NTP服务器为10.0.0.1
防火墙loopback地址为192.168.100.1
配置如下:
acacl advanced 3303
rule 0 permit udp source 10.198.44.1 0 destination 10.198.46.244 0 destination-port eq ntp
rule 5 permit udp source 10.198.46.244 0 destination 10.198.44.1 0 destination-port eq ntp
rule 1000 deny ip
ntp-service enable
ntp-service source LoopBack1
ntp-service peer acl 3303
ntp-service unicast-server 10.0.0.1 source LoopBack1
rule 9 name FW->NTP
action pass
source-zone Local
destination-zone Trust
source-ip-host 192.168.100.1
destination-ip-host 10.0.0.1
service ping
service ntp
什么情况下配置 ntp-service peer acl 3303 和 ntp-service server acl 3303
(0)
最佳答案
ntp-service acl命令用来设置对端设备对本地设备NTP服务的访问控制权限。
undo ntp-service acl命令用来取消设置的访问控制权限。
【命令】
ntp-service { peer | query | server | synchronization } acl ipv4-acl-number
undo ntp-service { peer | query | server | synchronization } [ acl ipv4-acl-number ]
【缺省情况】
对端设备对本地设备NTP服务的访问控制权限为peer。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
peer:完全访问权限。该权限既允许对端设备向本地设备的时间同步,对本地设备进行控制查询(查询NTP的一些状态,比如告警信息、验证状态、时间服务器信息等),同时本地设备也可以向对端设备的时间同步。
query:仅具有控制查询的权限。该权限只允许对端设备对本地设备的NTP服务进行控制查询,但是不能向本地设备的时间同步。
server:服务器访问与查询权限。该权限允许对端设备向本地设备的时间同步,对本地设备进行控制查询,但本地设备不会向对端设备的时间同步。
synchronization:仅具有访问服务器的权限。该权限只允许对端设备向本地设备的时间同步,但不能进行控制查询。
ipv4-acl-number:通过编号指定引用的ACL(Access Control List,访问控制列表)。通过ACL过滤的对端设备具有本命令中指定的访问控制权限。ipv4-acl-number为IPv4基本或高级ACL的编号,取值范围为2000~2999和3000~3999。
【使用指导】
NTP服务的访问控制权限从高到低依次为peer、server、synchronization、query。当设备接收到一个NTP服务请求时,会按照权限从高到低的顺序依次进行匹配,第一个匹配的权限为此设备具有的访问控制权限。如果没有匹配的权限,则不允许对端设备与本地设备进行时间同步、对本端进行控制查询,也不允许本端设备与对端设备进行时间同步。
引用ACL时,需要注意的是:
· 若引用的ACL不存在,或者引用的ACL中没有配置规则,则任何设备都能访问本地NTP服务。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
ntp-service acl命令提供了一种最小限度的安全措施,更安全的方法是进行身份验证。
【举例】
# 配置10.10.0.0/16网段的对端设备对本地设备具有完全访问权限。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 10.10.0.0 0.0.255.255
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] ntp-service peer acl 2001
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论