時(shí)間同步服務(wù)器中同步協(xié)議對計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)的重要性
2022-05-17 13:51 觀看次數(shù):
概述:電腦時(shí)間走時(shí)不準(zhǔn)是出了名的。它一般是以廉價(jià)的振蕩電路或石英鐘為基礎(chǔ),每天的誤差可達(dá)數(shù)秒,經(jīng)過一段時(shí)間的累積就會(huì)出現(xiàn)較大的誤差。隨著不斷增加的分散式計(jì)算和我們對網(wǎng)絡(luò)的依賴性的加強(qiáng),不準(zhǔn)確的電腦時(shí)間對于網(wǎng)絡(luò)結(jié)構(gòu)以及其中的應(yīng)用程序的安全性會(huì)產(chǎn)生較大的影響,尤其是那些對沒有實(shí)現(xiàn)網(wǎng)絡(luò)同步而導(dǎo)致的問題比較敏感的網(wǎng)絡(luò)指令或應(yīng)用程序。時(shí)間同步服務(wù)器,GPS北斗同步時(shí)鐘,ntp服務(wù)器,時(shí)間服務(wù)器中同步協(xié)議對計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)的重要性
1、網(wǎng)絡(luò)指令
要得到最佳的網(wǎng)絡(luò)表現(xiàn)(performance),就得向系統(tǒng)提供時(shí)間同步信息。千萬不要等到出了問題才認(rèn)識(shí)到時(shí)間同步的重要性。如果沒有時(shí)間同步,網(wǎng)絡(luò)指令是無法正常運(yùn)行的。
時(shí)間同步直接影響網(wǎng)絡(luò)指令的領(lǐng)域有:
–記錄文件安全、審查和監(jiān)控
–網(wǎng)絡(luò)錯(cuò)誤檢查和復(fù)原
–文件時(shí)間戳
–目錄服務(wù)
–存取安全與確認(rèn)
–分散式計(jì)算
–預(yù)設(shè)操作
–真實(shí)世界時(shí)間值
2、記錄文件安全、審查和監(jiān)控
服務(wù)器記錄文件以及其后的報(bào)告中的數(shù)據(jù)來評估組織的活動(dòng),包括防火墻和VPN安全相關(guān)的活動(dòng),帶寬的使用,以及其他各種各樣的記錄、管理、確認(rèn)、授權(quán)和會(huì)計(jì)職能。由于服務(wù)器記錄的是來自不同主機(jī)的信息,因此時(shí)間的準(zhǔn)確性顯得非常必要,否則的話就可能出現(xiàn)不同的事件順序和故障排除的根源問題,使得與時(shí)間有關(guān)的一切數(shù)據(jù)都變得毫無意義。即使是在路由器里,像路由器配置改變、接口狀態(tài)、調(diào)制解調(diào)器事件、安全警報(bào)、環(huán)境條件、CPU處理過載等主要的配置事件和系統(tǒng)錯(cuò)誤信息,都要有準(zhǔn)確的時(shí)間戳,這些數(shù)據(jù)才有意義。
比如微軟應(yīng)用中心的監(jiān)控程序,它在同步和監(jiān)控過程中就用到了時(shí)間值。磁簇中不同步的時(shí)間會(huì)導(dǎo)致矛盾的行為。執(zhí)行計(jì)算數(shù)據(jù)的時(shí)間轉(zhuǎn)換就是其中毅力,它使我們得到的值看上去與實(shí)際值有偏差。
