银行网络时间同步系统技术及实施方案.doc

银行网络时间同步系统技术及实施方案银行网络时间同步系统技术及实施方案 版 本 号 V0 1 保 密 等 级 秘密 机密 绝密 编 制 审 核 银行网络时间同步系统 技术及实施方案 文档修订文档修订 日期版本号描述作者 3 30 0 1初稿完成 批准人签字批准人签字 职务职务甲方甲方 乙方乙方姓名姓名日期日期 银行网络时间同步系统 技术及实施方案 目目 录录 1 1 项目概述项目概述 3 1 1 工程概述 3 1 2 建设目标 4 2 2 GPS 北斗时间同步系统北斗时间同步系统技术方案技术方案 1 2 1 1 GPS 北斗时间同步系统拓扑图 1 2 1 2 时钟同步协议标准 2 2 1 3 系统安装拓扑图 2 2 1 4 主备服务器优化 2 3 3 GPS 北斗时间同步系统北斗时间同步系统实施方案实施方案 3 3 1 实施计划 3 3 2 实施内容 3 3 3 实施准备 3 3 3 1 电信施工方准备 3 3 3 2 用户方准备 3 3 4 系统安装步骤 4 3 4 1 GPS 北斗天线的安装 4 3 4 2 设备安装上架 4 3 4 3 天线和设备的连接 5 3 4 4 设备加电测试 7 3 4 5 同步系统设备配置 7 3 4 6 网络核查 8 3 4 7 安全规则配置 8 3 4 8 客户端配置 8 4 4 附件一 服务器客户端配置附件一 服务器客户端配置 9 4 1 Linux 客户端配置 9 4 2 Hp UNIX 客户端配置 11 4 3 IBM AIX 客户端配置 11 4 4 SOLARIS 客户端配置 15 银行网络时间同步系统 技术及实施方案 5 5 附件二 网络设备客户端配置附件二 网络设备客户端配置 16 5 1 思科的 NTP 配置 16 5 2 H3C 的 NTP 配置命令 16 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 1 页 共 37 页 1 1 项目描述项目描述 1 11 1 工程概述工程概述 伴随着银行业务的迅猛发展 银行后台服务器及网络设备的数量也与日俱增 大 部分服务器都有自己的本地时钟 但是这些时钟每天会产生数秒 甚至数分钟的自走 时误差 经过长期运行 时间偏差会越来越大 导致服务器之间的时间各不相同 这 种偏差在单机中影响不太大 但在网络环境下的应用中便会引发严重的问题 从业务 影响角度讲 因为时间的不统一 就无法推断出业务具体发生时间 从安全影响角度 讲 所有设备 如视频监控中的 DVR 的日志必须反映准确的时间 因为时间的不统一 安全相关工具就会毫无用处 因此对银行而言 时间的精准和统一的重要性也逐渐体 现出来 为了满足银行网络时间统一的要求 保证系统正常运行 需建立一套高可靠 高 稳定的 GPS 北斗时间同步系统 该系统建成后能覆盖银行网内所有的服务器及 DVR 等 终端设备 提供时间校正服务 1 21 2 建设目标建设目标 要求实现银行网内的的服务器 视频监控等网络设备的时间统一 2 2 GPSGPS 北斗时间同步系统技术方案北斗时间同步系统技术方案 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 2 页 共 37 页 2 12 1 GPSGPS 北斗时间同步系统拓扑图北斗时间同步系统拓扑图 针对每一台GPS北斗时间服务器而言 该装置接收2路外部时间源 1路北斗信号输 入 1路GPS信号输入 两路外部时间源互为热备 可通过软件设置主备切换顺序 默 认北斗为主时间源 当北斗接收单元发生故障时 自动切换至GPS北斗信号接收单元接 收到的时间基准信号 从而保证系统的可靠性 当北斗接收单元恢复正常后 该装置 自动切换回正常工作状态 装置天线通过设备馈电提供电源 被动接收GPS北斗卫星信 号 自己不回传 不向外界发送任何信号 无辐射 安全性高 针对两台 GPS 北斗时间服务器而言 两台 GPS 北斗时间服务器互为热备 GPS 北斗 时间服务器 1 作为 常用 时间服务器 GPS 北斗时间服务器 2 作为 备用 时间服务 器 当 常用 时间服务器 GPS 北斗时间服务器 1 的 GPS 北斗北斗信号接收单元发 生故障时 自动切换至 备用 时间服务器 GPS 北斗时间服务器 2 的 GPS 北斗北斗 信号接收单元接收到的时间基准信号 从而保证系统的可靠性 当 常用 时间服务 器 GPS 北斗时间服务器 1 的 GPS 北斗北斗信号接收单元恢复正常后 该 GPS 北斗时 间服务器自动切换回正常工作状态 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 3 页 共 37 页 当 GPS 北斗时间服务器都接收不到两路外部时间基准信号时 切换到内部守时 保持一定的走时准确度 当外部时间基准信号接收恢复时 自动切换回接收外部时间 基准信号的工作状态 两台 GPS 北斗时间服务器的 RJ45 口分别接到交换机上 各分配一个 IP 地址 如 GPS 北斗时间服务器 1 的 IP 地址为 IP1 GPS 北斗时间服务器 2 的 IP 地址为 IP2 则两 个 IP 地址就作为网内的标准时间服务器 客户端可使用操作系统自带 NTP 服务 也可 使用我公司提供的客户端软件 WINDOWS 操作系统 本软件可输入两台 GPS 北斗时间 服务器的 IP 地址 