O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como configurar, verificar e solucionar problemas do Network Time Protocol (NTP) em dispositivos Firepower FXOS.
Não existem requisitos específicos para este documento.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
No Firepower, a operação do NTP depende da plataforma.
FPR41xx/FPR9300
O tempo do ASA ou do FTD é obtido do MIO (Management Input/Output) do Firepower Chassis Manager (FCM) do chassi. O MIO é o supervisor do chassi Firepower.
FPR1xxx/FPR2100
No DTF, a hora é tomada do CVP:
Para esta implantação, verifique estes documentos:
Informações adicionais
O NTP é usado para sincronização de horário. O NTP usa como transporte o número de porta UDP 123.
Versões NTP suportadas em FXOS:
Versão suportada alterada devido ao bug da Cisco ID CSCve58269 - NTP: change v2 to v3
Observação: o NTP versão 4 não é oficialmente suportado. O NTP versão 4 é retrocompatível com o NTP versão 3.
Pontos principais
Observação: nas versões posteriores à 9.13(1), você pode executar o Firepower 1xxx/2100 para ASA nestes modos: modo de dispositivo (o padrão) e modo de plataforma. O modo do dispositivo permite que você defina todas as configurações, incluindo NTP, no ASA. Somente comandos avançados de solução de problemas estão disponíveis na CLI do FXOS. Por outro lado, no modo de plataforma, você deve definir as configurações básicas (incluindo NTP) e as configurações de interface de hardware no gerenciador de chassi (FCM).
Etapa1. Faça login na GUI do Firepower Chassis Manager com as credenciais de usuário local e navegue até Platform Settings > NTP. Selecione o botão Add:
Etapa 2. Especifique o endereço IP ou o nome de host do servidor NTP (Se você usar um nome de host para o servidor NTP, deverá configurar um servidor DNS).
Observação: você pode configurar até 4 servidores NTP
Monitore o status do servidor.
Referência de Status do Servidor
Verifique o status do peer NTP:
FPR4100-8-A# connect fxos
FPR4100-8-A(fxos)# show ntp peer-status Total peers : 4 * - selected for sync, + - peer mode(active), - - peer mode(passive), = - polled in client mode remote local st poll reach delay ------------------------------------------------------------------------ =172.16.38.66 10.62.148.196 1 1024 17 0.20996 *172.31.201.67 10.62.148.196 1 1024 377 0.03035 =172.16.38.65 10.62.148.196 1 1024 377 0.19914 =172.31.20.115 10.62.148.196 1 1024 377 0.02905
Verifique a configuração e a sincronização do servidor NTP:
FPR4100-8-A# scope system
FPR4100-8-A /system # scope services
FPR4100-8-A /system/services # show ntp-server detail
NTP server hostname: Name: 172.16.38.65Time Sync Status: Candidate NTP SHA-1 key id: 0 Error Msg: Name: 172.16.38.66 Time Sync Status: Time Sync In Progress NTP SHA-1 key id: 0 Error Msg: Name: 172.31.20.115 Time Sync Status: Candidate NTP SHA-1 key id: 0 Error Msg: Name: 172.31.201.67 Time Sync Status: Time Synchronized NTP SHA-1 key id: 0 Error Msg:
Verifique a associação NTP:
FPR4100-8-A# connect module 1 console
Firepower-module1>show ntp association remote refid st t when poll reach delay offset jitter ============================================================================== *203.0.113.126 172.31.201.67 2 u 39 64 370 0.070 0.445 0.210 ind assid status conf reach auth condition last_event cnt =========================================================== 1 16696 961a yes yes none sys.peer sys_peer 1 associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer, srcadr=203.0.113.126, srcport=123, dstadr=203.0.113.1, dstport=123, leap=00, stratum=2, precision=-21, rootdelay=29.053, rootdisp=70.496, refid=172.31.201.67, reftime=e24d4bd9.3b680f6d Fri, Apr 24 2020 11:28:25.232, rec=e24d4d34.170bd724 Fri, Apr 24 2020 11:34:12.090, reach=370, unreach=0, hmode=3, pmode=4, hpoll=6, ppoll=6, headway=0, flash=20 pkt_stratum, keyid=0, offset=0.445, delay=0.070, dispersion=2.152, jitter=0.210, xleave=0.017, filtdelay= 0.08 0.11 0.08 0.10 0.07 0.08 0.09 0.07, filtoffset= 0.17 0.18 0.29 0.29 0.45 0.45 0.69 0.69, filtdisp= 0.00 0.03 0.99 1.02 2.03 2.06 3.03 3.06 associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer, remote host: 203.0.113.126:123 local address: 203.0.113.1:123 time last received: 39 time until next send: 26 reachability change: 170025 packets sent: 5048 packets received: 5048 bad authentication: 0 bogus origin: 0 duplicate: 0 bad dispersion: 27 bad reference time: 0
