華為交換機使用NTP進行時間同步配置

適用產品和版本

   所有款型的所有版本均支持。

組網需求

   對于企業的數據中心網絡，如果依靠管理員手工輸入命令來修改系統時間，工作量會很大，而且也不能保證時間的準確性。此時通過NTP可以很快將網絡中設備的時間進行同步。

   SwitchA和SwitchB的IP地址已經配置。SwitchA的時間已經同步到權威時間（如衛星定位系統）。將SwitchA作為SwitchB的時間服務器。

使用NTP進行時間同步配置舉例圖：

NTP進行時間同步配置

配置思路

NTP功能實現的配置思路如下：

配置SwitchA和SwitchB的IP地址。

SwitchA作為主時間服務器，配置SwitchA本地時間作為參考時間。

配置SwitchB同步SwitchA的時間。確保時間同步的安全性，配置NTP認證功能。

操作步驟

配置SwitchA和SwitchB的IP地址。# 配置SwitchA的IP地址。

<HUAWEI>system-view

[~HUAWEI]sysname SwitchA

[~HUAWEI]commit

[~SwitchA]vlan batch 100

[~SwitchA]interface vlanif 100

[~SwitchA-Vlanif100]ip address 10.10.1.1 24

[~SwitchA-Vlanif100]quit

[~SwitchA]interface 10ge 1/0/1

[~SwitchA-10GE1/0/1]port link-type trunk

[~SwitchA-10GE1/0/1]port trunk pvid vlan 100

[~SwitchA-10GE1/0/1]port trunk allow-pass vlan 100

[~SwitchA-10GE1/0/1]quit

[~SwitchA]commit

# 配置SwitchB的IP地址。

<HUAWEI>system-view

[~HUAWEI]sysname SwitchB

[~HUAWEI]commit

[~SwitchB]vlan batch 100

[~SwitchB]interface vlanif 100

[~SwitchB-Vlanif100]ip address 10.10.1.2 24

[~SwitchB-Vlanif100]quit

[~SwitchB]interface 10ge 1/0/1

[~SwitchB-10GE1/0/1]port link-type trunk

[~SwitchB-10GE1/0/1]port trunk pvid vlan 100

[~SwitchB-10GE1/0/1]port trunk allow-pass vlan 100

[~SwitchB-10GE1/0/1]quit

[~SwitchB]commit

配置SwitchA作為主時間服務器，并啟動NTP認證功能，時間層數為1。

說明：

時間層數的取值范圍為1級至第15級，同步子網中時間的同步自層級小的層次向較大的層次進行。時間層數可以配置，本舉例中配置時間層數為1。

實際網絡中，通常將從權威時間獲得時間同步的NTP服務器的層數設置為1，并將其作為主參考時間源同步網絡中其他設備的時間，即在設備上配置本地時間作為NTP主時間。

[~SwitchA]ntp refclock-master 1 //配置時間層數為1。

[~SwitchA]ntp authentication enable

[~SwitchA]ntp authentication-keyid 45 authentication-mode hmac-sha256 hello123456 //認證算法有MD5和HMAC-SHA256兩種，HMAC-SHA256安全性高，MD5運行速度塊。本舉例使用HMAC-SHA256。

[~SwitchA]ntp trusted authentication-keyid 45

[~SwitchA]commit

使能SwitchA的NTP服務器功能。

[~SwitchA]undo ntp server disable

[~SwitchA]commit

[~SwitchA]quit

配置SwitchB以SwitchA作為時間服務器，并啟動NTP認證功能。時間服務器的IP地址為10.10.1.1。

[~SwitchB]ntp authentication enable

[~SwitchB]ntp authentication-keyid 45 authentication-mode hmac-sha256 hello123456 //認證算法有MD5和HMAC-SHA256兩種，HMAC-SHA256安全性高，MD5運行速度塊。本舉例使用HMAC-SHA256。

[~SwitchB]ntp trusted authentication-keyid 45

[~SwitchB]ntp unicast-server 10.10.1.1 authentication-keyid 45 //配置時間同步的方式為單播客戶端/服務器模式。

