防火墻與其他網(wǎng)絡(luò)設(shè)備的時間同步

發(fā)布時間：2025-02-09

一方面，如果網(wǎng)絡(luò)設(shè)備上的時間不一致，如路由器跟防火墻的時間相差十分鐘，則在故障排除的時候，就會很麻煩。因為防火墻或者路由器上都有事件日志，在這些日志上會反映相關(guān)的故障信息。而由于兩者系統(tǒng)時間不一致，所以，在日志上顯示的時間也會有問題，對于我們解決問題不利。這就好像你手表與公司里考勤機的時間不一致的話，那么你就很難把握上班的時間。即使考勤機的時間是錯誤的，則我們也必須以考勤機的時間為準(zhǔn)，進(jìn)行相應(yīng)的調(diào)整。
另一方面，若在網(wǎng)絡(luò)設(shè)備上，有證書應(yīng)用的話，則更加要求時間上的一致性。如需要認(rèn)證證書或者撤銷證書的話，都必須要求比較的時間，要求網(wǎng)絡(luò)設(shè)備之間時間的一致。
所以，出于種種方面的原因，我們網(wǎng)絡(luò)管理員有義務(wù)保證防火墻跟其他網(wǎng)絡(luò)設(shè)備在時間上保持一致/。
對于防火墻來說，其主要有兩種時間調(diào)整的方式。
*種：防火墻系統(tǒng)時鐘/
在防火墻出廠的時候，跟電腦主板一樣，也有一個系統(tǒng)時間。在防火墻剛開始部署的時候，防火墻服務(wù)器/就是利用這個系統(tǒng)時間跟其他設(shè)備進(jìn)行相關(guān)問題的協(xié)商。不過，在防火墻后續(xù)管理中，我們可以根據(jù)自己的需要配置系統(tǒng)時鐘。
1、修改系統(tǒng)時鐘的時間。在一些情況下，我們可能需要對系統(tǒng)時鐘的時間進(jìn)行修改。如出于某種原因，網(wǎng)絡(luò)管理員可能把所有的網(wǎng)絡(luò)設(shè)備的時間都延遲了一個小時。此時，我們就需要根據(jù)實際情況，為了保證防火墻的時間跟其他網(wǎng)絡(luò)設(shè)備的時鐘一致，就需要手工的把時間進(jìn)行修改，按照其他網(wǎng)絡(luò)設(shè)備的時間重新設(shè)定防火墻的系統(tǒng)時鐘。
2、設(shè)置合理的時區(qū)。默認(rèn)情況下，防火墻使用的是一種所謂的世界協(xié)調(diào)時，我們有時會可能看不慣這種時間的表示方法。此時，我們就需要手工的對時區(qū)進(jìn)行設(shè)置，如設(shè)置為北京時間等等。不過這里要注意一點，這個時區(qū)的話，只是用來做顯示用，而不會改變系統(tǒng)時鐘。也就是說，系統(tǒng)時鐘仍然是三屆協(xié)調(diào)時;而顯示的時防火墻服務(wù)器經(jīng)過處理過的時間，按照我們設(shè)置的時區(qū)進(jìn)行轉(zhuǎn)換并顯示。
3、我們還可以為服務(wù)器設(shè)置夏令時。不過這在大陸現(xiàn)在已經(jīng)取消了這個夏令時，故，在實際管理中，基本上沒有用到這個功能。
在使用防火墻系統(tǒng)時鐘的時候，需要注意幾個問題：
一是防火墻系統(tǒng)時鐘是比較獨立的一個時間系統(tǒng)，其不會自動跟其他網(wǎng)絡(luò)設(shè)備的時間保持一致。所以，這個系統(tǒng)時鐘的話，需要用戶根據(jù)其他網(wǎng)絡(luò)設(shè)備的時間核對，然后進(jìn)行調(diào)整。務(wù)必保證與其他網(wǎng)絡(luò)設(shè)備的時鐘一致。否則的話，會給我們后續(xù)的網(wǎng)絡(luò)維護(hù)造成很大的麻煩。
二在時區(qū)管理上，能夠利用世界協(xié)調(diào)時，因為這是未來發(fā)展的趨勢，后續(xù)各個網(wǎng)絡(luò)設(shè)備，基本上都會采用這個世界協(xié)調(diào)時。所以，我們網(wǎng)絡(luò)管理員應(yīng)該需要習(xí)慣這個表示方法。如此的話，不用每次都去修改時區(qū)。