IP1 地址作为主地址 IP2 地址作为备用地址 当客户端因某些原 因无法从主地址获取时间信息时 则自动从备用地址获取时间信息 2 22 2 时钟同步协议标准时钟同步协议标准 2 2 12 2 1SNTPSNTP 协议协议 SNTP 是简单网络时间协议 Simple Network Time protocol 的简称 它是目前 Internet 网上实现时间同步的一种重要工程化方法 SNTP 协议采用客户 服务器工作 方式 服务器通过接收 GPS 北斗北斗信号或自带的原子钟作为系统的时间基准 客户 机通过定期访问服务器提供的时间服务获得准确的时间信息 并调整自己的系统时钟 达到网络时间同步的目的 客户和服务器通讯采用 UDP 协议 端口为 123 2 2 22 2 2 NTPNTP 协议协议 Network Time Protocol NTP 是用来使计算机时间同步化的一种协议 它可以 使计算机对其服务器或时钟源 如石英钟 GPS 北斗等等 做同步化 它可以提供高精 准度的时间校正 LAN 上与标准间差小于 1 毫秒 WAN 上几十毫秒 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 4 页 共 37 页 2 2 32 2 3 系统安装拓扑图系统安装拓扑图 2 2 42 2 4 主备服务器优化主备服务器优化 结合目前工程被校时设备的情况 GPS 北斗校时系统前期采用均为 A 设备的 IP 作 为主校时服务器 B 设备作为备用校时服务器 考虑到后期被校时设备的增加 将主备 服务器都用做主校时服务器 来达到数据分流和冗余功能 3 3GPSGPS 北斗时间同步系统实施方案北斗时间同步系统实施方案 3 13 1 实施计划实施计划 序号实施内容实施时间实施日期 1 GPS 北斗天线安装1 工作日 年 3 月 22 日 2 设备安装上架1 工作日 年 3 月 22 日 3 设备加电测试1 工作日 年 3 月 22 日 4 设备配置1 工作日 年 3 月 22 日 5 总局被校时设备设置2 工作日 年 3 月 25 日 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 5 页 共 37 页 6 各地被校时设备设置10 工作日 年 3 月 27 日 3 23 2 实施内容实施内容 完成全部节点的实施工作 序号实施内容实施概述 1 GPS 北斗天线安装确定天线安装位置 路径 安装铺设天线 2 设备安装上架 将设备安装到机柜 接好电源 地线 网线 并安装好防雷器 3 设备加电测试设备加电 测试设备是否正常运行 4 设备配置 按照设备配置文件的要求对设备进行基本配置 5 被校时设备设置设置典型服务器 3 33 3 实施准备实施准备 3 3 1 电信施工方准备电信施工方准备 1 与物业和电信网管人员取得联系 做好安装准备 2 检查到场设备 3 3 2 用户方准备用户方准备 在项目实施前检查用户方实施条件是否具备 序号项目项目描述 1 天线协调用户方确定天线安装位置 路径 2 电源供电位置 220V 交流 3 机柜设备所处位置 两个 2U 位置 4 网络接入网络位置 分配 2 个 IP 地址 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 6 页 共 37 页 3 43 4 系统安装系统安装步骤步骤 3 4 13 4 1GPSGPS 北斗天线的安装北斗天线的安装 GPS 北斗时间同步系统配有两条易于安装的天线 天线头封装在塑料圆盘内 天线 电缆采用高质量同轴电缆 5mm 输出接口为 BNC 安装时 先将天线头安装在天线 支架上 再将天线支架用膨胀螺栓固定在建筑物顶端 天线头安装在总行机房楼顶 安装位置视野开阔 顺着天线头往上看能够看到 360 的天空 GPS 北斗天线安装位置 位于楼宇防雷天线区域内 且天线安装高度低于楼宇防雷天线 3 4 2 设备安装上架设备安装上架 GPS 北斗设备外观 对做过到货验收后的 GPS 北斗设备安装上架 设备安装位置见下图 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 7 页 共 37 页 42 U 4 U D5 4 U 4 U D4 42 U 8 U 8 U 4 U 1 U 1 U 1 U 1 U 1 U 1 U 2 U 2 U 2 U时钟同步主机10 16 9 191 2 U时钟同步主机10 16 9 192 3 4 3 天线和设备的连接天线和设备的连接 3 4 3 13 4 3 1天线的布线天线的布线 天线同轴电缆套装金属蛇皮管通过总行楼宇的竖井到达机房内部 3 4 3 23 4 3 2防雷安装防雷安装 将两台 GPS 北斗时钟装置安装在指定机柜位置 GPS 北斗天线 BNC 接头连到 GPS 北 斗时钟背板的天线输入口上 中间加装天线专用防雷器 防雷器接地端可靠接地 机 房接地端 GPS 北斗时钟 SNTP NTP 数据输出采用 RJ45 网口 使用超五类网线连接到 交换机上 进行数据通讯 天线防雷器采用替换安装方式 防雷器接地端用导线与等电位接地网连接 横截 面积不小于 4mm2 长度尽可能短 防雷器的一头接系统 GPS 北斗时钟的天线输入口 一头接 GPS 北斗天线的 BNC 接头 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 