Juniper SRX (Junos OS) NTP网络校验设定

11月 1, 202019:53:29
评论
220 3040字

NTP全名为Network Time Protocol,可用来同步不同电脑系统之间的时间,现在的智慧型手机几乎也会使用到这个服务,用来校准、设定装置上的日期时间,而校时服务需要靠NTP服务器来提供,虽然说校时服务器全球都会有,但距离越远也会有网络延迟造成的误差问题,所以建议使用靠自己较近的服务器进行校时。

从安全审计的角度来看,准确的时间是必不可少的,因此工程师可以将系统事件关联起来以收集问题的根本原因。网络时间协议(NTP)是用于将设备间的时间同步到公共参考时钟的行业标准。NTP通过UDP进行通信,如果恶意用户欺骗NTP服务器的IP地址并注入不准确的时间戳,则可能会造成安全风险。为了减轻这种潜在风险,NTP应通过实施认证来加以保护。

默认情况下,Junos中未启用NTP。

而设备系统时间与NTP时间一致的好处有,系统日志记录了设备所有的状况与命令执行、使用者登入状态等信息,系统时间正确时,我们在除错与找问题就会更加容易,而关于时间排程方面的设定也就更加准确无误。

设定时间服务器,同步所有路由器,以便于为log档设定时间戳记,可以正确的在时间上定位所有的信息。

计算机时间与NTP时间一致的重要性

NTP时间服务器在网际网络上进行时间同步具有重要意义。网际网络起源于军事用途明显的ARPA网。在军事应用领域,时间从来就是一个非常重要的考虑因素。对于网际网络的时间同步和NTP的研究,就是在美国国防部的资助下启动和进行的。随着网际网络的发展和延伸到社会的各个方面,在其他的领域对时间同步也提出了多种要求,例如各种实时的网上交易、制造过程控制、通信网络的时间配置、网络安全性设计、分布性的网络计算和处理、交通航班航路管理以及数据库文件管理和呼叫记录等多种涉及时间戳的应用,都需要精确、可靠和公认的时间。

有很多应用依赖计算机间准确的时间才能运作正常,如果计算机间的时间误差比较大,这些应用和协议就可能完全失败。

  • 分布式软件开发

网络文件系统(NFS)是一个依赖时间的网络应用,它完全依赖各个工作站给服务器上的文件提供时间戳。当一个文件被创建或者被修改了,终端工作站的时钟被作为时间戳加在文件上。因此,如果客户端的时钟不同于服务器的时钟,则文件的时间戳将有不同。很多应用,从磁盘备份到生成程序都使用时间戳来确定哪个文件是最新的。在这种情况下,错误的时间戳意味着重大的文件损失,也就是工时和机时的损失

  • 安全

Kerberos是MIT开发的一个协议,用来在一个不安全的网络内,比如说一个大学网,发送加密的口令信息。Kerberos允许在网际网络上安全

通信而不需要防火墙,并且支持很多通用的TCP/IP应用程序,例如telnet,ftp以及很多远程过程调用RPC程序。

Kerberos允许用户向Kerberos密钥分发中心(KDC)服务器申请一个「加密票」,「加密票」包括用户的口令和时间戳,两者用计算机上常用的DES算法加密。时间戳用来防止网络信息拦截机把拦截到的「加密票」伪装成刚刚授权的「加密票」不断的重复发送。「加密票」在一段时间内有效,这就要求客户端机器时钟和Kerberos服务器时钟在这一段时间内同步。有代表性的,时间范围是5分钟,时间范围越小网络越安全。

  • 电子邮件

电子邮件是计算机网络中最重要的信息流,即使没有本地网,许多公司也会利用MODEM在世界各地或者只是在一个居室内的一组人之间利用电子邮件相互通信。

时间戳可以用来衡量邮件服务器的性能和可靠性,并且设置性能标准,测定瓶颈服务器,判定哪个连接需要更宽的宽带。同样的邮件服务器要有时钟同步才行。

目前使用之server网址是

  • NTP服务器
    • 203.107.6.88 阿里云杭州NTP服务器
    • 139.199.215.251 腾讯云广州NTP服务器
    • 101.6.6.172 清华大学北京NTP服务器
  • NTP域名服务器
    • ntp.ntsc.ac.cn 国家授时中心 NTP 服务器
    • ntp.aliyun.com 阿里云公共 NTP 服务器
    • cn.pool.ntp.org 国际 NTP 快速授时服务中国片区
    • us.ntp.org.cn 美国 NTP 授时服务器

