網絡時鐘同步也叫“對鐘”，要把分布在各地的時鐘同步起來，最直觀的方法就是搬鐘，可用一個標準鐘作搬鐘，使各地的鐘均與標準鐘對準。或者使搬鐘首先與系統的標準時鐘對準，然后使系統中的其他時針與搬鐘比對，實現系統其他時鐘與系統統一標準時鐘同步。下面讓我們看看網絡時鐘不同步的問題是怎樣解決的。

網絡環境

如圖圖所示，在NE16E和NE80E上配置NTP，其中NE16E以NE80E為時鐘服務器，與之同步，NE80E與遠端時鐘服務器同步。

時鐘同步組網圖

配置完成后，發現NE16E與NE80E及NE80E與遠端服務器之間均未能時鐘同步。

故障分析

步驟 1     分別在NE16E、NE80E執行命令display ntp status，確認NE16E與NE80E，NE80E與遠端服務器之間均未能時鐘同步

步驟 2     在NE80E執行命令display this，查看NE80E上ACL和NTP設置。

顯示信息如下：

#  
 
acl number 2050  
 
rule 2 permit source 222.55.0.49 0  
 
rule 3 permit source 222.55.0.46 0  
 
rule 10 permit source 222.55.1.206 0  
 
rule 127 deny  
 
#  
 
ntp-service access query 2050  
 
ntp-service unicast-server 211.98.3.140  
 
Return 

步驟 3     在NE16E執行命令display this，查看NE16E上NTP設置。

顯示信息如下：

#  
 
ntp-service unicast-server 222.55.0.9  
 
Return 

步驟 4     在NE80E執行命令undo ntp-service access query 2050，去掉ACL限制后能夠正常執行時間同步。

步驟 5     NE80E需要接受NE16E的時間請求，同時又要同步到遠端時鐘服務器。所以，此種情況應選擇支持時間請求和同步到遠端服務器的peer訪問權限方式。

說明：NTP的四種訪問權限：

1、query：只允許對本地NTP服務進行控制查詢。

2、synchronization：只允許對本地NTP進行時間請求。

3、server：可以對本地NTP服務進行時間請求和控制查詢，但本地時鐘不會同步到遠端服務器。

4、peer：即可以對本地NTP服務進行時間請求和控制查詢，本地時鐘又可以同步到遠端服務器。采用記錄路由的方式ping NE5000E-2，NE5000E-2接到報文后需要上送主控處理。

步驟 6     進一步分析，如果NE80E與遠端時鐘服務器交互，NE80E的ACL列表配置存在錯誤。在NE80E配置的ACL中沒有加入允許進行訪問的遠端服務器的IP，而僅允許NE16E的IP通過。這樣自然無法同遠端服務器進行同步交互。

----結束

處理步驟

步驟 1     登陸NE80E，執行命令system-view，進入系統視圖。

步驟 2     執行命令ntp-service access peer 2050，指定NE80E對等體建立的ACL。

步驟 3     執行命令ntp-service unicast-server 211.98.3.140，指定NE80E的時鐘同步服務器。

步驟 4     執行命令acl number 2050，進入ACL編號為2050的視圖。

步驟 5     執行命令rule 2 permit source 222.55.0.49 0，ACL添加允許NE16E的源地址接入規則，從而實現接受NE16E的時鐘查詢。

步驟 6     執行命令rule 3 permit source 222.55.0.46 0，ACL添加允許接入的IP地址。

步驟 7     執行命令rule 3 permit source 211.98.3.140 0，ACL添加允許遠端時鐘服務器地址接入規則，從而可以實現NE80與遠端時鐘服務器交互。

步驟 8     執行命令quit，退出ACL編輯視圖。

步驟 9     執行命令return退回到用戶視圖，執行命令save，保存對配置的修改。

步驟 10     登陸NE80E執行命令display ntp-service status，

顯示信息如下：

clock status: synchronized  
 
clock stratum: 3  
 
reference clock ID: 211.98.3.104 

確認NE80E與遠端服務器之間時鐘均能夠正常同步。

步驟 11     登陸NE16E執行命令display ntp-service status，

顯示信息如下：

clock status: synchronized  
 
clock stratum: 4  
 
reference clock ID: 222.55.0.9 

NE16能與NE80時鐘進行正常同步。

故障排除。

----結束

案例總結

通過設置訪問權限保護本地NTP服務，是VRP提供的一種比較簡單的安全措施。VRP提供4個等級的訪問限制，當1個NTP訪問請求到達本地時，按照最小訪問限制到***訪問限制依次匹配，以第1個匹配的為準，匹配順序如下：peer，server，synchronization，query。

需要根據實際組網需求設置正確的訪問權限。在選用peer權限時，對主動對等體添加ACL時候，要注意允許被動對等體的訪問。
 

【編輯推薦】

1. 路由器故障：登錄SSH服務器失敗
2. 路由故障：NE5000E路由器Telnet失敗
3. 路由故障：傳輸網告警導致整網路由震蕩