偵聽來自廣播服務器的廣播報文，根據接收的廣播報文將設備的時間與廣播服務器的時間進行同步廣播客戶端接收到廣播服務器發(fā)送的 第一個NTP報文后，會與廣播服務器進行報文交互，以獲得報文的往返時延， 為時間同步提供必要的參數。之后，只有廣播服務器單

50、方向發(fā)送報文廣播客戶端能夠與廣播服務器的時間同步廣播服務器無法與廣播客戶端的時間同步廣播服務器廣播發(fā)送時間同步報文，可以同時同步同一個子網中多個廣播客戶端的時間。如 HYPERLINK l _bookmark35 圖1-2所示，使用同一個時間服務器為同一個子網中的大量設備提供時間同步時，可以使用廣播模式，以簡化網絡配置由于只有廣播服務器單方向發(fā)送報文，廣播模式的時間準確度不如客戶端/服務器模式和對等體模式組播模式組播服務器周期性地向指定的組播地址發(fā)送NTP時間同步報文?？蛻舳藗陕爜碜苑掌鞯慕M播報文，根據接收的組播報文將設備的時間與組播服務器的時間進行同步組播客戶端能夠與組播服務器的時間同步組

51、播服務器無法與組播客戶端的時間同步組播模式對廣播模式進行了擴展，組播服務器可以同時為同一子網、不同子網的多個組播客戶端提供時間同步組播模式的時間準確度不如客戶端/服務器模式和對等體模式本文中 NTP 服務器或服務器指的是客戶端/服務器模式中工作在服務器模式的設備；時間服務器指的是所有能夠提供時間同步的設備，包括 NTP 服務器、NTP 對等體、廣播服務器和組播服務器。NTP安全功能為了提高時間同步的安全性，NTP 提供了 NTP 服務的訪問控制權限和 NTP 驗證功能。NTP服務的訪問控制權限本功能是指利用 ACL 限制對端設備對本地設備上 NTP 服務的訪問控制權限。NTP 服務的訪問控制權

52、限從高到低依次為 peer、server、synchronization、query。peer：完全訪問權限。該權限既允許對端設備向本地設備的時間同步，對本地設備進行控制查詢（查詢 NTP 的一些狀態(tài)，比如告警信息、驗證狀態(tài)、時間服務器信息等），同時本地設備也可以向對端設備的時間同步。server：服務器訪問與查詢權限。該權限允許對端設備向本地設備的時間同步，對本地設備進行控制查詢，但本地設備不會向對端設備的時間同步。synchronization：僅具有訪問服務器的權限。該權限只允許對端設備向本地設備的時間同步， 但不能進行控制查詢。query：僅具有控制查詢的權限。該權限只允許對端設備對本

53、地設備的 NTP 服務進行控制查詢，但是不能向本地設備的時間同步。當設備接收到 NTP 服務請求時，會按照權限從高到低的順序依次進行匹配。匹配原則為：如果沒有指定權限應用的 ACL 或權限應用的 ACL 尚未創(chuàng)建，則繼續(xù)匹配下一個權限。如果所有的權限都沒有應用 ACL 或權限應用的 ACL 尚未創(chuàng)建，則所有對端設備對本地設備NTP 服務的訪問控制權限均為 peer。如果存在應用了 ACL 的權限，且該 ACL 已經創(chuàng)建，則只有 NTP 服務請求匹配了某個權限應用的 ACL 中的 permit 規(guī)則，發(fā)送該 NTP 服務請求的對端設備才會具有該訪問控制權限。其他情況下（NTP 服務請求匹配某個權

54、限應用的 ACL 中的 deny 規(guī)則或沒有匹配任何權限的任何規(guī)則），發(fā)送該 NTP 服務請求的對端設備不具有任何權限。配置 NTP 服務的訪問控制權限，僅提供了一種最小限度的安全措施，更安全的方法是使用 NTP 驗證功能。NTP驗證功能在一些對時間同步的安全性要求較高的網絡中，運行 NTP 協(xié)議時需要使用 NTP 驗證功能。NTP 驗證功能可以用來驗證接收到的 NTP 報文的合法性。只有報文通過驗證后，設備才會接收該報文， 并從中獲取時間同步信息；否則，設備會丟棄該報文。從而，保證設備不會與非法的時間服務器進行時間同步，避免時間同步錯誤。圖1-3 NTP 驗證功能示意圖如 HYPERLINK