8 页 共 37 页 GPS 北斗时钟装置电源 额定功率 20W 采用 220V 交流供电 如下图电源定义 电源线的火线 零线分别接到 电源 1 端子的正负极 电源的 端子 4 为 GPS 北斗 时钟装置的接地端 应可靠接地 防雷接地方案合理 当遭受雷电时不会对机房内的设备造成破坏 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 9 页 共 37 页 3 4 4 设备加电测试设备加电测试 设备加电 测试设备配置和运行状况 由电信实施人员将测试结果填到 到货验 收报告 加电测试项 中 3 4 5 GPS 北斗时间同步系统设备配置北斗时间同步系统设备配置 GPS 北斗时间同步系统在使用前需要进行相关参数设置 可以通过以太网口远程登 陆进行设置服务器的 IP 地址及工作方式的设置 一般使用默认方式即可 GPS 北斗时间服务器 1 设置 IP 地址为 10 16 9 191 GPS 北斗时间服务器 2 设置 IP 地址为 10 16 9 192 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 10 页 共 37 页 3 4 6 网络检查网络检查 在 2 台 GPS 北斗时间服务器上分别 ping 总行节点服务器和各个市县级分行节点服 务器地址 确保 GPS 北斗时间服务器和各个节点网络可达 3 4 7 安全规则配置安全规则配置 在总行 GPS 北斗时间服务器和各市县级分行节点间双向开放 ntp 和 sntp 两种协议 3 4 8 客户端客户端配置配置 客户端配置分服务器配置和网络配置 其中针对不同的操作系统和设备型号 服务器和网络设备客户端配置又有差别 具体查看附件 1 和附件 2 4 4附件一 服务器客户端配置附件一 服务器客户端配置 4 1Linux4 1Linux 客户端配置客户端配置 a 进入客户端机器 Linux 系统 我们介绍两种进入 Linux 系统的方法 并使用 shell 进行配置 在本机登录提示符下进入 Linux 系统 采用 root 用户登陆 输入用户口令 每个 Linux 系统都有一个根 root 用户 root 用户能够运行程序 使用文件 以任 何方式改变计算机的设置 使用 telnet 登陆 Linux 使用 telnet 登陆的时候 不可以直接使用 root 用户 注册 您需要输入系统设定的另一个用户的用户名和口令 进入后 再使用 su 命令 更改用户名为 root 用户 然后输入 root 用户的口令即可 注意 必须使用 root 用户登录 否则没有修改配置的权限 b 检测客户端是否存在于机器上 Linux 系统中必须安装了 NTP 的客户端 才可以和 NTP 2000 服务器进行校时工 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 11 页 共 37 页 作 Linux 下的 NTP 客户端存在于 Linux 系统安装盘中 使用 cd etc 命令进入根目录下的 etc 目录 etc 是一个包含管理配置命令和 文件的目录 使用 ls ntp conf 查看是否存在这样的文件 如果存在 请参阅下一步 使 用 vi 编辑器 号是通配符 因为不同版本的 Linux 会有不同名字的文件名 例如 xntp conf 但是 后面的 8 个字符都是一样的 如果没有上面的文件 请与系统管理员联系 安装 NTP 软件包 c 使用 vi 编辑器配置客户端 使用 vi etc ntp conf 打开名为 ntp conf 的文件 或者 vi etc xntp conf 视查看到的文件名而定 使用上下左右光标移动键 到配置文件的后面几行 会看到如下类似显示 server 127 0 0 1 local clock fudge 127 0 0 1 stratum 10 敲击 a 键进入 vi 编辑方式 键入 NTP 服务器的 IP 地址 修改成如下显示 假 设 202 112 88 88 是 NTP 服务器 IP 地址 server 202 112 88 88 fudge 202 112 88 88 stratum 0 敲击 Esc 键回到 vi 命令方式 敲击 wq 保存修改并结束 vi 编辑 vi 编辑器的另外一些使用方法见本章第七节 vi 编辑器的使用 d 查看配置 使用命令 more ntp conf 查看修改后的配置文件 使用空格键翻 页到达文件的后部分 查看修改是否正确 e 启动服务 使用 servive ntpd restart 命令启动 NTP 客户端服务 f 查看服务启动情况 service ntpd status g 查看时间 使用 date 命令查看当前时间 当前时间应该与 NTP 服务器时间同 步 h 本章附录 vi 编辑器的使用简介 打开特定文件 例如打开 tmp 目录下的 test 文件 输入下面的命令 vi 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 12 页 共 37 页 tmp test 如果是新文件 你可以看到下面显示 tmp test New File vi 编辑器有命令方式和输入方式两种模式 当启动 vi 文本编辑器时 使用的 是命令方式 你必须键入一个命令进入 vi 