在Sun Microsystem的詞簇mode里,進(jìn)行中的時(shí)間同步對記錄文件的準(zhǔn)確性更為重要,因?yàn)楣芾韱T無法修改一個(gè)正在運(yùn)行的詞簇節(jié)點(diǎn)上的時(shí)間。而且管理員也不應(yīng)該用date,rdate,ntpdate之類的命令來修改詞簇時(shí)間。這些命令的運(yùn)行會(huì)導(dǎo)致詞簇時(shí)間的突然改變并因此出現(xiàn)錯(cuò)誤。
很多企業(yè)都曾經(jīng)受到過公眾廣泛關(guān)注的denial of service的襲擊。網(wǎng)絡(luò)安全專家利用原本用于檢查root-cause網(wǎng)絡(luò)事件的RMON記錄來實(shí)施網(wǎng)絡(luò)犯罪。
3、網(wǎng)絡(luò)錯(cuò)誤診斷和修復(fù)
大多數(shù)IT組織都以它們保持full flow網(wǎng)絡(luò)指令的能力來衡量其好壞。停機(jī)時(shí)間的嚴(yán)格限制是服務(wù)器質(zhì)量最常用的衡量標(biāo)準(zhǔn)之一。所有IT部門對此都非常敏感。在出現(xiàn)錯(cuò)誤的時(shí)候,準(zhǔn)確的 網(wǎng)絡(luò)時(shí)間對于錯(cuò)誤的診斷和修復(fù)起著非常關(guān)鍵的作用。
為了進(jìn)行錯(cuò)誤診斷,連接破壞、緩沖溢位、數(shù)據(jù)包丟失和其他的關(guān)鍵網(wǎng)絡(luò)事件都會(huì)由服務(wù)器、路由器、開關(guān)及專用儀器中的RMON進(jìn)行捕捉、記錄和報(bào)告。要是root-cause造成網(wǎng)絡(luò)坍塌。那么系統(tǒng)將會(huì)列出一份關(guān)于RMON事件的報(bào)告。這些事件都帶有RMON代理程序給他們加上的時(shí)間戳,并以時(shí)間為索引。如果時(shí)間是同步的,那么各事件的順序就可以很方便的排出來,root-cause也就很容易確定了。如果沒有實(shí)現(xiàn)網(wǎng)絡(luò)時(shí)間同步,root-cause 將很難確定,并會(huì)一直持續(xù)下去。
4、文件時(shí)間戳
任何文件系統(tǒng)的完整性都在很大程度上依賴于文件自身的名稱和日期。獨(dú)立的文件更會(huì)詳細(xì)的記錄創(chuàng)立日期、上次讀取時(shí)間、上次存檔時(shí)間和上次修改時(shí)間。在分散的文件共享系統(tǒng)中,網(wǎng)絡(luò)文件共享服務(wù)器(NFS)維護(hù)主要文件以供遠(yuǎn)程客戶機(jī)使用。NFS是獨(dú)立于網(wǎng)絡(luò)時(shí)間的。當(dāng)接受到兩份名稱相同的文件時(shí),NFS只認(rèn)可最新的一份。如果客戶機(jī)給一份遠(yuǎn)程讀取的文件所加的時(shí)間戳早于文件登錄到NFS上的時(shí)間,那么客戶機(jī)文件連同所做的一切修改都會(huì)被刪除。
5、目錄服務(wù)
網(wǎng)絡(luò)時(shí)間同步是網(wǎng)絡(luò)設(shè)計(jì)和搭建的重要組成部分。多個(gè)網(wǎng)絡(luò)目錄服務(wù)系統(tǒng)相互交換信息之后,要根據(jù)時(shí)間戳對目錄服務(wù)數(shù)據(jù)庫的修改時(shí)間進(jìn)行調(diào)整使其一致。群組軟件應(yīng)用中的目錄和合作也要用到準(zhǔn)確的時(shí)間。沒有時(shí)間同步的網(wǎng)絡(luò),對時(shí)間敏感的系統(tǒng)和應(yīng)用就無法正常進(jìn)行。在WindowsNT網(wǎng)絡(luò)中,所有的NT服務(wù)器和客戶機(jī)都與一個(gè)作為共同標(biāo)準(zhǔn)的時(shí)間源同步。相似的,Novell目錄服務(wù)(NDS)也是利用時(shí)間戳來確認(rèn)事件發(fā)生的順序并記錄真實(shí)世界時(shí)間值。
