Juniper SRX (Junos OS) NTP網路對時設定

Juniper SRX (Junos OS) NTP網路對時設定

NTP 全名為 Network Time Protocol，可用來同步不同電腦系統之間的時間，現在的智慧型手機幾乎也會使用到這個服務，用來校準、設定裝置上的日期時間，而校時服務需要靠NTP 伺服器來提供，雖然說校時伺服器全球都會有，但距離越遠也會有網路延遲造成的誤差問題，所以建議使用靠自己較近的伺服器進行校時。

從安全審計的角度來看，準確的時間是必不可少的，因此工程師可以將系統事件關聯起來以收集問題的根本原因。 網絡時間協議（NTP）是用於將設備間的時間同步到公共參考時鐘的行業標準。 NTP通過UDP進行通信，如果惡意用戶欺騙NTP服務器的IP地址並註入不准確的時間戳，則可能會造成安全風險。 為了減輕這種潛在風險，NTP應通過實施認證來加以保護。

默認情況下，Junos中未啟用NTP。

而設備系統時間與NTP時間一致的好處有，系統日誌記錄了設備所有的狀況與命令執行、使用者登入狀態等訊息，系統時間正確時，我們在除錯與找問題就會更加容易，而關於時間排程方面的設定也就更加準確無誤。

設定時間伺服器，同步所有路由器，以便於為log檔設定時間戳記，可以正確的在時間上定位所有的資訊。

計算機時間與NTP時間一致的重要性

NTP 時間伺服器在網際網路上進行時間同步具有重要意義。網際網路起源於軍事用途明顯的ARPA網。在軍事應用領域，時間從來就是一個非常重要的考慮因素。對於 網際網路的時間同步和NTP的研究，就是在美國國防部的資助下啟動和進行的。隨著網際網路的發展和延伸到社會的各個方面，在其他的領域對時間同步也提出了 多種要求，例如各種實時的網上交易、製造過程控制、通信網絡的時間配置、網絡安全性設計、分布性的網絡計算和處理、交通航班航路管理以及資料庫文件管理和 呼叫記錄等多種涉及時間戳的應用，都需要精確、可靠和公認的時間。

有很多應用依賴計算機間準確的時間才能運作正常，如果計算機間的時間誤差比較大，這些應用和協議就可能完全失敗。

分布式軟體開發

網絡文件系統（NFS）是一個依賴時間的網絡應用，它完全依賴各個工作站給伺服器上的文件提供時間戳。當一個文件被創建或者被修改了，終端工作站的 時鐘被作為時間戳加在文件上。因此，如果客戶端的時鐘不同於伺服器的時鐘，則文件的時間戳將有不同。很多應用，從磁碟備份到生成程序都使用時間戳來確定哪 個文件是最新的。在這種情況下，錯誤的時間戳意味著重大的文件損失，也就是工時和機時的損失

安全

Kerberos是MIT開發的一個協議，用來在一個不安全的網絡內，比如說一個大學網，發送加密的口令信息。Kerberos允許在網際網路上安全

通信而不需要防火牆，並且支持很多通用的TCP/IP應用程式，例如telnet，ftp以及很多遠程過程調用RPC程序。

Kerberos允許用戶向Kerberos密鑰分發中心（KDC）伺服器申請一個「加密票」，「加密票」包括用戶的口令和時間戳，兩者用計算機上常用的 DES算法加密。時間戳用來防止網絡信息攔截機把攔截到的「加密票」偽裝成剛剛授權的「加密票」不斷的重複發送。「加密票」在一段時間內有效，這就要求客 戶端機器時鐘和Kerberos伺服器時鐘在這一段時間內同步。有代表性的，時間範圍是5分鐘，時間範圍越小網絡越安全。

電子郵件

電子郵件是計算機網絡中最重要的信息流，即使沒有本地網，許多公司也會利用MODEM在世界各地或者只是在一個房間內的一組人之間利用電子郵件相互通信。

時間戳可以用來衡量郵件伺服器的性能和可靠性，並且設置性能標準，測定瓶頸伺服器，判定哪個連結需要更寬的帶寬。同樣的郵件伺服器要有時鐘同步才行。

中華電信研究所時間與頻率國家標準實驗室

目前使用之server網址是

     tock.stdtime.gov.tw  211.22.103.157

     clock.stdtime.gov.tw 211.22.103.158

     time.stdtime.gov.tw  118.163.81.61

     tick.stdtime.gov.tw  118.163.81.62

     watch.stdtime.gov.tw 118.163.81.63

設定時區

user@host# set system time-zone Asia/Taipei

手動設定系統日期與時間

手動設定時間 January 25, 2010 and 11:15:00 AM.