三是有可能其他網(wǎng)絡(luò)設(shè)備的時間不準(zhǔn)確，如比標(biāo)準(zhǔn)時間都慢了十分鐘。此時，防火墻也只能“同流合污”，跟他們保持一致。因為去更改其他眾多的網(wǎng)絡(luò)設(shè)備的時間，顯然會給網(wǎng)絡(luò)造成很大的影響。所以，此時，只能夠更改防火墻服務(wù)器的時間，以保證跟他們在時間上保持一致。
第二種：網(wǎng)絡(luò)時間協(xié)議
除了手工的設(shè)置防火墻服務(wù)器的系統(tǒng)時鐘外，我們可以在網(wǎng)路中設(shè)置一個時間服務(wù)器，讓其他網(wǎng)絡(luò)設(shè)備都跟這個時間服務(wù)器保持一致。如此的話，就可以zui大程度的保證各個網(wǎng)絡(luò)設(shè)備的時鐘一致性。這就好像中國大陸都已北京時間為準(zhǔn)，全國就只有一個時間，這就可以免除大家交流之間的一些不必要的麻煩。
在防火墻中，有一個網(wǎng)絡(luò)時間協(xié)議，他的作用就是專門從網(wǎng)絡(luò)中向時間服務(wù)器去獲取時間信息，為網(wǎng)絡(luò)系統(tǒng)提供一個的時間同步源。
如我們可以利用ntpserverip-addresskeynumbersourceif-nameprefer命令來配置網(wǎng)絡(luò)時間協(xié)議，讓其從我們的時間服務(wù)器中獲取時間信息。
其中
ntp：就表示時間協(xié)議。
ip-address：表示防火墻需要同步的時間服務(wù)器的ip地址
keynumber：表示在跟時間服務(wù)器通信時，需要使用特定的密鑰進(jìn)行通信。number用于密鑰。當(dāng)網(wǎng)絡(luò)管理員出于標(biāo)示的需要，使用多個密鑰或者多個服務(wù)器的時候，這個參數(shù)就顯得尤其的重要。
if_name：這個參數(shù)，主要是用來用防火墻的那個接口，來跟時間服務(wù)器進(jìn)行通信，即用于向ntp服務(wù)器發(fā)送分組的接口名。
prefer：這個參數(shù)平時不怎么用，主要是用來這個ip地址的時間服務(wù)器是的服務(wù)器。一般在大型網(wǎng)絡(luò)中，可能有多個時間服務(wù)器，所以，為了減少各個時間服務(wù)器之間的來回切換所發(fā)生的不必要的花費，就可以利用這個參數(shù)進(jìn)行。
利用網(wǎng)絡(luò)時間協(xié)議來保持網(wǎng)絡(luò)時間的一致性時，需要注意如下問題：
一是網(wǎng)絡(luò)時間協(xié)議通常是使用123端口進(jìn)行通信。這在防火墻配置的時候需要注意，不要把這個端口屏蔽掉了。當(dāng)沒有時間網(wǎng)絡(luò)時間協(xié)議的話，就可以把這個端口屏蔽。
二是采用網(wǎng)絡(luò)時間協(xié)議保持時間同步的話，這個時間源要選擇準(zhǔn)確。如我們可以直接利用互聯(lián)網(wǎng)上的時間服務(wù)器。不過，再利用互聯(lián)網(wǎng)上的時間服務(wù)器，跟防火墻的時間進(jìn)行同步時，需要注意兩個問題。一是這個防火墻沒有存在企業(yè)網(wǎng)絡(luò)的域中，也就是說，沒有利用域來管理企業(yè)網(wǎng)絡(luò)，否則的話，防火墻服務(wù)器可以采用域控制器的時鐘來同步。二是需要注意，互聯(lián)網(wǎng)上的時間只同步時鐘，而不會同步日期。也就是說，必須先在防火墻上設(shè)置正確的日期，只有如此，才能夠從互聯(lián)網(wǎng)上的時間服務(wù)器那邊更新時間信息。否則的話，在日期不準(zhǔn)確的情況下，時間信息無法被更新或者被準(zhǔn)確更新。不過，跟互聯(lián)網(wǎng)上的時間服務(wù)器同步的話，只有在網(wǎng)絡(luò)通暢的情況下，才能夠完成。萬一，連接企業(yè)的外網(wǎng)發(fā)生中斷，如遇到地震或者海嘯，導(dǎo)致光釬斷掉的話，就無法保持時間的更新了。所以，在企業(yè)中，若有證書方面的要求，如對于部屬有網(wǎng)上銀行等對于證書要求比較多的企業(yè)，還是自己設(shè)立一個時間服務(wù)器。因為他們對于時間的一致性的需求，不是其他企業(yè)可以比的。出于安全上的考慮，設(shè)置一個專門的時間服務(wù)器還是有必要的。而且，這個投資也不會很大。
