防火墙配置NTP+ACL时钟同步失败

1.1.5  ntp-service acl

ntp-service acl命令用来设置对端设备对本地设备NTP服务的访问控制权限。

undo ntp-service acl命令用来取消设置的访问控制权限。

【命令】

ntp-service { peer | query | server | synchronization } acl ipv4-acl-number

undo ntp-service { peer | query | server | synchronization } [ acl ipv4-acl-number ]

【缺省情况】

对端设备对本地设备NTP服务的访问控制权限为peer。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

peer：完全访问权限。该权限既允许对端设备向本地设备的时间同步，对本地设备进行控制查询（查询NTP的一些状态，比如告警信息、验证状态、时间服务器信息等），同时本地设备也可以向对端设备的时间同步。

query：仅具有控制查询的权限。该权限只允许对端设备对本地设备的NTP服务进行控制查询，但是不能向本地设备的时间同步。

server：服务器访问与查询权限。该权限允许对端设备向本地设备的时间同步，对本地设备进行控制查询，但本地设备不会向对端设备的时间同步。

synchronization：仅具有访问服务器的权限。该权限只允许对端设备向本地设备的时间同步，但不能进行控制查询。

ipv4-acl-number：通过编号指定引用的ACL（Access Control List，访问控制列表）。通过ACL过滤的对端设备具有本命令中指定的访问控制权限。ipv4-acl-number为IPv4基本或高级ACL的编号，取值范围为2000～2999和3000～3999。

【使用指导】

NTP服务的访问控制权限从高到低依次为peer、server、synchronization、query。当设备接收到一个NTP服务请求时，会按照权限从高到低的顺序依次进行匹配，第一个匹配的权限为此设备具有的访问控制权限。如果没有匹配的权限，则不允许对端设备与本地设备进行时间同步、对本端进行控制查询，也不允许本端设备与对端设备进行时间同步。

引用ACL时，需要注意的是：

·     若引用的ACL不存在，或者引用的ACL中没有配置规则，则任何设备都能访问本地NTP服务。

·     在引用的ACL中，若某规则指定了vpn-instance参数，则表示该规则仅对VPN报文有效；若规则未指定vpn-instance参数，则表示该规则仅对公网报文有效。

ntp-service acl命令提供了一种最小限度的安全措施，更安全的方法是进行身份验证。

【举例】

# 配置10.10.0.0/16网段的对端设备对本地设备具有完全访问权限。

<Sysname> system-view

[Sysname] acl basic 2001

[Sysname-acl-ipv4-basic-2001] rule permit source 10.10.0.0 0.0.255.255

[Sysname-acl-ipv4-basic-2001] quit

[Sysname] ntp-service peer acl 2001