j'ai compris

[ENW-PC-2019062] Avertissement concernant le changement d'heure NTP de Security Gateway causé par le numéro de semaine GPS

publié il y a  2020-11-4 10:29:50 114 0 0 0 0

[Description du problème]

Conditions de déclenchement:

1.          L'heure du serveur NTP sur le réseau change. Par exemple, l'heure du serveur NTP change en raison du changement de numéro de semaine du GPS. En conséquence, les clients NTP connectés au serveur NTP synchronisent la nouvelle heure du serveur NTP.

2.          Les dispositifs de sécurité sont configurés pour synchroniser l'heure du serveur NTP.

Symptôme de panne:

L'heure du serveur NTP interconnecté avec les dispositifs de sécurité change. En conséquence, l'heure des dispositifs de sécurité change.

Méthode d'identification:

1.        Série NIP2000 / 5000

Connectez-vous à l'interface utilisateur Web en tant qu'administrateur, choisissez  Système  >  Configuration  >  Horloge et vérifiez si le service NTP est activé et si le serveur NTP est configuré. Si le service NTP est activé, l'appareil peut être affecté. Si le service NTP est désactivé, l'appareil ne sera pas affecté.

télécharger? uuid = 9f326276cc004ee7b1107bb2a3f30d4f

2.        Autre Security Gateway

Exécutez la  configuration courante d'affichage | incluez la commande ntp  dans la vue utilisateur pour vérifier la configuration NTP sur le périphérique.

   Étape 1       Si la configuration NTP n'existe pas, le problème décrit dans cet avertissement ne se produira pas. Si NTP est configuré, passez à l'étape 2.

   Étape 2       Si le périphérique utilise l'horloge locale et que la strate est 1, le problème ne se produira pas. Sinon, passez à l'étape 3. La configuration suivante indique que l'appareil utilise l'horloge locale et que la strate est 1:

<HUAWEI> affiche la configuration actuelle | inclure ntp

ntp-service refclock-master  1

   Étape 3       Si le client NTP est configuré, le problème décrit dans cet avertissement se produira. Si une ou plusieurs des configurations suivantes existent, le client NTP est configuré:

<HUAWEI> affiche la configuration actuelle | inclure ntp

serveur de monodiffusion ntp-service                                                                                                                                                                                                 

homologue de monodiffusion de service ntp                                                                                                                                                                                                                                                                                                   

service-ntp client-manycast                                                                                                        

client de diffusion du service ntp                                                                                                      

client de multidiffusion de service ntp

 

[Cause première]

Le basculement du numéro de semaine du GPS peut provoquer le report de l'heure du serveur NTP. Si la fonction de synchronisation de l'heure avec le serveur NTP est configurée sur le réseau, les pare-feu du réseau synchronisent l'heure avec le serveur NTP. En conséquence, l'heure des pare-feu reviendra.

 

[Impact et risque]

1. Des          erreurs se produiront lors de la vérification du certificat pour des fonctions telles que l'authentification par certificat IPSec et SSL VPN.

2.          La plage horaire de la politique et les fonctions de vieillissement de la liste noire deviendront invalides.

3.          Les horodatages de tous les journaux sont remplacés par l'heure après le basculement. En conséquence, les informations du journal seront désordonnées, affectant la requête de journal et le fonctionnement et l'entretien.

 

[Mesures et solutions]

1. Mesure préventive:         

Prenez les mesures préventives suivantes avant le 6 avril 2019:

Mesure 1:  localisez l'appareil GPS sur le réseau et vérifiez si le risque WNRO existe. Si le risque existe, prenez des mesures pour le prévenir.

Mesure 2:  si des mesures préventives ne peuvent pas être prises sur le périphérique GPS ou si le périphérique GPS est introuvable, identifiez le serveur NTP avec la strate la plus élevée du réseau. Configurez ce serveur NTP pour utiliser la source d'horloge locale. Pour plus de détails sur les opérations sur les appareils datacom Huawei, voir la mesure préventive 2 dans l'avis de précaution (ENW-PC-2019054 / CIP-P-201922).

Pour plus de détails sur les opérations sur les serveurs NTP non Huawei, consultez le guide d'utilisation correspondant.

Mesure 3:  si les deux mesures préventives précédentes ne peuvent être prises, effectuez les opérations suivantes sur chaque client NTP une par une. (Cette mesure nécessite une charge de travail importante. Par conséquent, la mesure 1 ou 2 est fortement recommandée.)