编辑方式 命令有一个或两个点后面跟字母 和任选数字组成 a 添加 可以从光标的右侧开始输入文本 i 插入 可以从光标左侧输入文本 完成输入时 按 esc 键 又返回命令方式 几个有用的命令 w 存储当前文件 但继续编辑 wq 存储变更到文件 并且退出 vi q 退出当前文件 不保存变更 q 退出当前行 不存储刚对文件做出的变更 4 24 2 Hp UNIXHp UNIX 客户端配置客户端配置 HP UX 上要实现时间同步 需要设置时间服务器和客户端 相关的进程是 xntpd 配 置文件 etc ntp conf etc ntp drift 在 client 上自己建立 用作 drift 文件 etc rc config d netdaemons 执行文件 usr sbin xntpd 运行脚本 sbin init d xntpd start stop a 服务器端配置方法 编辑 etc ntp conf 添加一行 server 127 127 1 1 编辑 etc rc config d netdaemons 更改两个参数的值 export NTPDATE SERVER 127 127 1 1 export XNTPD 1 1 表示启动 xntpd 0 表示不启动 xntpd 启动 xntpd sbin init d xntpd start 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 13 页 共 37 页 其他 可以通过 var adm syslog syslog log 查看 xntpd 的运行状况 也可以使 用 ntpq 命令查询 xntpd 的运行状况 b 客户端配置方法 创建 etc ntp drift 文件 编辑 etc ntp conf 添加两条记录 server driftfile etc ntp drift 编辑 etc rc config d netdaemons 更改一个参数 export XNTPD 1 启动 xntpd sbin init d xntpd start 也可以通过 Sam 来配置 最后一项 time NTP network time source 在启动时间服务器和客户端的 xntpd 进程以后 需要 5 10 分钟的时间 才会进行同步 可以使用 ntpdate 来根据 ntp server 设置客 户端服务器的时间 如果主服务器和客户机器的时间相差超过 1000 秒 那么这个时间 同步系统会认为服务器出现了系统故障 从而停止同步 需要注意这一点 可以通过查 看 var adm syslog syslog log 文件 查看 xntpd 的运行状况 另如果想在 Windows 环 境下使用 HP UX 作为 ntp server 需要一个 Win32time exe 具体参见具体的文档 4 34 3 IBMIBM AIXAIX 客户端配置客户端配置 在 AIX 中可以用两种方法来实现应用环境中多台机器的系统时间的统一 一个是 启动 xntpd 守护进程 另一个是启动 timed 进程 为了保证时间的一致性 在同一台机器上只启动 xntpd 或 timed 在 AIX 中这两 个进程 缺省是不启动 每个 AIX 系统使用自己的系统时间 xntpd 是一个关于网络时间协议的守护进程 它遵循了因特网时间服务器的通用 标准 在启动 xntpd 时 xntpd 会读取 etc ntp conf 配置文件来确定网络中系统 时钟服务器 以 ntp 服务器的系统时间为标准 来调整本机的系统时间 可以用 ntpq 命令来显示 xntpd 进程的内部变量 使用 ntp 时应注意 xntpd 服务器和 xntpd 客户端的时钟不能相差超过 1000 秒 若有大于 1000 秒的偏移 在客 户端启动 xntpd 守护进程前 用 data 命令或 ntpdate 命令调整本机的系统时间 使偏移量在 1000 秒之内 然后启动 xntpd timed 是一个时钟服务进程 在一个局域网内可有多个 timed 服务器 但只有一 个 timed 主服务器 其余的是 timed 副服务器 当 timed 主服务器功能失效时 其 中一个 timed 副服务器可自动变为主服务器 网络时间可以以 timed 主服务器的系 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 14 页 共 37 页 统时间为标准 也可以以所有运行 timed 的主 辅服务器的系统时钟的平均值为准 来调整所有运行 timed 进程的机器的系统时钟 timed 客户机的系统时间与局域网上 运行着的 timed 主服务器的系统时间同步 使整个网络运行环境有一个统一的时钟 a 构造一个 NTP 环境的基本步骤 假设 NTP 不是运行在 SP 上 设置 NTP 服务器 MASTER 其它 NTP 客户服务器以此服务器的时间为准 与 其进行时间同步 编辑 etc ntp conf 文件 内容如下 broadcastclient server 127 127 1 0 driftfile etc ntp drift tracefile etc ntp trace 请注意文件中的 server 127 127 1 0 这一行 此处的 127 127 1 0 是一特殊的 地址 表示 NTP 主服务器是与自身的系统时钟同步 