6、存取安全和確認(rèn)
Windows 2000是最新,也是最典型的網(wǎng)絡(luò)時(shí)間同步的例子。在Windows 2000中,預(yù)設(shè)確認(rèn)協(xié)議在authentication ticket generation process中要用到工作站時(shí)間,因此同步的事件是一個(gè)很關(guān)鍵的因素。Windows 2000中包含了一個(gè)W32 Time 時(shí)間服務(wù)工具,它的作用是確保一個(gè)組織中的所有Windows 2000用戶都采用統(tǒng)一的時(shí)間。時(shí)間服務(wù)采用的是可以控制使用權(quán)和防止回圈的階層式關(guān)系來保證共同時(shí)間的使用。所有的客戶機(jī)桌面和成員服務(wù)器都指定他們自己的確認(rèn)網(wǎng)域控制器為時(shí)間搭檔。在往上直到初級網(wǎng)域控制器(PDC)的整個(gè)階層結(jié)構(gòu)中都是如此。而PDC則于某個(gè)可靠的時(shí)間源同步,比如專門的網(wǎng)絡(luò)時(shí)間服務(wù)器。要是沒有可用的時(shí)間服務(wù)器,不同網(wǎng)域控制器的時(shí)間差別超出了Kerberos的允許范圍,那么兩臺(tái)網(wǎng)域控制器之間的確認(rèn)/登錄就無法實(shí)現(xiàn),還會(huì)出現(xiàn)錯(cuò)誤信息。
7、分散計(jì)算
IBM在他們的分散計(jì)算環(huán)境(DCE)中認(rèn)識(shí)到了時(shí)間同步的重要性。DCE是一系列的服務(wù),這些服務(wù)共同作用,可以為升級和分散應(yīng)用提供一個(gè)高水平、連貫的環(huán)境。DCE的四種主要服務(wù)分別是:遠(yuǎn)程程序呼叫,目錄服務(wù)、安全服務(wù)和分散時(shí)間服務(wù)。分散時(shí)間服務(wù)要解決的是在一個(gè)分散系統(tǒng)中不同主機(jī)的時(shí)間同步問題。在客戶機(jī)和服務(wù)器組成的集合中,主機(jī)的系統(tǒng)時(shí)鐘與安全服務(wù)器主機(jī)的時(shí)鐘的差別不能大于5分鐘。如果大于5分鐘就會(huì)導(dǎo)致確認(rèn)錯(cuò)誤,客戶機(jī)的配置也會(huì)fail.
8、預(yù)定指令
Cron Scripts和Crontab是命令列表,這些命令大多用于計(jì)算機(jī)操作系統(tǒng)或應(yīng)用服務(wù)器并在指定時(shí)間執(zhí)行。由于這類指令多用于數(shù)據(jù)備份,因此它們的預(yù)設(shè)執(zhí)行時(shí)間都是在深夜,在一天的交易結(jié)束以后。為了使命令在我們想要的時(shí)間運(yùn)行,一臺(tái)單機(jī)與時(shí)間源必須同步。在多臺(tái)主機(jī)同時(shí)執(zhí)行獨(dú)立Cron文件的情況下,主機(jī)的時(shí)間同步更顯得重要,這樣多個(gè)預(yù)定操作才可能相互協(xié)調(diào)進(jìn)行。
9、真實(shí)世界時(shí)間值