另外，為了安全可靠，特別是一些重要行業(yè)部門，如金融、通信、電力、交通、廣電、安防、水利、石化、冶金、國防、醫(yī)療、教育、*、it等領(lǐng)域的網(wǎng)絡(luò)時間同步，建議使用的網(wǎng)絡(luò)時間服務(wù)器設(shè)備。
上海銳呈公司北斗衛(wèi)星對時服務(wù)器設(shè)備的特點：
1．模塊化結(jié)構(gòu)，ntp/sntp端口數(shù)量可靈活配置，zui多配置20路相互獨立的10/100m網(wǎng)口。
2．雙cpu同時工作，32位cpu雙核處理器，性能*提高。
3．精度高，同步快。
4．支持單星授時模式，適用于收星效果不佳的情況，有屋頂和貼窗天線可供選擇。
5．自保持能力強，裝置收不到衛(wèi)星信號后，自保持能力優(yōu)于0.42μs/min。
6．可同時為幾十萬臺客戶端、服務(wù)器、工作站提供時間服務(wù)。
7．支持windows9x/nt/2000/xp/2003、linux、unix、sun solaris、ibm aix、hp-ux等操作系統(tǒng)及支持ntp協(xié)議的路由器、交換機、智能控制器等網(wǎng)絡(luò)設(shè)備。
8．多種配置方法，易于管理和升級。
9．支持電源中斷、gps失歩干接點信號告警。
10．嵌入式系統(tǒng)，無硬盤和風(fēng)扇設(shè)計，防震設(shè)計，系統(tǒng)穩(wěn)定可靠。
11．高品質(zhì)的工業(yè)級元件，高水準(zhǔn)的電氣設(shè)計，高密度集成的電路結(jié)構(gòu)，使裝置擁有優(yōu)異的電氣隔離和電磁屏蔽表現(xiàn)，整機無可調(diào)節(jié)器件，*提高了裝置抗干擾性能與可靠性保障。
12．gps接收天線重點考慮了防雷設(shè)計、穩(wěn)定性設(shè)計、抗干擾設(shè)計， 信號接收可靠性高，不受地域條件和環(huán)境的限制。
13．裝置具有自復(fù)位能力，在因干擾造成裝置程序出錯時，能自動恢復(fù)正常工作。
14．裝置提供一路可編程的ttl脈沖信號供時鐘的準(zhǔn)確度指標(biāo)測試。
15．有多種工作狀態(tài)指示，便于運行值班人員的日常巡視。
16．裝置采用全模塊化即插即用結(jié)構(gòu)設(shè)計，支持板卡熱插拔，配置靈活，維護(hù)方便，同時為將來現(xiàn)場網(wǎng)絡(luò)改造擴建時增加對時端口提供了方便。
17．裝置可通過數(shù)碼管在線顯示當(dāng)前收星個數(shù)，在線顯示裝置的同步狀況。
上海銳呈公司北斗衛(wèi)星對時服務(wù)器/裝置的詳細(xì)參數(shù)：
1．時間源：gps、北斗、cdma、irig-b、恒溫晶振ocxo、原子鐘可選；
2．電源：220v/110v交、直流自適應(yīng),雙電源冗余；
3．gps接收頻率：1575.42mhz,接收靈敏度：捕獲〈-160dbw，跟蹤〈-163dbw。捕獲時間：裝置冷啟動時，〈5min；裝置熱啟動時，〈1min。
4．北斗接收器：通道：6；接收靈敏度：-157.6dbw；冷啟動首捕時間：≤2秒；失鎖重捕時間：≤1 秒；1pps精度：優(yōu)于100ns。
5．平均*間隔時間（mtbf）≥150000小時；平均維修時間（mttr）：一般不大于30分，使用壽命不少于20年。正常使用條件下無須維護(hù)。
6．授時精度：脈沖、b碼：0.1μs，串口：10μs ，ntp/sntp：1-10ms；
7．網(wǎng)口支持協(xié)議：ntp/sntp ，arp，udp/ time，net，icmp，snmp，md5；
8．ntp/sntp授時記錄 保存300條；
9．外形尺寸：1u/2u、19”標(biāo)準(zhǔn)機箱,安裝方便。
10．天線長度標(biāo)配30m,可選50、60、80、100、120、200米
文章源于：上海銳呈電氣有限公司/
技術(shù)交流：