使用网络工程师NTP协议的内容

　　其实，我们在使用NTP很多涉及网络安全的事情都依赖于精确的日期和时间酸,如安全日志。在处理攻击时,时间很关键,因此有必要识别攻击发生的次序,这很重要。为了确保日志信息的时间戬是精确的,主机和网络设备的时钟要保持同步。通常,路由器的日期和时间的设定用以下两种方法手工设定日期和时间。

　　然而，配置网络时间协议(NTP)员然在小型网络中可以使用手工方法,但随着网络管理的增长,确保所有设备运行于同步的时间将变得困难。即使在小型网络的环境中,手工方法也并不理想。如果路由器重启,从哪里可以获得精确日期和时间呢?好的方法是在网络中配置NTP。NTP可以使得网络中所有路由器的时间与NTP服务器同步。一组NTP客户端从单一的源获取时间和日期信息,保持一直的时间设定。在网络中实施NTP时,可以将其与私有的主时钟保持同步,或与Interet的公有NTP服务器保持同步。

　　NTP使用UDP,端口号为123,在RFC1305中描述。在确定使用私有还是公有时钟同步时,要权衡它们的风险和好处。如果使用私有主时钟,应通过卫星或无线电与协调世界时(UTC)同步。管理员需要确保时间源的有效性,并且是来自于一个安全的站点,否则,将会带来安全隐患。比如,攻击者可以在Internet上通过向网络发送伪造的NTP数据来发起DoS攻击,以改变网络设备的时钟,这可能使数字证书变为无效。攻击者也可在攻击期间扰乱网络设备的时钟,使管理员无所适从。对管理员来讲,这就很难确定几台设备的日志信息的次序。

　　从Internet获取时钟意味着允许不安全的数据包通过防火墙。许多internet上的NTP服务器不需要验证对端,因此网管员必须要确认时钟的可靠性、有效性和安全性运行NTP的设备间的通信(也称为关联)通常是静态配置的。每个设备都给定了NTP主服务器(master)的P地址。通过在相互关联的每对设备间交换NTP消息,就可以保持时问精确同步。在配置了NTP的网络中,有一台或多台路由器用ntpmaster全局配置命令被指定为主时钟keeper(也称为服务器)。NTP客户端或者与主机联络,或者监听从主机发来的消息,以同步时钟。

　　小编结语：其实，我们与主机联命令络使用在LAN环境中,NTP可以使用IP广播消息代替ntpbroadcastclient命令。由于每个设备都可以配置为发送和接收广播消息,这个替代方法减少了配置的复杂性。由于信息流是单向的,所以在边界部分对时间的精确要求有所降低。设备保持的时间是关键的,因此,NTP的安全特性应该用来避免偶然或人为的错误时间的设置。