蓝点颏鸟什么时候有:防火墙如何跟其他网络设备实现时间同步

        一方面，如果网络设备上的时间不一致，如路由器跟防火墙的时间相差十分钟，则在故障排除的时候，就会很麻烦。因为防火墙或者路由器上都有事件日志，在这些日志上会反映相关的故障信息。而由于两者系统时间不一致，所以，在日志上显示的时间也会有问题，对于我们解决问题不利。这就好像你手表与公司里考勤机的时间不一致的话，那么你就很难把握上班的时间。即使考勤机的时间是错误的，则我们也必须以考勤机的时间为准，进行相应的调整。
　　另一方面，若在网络设备上，有证书应用的话，则更加要求时间上的一致性。如需要认证证书或者撤销证书的话，都必须要求比较精确的时间，要求网络设备之间时间的一致。
所以，出于种种方面的原因，我们网络管理员有义务保证防火墙跟其他网络设备在时间上保持一致。
　　对于防火墙来说，其主要有两种时间调整的方式。
　　第一种：防火墙系统时钟
　　在防火墙出厂的时候，跟电脑主板一样，也有一个系统时间。在防火墙刚开始部署的时候，防火墙服务器就是利用这个系统时间跟其他设备进行相关问题的协商。不过，在防火墙后续管理中，我们可以根据自己的需要配置系统时钟。
　　1、 修改系统时钟的时间。在一些情况下，我们可能需要对系统时钟的时间进行修改。如出于某种原因，网络管理员可能把所有的网络设备的时间都延迟了一个小时。此时，我们就需要根据实际情况，为了保证防火墙的时间跟其他网络设备的时钟一致，就需要手工的把时间进行修改，按照其他网络设备的时间重新设定防火墙的系统时钟。
　　2、 设置合理的时区。默认情况下，防火墙使用的是一种所谓的世界协调时，我们有时会可能看不惯这种时间的表示方法。此时，我们就需要手工的对时区进行设置，如设置为北京时间等等。不过这里要注意一点，这个时区的话，只是用来做显示用，而不会改变系统时钟。也就是说，系统时钟仍然是三届协调时;而显示的时防火墙服务器经过处理过的时间，按照我们设置的时区进行转换并显示。
　　3、 我们还可以为服务器设置夏令时。不过这在大陆现在已经取消了这个夏令时，故，在实际管理中，基本上没有用到这个功能。
在使用防火墙系统时钟的时候，需要注意几个问题：
　　一是防火墙系统时钟是比较独立的一个时间系统，其不会自动跟其他网络设备的时间保持一致。所以，这个系统时钟的话，需要用户根据其他网络设备的时间核对，然后进行调整。务必保证与其他网络设备的时钟一致。否则的话，会给我们后续的网络维护造成很大的麻烦。
　　二在时区管理上，最好能够利用世界协调时，因为这是未来发展的趋势，后续各个网络设备，基本上都会采用这个世界协调时。所以，我们网络管理员应该需要习惯这个表示方法。如此的话，不用每次都去修改时区。
　　三是有可能其他网络设备的时间不准确，如比标准时间都慢了十分钟。此时，防火墙也只能“同流合污”，跟他们保持一致。因为去更改其他众多的网络设备的时间，显然会给网络造成很大的影响。所以，此时，只能够更改防火墙服务器的时间，以保证跟他们在时间上保持一致。
　　第二种：网络时间协议
　　除了手工的设置防火墙服务器的系统时钟外，我们可以在网路中设置一个时间服务器，让其他网络设备都跟这个时间服务器保持一致。如此的话，就可以最大程度的保证各个网络设备的时钟一致性。这就好像中国大陆都已北京时间为准，全国就只有一个时间，这就可以免除大家交流之间的一些不必要的麻烦。
　　在防火墙中，有一个网络时间协议，他的作用就是专门从网络中向时间服务器去获取时间信息，为网络系统提供一个精确的时间同步源。
　　如我们可以利用ntp server ip-address key number source if-name prefer命令来配置网络时间协议，让其从我们指定的时间服务器中获取时间信息。
　　其中
　　Ntp：就表示时间协议。
　　ip-address：表示防火墙需要同步的时间服务器的IP地址
　　key number：表示在跟时间服务器通信时，需要使用特定的密钥进行通信。Number用于指定密钥。当网络管理员出于标示的需要，使用多个密钥或者多个服务器的时候，这个参数就显得尤其的重要。
　　If_name ：这个参数，主要是用来指定用防火墙的那个接口，来跟时间服务器进行通信，即用于向NTP服务器 发送分组的接口名。
　　Prefer：这个参数平时不怎么用，主要是用来指定这个IP地址的时间服务器是首选的服务器。一般在大型网络中，可能有多个时间服务器，所以，为了减少各个时间服务器之间的来回切换所发生的不必要的花费，就可以利用这个参数进行指定。