1.        Série NIP2000 / 5000

Connectez-vous à l'interface utilisateur Web avant le 6 avril 2019, désactivez la synchronisation de l'heure NTP, définissez le  mode de configuration  sur  définir manuellement l'heure et définissez l'heure de l'appareil sur l'heure actuelle.

télécharger? uuid = 24580cb57ddb4966b63ad453c5f25e07

 

Autre passerelle de sécurité

1)         Exécutez la  configuration courante d'affichage | inclure la  commande refclock-master dans la vue utilisateur. Enregistrez la configuration pour une restauration ultérieure.

<HUAWEI> affiche la configuration actuelle | inclure refclock-master                                                                        

ntp-service refclock-master  3

2)         Exécutez la commande  ntp-service refclock-master 1  dans la vue système pour configurer le périphérique afin qu'il utilise la source d'horloge NTP locale.

[HUAWEI] ntp-service refclock-master 1

3)         Exécutez la commande  display ntp-service status  dans la vue utilisateur et vérifiez que la  strate d'horloge  est  1  et que l'  ID d'horloge de référence  est  LOCAL .

<HUAWEI> affiche l'état du service ntp                                                                                                     

état de l'horloge: synchronisé                                                                                                         

strate d'horloge:                                                                                                                    

ID de l'horloge de référence:  LOCAL (0)                                                                                                       

fréquence nominale: 100,0000 Hz                                                                                                    

fréquence réelle: 100,0000 Hz                                                                                                      

précision de l'horloge: 2 ^ 17                                                                                                             

décalage d'horloge: 0,0000 ms                                                                                                            

délai racine: 0,00 ms                                                                                                               

dispersion des racines: 10,95 ms                                                                                                          

dispersion des pairs: 10,00 ms                                                                                                         

heure de référence: 13: 27: 02.829 UTC 20 mars 2019 (E03CBE26.D43BF727)                                                                   

état de synchronisation: horloge réglée  

 

2. Rétablissement des mesures préventives :         

Une fois le problème GPS WNRO résolu, activez la fonction de synchronisation de l'heure NTP. Effectuez les opérations suivantes:

1.        Série NIP2000 / 5000

Connectez-vous à l'interface utilisateur Web, choisissez  Système  >  Configuration  >  Horloge et réactivez la synchronisation de l'heure NTP.

télécharger? uuid = 31a035d7465346a49e6c60a4ac0a9a24

2.        Autre Security Gateway

1)         S'il n'y a pas de configuration refclock-master à l'étape 1 de la mesure 3, supprimez la configuration refclock-master ajoutée dans la solution de prévention.

[HUAWEI] annuler ntp-service refclock-master

Sinon, exécutez la commande  ntp-service refclock-master xx  dans la vue système.

[HUAWEI] ntp-service refclock-master  xx  // xx est la valeur enregistrée à l'étape 1 de la mesure 3.

2)         Exécutez la commande  display ntp-service status  dans la vue utilisateur et assurez-vous que l'état de l'horloge est synchronisé et que la strate d'horloge est correcte.

<HUAWEI> affiche l'état du service ntp                                                                                                      

état de l'horloge:  synchronisé                                                                                                         

strate d'horloge:  3                                                                                                                   

ID de l'horloge de référence: LOCAL (1)                                                                                                      

fréquence nominale: 100,0000 Hz                                                                                                     

fréquence réelle: 100,0000 Hz                                                                                                     

précision de l'horloge: 2 ^ 17                                                                                                              

décalage d'horloge: 0,0000 ms                                                                                                           

délai racine: 0,00 ms                                                                                                                

dispersion des racines: 10,97 ms                                                                                                         

dispersion des pairs: 10,00 ms                                                                                                          

Heure de référence: 13: 23: 22.581 UTC 20 mars 2019 (E03CBD4A.94DA5DAF)                                                                   

état de synchronisation: horloge réglée mais fréquence non déterminée

 

3. Mesures de relèvement d'urgence:         

Si les mesures préventives ne sont pas prises correctement et que les services sont affectés en raison du problème du GPS WNRO, prenez les mesures d'urgence suivantes:

Mesure 1 : Localisez le périphérique GPS qui peut causer le problème GPS WNRO sur le réseau et supprimez le risque.

Mesure 2 : si des mesures préventives ne peuvent pas être prises sur le périphérique GPS ou si le périphérique GPS est introuvable, identifiez le serveur NTP avec la strate la plus élevée du réseau. Configurez ce serveur NTP pour utiliser la source d'horloge locale et définissez l'heure locale correcte. Pour plus de détails sur les opérations sur les appareils de communication de données Huawei, consultez la mise en garde (ENW-PC-2019054 / CIP-P-201922).

