NTP-instellingen voor FirePOWER-applicaties configureren en problemen oplossen

Inleiding

Dit document beschrijft hoe u Network Time Protocol (NTP) op Firepower FXOS-applicaties kunt configureren, verifiëren en problemen oplossen.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

• FPR4140 met FXOS 2.3(1.130) en 2.8(1.105)
• FPR210 die ASA-platformmodus gebruikt
• FPR140 die de ASA-toestelmodus gebruikt

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Op Firepower is de NTP-werking afhankelijk van het platform.

FPR41x/FPR9300

De ASA- of FTD-tijd is afkomstig van de chassis Firepower Chassis Manager (FCM) Management Input/Output (MIO). MIO is de supervisor van het Firepower chassis.

FPR2100xxx/FPR2100

In het FTD wordt de tijd genomen vanaf het FMC:

Controleer deze documenten voor deze implementatie:

• NTP-tijdsynchronisatie voor bedreigingsverdediging configureren
• Problemen met Network Time Protocol (NTP) bij FirePOWER Systems oplossen

Aanvullende informatie

NTP wordt gebruikt voor tijdsynchronisatie. NTP gebruikt als transport het UDP-poortnummer 123.

Ondersteunde NTP-versies op FXOS:

• FXOS 10.2.2.7 en hoger gebruik van NTP versie 3
• Ouder FXOS dan 10.2.2.7 gebruik NTP versie 2

Ondersteunde versie is gewijzigd vanwege Cisco bug-id CSC58269 - NTP: wijziging v2 in v3

Opmerking: NTP versie 4 wordt niet officieel ondersteund. NTP versie 4 is achterwaarts compatibel met NTP versie 3.

Configureren

NTP op FPR 41xx/9300

Belangrijkste punten

• Om NTP te configureren op een FirePOWER 41xx/9300-apparaat, meldt u zich aan bij FCM en navigeer u naar het tabblad Platform Settings.
  
• NTP op de logische apparaten (ASA of FTD) is gesynchroniseerd met de MIO.
• Op dit moment is er geen mogelijkheid om NTP op FTD te synchroniseren met Firepower Management Center (FMC), zelfs als u kiest voor die optie, NTP op FTD is gesynchroniseerd met MIO. Daarom wordt ten zeerste aanbevolen dat FMC en FCM dezelfde NTP-server gebruiken.
• Het VCC is geen volledige NTP-server. Het kan slechts tijdinstellingen aan zijn beheerde apparaten door de sftunnel verstrekken. Het kan dus niet worden gebruikt als de NTP-server voor het Firepower 41xx/9300 chassis.
• Voor een succesvolle installatie van een slimme licentie is een juiste NTP-configuratie vereist.

NTP op FPR 1xxx/2100

• Als u NTP op een FirePOWER 1xxx/2100-apparaat wilt configureren, navigeer dan naar het tabblad Platform Settings van de Firepower Chassis Manager (FCM), Firepower voor ASA in de platformmodus.
• In het geval van een ASA in Platform-modus, is NTP op het logische apparaat gesynchroniseerd met de MIO.
• Configureer de NTP-instellingen voor de logische toepassing zelf. De ASA in de applicatiemodus of in geval van FTD-on-box-beheer vanuit Firepower Device Manager (FDM).
• Indien het FTD wordt beheerd door het FMC (off-box management), configureer dan het NTP op het FMC.
  

Opmerking: op versies na 9.13(1) kunt u de Firepower 1xxx/2100 voor ASA uitvoeren in deze modi: Applicatiemodus (de standaardinstelling) en Platform-modus. In de applicatiemodus kunt u alle instellingen, waaronder NTP, op de ASA configureren. Er zijn alleen geavanceerde opdrachten voor probleemoplossing beschikbaar in de FXOS CLI. Aan de andere kant moet u in de platformmodus de basisinstellingen (inclusief NTP) en hardware-interfacestanden configureren in Chassis Manager (FCM).

Configureer het NTP op FPR 1xxx/2100/41xx/9300 applicaties

Stap 1. Log in in de Firepower Chassis Manager GUI met de lokale gebruikersreferenties en navigeer naar Platform Instellingen > NTP. Selecteer de knop Toevoegen:

Stap 2. Specificeer het IP-adres of de hostnaam van de NTP-server (als u een hostnaam voor de NTP-server gebruikt, moet u een DNS-server configureren).

Opmerking: u kunt maximaal 4 NTP-servers configureren

Verifiëren

Controleer de NTP-synchronisatie op FPR41xx/9300-applicaties

Controleer de serverstatus.

Referentie serverstatus

• Niet beschikbaar: De standaardstatus wordt direct na de configuratie van de NTP-server weergegeven.
• Onbereikbaar/Ongeldig: In deze scenario's:
  • Wanneer het IP-adres van de NTP-server of de hostnaam niet bereikbaar is via het NTP-protocol.
  • Wanneer het IP-adres van de NTP-server of de hostnaam bereikbaar is, maar de externe host geen NTP-server is.
  • Andere interne fouten zoals wanneer de query niet kan worden uitgevoerd, uitzondering geworpen, ongedefinieerde tijdsynchronisatiestatus wordt aangetroffen, enzovoort.
• Bezig met synchronisatie: De server is bereikbaar en ondersteunt het NTP-protocol, de initiële time converge is nog gaande en is nog niet voltooid.
• Gesynchroniseerd: De host wordt gedeclareerd als de systeemsynchronisatiepeer en de tijdklok is in synchronisatie met deze.
• Kandidaat: De gastheer is de kandidaat (stand-by) peer. Een kandidaat NTP-server betekent dat het een geldige server is en met succes gecommuniceerd heeft met het FirePOWER-apparaat, maar de module is gesynchroniseerd met een andere NTP-server, dus het is de standby-server. Het kan als volgende in-sync peer worden verkozen als huidige wordt geschrapt.
• Outlier: Een NTP-server die wordt weggegooid vanwege een groot verschil (tijdoffset en vertraging van een ronde reis) in vergelijking met de rest van de NTP-servers.

Controleer de NTP-configuratie op FPR41xx/9300-applicaties

Controleer de status van de NTP-peer:

FPR4100-8-A# connect fxos
FPR4100-8-A(fxos)# show ntp peer-status 
Total peers : 4
* - selected for sync, + -  peer mode(active), 
- - peer mode(passive), = - polled in client mode 
    remote               local                 st   poll   reach delay
------------------------------------------------------------------------
=172.16.38.66           10.62.148.196           1 1024      17   0.20996 
*172.31.201.67          10.62.148.196           1 1024     377   0.03035 
=172.16.38.65           10.62.148.196           1 1024     377   0.19914 
=172.31.20.115         10.62.148.196           1 1024     377   0.02905

Controleer de configuratie en synchronisatie van de NTP-server:

FPR4100-8-A# scope system 
FPR4100-8-A /system # scope services 
FPR4100-8-A /system/services # show ntp-server detail
NTP server hostname:
    Name: 172.16.38.65Time Sync Status: Candidate
    NTP SHA-1 key id: 0
    Error Msg:

    Name: 172.16.38.66
    Time Sync Status: Time Sync In Progress
    NTP SHA-1 key id: 0
    Error Msg:

    Name: 172.31.20.115
    Time Sync Status: Candidate
    NTP SHA-1 key id: 0
    Error Msg:

    Name: 172.31.201.67
    Time Sync Status: Time Synchronized
    NTP SHA-1 key id: 0
    Error Msg:

Controleer de NTP-associatie:

FPR4100-8-A# connect module 1 console 
Firepower-module1>show ntp association

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*203.0.113.126   172.31.201.67   2 u   39   64  370    0.070    0.445   0.210

ind assid status  conf reach auth condition  last_event cnt
===========================================================
  1 16696  961a   yes   yes  none  sys.peer    sys_peer  1

associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer,
srcadr=203.0.113.126, srcport=123, dstadr=203.0.113.1, dstport=123,
leap=00, stratum=2, precision=-21, rootdelay=29.053, rootdisp=70.496,
refid=172.31.201.67,
reftime=e24d4bd9.3b680f6d  Fri, Apr 24 2020 11:28:25.232,
rec=e24d4d34.170bd724  Fri, Apr 24 2020 11:34:12.090, reach=370,
unreach=0, hmode=3, pmode=4, hpoll=6, ppoll=6, headway=0,
flash=20 pkt_stratum, keyid=0, offset=0.445, delay=0.070,
dispersion=2.152, jitter=0.210, xleave=0.017,

filtdelay=     0.08    0.11    0.08    0.10    0.07    0.08    0.09    0.07,
filtoffset=    0.17    0.18    0.29    0.29    0.45    0.45    0.69    0.69,
filtdisp=      0.00    0.03    0.99    1.02    2.03    2.06    3.03    3.06

associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer,
remote host:           203.0.113.126:123
local address:         203.0.113.1:123
time last received:    39
time until next send:  26
reachability change:   170025
packets sent:          5048
packets received:      5048
bad authentication:    0
bogus origin:          0
duplicate:             0
bad dispersion:        27
bad reference time:    0

Controleer NTP-sysinfo:

FPR4100-8-A# connect module 1 console 
Firepower-module1>show ntp sysinfo
associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
version="ntpd 4.2.8p11@1.3728-o Sat Dec  8 06:11:47 UTC 2018 (2)",
processor="x86_64", system="Linux/3.10.62-ltsi-WR10.0.0.29_standard",
leap=00, stratum=3, precision=-24, rootdelay=29.129, rootdisp=24.276,
refid=203.0.113.126,
reftime=e24dd3bf.170a6210  Fri, Apr 24 2020 21:08:15.090,
clock=e24dd437.59b86104  Fri, Apr 24 2020 21:10:15.350, peer=16696, tc=6,
mintc=3, offset=0.009911, frequency=7.499, sys_jitter=0.023550,
clk_jitter=0.004, clk_wander=0.001

associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
system peer:        203.0.113.126:123
system peer mode:   client
leap indicator:     00
stratum:            3
log2 precision:     -24
root delay:         29.129
root dispersion:    24.276
reference ID:       203.0.113.126
reference time:     e24dd3bf.170a6210  Fri, Apr 24 2020 21:08:15.090
system jitter:      0.023550
clock jitter:       0.004
clock wander:       0.001
broadcast delay:    -50.000
symm. auth. delay:  0.000

uptime:                 204908
sysstats reset:         204908
packets received:       19928
current version:        6069
older version:          0
bad length or format:   0
authentication failed:  0
declined:               0
restricted:             0
rate limited:           0
KoD responses:          0
processed for time:     6040

associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
pll offset:            0.006196
pll frequency:         7.49899
maximum error:         0.097039
estimated error:       3e-06
kernel status:         pll nano
pll time constant:     6
precision:             1e-06
frequency tolerance:   500
pps frequency:         0
pps stability:         0
pps jitter:            0
calibration interval   0
calibration cycles:    0
jitter exceeded:       0
stability exceeded:    0
calibration errors:    0

time since reset:       204908
receive buffers:        10
free receive buffers:   9
used receive buffers:   0
low water refills:      1
dropped packets:        0
ignored packets:        0
received packets:       19930
packets sent:           26811
packet send failures:   0
input wakeups:          224931
useful input wakeups:   20034

Controleer de NTP-synchronisatie tussen MIO en logisch apparaat (Blade) op FPR41xx/9300-applicaties

Op FPR41xx/9300 worden de NTP-instellingen via het MIO (chassis) naar FTD gedrukt. De NTP-configuratie vanuit de FTD CLI of de FMC UI is niet mogelijk.

Elke FTD-blade gebruikt een interne referentie-id: 203.0.113.126 om te communiceren met de MIO voor tijdsynchronisatie en op basis daarvan toont het of het gesynchroniseerd is of niet. De FTD CLI weerspiegelt dit. De NTP IP in dit voorbeeld is de interne ref-id, niet de eigenlijke NTP Server IP. Een wijziging van de NTP-server IP in de FCM heeft geen invloed op deze uitvoer omdat de referentie-id altijd hetzelfde is:

 > show ntp
NTP Server                : 203.0.113.126
Status                    : Being Used
Offset                    : -0.078 (milliseconds)
Last Update               : 43 (seconds)	

Controleer de NTP-configuratie op FPR1xxx/2100-applicaties

Waarschuwing: dit is alleen van toepassing op FPR1xxx/2100 toestellen voor ASA in Platform-modus.

firepower-2140# scope system
firepower-2140 /system # scope services
firepower-2140 /system/services # show ntp-server detail

NTP server hostname:
    Name: 172.31.201.67
    Time Sync Status: Time Synchronized
    Error Msg:

    Name: ntp.esl.cisco.com
    Time Sync Status: Candidate
    Error Msg:

Gemeenschappelijke problemen oplossen

1. FXOS kan de NTP-servernaam niet oplossen

De FCM UI toont:

Aanbevolen actie

Gebruik de opdracht ping om de resolutie van de NTP-server hostname te verifiëren

KSEC-FPR4100-8-A(local-mgmt)# ping ntp.esl.cisco.com
Invalid Host Name.

Mogelijke oorzaken

• De DNS-server is niet geconfigureerd.
• De DNS-server kan de hostnaam niet oplossen.

2. Connectiviteitsproblemen tussen FXOS - NTP-server op UDP-poort 123

De FCM UI toont:

Aanbevolen actie

Let op: Ethanalyzer Capture op chassis management interface is alleen beschikbaar op FPR41xx/9300 applicaties.

Leg gegevens vast op de interface voor chassisbeheer en controleer de bidirectionele communicatie op UDP-poort 123:

KSEC- FPR4100-8-A(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 123"
Capturing on 'eth0'
1 2020-04-30 20:09:54.150237760 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
2 2020-04-30 20:14:14.150172804 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
3 2020-04-30 20:23:13.150171682 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client

Mogelijke oorzaken

• De geconfigureerde server is geen NTP-server.
• Een apparaat in het pad (bijvoorbeeld een firewall) blokkeert of wijzigt het verkeer.

3. Problemen met intermitterende connectiviteit tussen FXOS- en NTP-server

De FCM UI toont:

Aanbevolen acties 

Let op: alleen voor FPR41xx/9300-apparaten.

Het NTP-synchronisatieproces starten vanuit de FXOS CLI

FPR4100-8-A# connect fxos
FPR4100-8-A(fxos)# ntp sync-retry

Leg opnamen op de interface van het chassisbeheer met de CLI-opdrachttool van de ethanalyzer.

Mogelijke oorzaak

• Problemen met intermitterende connectiviteit tussen FXOS - NTP-server

Gerelateerde gebreken

Controleer de Releaseopmerkingen op bekende/vaste defecten.

Gerelateerde informatie

• FXOS-configuratiehandleidingen
• Problemen met Network Time Protocol (NTP) bij FirePOWER Systems oplossen