PIX基本配置-2.docx

时间设置和NTP支持命令clock可以设置PIX防火墙的时钟，指定时间、月份、日期和年。当防火墙关机时，主板上的电池可以继续维持内存中的时钟设置。PIX防火墙能够为系统事件产生日志消息，并且把这些消息记录到系统日志服务器上。如果想让系统日志包含时间戳信息，需要输入命令logging timestamp。这条命令要求已经使用了命令clock set。以保证系统日志消息时间的正确性。如果使用公共密钥基础设施（PKI），也需要保证时钟的正确性，PKI使用数字证书对虚拟专用网（VPN）对等体进行认证。Cisco PKI协议使用时钟来确认证书撤回（revocation）列表（CRL）没有过期。否则，证书机构（CA）可能会根据不正确的时间戳来确定拒绝还是允许证书。证书和CRL的有效期在UTC中进行校验。如果在IPSec VPN中使用了证书，应把PIX防火墙的时钟设成UTC时区，以保证CRL校验工作正常。使用命令show clock可以查看时间，显示出时间、时区、星期和完整的日期。使用命令clear clock可以删除clock set命令。命令clock set的语法为：clock set hh:mm:ss month day year1、设置节约白天时间和时区PIX防火墙不能自动调整成节约白天时间（daylight saving time）的方式，但可以使用命令clock summer-time把它配置成显示节约白天时间。关键字summer-time会让PIX防火墙自动切换到夏令时（仅仅是为了显示）。关键字recurring标识夏令时应该在它后面所跟的值指定的时间开始和结束。如果没有指定值，夏令时默认按照美国的规则执行。可以使用clock summer-time命令的date版本设定具体的日期和时间。如，下面的例子中，节约白天时间（夏令时）配置成2002年4月7日，凌晨2点开始，2002年10月7日凌晨2点结束。pixfirewall(config)#clock summer-time PDT date 7 April 2002 2:00 27 October 2002 2:00使用命令clock timezone来设置时区，这个命令设置的时区仅仅是为了显示的目的，在内部，时间仍然保持与UTC一致。命令clear clock可以删除夏令时的设置，并把时区设为UTC。clock命令的语法为：clock summer-time zone recurring [week weekday month hh:mm week weekday month hh:mm] [offset]clock summer-time zone date {day month|month day} year hh:mm {day month|month day} year hh:mm [offset]clocktimezone zone hours [minutes]show clock [detail]★summer-time－命令clock summer-time在指定的夏令时日期范围内显示夏令时。这个命令只会时钟的显示时间；★zone－时区的名字；★recurring－指定本地夏季实行“节约白天”时间的起始和终止日期。第一个日期是起始日期，第二个日期是终止日期；★week－指定是这个月中的第几周。输入1、2、3或4指定这个月的第1、2、3、4周。使用first或last在一个月的开头或末尾不完整的一周。例如，可以使用last指定某个月的第5周。★weekday－指定一周中的某一天。可输入Monday，Tuesday，Wednesday，Thursday，Friday，Saturday或Sunday。★month－指定月份。输入一个月份中的前三个字符（例如，apr标识April）★hh:mm－以24小时方式标识的小时和分钟。0可以作为一个单独的数字输入（例如：21：0）★offset－夏令时要增加的分钟数。缺省是60分钟。★date－作为clock summer-time命令循环格式的替代方式。指定夏令时从先输入的日期开始，在后输入的日期结束。如果起始日期的月份比结束日期的月份要晚，也是可以的，假设位于南半球。★day－起始月份的日期★year－使用4位数表示的年份。clock命令支持的年份范围是1993到2035年。★timezone－命令clock timezone设置时钟按照指定的时区显示。不会改变PIX防火墙内部的时间，内部仍然是UTC。★hours－相对于UTC偏移的小时数。★minutes－相对于UTC偏移的分钟数。★detail－显示时钟源和当前的夏令时。2、命令ntp命令ntp server让PIX防火墙和指定的网络时间服务器保持同步。可以配置P