Juniper防火墙设置系统时钟,有三种方式,选用一种方式即可完成相应的设置工作:
1、使用命令行的方式,在CLI命令行界面下设置,使用命令set clock mm/dd/yyyy hh:mm:ss。
2、在WEB管理界面中使用“Sync Clock With Client”选项:
不过在点击这个选项之后会出现提示是否启用夏令时功能,要注意:
如果选择了Yes,会启用夏令时选项,默认夏令时的配置如下:
通常我们不选择yes来启用夏令时,而选择no仅同步客户端的时间的方式,这样的话操作起来简单易用,防火墙的时间可以很快的与我们当前连接的客户端主机时间保持一致。
注:如果启用了夏令时选项,那么系统时间会比准确时间快1小时,夏令时时间是提倡早睡早起,节约能源的一种时间计时方式,不过用在计算机中,就不那么适用,因为我们更多的是在日志中查看事件的准确发生时间,如果每个事件发生的时间还要经过推算会显得很麻烦。
在初步设置好时间以后,如果防火墙运行时间久了之后出现时钟不准的情况,我们希望其能自动的向时间服务器同步时间的话,这个时候就用到了NTP功能,使用NTP功能需要指定时间服务器,这个时候我们可以指定内网或者外网的时间服务器都可以,只是必要时候需要指明要访问的服务器需要经由防火墙的具体哪一个端口访问到,例如,如果使用的是公网上的时间服务器,那么要设置source interface的时候就可以指定防火墙的外网出口,具体哪个端口是外网端口,可以在network-interface中查看:
确定好需要填写的信息之后在NTP配置段中添加配置:
使用内网的时间服务器的话配置方式类似,不过需要注意,内网时间服务器需要配置策略允许其通过防火墙向互联网上的其他服务器同步时间,配置稍麻烦些。截图中大部分的选项都很好理解,只是需要注意Maximum time adjustment这个选项,默认值是3Seconds,含义是当防火墙设备与指定的时间服务器的时间相差在指定的3秒内之时,才允许同步时间,而如果相差的时间很大,反而不同步,在日志中会有如下的提示:
这种情况与Linux系统中的时间同步机制很相近,就是避免暴力更新时间,因为设置的允许同步时间的时间间隔过大,会造成服务器上的一段时间没有正常的流逝之后就突然到了一个未来的时间,不过这通常在我们刚刚设置同步时间的时候不是我们希望出现的,我们希望即使时间相差很大,也要同步,所以这个允许相差的时间间隔选项可以设置的大一些。
如果同步时钟成功,在日志中会显示如下的内容:
之后系统再次自动同步的时候,显示的调整结果通常就会很小了,比如:
这些日志信息的显示说明我们的时间同步设置是成功的。