55、 l _bookmark40 圖 1-3 所示，NTP驗證功能的工作過程為：NTP 報文發(fā)送者利用密鑰 ID 標識的密鑰對 NTP 報文進行 MD5 運算，并將計算出來的摘要信息連同 NTP 報文和密鑰 ID 一起發(fā)送給接收者。接收者接收到該 NTP 報文后，根據報文中的密鑰 ID 找到對應的密鑰，并利用該密鑰對報文進行 MD5 運算。接收者將運算結果與報文中的摘要信息比較，如果相同，則接收該報文；否則， 丟棄該報文。協(xié)議規(guī)范與 NTP 相關的協(xié)議規(guī)范有：RFC 1305：Network Time Protocol (Version 3) Specification, Implementati

56、on and AnalysisRFC 5905：Network Time Protocol Version 4: Protocol and Algorithms SpecificationNTP配置任務簡介為保證時間同步的準確性，不建議用戶在組網中配置兩個或者兩個以上的時鐘源，以免造成時鐘震蕩，甚至出現無法同步的情況。建議用戶不要在聚合成員口上進行 NTP 相關配置。用戶需要保證通過 clock protocol 命令，配置以 NTP 方式設置系統(tǒng)時間。有關 clockprotocol 命令的詳細介紹，請參見“基礎配置命令參考”中的“設備管理”。表1-2 NTP 配置任務簡介配置任務說明詳細配

57、置開啟NTP服務必選 HYPERLINK l _bookmark44 1.3配置與網絡中的其他設備進行時間同步配置NTP工作模式“配置NTP工作模式”和“配置本地時鐘作為參考時鐘”兩個配置任務中至少選擇其一，其他配置任務請根據實際需要進行選擇 HYPERLINK l _bookmark46 1.4配置NTP服務的訪問控制權限 HYPERLINK l _bookmark53 1.5配置NTP驗證功能 HYPERLINK l _bookmark54 1.6配置NTP可選參數 HYPERLINK l _bookmark67 1.7配置本地時鐘作為參考時鐘 HYPERLINK l _bookmark7

58、4 1.8開啟NTP服務NTP 服務與SNTP 服務互斥，同一時刻只能開啟其中一個服務。表1-3 開啟 NTP 客戶端操作命令說明進入系統(tǒng)視圖system-view-開啟NTP服務ntp-service enable缺省情況下，沒有開啟NTP服務配置NTP工作模式配置NTP客戶端/服務器模式當設備采用客戶端/服務器模式時，需要在客戶端上指定服務器的地址。配置 NTP 客戶端/服務器模式時，需要注意：服務器需要通過與其他設備同步或配置本地時鐘作為參考時鐘等方式，使得自己的時鐘處于同步狀態(tài)，否則客戶端不會將自己的時間與服務器的時間同步。當服務器端的時鐘層數大于或等于客戶端的時鐘層數時，客戶端將不會

59、與其同步?？梢酝ㄟ^多次執(zhí)行 ntp-service unicast-server 命令和 ntp-service ipv6 unicast-server 命令為設備指定多個服務器。表1-4 配置 NTP 客戶端操作命令說明進入系統(tǒng)視圖system-view-為設備指定NTP 服務器ntp-service unicast-server server-name | ip-address authentication-keyid keyid | priority | source interface-type interface-number | version number *缺省情況下，沒有為設

60、備指定NTP服務器為設備指定IPv6NTP服務器ntp-service ipv6 unicast-server server-name |ipv6-address authentication-keyid keyid | priority |source interface-type interface-number *配置NTP對等體模式當設備采用對等體模式時，需要在主動對等體上指定被動對等體的地址。配置 NTP 對等體模式時，需要注意：被動對等體上需要執(zhí)行 ntp-service enable 命令來開啟 NTP 服務，否則被動對等體不會處理來自主動對等體的 NTP 報文。主動對等體和被動