在我校校園網(wǎng)絡(luò)內(nèi),存在大量網(wǎng)絡(luò)設(shè)備、服務(wù)器和主機(jī),它們承載了校園網(wǎng)中的計(jì)費(fèi)、維護(hù)、管理等功能,對(duì)時(shí)間的準(zhǔn)確度需求比較高,要求在網(wǎng)絡(luò)之間傳遞的信息能夠在時(shí)間上保持高度一致。
時(shí)間同步在校園網(wǎng)內(nèi)的應(yīng)用主要集中在一下幾個(gè)方面:
1、網(wǎng)絡(luò)管理系統(tǒng)的日志審計(jì):當(dāng)網(wǎng)絡(luò)中出現(xiàn)惡意攻擊行為或網(wǎng)絡(luò)故障問(wèn)題時(shí),需要網(wǎng)絡(luò)管理員根據(jù)有關(guān)網(wǎng)絡(luò)設(shè)備中產(chǎn)生的日志進(jìn)行分析和判斷,以便于查找攻擊源和對(duì)網(wǎng)絡(luò)造成的危害及產(chǎn)生的原因。但是如果網(wǎng)絡(luò)中時(shí)間不能同步,那么同一個(gè)行為在不同設(shè)備中產(chǎn)生的日志將不能序列化。也就無(wú)法對(duì)這些問(wèn)題進(jìn)行分析和解決。另外當(dāng)網(wǎng)管中心采用多點(diǎn)日志記錄時(shí),如果網(wǎng)絡(luò)各個(gè)節(jié)點(diǎn)時(shí)間不同步,也將造成日志記錄的混亂。若需要這些信息快速準(zhǔn)確進(jìn)行故障定位,準(zhǔn)確的時(shí)間是*的[1]。
2、應(yīng)用認(rèn)證過(guò)程:校園網(wǎng)內(nèi)的一些應(yīng)用系統(tǒng)及以后要建的一卡通系統(tǒng),在進(jìn)行用戶認(rèn)證的時(shí)候,要求網(wǎng)絡(luò)中時(shí)間必須同步。因?yàn)檎J(rèn)證中的數(shù)字時(shí)間戳服務(wù)要求客戶端使用本地時(shí)間作為參數(shù)與認(rèn)證服務(wù)器端交換認(rèn)證信息包。如果不能做到網(wǎng)絡(luò)中的時(shí)間同步,那么系統(tǒng)就會(huì)遇到問(wèn)題,而且認(rèn)證過(guò)程中還有可能受到重放攻擊。
3、與時(shí)間有關(guān)的應(yīng)用系統(tǒng):嚴(yán)格要求記錄數(shù)據(jù)提交時(shí)刻的網(wǎng)絡(luò)應(yīng)用系統(tǒng),必須保證提交時(shí)間的準(zhǔn)確性和不可更改性。另外,對(duì)客戶端進(jìn)行*操作的應(yīng)用系統(tǒng)也要求時(shí)間同步。
4、校園網(wǎng)備份系統(tǒng):在備份服務(wù)器和客戶機(jī)之間進(jìn)行增量備份要求這兩個(gè)系統(tǒng)之間的時(shí)間同步。
5、確保系統(tǒng)之間的遠(yuǎn)程系統(tǒng)調(diào)用能夠正常進(jìn)行:因?yàn)闉榱吮WC一個(gè)系統(tǒng)調(diào)用不會(huì)重復(fù)進(jìn)行,該系統(tǒng)調(diào)用只在一個(gè)時(shí)間間隔內(nèi)有效。如果系統(tǒng)間的時(shí)鐘不同步。該系統(tǒng)調(diào)用可能在還沒(méi)有發(fā)生之前就因?yàn)槌瑫r(shí)而不能進(jìn)行
6、計(jì)費(fèi)系統(tǒng):網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng)中也要用到數(shù)字時(shí)間戳服務(wù),所以也要求的時(shí)間同步。
校園網(wǎng)中各種應(yīng)用系統(tǒng)及安全系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)推動(dòng)了網(wǎng)絡(luò)設(shè)備、服務(wù)器等對(duì)時(shí)間同步的需求。如果不能進(jìn)行準(zhǔn)確的時(shí)間同步,我們就得花費(fèi)大量的時(shí)間來(lái)解決各種各樣的可能會(huì)出現(xiàn)的問(wèn)題。