[~SwitchB]commit

[~SwitchB]quit

說明：

SwitchB的密鑰ID需要和SwitchA的密鑰ID需要保持一致，否則認證不通過。

驗證

驗證SwtichA的配置結果

在SwtichA上執行displayntp status查看設備當前的NTP狀態。

<SwitchA>display ntp status

clockstatus: synchronized //本地時間狀態。

clockstratum: 1 //本地時間所處的NTP層數。

referenceclock ID: LOCAL(0)

nominalfrequency: 100.0000 Hz

actualfrequency: 100.0000 Hz

clockprecision: 2^18

clockoffset: 0.0000 ms

rootdelay: 0.00 ms

rootdispersion: 11.65 ms

peerdispersion: 10.00 ms

referencetime: 15:13:24.754 UTC Aug 21 2013(D5BF5794.C13458CD) //參考時間戳。

synchronizationstate: clock synchronized //本地時間的同步狀態。

在SwtichA上執行displayclock查看設備當前的NTP狀態。

<SwitchA>display clock

2013-08-2115:14:23

Wednesday

TimeZone(DefaultZoneName) : UTC

驗證SwtichB的配置結果

在SwtichB上執行displayntp status查看設備當前的NTP狀態。

<SwitchB>display ntp status

clockstatus: synchronized //本地時間狀態。

clockstratum: 2 //本地時間所處的NTP層數。

referenceclock ID: 10.10.1.1

nominalfrequency: 100.0000 Hz

actualfrequency: 100.0000 Hz

clockprecision: 2^18

clockoffset: 0.6828 ms

root delay:2.74 ms

rootdispersion: 24.84 ms

peerdispersion: 10.93 ms

referencetime: 15:13:24.518 UTC Aug 21 2013(D5BF5B33.84A4A05D) //參考時間戳。

synchronizationstate: clock synchronized //本地時間的同步狀態。

在SwtichB上執行displayclock查看設備當前的NTP狀態。

<SwitchB>display clock

2013-08-2115:14:23

Wednesday

TimeZone(DefaultZoneName) : UTC

配置文件

SwitchA的配置文件

#

sysnameSwitchA

#

ntp ipv6server disable

ntpauthentication-keyid 45 authentication-mode hmac-sha256 cipher%^%#fhKx(LFg)~2:d23J_(t~RNcW9g#Bv7}a[7(%$HG-%^%# //此處密文格式僅為示例，不同版本之間可能存在不同

ntptrusted authentication-keyid 45

ntprefclock-master 1

ntpauthentication enable

#

vlanbatch 100

#

interfaceVlanif100

ipaddress 10.10.1.1 255.255.255.0

#

interface10GE1/0/1

portlink-type trunk

porttrunk pvid vlan 100

porttrunk allow-pass vlan 100

#

return

SwitchB的配置文件

#

sysnameSwitchB

#

ntpserver disable

ntp ipv6server disable

ntpauthentication-keyid 45 authentication-mode hmac-sha256 cipher%^%#fhKx(LFg)~2:d23J_(t~RNcW9g#Bv7}a[7(%$HG-%^%# //此處密文格式僅為示例，不同版本之間可能存在不同

ntptrusted authentication-keyid 45

ntpunicast-server 10.10.1.1 authentication-keyid 45

ntpauthentication enable

#

vlanbatch 100

#

interfaceVlanif100

ipaddress 10.10.1.2 255.255.255.0

#

interface10GE1/0/1

portlink-type trunk

porttrunk pvid vlan 100

porttrunk allow-pass vlan 100

#

return

總結與建議

不同NTP時間同步模式的應用場景如下：

單播客戶端/服務器模式：運行在同步子網中層數較高層上。這種模式下，需要預先知道服務器的IP地址。

對等體模式：運行在同步子網中層數較低處。這種模式下，主動對等體和被動對等體可以互相同步，層數大的對等體向層數小的對等體同步。

廣播模式：在不能確定服務器或對等體IP地址，或者網絡中需要時間同步的設備數量很多等情況下，可以通過廣播模式實現時間同步。

組播模式：應用在有多臺工作站、不需要很高的準確度的高速網絡。典型的情況是網絡中的一臺或多臺時間服務器定期向工作站發送組播報文，組播報文在毫秒級的延遲基礎上確定時間。

多播模式（僅V100R002C00或更高版本支持）：適用于服務器分散分布在網絡中的情況。客戶端可以發現與之最近的多播服務器，并進行同步。多播模式適用于服務器不穩定的組網環境中，服務器的變動不會導致整網中的客戶端重新進行配置。

通過NTP同步時間，同步過程中會有以下幾種狀態：

clocknot set: 表示時間未更新。

frequencyset by configuration: 表示時間頻率由NTP配置而設定。

clockset: 表示時間已設定。

clockset but frequency not determined: 表示時間已設定，但時間頻率沒有確定。

clocksynchronized: 表示時間已同步。

spike(clock will be set in XXX secs): 表示系統檢測到時間服務器與客戶端之間的時間差超過128毫秒，且時間會在XXX秒內重新設置。

對于出現NTP時間同步異常情況，可以通過以下幾種方式查看原因：

通過display ntp eventclock-unsync命令用來查看最新的10條時間不同步的原因。

通過display ntpsessions命令用來查看本地NTP維護的所有會話信息。

通過display ntpslot-status命令用來查看設備上時間系統的狀態。