思科防火墙如何跟其他网络设备保持时间一致
思科cisco依靠自身的技术和对网络经济模式的深刻理解,使他成为了网络应用的成功实践者之一,其出产的路由器也是全球顶尖的,那么你知道思科防火墙如何跟其他网络设备保持时间一致吗?下面是小编整理的一些关于思科防火墙如何跟其他网络设备保持时间一致的相关资料,供你参考。
思科防火墙跟其他网络设备保持时间一致的方法一:防火墙系统时钟
在防火墙出厂的时候,跟电脑主板一样,也有一个系统时间。在防火墙刚开始部署的时候,防火墙服务器就是利用这个系统时间跟其他设备进行相关问题的协商。不过,在防火墙后续管理中,我们可以根据自己的需要配置系统时钟。
1、 修改系统时钟的时间。在一些情况下,我们可能需要对系统时钟的时间进行修改。如出于某种原因,网络管理员可能把所有的网络设备的时间都延迟了一个小时。此时,我们就需要根据实际情况,为了保证防火墙的时间跟其他网络设备的时间一致,就需要手工的把时间进行修改,按照其他网络设备的时间重新设定防火墙的系统时钟。
2、 设置合理的时区。默认情况下,防火墙使用的是一种所谓的世界协调时,我们有时会可能看不惯这种时间的表示方法。此时,我们就需要手工的对时区进行设置,如设置为北京时间等等。不过这里要注意一点,这个时区的话,只是用来做显示用,而不会改变系统时钟。也就是说,系统时钟仍然是三届协调时;而显示的时防火墙服务器经过处理过的时间,按照我们设置的时区进行转换并显示。
3、 我们还可以为服务器设置夏令时。不过这在大陆现在已经取消了这个夏令时,故,在实际管理中,基本上没有用到这个功能。
思科防火墙跟其他网络设备保持时间一致的方法二:网络时间协议
除了手工的设置防火墙服务器的系统时钟外,我们可以在网路中设置一个时间服务器,让其他网络设备都跟这个时间服务器保持一致。如此的话,就可以最大程度的保证各个网络设备的时间一致性。这就好像中国大陆都已北京时间为准,全国就只有一个时间,这就可以免除大家交流之间的一些不必要的麻烦。
在防火墙中,有一个网络时间协议,他的作用就是专门从网络中向时间服务器去获取时间信息,为网络系统提供一个精确的时间同步源。
如我们可以利用ntp server ip-address key number source if-name prefer命令来配置网络时间协议,让其从我们指定的时间服务器中获取时间信息。
其中
Ntp:就表示时间协议。
ip-address:表示防火墙需要同步的时间服务器的IP地址
key number:表示在跟时间服务器通信时,需要使用特定的密钥进行通信。Number用于指定密钥。当网络管理员出于标示的需要,使用多个密钥或者多个服务器的时候,这个参数就显得尤其的重要。
If_name :这个参数,主要是用来指定用防火墙的那个接口,来跟时间服务器进行通信,即用于向NTP服务器 发送分组的接口名。
Prefer:这个参数平时不怎么用,主要是用来指定这个IP地址的时间服务器是首选的服务器。一般在大型网络中,可能有多个时间服务器,所以,为了减少各个时间服务器之间的来回切换所发生的不必要的花费,就可以利用这个参数进行指定。
利用网络时间协议来保持网络时间的一致性时,需要注意如下问题:
一是网络时间协议通常是使用123端口进行通信。这在防火墙配置的时候需要注意,不要把这个端口屏蔽掉了。当没有时间网络时间协议的话,就可以把这个端口屏蔽。
二是采用网络时间协议保持时间同步的话,这个时间源要选择准确。如我们可以直接利用互联网上的时间服务器。不过,再利用互联网上的时间服务器,跟防火墙的时间进行同步时,需要注意两个问题。一是这个防火墙没有存在企业网络的域中,也就是说,没有利用域来管理企业网络,否则的话,防火墙服务器可以采用域控制器的时钟来同步。二是需要注意,互联网上的时间只同步时钟,而不会同步日期。也就是说,必须先在防火墙上设置正确的日期,只有如此,才能够从互联网上的时间服务器那边更新时间信息。否则的话,在日期不准确的情况下,时间信息无法被更新或者被准确更新。不过,跟互联网上的时间服务器同步的话,只有在网络通畅的情况下,才能够完成。万一,连接企业的外网发生中断,如遇到地震或者海啸,导致光钎断掉的话,就无法保持时间的更新了。所以,在企业中,若有证书方面的要求,如对于部属有网上银行等对于证书要求比较多的企业,最好还是自己设立一个时间服务器。因为他们对于时间的一致性的需求,不是其他企业可以比的。出于安全上的考虑,设置一个专门的时间服务器还是有必要的。而且,这个投资也不会很大。
三是要注意伪时间服务器的问题。以前在管理大型网络的时候,会遇到伪时间服务器的事件。也就是说,在网络中,有两台时间服务器,而其中一台时间服务器是别人伪造的,但是,防火墙不知道他是伪造的,就错误的跟他的时间保持一致,从而造成了网络时间上的不一致。针对这种情况,我们一般要求防火墙在利用网络时间协议从时间服务器那边取得时间的时候,需要认证防火墙与时间服务器之间的通信信息。