华为NTP配置教程（二）

10、配置NTP KOD

KOD（Kiss-o'-Death）是NTPv4提出的一种全新的访问控制技术，主要用于服务器向客户端上提供状态报告和接入控制等信息。在服务器上使能KOD功能后，服务器会根据系统的运行状态向客户端发送DENY Kiss和RATE Kiss码。

当客户端接收到DENY Kiss码，客户端将断开与服务器的所有连接，并停止向服务器发送报文。当客户端接收到RATE Kiss码，客户端将立即缩短与该服务器的轮询时间间隔，且以后每次接收到RATE Kiss码，轮询时间间隔都会进一步缩短。

KOD支持单播客户端/服务器模式、对等体模式和多播模式。KOD仅在NTPv4上有效。

1、使能KOD功能

[Huawei]ntp-service kod-enable

2、对入方向NTP报文速率的控制

[Huawei]ntp-service access limited ?

INTEGER<2000-2999> Apply basic ACL

ipv6 NTP IPv6 service

11、配置NTP认证

在一些对安全性要求较高的网络中，运行NTP协议时需要启用验证功能。通过客户端和服务器端的密码验证，可以保证客户端只与通过验证的设备进行同步，从而提高网络安全性。

在配置NTP认证功能时，应注意以下原则：

必须先使能NTP认证功能，否则不会进行验证。客户端和服务器端均需要配置NTP认证功能。否则，NTP认证功能不生效。如果使能了NTP认证功能，在客户端配置一个可信的密钥。在服务器端和客户端上配置的密钥必须相同。需要进行时间同步的设备必须声明其密钥可信，否则无法通过验证。在NTP对等体模式下，主动对等体相当于客户端，被动对等体相当于服务器端。

1、使能NTP认证功能

[Huawei]ntp-service authentication enable

2、配置NTP认证密钥

[Huawei]ntp-service authentication-keyid ?

INTEGER<1-4294967295> Authentication key identifier value

[Huawei]ntp-service authentication-keyid 023 ?

authentication-mode Specify an authentication mode

[Huawei]ntp-service authentication-keyid 023 authentication-mode ?

md5 MD5 authentication

[Huawei]ntp-service authentication-keyid 023 authentication-mode md5 ?

STRING<1-16>/<24> Plain text/Encrypted text

3、声明可信的密钥

[Huawei]ntp-service reliable authentication-keyid ?

INTEGER<1-4294967295> Authentication key identifier value

12、查看NTP运行状态信息

<HUAWEI> display ntp-service status

clock status: synchronized

clock stratum: 2

reference clock ID: LOCAL(0)

nominal frequency: 60.0002 Hz

actual frequency: 60.0002 Hz

clock precision: 2^18

clock offset: 0.0000 ms

root delay: 0.00 ms

root dispersion: 0.00 ms

peer dispersion: 10.00 ms

reference time: 15:51:36.259 UTC Apr 25 2012(C6179088.426490A3)

synchronization state: spike (clock will be set in 1010 secs)

13、查看本地设备的NTP会话信息。

<HUAWEI> display ntp-service sessions

clock source: 224.0.1.1

clock stratum: 1

clock status: configured, insane, valid, unsynced

reference clock ID: LOCAL(0)

reach: 0

current poll: 64

now: 9

offset: 0.0000 ms

delay: 0.00 ms

disper: 0.00 ms

14、查看本地设备NTP会话的详细信息。

<HUAWEI> display ntp-service sessions verbose

clock source: 172.11.12.1

clock stratum: 1

clock status: configured, insane, valid, unsynced

reference clock ID: LOCAL(0)

local mode: client, local poll: 64, current poll: 64

peer mode: server, peer poll: 64, now: 21

offset: -3.2385 ms,delay: 26.97 ms, disper: 14.85 ms

root delay: 0.00 ms, root disper: 10.94 ms

reach: 255, sync dist: 0.058, sync state: 4

precision: 2^18, version: 3, peer interface: wildcard

reftime: 10:01:38.546 UTC Sep 5 2005(C6C69602.8C00DA1A)

orgtime: 10:01:43.463 UTC Sep 5 2005(C6C69607.76ACC921)

rcvtime: 10:01:43.480 UTC Sep 5 2005(C6C69607.7AF4ADBC)

xmttime: 10:01:43.452 UTC Sep 5 2005(C6C69607.73F1E8E6)

filter delay : 0.03 0.02 0.03 0.02 0.02 0.02 0.04 0.02

filter offset: 0.00 -0.01 0.00 0.01 0.00 0.00 0.00 0.00

filter disper: 0.03 0.02 0.00 0.11 0.09 0.08 0.06 0.05

reference clock status: normal

15、查看从本地设备到参考时钟源的路径

<HUAWEI> display ntp-service trace

server 127.0.0.1,stratum 5, offset 0.024099 s, synch distance 0.06337

server 192.168.1.2,stratum 4, offset 0.028786 s, synch distance 0.04575

server 192.168.2.2,stratum 3, offset 0.035199 s, synch distance 0.03075

server 192.168.10.1,stratum 2, offset 0.039855 s, synch distance 0.01096

refid 127.127.1.0

16、查看NTP报文的统计信息

<HUAWEI> display ntp-service statistics packet

NTP IPv4 Packet Statistical Information

---------------------------------------

Sent : 100

Send failures : 10

Received : 1000

Processed : 800

Dropped : 200

Validity test failures : 50

Authentication failures : 20

Invalid packets : 50

Access denied : 50

Rate-limited : 0

Processing delay : 50

Interface disabled : 0

Max dynamic association reached : 0

Others : 0

Last 2 packets drop reasons:

[2011-11-24 12:19:26-08:00] Global drop: NTP service disabled for interface.

[2011-11-24 12:20:30-08:00] Global drop: NTP service disabled for interface.

17、查看最新的10条时钟不同步原因

<HUAWEI> display ntp-service event clock-unsync

1. Clock source : 10.1.1.1(vrf1)

Session type : client, configured

Unsync reason : Peer reachability lost

Unsync time : 2012-07-30 12:24:44+00:00

2. Clock source : 10.2.1.1(vrf2)

Session type : bdcast client (Interface: Eth0/0/0), dynamic

Unsync reason : Authentication failure

Unsync time : 2011-06-15 11:24:44+00:0