操作一個(gè)使用真實(shí)世界時(shí)間值的網(wǎng)絡(luò)是無法用別的什么東西來替代的。我們可以在時(shí)間不正確的情況下運(yùn)行一個(gè)網(wǎng)絡(luò),但這種方式是不可取的。局域網(wǎng)與其他更大的網(wǎng)絡(luò)相互連接,它們之間唯一共同的東西就是準(zhǔn)確的時(shí)間。真實(shí)世界時(shí)間是以UTC為基礎(chǔ)的,它是格林威治日平時(shí)采用的最新的標(biāo)準(zhǔn)時(shí)間。在UTC基礎(chǔ)上運(yùn)行的網(wǎng)絡(luò)有著共同的實(shí)踐基礎(chǔ)。UTC時(shí)間來自于一個(gè)精確、安全、可靠的時(shí)間源,然后經(jīng)由各種操作系統(tǒng)轉(zhuǎn)換為當(dāng)?shù)貢r(shí)間。正是由于有了共同的時(shí)間參考,網(wǎng)絡(luò)管理員才可以獲取與時(shí)間有關(guān)的信息,從而保證網(wǎng)絡(luò)的正常運(yùn)行,避免各種問題的出現(xiàn)。
10、應(yīng)用
很多計(jì)算機(jī)應(yīng)用程序都使用時(shí)間戳作為一個(gè)關(guān)鍵要素,給那些精確設(shè)計(jì)好的數(shù)據(jù)增加了非凡的意義。共享數(shù)據(jù)庫、廣告和商務(wù)系統(tǒng)、信息獲取、電子郵件以及大量其他的應(yīng)用都相當(dāng)依賴于不同程度的精確度和準(zhǔn)確的時(shí)間輟。時(shí)間戳的應(yīng)用領(lǐng)域是非常廣泛的,其中的常見應(yīng)用在很大程度上要靠網(wǎng)絡(luò)時(shí)間同步來提供時(shí)間信息。
時(shí)間同步直接影響應(yīng)用的關(guān)鍵領(lǐng)域有:
–工程進(jìn)度控制
–軟件開發(fā)
–電子郵件
–法律法規(guī)的需求
–用戶名和密碼
11、交易處理
交易處理中的時(shí)間同步并不是一個(gè)新問題。在六十年代, IBM 即認(rèn)識(shí)到時(shí)間同步在高價(jià)值交易中的重要性。 IBM 的" redbook "中提到:“在數(shù)據(jù)處理中,時(shí)間和日期準(zhǔn)確性的要求是長期的。當(dāng)單一系統(tǒng)被多重或雙重系統(tǒng)代替后,這就要求系統(tǒng)時(shí)鐘既有準(zhǔn)確性,又有兼容性。”
現(xiàn)在,我們用網(wǎng)絡(luò)完成各種各樣的交易。在這個(gè)網(wǎng)絡(luò)系統(tǒng)中,會(huì)使用多種不同型號(hào)和功能的服務(wù)器和工作站。應(yīng)用時(shí)間戳要求有一秒的限制。時(shí)間戳回答了交易何時(shí)發(fā)生這樣的問題,也就是購買命令何時(shí)發(fā)出,電話何時(shí)接通和掛斷等。
我們需要把交易時(shí)間戳精確到毫秒的十位級,是因?yàn)槲覀冃枰_定交易發(fā)生的正確順序,特別是大量交易幾乎同時(shí)發(fā)生時(shí)。由于電腦交易都是自動(dòng)和迅速完成的,用于確定系統(tǒng)時(shí)間的時(shí)間必須少于最少的交易時(shí)間――確定時(shí)間大約需要 5-20 毫秒。
12、軟件發(fā)展