user@host> set date YYYYMMDDhhmm.ss

user@host> set date 201001251115.00

手動同步時間 NTP server 118.163.81.61

root@srx100a> set date ntp time.stdtime.gov.tw

 1 Oct 12:28:11 ntpdate[14424]: step time server 118.163.81.61 offset -0.000181 sec

root@srx100a> set date ntp 118.163.81.61

 1 Oct 12:28:15 ntpdate[14424]: step time server 118.163.81.61 offset -0.000091 sec

手動同步時間 跟清單中之NTP server同步時間

root@srx100a> set date ntp

 1 Oct 12:29:45 ntpdate[14453]: step time server 211.22.103.158 offset 0.000257 sec

設定NTP server

user@host# set system ntp server 118.163.81.61 version 4 prefer

user@host# set system ntp server 211.22.103.158 version 4

設定設備開機時自動同步系統時間

user@host# set system ntp boot-server 118.163.81.61

NTP設定範例：

set system time-zone Asia/Taipei

set system ntp boot-server 118.163.81.61

set system ntp server 118.163.81.61 version 4 prefer

set system ntp server 118.163.81.62 version 4

set system ntp server 118.163.81.63 version 4

set system ntp server 211.22.103.157 version 4

set system ntp server 211.22.103.158 version 4

system {

    ntp {

        boot-server 118.163.81.61;

        server 118.163.81.61 version 4 prefer;

        server 118.163.81.62 version 4;

        server 118.163.81.63 version 4;

        server 211.22.103.157 version 4;

        server 211.22.103.158 version 4;

    }

}

使用身份驗證密鑰配置NTP

因為當設備跟NTP伺服器同步時，系統暴露在外，容易受到攻擊。所以我們必須在SRX設備上使用身份驗證密鑰來配置NTP的資訊。

而要如何在SRX設備上使用身份驗證密鑰配置NTP，請參考下列的命令與網路連結：

set system ntp authentication-key <key-number> value <password>

set system ntp authentication-key 11196 value 2b3f6c939cFD7E

set system ntp authentication-key 11196 type md5

設定範例：

set system ntp authentication-key 1 type md5

set system ntp authentication-key 1 value <PASSWORD>

set system ntp server 192.168.3.2 key 1

set system ntp server 192.168.3.2 prefer

set system ntp server 192.168.33.2 key 1

set system ntp trusted-key 1

下列為原廠相關的網路連結：

·        set date

·        show ntp associations

·        show ntp status

檢查驗證NTP設定：

user@ulm> show ntp status

localhost: timed out, nothing received

***Request timed out 

user@ulm> show ntp associations

localhost: timed out, nothing received

***Request timed out

root@srx100> set date ntp 118.163.81.61      ##藉由手動即時更新系統時間來測試NTP server是否正常

29 Apr 09:00:26 ntpdate[1599]: step time server 118.163.81.61 offset 0.030973 sec

root@srx100>

root@srx100> show ntp status

status=0674 leap_none, sync_ntp, 7 events, event_peer/strat_chg,

version="ntpd 4.2.0-a Sat Dec 23 10:42:44 UTC 2017 (1)",

processor="octeon", system="JUNOS12.1X46-D72.2", leap=00, stratum=3,

precision=-17, rootdelay=80.705, rootdispersion=48.885, peer=63988,

refid=118.163.81.61,

reftime=de8f9342.819ccc7e  Sun, Apr 29 2018  8:41:38.506, poll=6,

clock=de8f942e.d5087df5  Sun, Apr 29 2018  8:45:34.832, state=4,

offset=1.577, frequency=42.843, jitter=6.207, stability=0.021

root@srx100> show ntp associations

     remote           refid      st t when poll reach   delay   offset  jitter

==============================================================================

*118-163-81-61.H 192.168.0.2      2 -   44   64   77   80.278    1.577  10.480

+211-22-103-158. 192.168.0.3      2 -   49   64   77   82.226    1.471   5.303

+118-163-81-62.H 192.168.0.2      2 -   54   64   77   78.471    6.628   2.764

+118-163-81-63.H 192.168.0.2      2 -   53   64   77   80.013    9.708   3.249

root@srx100>

當網路斷線後恢復連線之後syslog出現的訊息：

May  4 07:35:30  srx100-b last message repeated 45 times

May  4 07:43:49  srx100-b xntpd: NTP Server Unreachable

May  4 07:43:59  srx100-b xntpd: kernel time sync enabled 2001