NTP设定示例:

set system time-zone Asia/Shanghai
set system ntp boot-server 203.107.6.88
set system ntp server 203.107.6.88 version 4 prefer
set system ntp server 139.199.215.251 version 4
set system ntp server 101.6.6.172 version 4

设定时区

user@host#set system time-zone Asia/Shanghai

手动设定系统日期与时间

手动设定时间 January 25, 2010 and 11:15:00 AM.

user@host> set date YYYYMMDDhhmm.ss
user@host> set date 201001251115.00

手动同步时间NTP server 118.163.81.61

root@srx100a> set date ntp cn.pool.ntp.org
 1 Oct 12:28:11 ntpdate[14424]: step time server 118.163.81.61 offset -0.000181 sec
root@srx100a> set date ntp 203.107.6.88
 1 Oct 12:28:15 ntpdate[14424]: step time server 118.163.81.61 offset -0.000091 sec

跟清单中之NTP server同步时间

root@srx100a> set date ntp 

1 Oct 12:29:45 ntpdate[14453]: step time server 211.22.103.158 offset 0.000257 sec

设定NTP server

user@host# set system ntp server 203.107.6.88 version 4 prefer
user@host# set system ntp server 139.199.215.251 version 4

设定设备开机时自动同步系统时间

user@host# set system ntp boot-server 203.107.6.88

使用身份验证密钥配置NTP

因为当设备跟NTP服务器同步时,系统暴露在外,容易受到攻击。所以我们必须在SRX设备上使用身份验证密钥来配置NTP的信息。
而要如何在SRX设备上使用身份验证密钥配置NTP,请参考下列的命令与网络连接:

set system ntp authentication-key <key-number> value <password>
set system ntp authentication-key 11196 value 2b3f6c939cFD7E
set system ntp authentication-key 11196 type md5

設定範例:
set system ntp authentication-key 1 type md5
set system ntp authentication-key 1 value <PASSWORD>
set system ntp server 192.168.3.2 key 1
set system ntp server 192.168.3.2 prefer
set system ntp server 192.168.33.2 key 1
set system ntp trusted-key 1
Juniper SRX (Junos OS) NTP网络校验设定
豌豆日志
  • 本文由 发表于 11月 1, 202019:53:29
  • 转载请务必保留本文链接:https://pealog.com/343.html
Juniper SRX (Junos OS)设备恢复出厂配置 网络技术

Juniper SRX (Junos OS)设备恢复出厂配置

在什么情况下我们需要将SRX防火墙恢复出厂设定呢?一、当您忘记密码无法登入管理设备时其实忘记密码我们还有另一个选择,就是透过密码恢复程序来重新设定密码,请参考下列之网络连接:Juniper SRX(J...
Juniper SRX(Junos OS)系统配置归档自动备份 网络技术

Juniper SRX(Junos OS)系统配置归档自动备份

网络设备的系统配置(配置文件),毋庸置疑,最宝贵的数据莫过于它了,没有了它,再贵的设备都跟废铁一般没有作用。我们见过很多工程师朋友在网络设备down掉后急的火烧眉毛,就是因为没有定期备份系统配置的缘故...
centos7 自建局域网ntp服务器 系统运维

centos7 自建局域网ntp服务器

NTP简介: NTP是网络时间协议(Network Time Protocol),它是用来同步网络中各个计算机的时间的协议。在计算机的世界里,时间非常地重要例如:对于火箭发射这种科研活动,对时间的统一...
Juniper SRX (Junos OS)设备恢复出厂配置 网络技术

Juniper SRX (Junos OS)设备恢复出厂配置

在什么情况下我们需要将SRX防火墙恢复出厂设定呢?一、当您忘记密码无法登入管理设备时其实忘记密码我们还有另一个选择,就是透过密码恢复程序来重新设定密码,请参考下列之网络连接:Juniper SRX(J...
Juniper SRX(Junos OS)系统配置归档自动备份 网络技术

Juniper SRX(Junos OS)系统配置归档自动备份

网络设备的系统配置(配置文件),毋庸置疑,最宝贵的数据莫过于它了,没有了它,再贵的设备都跟废铁一般没有作用。我们见过很多工程师朋友在网络设备down掉后急的火烧眉毛,就是因为没有定期备份系统配置的缘故...
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: