Dit document biedt een voorbeeldconfiguratie van hoe u de kloktijd van Cisco adaptieve security applicatie (ASA) in meerdere context kunt synchroniseren met die van een Network Time Protocol (NTP) server.
NTP is een protocol dat wordt gebruikt om de klokken van verschillende netwerkentiteiten te synchroniseren. Het gebruikt UDP/123. De belangrijkste reden om dit protocol te gebruiken is om de effecten van variabele latentie op de gegevensnetwerken te vermijden.
In dit scenario is Cisco ASA in meerdere context-modus. Admin en Test1 zijn de twee verschillende contexten. Om Cisco ASA als een NTP-client te configureren moet u de NTP-serveropdracht alleen in de ruimte voor systeemuitvoering specificeren omdat deze opdracht de contextmodus niet ondersteunt.
Er zijn geen specifieke vereisten van toepassing op dit document.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco ASA met softwarerelease 6.2 en hoger
Cisco Adaptieve Security Devices Manager (ASDM) met softwarerelease 6.3 en hoger
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.
In deze sectie wordt u voorgelegd met de informatie die nodig is om de functies te configureren die in dit document worden beschreven.
Opmerking: Gebruik het Opname Gereedschap (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.
Het netwerk in dit document is als volgt opgebouwd:
Volg deze stappen om de ASDM te configureren:
Klik op System onder de Cisco ASA om de ruimte voor systeemuitvoering te controleren.
Ga naar Configuratie > Apparaatbeheer > Systeemtijd > NTP en klik op Toevoegen.
Het venster Add NTP Server Configuration verschijnt. Specificeer het IP-adres van de interface die met de NTP-server is gekoppeld en specificeer de verificatie-sleutelgegevens. Klik op OK.
Opmerking: NTP-servergegevens dienen te worden gespecificeerd in het context-systeem. Aangezien de ruimte voor systeemuitvoering echter geen interfaces in de meerdere contextmodus bevat, moet u een interfacenaam specificeren (dat wil zeggen, gedefinieerd binnen de Admin-context).
Bekijk de informatie over de NTP-server in dit venster:
Dit is de equivalente CLI-configuratie van Cisco ASA, voor uw referentie:
Cisco ASA |
---|
ciscoasa# show run : Saved : ASA Version 8.2(1) <system> ! terminal width 511 hostname ciscoasa enable password 2KFQnbNIdI.2KYOU encrypted no mac-address auto ! interface Ethernet0/0 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 shutdown ! interface Management0/0 shutdown ! class default limit-resource All 0 limit-resource ASDM 5 limit-resource SSH 5 limit-resource Telnet 5 ! ftp mode passive clock timezone GMT 0 pager lines 10 no failover asdm image disk0:/asdm-635.bin asdm history enable arp timeout 14400 console timeout 0 admin-context admin context admin allocate-interface Ethernet0/0 allocate-interface Ethernet0/1 allocate-interface Ethernet0/2 allocate-interface Ethernet0/3 config-url disk0:/admin.cfg ! context Test1 allocate-interface Ethernet0/1 allocate-interface Ethernet0/3 config-url disk0:/Test1.cfg ! !--- This command is used to set a key to !--- authenticate with an NTP server. ntp authentication-key 10 md5 * !--- This command is used to configure the !--- NTP server IP address and the interface associated. ntp server 192.168.100.10 source inside username Test password I2xAvC8b372aLGtP encrypted privilege 15 username Cisco password dDFIeex1zkFMaVXs encrypted privilege 15 !--- Output suppressed. ! prompt hostname context Cryptochecksum:ae65e1f96123ea351ca1086c22f3ebc7 : end ciscoasa# |
Cisco Firewallservicemodule (FWSM) ondersteunt de NTP-configuratie niet afzonderlijk. De kloktijd FWSM wordt automatisch gesynchroniseerd met de kloktijd van de Catalyst Switch terwijl de module opstart. Als de Catalyst Switch zelf gesynchroniseerd is op een NTP server zal FWSM die klok erven.
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.
NTP status tonen - Geeft de status van elke NTP associatie weer.
ciscoasa# show ntp status Clock is synchronized, stratum 10, reference is 192.168.100.10 nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6 reference time is d3a93668.7b6b6155 (11:41:28.482 GMT Thu Jul 12 2012) clock offset is -2.0439 msec, root delay is 1.48 msec root dispersion is 3894.03 msec, peer dispersion is 3891.95 msec
toon ntp associaties - toont de informatie betreffende de NTP associatie.
ciscoasa# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.100.10 127.127.7.1 9 7 64 7 1.5 -2.04 3892.0 * master (synced), # master (unsynced), + selected, - candidate, ~ configured
ciscoasa# show ntp associations detail 192.168.100.10 configured, our_master, sane, valid, stratum 9 ref ID 127.127.7.1, time d3aa5d7a.d8cf2704 (08:40:26.846 GMT Fri Jul 13 2012) our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024 root delay 0.00 msec, root disp 0.03, reach 377, sync dist 16.602 delay 1.71 msec, offset 1.3664 msec, dispersion 15.72 precision 2**16, version 3 org time d3aa5d8a.68391cb8 (08:40:42.407 GMT Fri Jul 13 2012) rcv time d3aa5d8a.6817b624 (08:40:42.406 GMT Fri Jul 13 2012) xmt time d3aa5d8a.67a3f2da (08:40:42.404 GMT Fri Jul 13 2012) filtdelay = 1.71 1.60 1.57 1.68 1.59 1.66 1.65 1.65 filtoffset = 1.37 1.41 1.50 1.52 1.63 1.61 1.56 1.53 filterror = 15.63 31.25 46.88 62.50 78.13 93.75 109.38 125.00
Deze sectie verschaft informatie die u kunt gebruiken om problemen met uw configuratie op te lossen.
Cisco ASA is niet gesynchroniseerd met de NTP server, en deze foutmelding wordt ontvangen:
NTP: packet from 192.168.1.1 failed validity tests 20 Peer/Server Clock unsynchronized
Oplossing:
Schakel de NTP-uitgangen in en controleer deze uitvoer in detail:
ciscoasa(config)# NTP: xmit packet to 192.168.1.1: leap 3, mode 3, version 3, stratum 0, ppoll 64
Het lijkt erop dat de NTP Server is ingesteld met een stratum nul, dat wordt gespecificeerd als "Ungespecificeerd" volgens RFC 1305 .
Om deze fout op te lossen, moet u het stratumnummer van de NTP-server tussen 6 en 10 definiëren.
Cisco ASA was geconfigureerd als een NTP-client, maar de synchronisatie werkt niet en deze uitvoer wordt ontvangen:
ciscoasa# show ntp status Clock is unsynchronized, stratum 16, no reference clock nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6 reference time is d3a93395.388e423c (11:29:25.220 GMT Thu Jul 12 2012) clock offset is -4050.4142 msec, root delay is 1.21 msec root dispersion is 19941.07 msec, peer dispersion is 16000.00 msec
Oplossing:
Controleer de volgende onderdelen om dit probleem op te lossen:
Controleer of de NTP Server bereikbaar is vanuit Cisco ASA. Voer de ping-test uit en controleer de routing.
Zorg ervoor dat de configuratie van Cisco ASA intact is en de parameters van de NTP-server aanpast.
Schakel de NTP-debug-opdrachten in om verder te graven.
Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.
Opmerking: Raadpleeg Belangrijke informatie over debug Commands voordat u debug-opdrachten gebruikt.
debug ntp pakket - Geeft berichten over NTP-pakketten weer.
debug ntp event - Toont berichten over NTP-gebeurtenissen.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
18-Jul-2012 |
Eerste vrijgave |