Pour plus de détails sur les opérations sur les serveurs NTP non Huawei, consultez le guide d'utilisation correspondant.

Mesure 3 : Si les deux mesures préventives précédentes ne peuvent pas être prises, effectuez les opérations suivantes sur chaque client NTP une par une. (Cette mesure nécessite une charge de travail importante. Par conséquent, la mesure 1 ou 2 est fortement recommandée.)

1.        Série NIP2000 / 5000

Connectez-vous à l'interface utilisateur Web en tant qu'administrateur, choisissez  Système  >  Configuration  >  Horloge , désactivez la synchronisation de l'heure NTP, utilisez l'horloge de l'appareil local et définissez l'heure de l'appareil sur l'heure actuelle. Enregistrez la configuration et redémarrez l'appareil pour restaurer les services.

télécharger? uuid = 4d92c71cb392402997cc16f59573cb57

2.        Autre Security Gateway

1)         Exécutez la  configuration courante d'affichage | inclure la  commande refclock-master dans la vue utilisateur. Enregistrez la configuration pour une restauration ultérieure.

<HUAWEI> affiche la configuration actuelle | inclure refclock-master                                                                         

ntp-service refclock-master  3

2)         Exécutez la commande  ntp-service refclock-master 1  dans la vue système pour configurer le périphérique afin qu'il utilise la source d'horloge NTP locale.

[HUAWEI] ntp-service refclock-master 1

3)         Exécutez la commande  display ntp-service status  dans la vue utilisateur et vérifiez que la  strate d'horloge  est  1  et que l'  ID d'horloge de référence  est  LOCAL .

<HUAWEI> affiche l'état du service ntp                                                                                                     

état de l'horloge: synchronisé                                                                                                        

strate d'horloge:                                                                                                                    

ID de l'horloge de référence:  LOCAL (0)                                                                                                      

fréquence nominale: 100,0000 Hz                                                                                                    

fréquence réelle: 100,0000 Hz                                                                                                     

précision de l'horloge: 2 ^ 17                                                                                                             

décalage d'horloge: 0,0000 ms                                                                                                           

délai racine: 0,00 ms                                                                                                                

dispersion des racines: 10,95 ms                                                                                                         

dispersion des pairs: 10,00 ms                                                                                                          

heure de référence: 13: 27: 02.829 UTC 20 mars 2019 (E03CBE26.D43BF727)                                                                   

état de synchronisation: horloge réglée  

 

4)         Exécutez la commande  clock datetime  HH: MM: SS YYYY-MM-DD  pour changer l'heure des dispositifs de sécurité à l'heure correcte.

 

4. Rétablissement des mesures de relèvement d'urgence :          

Une fois le problème GPS WNRO résolu, activez la fonction de synchronisation de l'heure NTP. Effectuez les opérations suivantes:

1.        Série NIP2000 / 5000

Connectez-vous à l'interface utilisateur Web, choisissez  Système  >  Configuration  >  Horloge et réactivez la synchronisation de l'heure NTP.

télécharger? uuid = 31a035d7465346a49e6c60a4ac0a9a24

2.        Autre Security Gateway

1)         S'il n'y a pas de configuration refclock-master à l'étape 1 de la mesure 3, supprimez la configuration refclock-master ajoutée dans la solution de prévention.

[HUAWEI] annuler ntp-service refclock-master

Sinon, exécutez la commande  ntp-service refclock-master xx  dans la vue système.

[HUAWEI] ntp-service refclock-master  xx  // xx est la valeur enregistrée à l'étape 1 de la mesure 3.

2)         Exécutez la commande  display ntp-service status  dans la vue utilisateur et assurez-vous que l'état de l'horloge est synchronisé et que la strate d'horloge est correcte.

<HUAWEI> affiche l'état du service ntp                                                                                                     

état de l'horloge:  synchronisé                                                                                                         

strate d'horloge:  3                                                                                                                  

ID de l'horloge de référence: LOCAL (1)                                                                                                      

fréquence nominale: 100,0000 Hz                                                                                                    

fréquence réelle: 100,0000 Hz                                                                                                     

précision de l'horloge: 2 ^ 17                                                                                                             

décalage d'horloge: 0,0000 ms                                                                                                           

délai racine: 0,00 ms                                                                                                                

dispersion des racines: 10,97 ms                                                                                                         

dispersion des pairs: 10,00 ms                                                                                                          

Heure de référence: 13: 23: 22.581 UTC 20 mars 2019 (E03CBD4A.94DA5DAF)                                                                   

état de synchronisation: horloge réglée mais fréquence non déterminée

 

 Service NTP


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.