编辑好 etc ntp conf 后 启动 xntpd 守护进程 startsrc s xntpd 也可通过调用 smitty 使 xntpd 在以后重启服务器时能自动启动 smitty xntpd xntpd 状态查询 使用 lssrc ls xntpd 刚启动 xntpd 时 sys peer 为 insane 表明 xntpd 还没有完成同步 lssrc ls xntpd Program name usr sbin xntpd Version 3 Leap indicator 11 Leap indicator is insane Sys peer no peer system is insane 等待 6 10 分钟后 sys peer 就不再是 insane 了 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 15 页 共 37 页 lssrc ls xntpd Program name usr sbin xntpd Version 3 Leap indicator 00 No leap second today Sys peer 127 127 1 0 NTP 客户端的设置 编辑 NTP 客户端上的 etc ntp conf 文件 内容如下 broadcastclient server 9 185 43 189 driftfile etc ntp drift tracefile etc ntp trace 其中的 server 9 185 43 189 表明 此客户端与 IP 地址为 9 185 43 189 的 NTP 服务器进行时间同步 在 NTP 客户端启动 xntpd 守护进程 startsrc s xntpd 也可通过调用 smitty 使 xntpd 在以后重启服务器时能自动启动 smitty xntpd 查询 xntpd 的状态 当 system peer 不为 insane 时 表明客户端已与服务器端成功地进行了同步 lssrc ls xntpd Program name usr sbin xntpd Version 3 Leap indicator 00 No leap second today Sys peer 9 185 43 189 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 16 页 共 37 页 NTP 客户端查询 NTP 服务器 ntp 客户端使用 ntpdate 命令来确认是否可用指定的 ntp 服务器进行时间同步 命令的结果会显示客户端与服务器的时间偏移 ntpdate d 9 185 43 189 18 Mar 10 52 54 ntpdate 23578 step time server 9 185 43 189 offset 86323 06827 2 sec 若时间间隔大于 1000 秒 使用 ntpdate 进行调整 如 date Tue Mar 18 11 06 29 BEIST 2003 ntpdate 9 185 43 189 19 Mar 11 06 51 ntpdate 23832 step time server 9 185 43 189 offset 86403 40260 7 sec date Wed Mar 19 11 06 54 BEIST 2003 完成上述操作后 ntp 客户端与 ntp 服务器系统时钟完成同步 ntp 客户端得到 了新的系统时间 b 使用 timed 的基本设置步骤如下 启动 timed 服务器 在局域网内 以 timed 主服务器的系统时钟为标准 来完成时钟的同步 startsrc s timed a M c 在局域网内 以所有运行 timed 的主 辅服务器的系统时间平均值为标准 来 完成时钟的同步 startsrc s timed a M 启动 timed 客户端 使其按照标准网络时间来调整自己的系统时钟 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 17 页 共 37 页 startsrc s timed 将 timed 的启动语句加到 etc rc tcpip 中 以便重新启动机器后 timed 可 自动启动 4 44 4 SOLARISSOLARIS 客户端配置客户端配置 查看是否安装了 NTP 软件包 默认是安装的 有下面两行则是已安装 pkginfo grep ntp system SUNWntpr NTP Root system SUNWntpu NTP Usr 编辑配置文件 ntp conf vi etc inet ntp conf server ip address prefer driftfile var ntp ntp drift 创建 drift 文件 touch var ntp ntp drift 停止 启动 NTP 服务 etc init d xntpd start etc init d xntpd stop 查看服务 ps ef grep ntp 查看进程 snoop grep i ntp 查看是否存在 ntp 包 查看其他服务器时间 ntpdate q ip address 5 5附件二 网络设备客户端配置附件二 网络设备客户端配置 5 15 1 思科的思科的 NTPNTP 配置配置 