總而言之,時(shí)間同步技術(shù)對(duì)網(wǎng)絡(luò)管理和網(wǎng)絡(luò)應(yīng)用是非常重要的。為了保證校園網(wǎng)內(nèi)各設(shè)備和系統(tǒng)之間時(shí)間的同步,我們需要解決三方面的問(wèn)題:一是盡量選取非常的時(shí)間源;二是將的時(shí)間傳送到需要時(shí)間服務(wù)的網(wǎng)絡(luò)設(shè)備或主機(jī),保證在傳輸過(guò)程中誤差盡量小;三是用時(shí)間同步時(shí)間設(shè)備,充分利用設(shè)備各自的時(shí)間校準(zhǔn)機(jī)制自動(dòng)實(shí)現(xiàn)時(shí)間同步,盡量排除人工因素。
為此結(jié)合校園網(wǎng)實(shí)際情況,按NTP的分層結(jié)構(gòu)構(gòu)建一個(gè)校園時(shí)間同步網(wǎng),見(jiàn)下圖:
校園時(shí)間同步網(wǎng)
目前,校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)按物理范圍劃分為幾個(gè)區(qū)域,各區(qū)域有一臺(tái)三層交換機(jī)作為核心設(shè)備,這些核心設(shè)備通過(guò)網(wǎng)絡(luò)中心的一臺(tái)核心三層交換機(jī)接入Internet。我們采用網(wǎng)絡(luò)中心的核心設(shè)備作為Internet上已公開(kāi)的時(shí)間服務(wù)器(時(shí)間服務(wù)器見(jiàn)http://www.eesic.udel.edu/ntp/;中國(guó)教育網(wǎng)內(nèi)時(shí)間服務(wù)器見(jiàn)http://www.time.edu.cn/mem.htm)的客戶端,直接從Internet上的時(shí)間服務(wù)器取得準(zhǔn)確的時(shí)間,然后做為校園網(wǎng)內(nèi)的一級(jí)時(shí)間服務(wù)器,為整個(gè)校園網(wǎng)絡(luò)提供時(shí)間服務(wù);其他幾個(gè)區(qū)域內(nèi)的核心設(shè)備作為網(wǎng)絡(luò)中心核心設(shè)備的客戶端,從網(wǎng)絡(luò)中心的核心設(shè)備上取得時(shí)間;校園網(wǎng)中分布層的網(wǎng)絡(luò)設(shè)備作為核心層的客戶端,從各自所處區(qū)域的核心設(shè)備上取得時(shí)間,并為校園網(wǎng)內(nèi)終端用戶提供時(shí)間服務(wù)。設(shè)置上一級(jí)時(shí)間服務(wù)器的配置命令如下: (config)#ntp server x.x.x.x:其中x.x.x.x是要保持一致的上一級(jí)時(shí)間服務(wù)器的ip地址。
為了保持時(shí)間的準(zhǔn)確性,校園網(wǎng)內(nèi)的各種服務(wù)器一般可根據(jù)連接情況直接從近連接的核心設(shè)備來(lái)取得時(shí)間,而各核心設(shè)備之間可以采用主/被動(dòng)對(duì)稱(chēng)模式工作,它們同時(shí)可以互相之間進(jìn)行協(xié)調(diào),以保持時(shí)間的一致性。設(shè)置對(duì)等關(guān)系的配置命令如下:(config)#ntp peer x.x.x.x 其中x.x.x.x為對(duì)等地位的時(shí)間服務(wù)器的ip地址
校園內(nèi)的服務(wù)器根據(jù)操作系統(tǒng)不同,分別采用不同配置命令或軟件:對(duì)于Windows2000,可以使用Windows自帶的命令,在命令行方式下輸入:net time/set sntp :x.x.x.x 其中:x.x.x.x為時(shí)間服務(wù)器ip地址,可以有一個(gè)或多個(gè),之間用空格分開(kāi)。也可使用免費(fèi)軟件,如:ntptime等。對(duì)于Linux,可采用rdate或netdate與時(shí)間服務(wù)器進(jìn)行時(shí)間同步。