程序設(shè)計(jì)是一個(gè)設(shè)計(jì)組的分散任務(wù)。這個(gè)設(shè)計(jì)組可以在不同的服務(wù)器上編碼,而且有時(shí)需要跨地區(qū)工作。最終,所有編碼都要編入一個(gè)程序中。“編文件”( MAKE )功能或某種"版本控制系統(tǒng)"可用于對來自分散服務(wù)器的軟件進(jìn)行管理。當(dāng)源文件被修改后,時(shí)間戳可以用來決定哪個(gè)文件需要被重建。當(dāng)網(wǎng)絡(luò)文件系統(tǒng)生成了某種目錄后,而服務(wù)器和客戶對現(xiàn)在時(shí)間有不同的認(rèn)識(shí)時(shí)?quot;編文件"功能不能重建某些源文件,也不能編寫基于最新信息的可操作文件。有許多這樣的報(bào)告:當(dāng)工程師往源編碼文件輸入"修改"( FIX )命令時(shí),在最終編寫文件的過程中只有"修改"這個(gè)命令被省略了。而它給公司帶來了極大的難堪和浪費(fèi)。這種錯(cuò)誤是很難檢查出的。在使用過程中,編程人員第一個(gè)反映是咒罵軟件蟲。然后,設(shè)計(jì)組將花費(fèi)大量的時(shí)間檢查出軟件蟲是由于含有丟失文件的基礎(chǔ)部分被修改引起的,而這種修改就是因?yàn)槿狈Ψ?wù)器時(shí)間同步。
13、電子郵件
電子郵件正迅速成為書面交流的標(biāo)準(zhǔn)形式。IDC的一項(xiàng)調(diào)查表明,到2000年底的時(shí)候,全世界平均每天發(fā)送的電子郵件數(shù)量達(dá)到了100億。預(yù)計(jì)到2005年,世界上每天發(fā)送電子郵件的數(shù)量將超過這一數(shù)字的3倍,達(dá)到驚人的350億。每一封通過網(wǎng)絡(luò)傳輸?shù)碾娮余]件都附帶了發(fā)信時(shí)的時(shí)間輟。時(shí)間戳的錯(cuò)誤將造成收信端的混亂,也會(huì)引起人們對郵件系統(tǒng)的可信度的質(zhì)疑。
14、法規(guī)要求
根據(jù)某些法律和規(guī)章的要求,網(wǎng)絡(luò)時(shí)間必須是準(zhǔn)確、可追蹤的。NASD要求它的成員按照NIST的UTC時(shí)間給股票交易加上時(shí)間戳,這個(gè)時(shí)間戳必須精確到三秒以內(nèi)。這一要求對于時(shí)間同步具有相當(dāng)大的挑戰(zhàn)性,因?yàn)镹ASD在全美有著5500會(huì)員和超過82000個(gè)分支機(jī)構(gòu)。在商業(yè)交易發(fā)生時(shí),同步的、可追蹤的時(shí)間有利于進(jìn)行確認(rèn),宣布交易生效。其它法律、醫(yī)藥、電信方面的應(yīng)用也要求把可追蹤的時(shí)間標(biāo)準(zhǔn)作為他們的網(wǎng)絡(luò)操作原則之一。
15、用戶名與密碼
2000年,美國通過了電子簽名法案。這項(xiàng)法案規(guī)定,計(jì)算機(jī)與他們的host組織之間有著契約上的義務(wù)。一臺(tái)計(jì)算機(jī)或者某人掌握了正確的用戶名和密碼,他就可以進(jìn)行交易,而在ID和口令撤消之后系統(tǒng)就會(huì)拒絕存取。
總結(jié)
在true time我們從客戶的經(jīng)歷中了解到了網(wǎng)絡(luò)時(shí)間同步的重要性。每天我們都在幫助客戶維持必要的網(wǎng)絡(luò)職責(zé),以使他們的公司順利運(yùn)轉(zhuǎn),這些顧客認(rèn)識(shí)到了很多的網(wǎng)絡(luò)操作和運(yùn)用都依賴于穩(wěn)定的網(wǎng)絡(luò)時(shí)間同步來發(fā)揮作用,同時(shí)它也使得可能出現(xiàn)的問題更易解決。
我們堅(jiān)定地相信在建立一個(gè)高質(zhì)量的網(wǎng)絡(luò)時(shí)間同步系統(tǒng)方面的優(yōu)勢不僅在現(xiàn)在,而且在將來都能帶來收益。