配置命令 clock timezone CST 8 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 18 页 共 37 页 ntp server x x x x ntp source interface 状态检查 show ntp status show ntp associations detail 注意事项 如果没有同步 最好先 no ntp server 再重新配置 ntp server 思科设备作为源 clock timezone CST 8 ntp source Loopback0 ntp authenticate ntp authentication key 1234 md5 104D000A0618 7 ntp trusted key 1234 ntp master 3 客户端 conf t ntp authentication key 1 md5 cxzhzx 7 ntp authenticate ntp trusted key 1 ntp source vlan1 ntp server 10 1 47 100 end 5 25 2 H3CH3C 的的 NTPNTP 配置命令配置命令 display ntp service sessions 命令 display ntp service sessions verbose 视图 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 19 页 共 37 页 任意视图 参数 verbose 显示 NTP 会话的详细信息 描述 display ntp service sessions 命令用来显示本地设备 NTP 服务维护的所有会话信息 如果 display ntp service sessions 命令不使用可选参数 verbose 则只显示所有会 话的简要信息 注意 除 NTP 服务器模式外 其余的 NTP 工作模式均会建立连接 举例 显示 NTP 服务维护的所有会话的状态 display ntp service sessions source reference stra reach poll now offset delay disper 12345 1 1 1 1 127 127 1 0 3 377 512 178 0 0 40 1 22 8 note 1 source master 2 source peer 3 selected 4 candidate 5 configured 表 1 1 display ntp service sessions 命令显示信息描述表 字段描述 source同步源的 IP 地址 reference同步源的参考时钟 ID stra同步源的时钟层数 reach是否可达 poll 轮询间隔 即两个连续消息之间的最大间隔 单位 为秒 now最近一次发送 NTP 报文到现在的时间间隔 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 20 页 共 37 页 offset时钟偏差 delay网络延时 disper本地时钟相对与参考时钟的最大误差 display ntp service status 命令 display ntp service status 视图 任意视图 参数 无 描述 display ntp service status 命令用来显示 NTP 服务的状态信息 举例 显示本地 NTP 服务的状态信息 display ntp service status Clock status unsynchronized Clock stratum 16 Reference clock ID none Nominal frequency 60 0002 Hz Actual frequency 60 0002 Hz Clock precision 2 18 Clock offset 0 0000 ms Root delay 0 00 ms Root dispersion 0 00 ms Peer dispersion 0 00 ms Reference time 00 00 00 000 UTC Jan 1 1900 00000000 00000000 显示信息的解释如表所示 display ntp service status 命令显示信息描述表 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 21 页 共 37 页 字段描述 Clock status本地时钟状态 Clock stratum本地时钟的层数 Reference clock ID 当本地系统已被同步到一个远程 NTP 服务器或某个 时钟源时 指示远程服务器的地址或时钟源的标识 Nominal frequency本地系统硬件时钟的标称频率 Actual frequency本地系统硬件时钟的实际频率 Clock precision本地系统时钟的精度 Clock offset本地时钟相对 NTP 服务器的偏移量 Root delay本地到主参考时钟总的往返延迟时间 Root dispersion本地相对主参考时钟的最大误差 Peer dispersion远程 NTP 服务器的最大误差 Reference time参考时间戳 