为什么ntp配置md5验证与否都可以同步成功？

xuxic

   为了迎接18大，公司下令要求加强安全配置，包括ntp的md5验证，并给了统一的密码。但在配置前就已经是同步状态的，配置验证后发现也可以同步成功，如果不验证就可以同步，那配上验证还有意义吗？

   我们用的是华为的路由器和交换机，下面是ntp加验证的配置：
ntp-service authentication enable  
ntp-service source-interface LoopBack0
ntp-service authentication-keyid 1 authentication-mode md5 TjiwoeiEOWIE$%32KS
ntp-service reliable authentication-keyid 1  
ntp-service unicast-server X.X.X.X authentication-keyid 1
ntp-service unicast-server Y.Y.Y.Y authentication-keyid 1
   
应该也不是验证未生效，在不配置ntp-service reliable authentication-keyid 1时，是同步失败的。
一直在郁闷中。

另外还有个问题问下大家，ntp不配验证到底有什么风险，怎么搞的那么严重？

marsteel

debug一下ntp或者show 一下ntp的状态
只看配置不一定能看到什么问题

ssffzz1

一边验证，另一边不验证。你测试过吗？？？？

一开始，是同步的。到验证失败变成不同步需要一段时间的。

xuxic

ntp服务器没有权限管理，有机会找几台设备搭个环境测试一下。

xuxic

cisco设备没有配置验证，可以同步成功。
C4507#sh ntp status
Clock is synchronized, stratum 2, reference is 120.196.47.2
nominal freq is 250.0000 Hz, actual freq is 249.9839 Hz, precision is 2**18
reference time is D4A8D6C0.FCC20125 (17:13:36.987 BeiJing Tue Jan 22 2013)
clock offset is 7.1979 msec, root delay is 11.31 msec
root dispersion is 244.92 msec, peer dispersion is 141.10 msec
C4507#sh run | incl ntp
ntp clock-period 17180971
ntp source Loopback0
ntp server 12x.19x.4x.2
ntp server 12x.19x.4x.1

xuxic

华为设备S9312配置了验证，可以同步成功。
<S9312>dis ntp status
clock status: synchronized
clock stratum: 2
reference clock ID: 120.196.47.2
nominal frequency: 100.0000 Hz
actual frequency: 100.0000 Hz
clock precision: 2^17
clock offset: 131.4950 ms
root delay: 29.18 ms
root dispersion: 176.74 ms
peer dispersion: 10.94 ms
reference time: 09:24:01.308 UTC Jan 22 2013(D4A8D931.4EFAC604)
synchronization state: spike (clock will be set in 0 secs)
<S9312>dis cur | incl ntp
ntp-service authentication enable
ntp-service authentication-keyid 1 authentication-mode md5 cipher %$%$bAH!9\R+|~Xl-*SygEg|sj%$%$
ntp-service reliable authentication-keyid 1
ntp-service unicast-server 12X.19X.4X.2 authentication-keyid 1
ntp-service unicast-server 12X.19X.4X.1 authentication-keyid 1