　　利用网络时间协议来保持网络时间的一致性时，需要注意如下问题：
　　一是网络时间协议通常是使用123端口进行通信。这在防火墙配置的时候需要注意，不要把这个端口屏蔽掉了。当没有时间网络时间协议的话，就可以把这个端口屏蔽。
　　二是采用网络时间协议保持时间同步的话，这个时间源要选择准确。如我们可以直接利用互联网上的时间服务器。不过，再利用互联网上的时间服务器，跟防火墙的时间进行同步时，需要注意两个问题。一是这个防火墙没有存在企业网络的域中，也就是说，没有利用域来管理企业网络，否则的话，防火墙服务器可以采用域控制器的时钟来同步。二是需要注意，互联网上的时间只同步时钟，而不会同步日期。也就是说，必须先在防火墙上设置正确的日期，只有如此，才能够从互联网上的时间服务器那边更新时间信息。否则的话，在日期不准确的情况下，时间信息无法被更新或者被准确更新。不过，跟互联网上的时间服务器同步的话，只有在网络通畅的情况下，才能够完成。万　　一，连接企业的外网发生中断，如遇到地震或者海啸，导致光钎断掉的话，就无法保持时间的更新了。所以，在企业中，若有证书方面的要求，如对于部属有网上银行等对于证书要求比较多的企业，最好还是自己设立一个时间服务器。因为他们对于时间的一致性的需求，不是其他企业可以比的。出于安全上的考虑，设置一个专门的时间服务器还是有必要的。而且，这个投资也不会很大。
　　另外，为了安全可靠，特别是一些重要行业部门，如金融、通信、电力、交通、广电、安防、水利、石化、冶金、国防、医疗、教育、政府机关、IT等领域的网络时间同步，建议使用专用的网络时间服务器设备
　　1．模块化结构，NTP/SNTP端口数量可灵活配置，最多配置20路相互独立的10/100M网口。
　　2．双CPU同时工作，32位CPU双核处理器，性能极大提高。
　　3．精度高，同步快。
　　4．支持单星授时模式，适用于收星效果不佳的情况，有屋顶和贴窗天线可供选择。
　　5．自保持能力强，装置收不到卫星信号后，自保持能力优于0.42μS/min。
　　6．可同时为几十万台客户端、服务器、工作站提供时间服务。
　　7．支持WINDOWS9X/NT/2000/XP/2003、LINUX、UNIX、SUN SOLARIS、IBM AIX、HP-UX等操作系统及支持NTP协议的路由器、交换机、智能控制器等网络设备。
　　8．多种配置方法，易于管理和升级。
　　9．支持电源中断、GPS失歩干接点信号告警。
　　10．专用嵌入式系统，无硬盘和风扇设计，防震设计，系统稳定可靠。
　　11．高品质的工业级元件，高水准的电气设计，高密度集成的电路结构，使装置拥有优异的电气隔离和电磁屏蔽表现，整机无可调节器件，极大提高了装置抗干扰性能与可靠性保障。
　　12．GPS接收天线重点考虑了防雷设计、稳定性设计、抗干扰设计， 信号接收可靠性高，不受地域条件和环境的限制。
　　13．装置具有自复位能力，在因干扰造成装置程序出错时，能自动恢复正常工作。
　　14．装置提供一路可编程的TTL脉冲信号供时钟的准确度指标测试。
　　15．有多种工作状态指示，便于运行值班人员的日常巡视。
　　16．装置采用全模块化即插即用结构设计，支持板卡热插拔，配置灵活，维护方便，同时为将来现场网络改造扩建时增加对时端口提供了方便。
　　17．装置可通过数码管在线显示当前收星个数，在线显示装置的同步状况。
　　1．时间源：GPS、北斗、CDMA、IRIG-B、恒温晶振OCXO、原子钟可选；
　　2．电源：220V/110V交、直流自适应,双电源冗余；
　　3．GPS接收频率：1575.42MHz,接收灵敏度：捕获〈-160dBW，跟踪〈-163dBW。捕获时间：装置冷启动时，〈5min；装置热启动时，〈1min。
　　4．北斗接收器：通道：6；接收灵敏度：-157.6dBW；冷启动首捕时间：≤2秒；失锁重捕时间：≤1 秒；1PPS精度：优于100nS。
　　5．平均无故障间隔时间(MTBF)≥150000小时；平均维修时间（MTTR）：一般不大于30分，使用寿命不少于20年。正常使用条件下无须维护。
　　6．授时精度：脉冲、B码：0.1μS，串口：10μS ，NTP/SNTP：1-10ms；
　　7．网口支持协议：NTP/SNTP ，ARP，UDP/ Time，Telnet，ICMP，SNMP，MD5；
　　8．NTP/SNTP授时记录 保存最新300条；
　　9．外形尺寸：1U/2U、19”标准机箱,安装方便。
　　10．天线长度标配30m,可选50、60、80、100、120、200米