display ntp service trace 命令 display ntp service trace 视图 任意视图 参数 无 描述 display ntp service trace 命令用来显示从本地设备沿着时间同步 NTP 服务器链 回 溯到参考时钟源的各个 NTP 时间服务器的简要信息 举例 显示从本地设备回溯到参考时钟源的路径中各 NTP 服务器的简要信息 display ntp service trace server4 stratum 4 offset 0 0019529 synch distance 0 144135 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 22 页 共 37 页 server3 stratum 3 offset 0 0124263 synch distance 0 115784 server2 stratum 2 offset 0 0019298 synch distance 0 011993 server1 stratum 1 offset 0 0019298 synch distance 0 011993 refid GPS 北 斗 Receiver 以上信息显示服务器 server4 的同步链 表示 server4 同步到 server3 server3 同步 到 server2 server2 同步到 server1 server1 从参考时钟源 GPS 北斗 Receiver 得到 同步 ntp service access 命令 ntp service access peer server synchronization query acl number undo ntp service access peer server synchronization query 视图 系统视图 参数 peer 可以对本地 NTP 服务器进行时间请求和查询 本地时钟也可以同步到远程服务 器 server 允许对本地 NTP 服务器进行时间请求与查询 但本地时钟不会同步到远程服 务器 synchronization 只允许对本地 NTP 服务器进行时间请求 query 只允许对本地 NTP 服务器进行查询 acl number 基本访问控制列表号 取值范围为 2000 2999 描述 ntp service access 命令用来设置对本地交换机 NTP 服务器的访问控制权限 undo ntp service access 命令用来取消设置的访问控制权限 缺省情况下 对本地 NTP 服务器的访问控制权限为 peer ntp service access 命令提供了一种最小限度的安全措施 更安全的方法是进行身份 验证 当本地 NTP 服务器有一个访问请求时 该请求按照最大访问权限到最小访问权 限依次匹配 匹配顺序为 peer server synchronization query 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 23 页 共 37 页 举例 设置允许第 2076 号访问列表中的对端可以对本地设备具有完全访问权限 包括时间 请求 查询控制及时间同步 system view System View return to User View with Ctrl Z H3C ntp service access peer 2076 只允许第 2028 号访问列表中的对端对本地设备具有访问和查询权限 system view System View return to User View with Ctrl Z H3C ntp service access server 2028 ntp service authentication enable 命令 ntp service authentication enable undo ntp service authentication enable 视图 系统视图 参数 无 描述 ntp service authentication enable 命令用来使能 NTP 身份验证功能 undo ntp service authentication enable 命令用来关闭 NTP 身份验证功能 缺省情况下 NTP 身份验证功能处于关闭状态 举例 使能 NTP 身份验证功能 system view System View return to User View with Ctrl Z H3C ntp service authentication enable ntp service authentication keyid 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 24 页 共 37 页 命令 ntp service authentication keyid key id authentication mode md5 value undo ntp service authentication keyid key id 视图 系统视图 参数 key id 密钥编号 取值范围为 1 4294967295 value 密钥 取值范围为 1 32 个字符 最大密钥个数为 1024 描述 ntp service authentication keyid 命令用来设置 NTP 验证密钥 undo ntp service authentication keyid 命令用来取消 NTP 验证密钥 缺省情况下 没有设置 NTP 验证密钥 目前系统只支持 MD5 的密钥验证算法 举例 设置 MD5 身份验证密钥 密钥 ID 号为 10 密钥为 BetterKey system view System View return to User View with Ctrl Z H3C ntp service authentication keyid 10 authentication mode md5 BetterKey ntp service broadcast client 命令 ntp service broadcast client undo ntp service broadcast client 视图 VLAN 接口视图 参数 无 描述 ntp service broadcast client 命令用来配置以太网交换机工作在 NTP 广播客户端模 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 25 页 共 37 页 式 并使用当前接口接收 NTP 广播消息 undo ntp service broadcast client 命令用 来取消 NTP 广播客户端模式 缺省情况下 没有配置交换机工作在广播客户端模式 举例 配置交换机工作在广播客户端模式 并在 Vlan interface1 接口上接收 NTP 广播消 息 system view System View return to User View with Ctrl Z H3C interface Vlan interface1 H3C Vlan interface1 ntp service broadcast client ntp service broadcast server 命令 ntp service broadcast server authentication keyid key id version number undo ntp service broadcast server 视图 VLAN 接口视图 参数 authentication keyid key id 指定向广播客户端发送消息时使用的密钥编号 取值 范围为 1 4294967295 如果不需要验证 则该参数不需配置 version number 定义 NTP 版本号 取值范围为 1 3 缺省版本号为 3 描述 ntp service broadcast server 命令用来配置以太网交换机工作在 NTP 广播服务器模 式 并使用当前接口发送 NTP 广播消息包 undo ntp service broadcast server 命令 用来取消 NTP 广播服务器模式配置 缺省情况下 没有配置以太网交换机工作在 NTP 广播服务器模式 举例 配置在 Vlan interface1 接口上发送 NTP 广播消息包 用 4 号密钥进行加密 设置 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 26 页 共 37 页 NTP 版本号为 3 system view System View return to User View with Ctrl Z H3C interface Vlan interface 1 H3C Vlan interface1 ntp service broadcast server authentication key 4 version 3 ntp service in interface disable 命令 ntp service in interface disable undo ntp service in interface disable 视图 VLAN 接口视图 参数 无 描述 ntp service in interface disable 命令用来禁止接口接收 NTP 报文 undo ntp service in interface disable 命令用来允许接口接收 NTP 报文 缺省情况下 允许接口接收 NTP 报文 举例 禁止 Vlan interface1 接口接收 NTP 报文 system view System View return to User View with Ctrl Z H3C interface Vlan interface 1 H3C Vlan interface1 ntp service in interface disable ntp service max dynamic sessions 命令 ntp service max dynamic sessions number undo ntp service max dynamic sessions 银行网络时间同步系统 技术及实施方案 模板编号 模板版本 V1 0Beta1 0第 27 页 共 37 页 视图 系统视图 参数 number 本地允许建立 NTP 会话的数目 取值范围为 0 100 描述 ntp service max dynamic sessions 命令用来设置本地允许建立的 NTP 会话的数目 undo ntp servi