Verifique o sysinfo de NTP:
FPR4100-8-A# connect module 1 console
Firepower-module1>show ntp sysinfo associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, version="ntpd 4.2.8p11@1.3728-o Sat Dec 8 06:11:47 UTC 2018 (2)", processor="x86_64", system="Linux/3.10.62-ltsi-WR10.0.0.29_standard", leap=00, stratum=3, precision=-24, rootdelay=29.129, rootdisp=24.276, refid=203.0.113.126, reftime=e24dd3bf.170a6210 Fri, Apr 24 2020 21:08:15.090, clock=e24dd437.59b86104 Fri, Apr 24 2020 21:10:15.350, peer=16696, tc=6, mintc=3, offset=0.009911, frequency=7.499, sys_jitter=0.023550, clk_jitter=0.004, clk_wander=0.001 associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, system peer: 203.0.113.126:123 system peer mode: client leap indicator: 00 stratum: 3 log2 precision: -24 root delay: 29.129 root dispersion: 24.276 reference ID: 203.0.113.126 reference time: e24dd3bf.170a6210 Fri, Apr 24 2020 21:08:15.090 system jitter: 0.023550 clock jitter: 0.004 clock wander: 0.001 broadcast delay: -50.000 symm. auth. delay: 0.000 uptime: 204908 sysstats reset: 204908 packets received: 19928 current version: 6069 older version: 0 bad length or format: 0 authentication failed: 0 declined: 0 restricted: 0 rate limited: 0 KoD responses: 0 processed for time: 6040 associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, pll offset: 0.006196 pll frequency: 7.49899 maximum error: 0.097039 estimated error: 3e-06 kernel status: pll nano pll time constant: 6 precision: 1e-06 frequency tolerance: 500 pps frequency: 0 pps stability: 0 pps jitter: 0 calibration interval 0 calibration cycles: 0 jitter exceeded: 0 stability exceeded: 0 calibration errors: 0 time since reset: 204908 receive buffers: 10 free receive buffers: 9 used receive buffers: 0 low water refills: 1 dropped packets: 0 ignored packets: 0 received packets: 19930 packets sent: 26811 packet send failures: 0 input wakeups: 224931 useful input wakeups: 20034
No FPR41xx/9300, as configurações de NTP são enviadas ao FTD por meio do MIO (chassi). A configuração de NTP do FTD CLI ou da interface do FMC não é possível.
Cada blade FTD usa um ID de referência interno: 203.0.113.126 para se comunicar com o MIO para sincronização de tempo e, com base nisso, ele mostra se está sincronizado ou não. A CLI do FTD reflete isso. O IP do NTP neste exemplo é o ID de referência interno, não o IP do servidor NTP real. Uma alteração do IP do servidor NTP no FCM não afeta essa saída, já que o ID de referência é sempre o mesmo:
> show ntp NTP Server : 203.0.113.126 Status : Being Used Offset : -0.078 (milliseconds) Last Update : 43 (seconds)
Cuidado: Isso só se aplica a dispositivos FPR1xxx/2100 para ASA no modo de plataforma.
firepower-2140# scope system firepower-2140 /system # scope services firepower-2140 /system/services # show ntp-server detail NTP server hostname: Name: 172.31.201.67 Time Sync Status: Time Synchronized Error Msg: Name: ntp.esl.cisco.com Time Sync Status: Candidate Error Msg:
A interface do usuário do FCM mostra:
Ação recomendada
Use o comando ping para verificar a resolução do nome de host do servidor NTP
KSEC-FPR4100-8-A(local-mgmt)# ping ntp.esl.cisco.com Invalid Host Name.
Possíveis causas
A interface do usuário do FCM mostra:
Ação recomendada
Cuidado: A captura do Ethanalyzer na interface de gerenciamento do chassi está disponível apenas em dispositivos FPR41xx/9300.
Faça capturas na interface de gerenciamento do chassi e verifique a comunicação bidirecional na porta UDP 123:
KSEC- FPR4100-8-A(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 123" Capturing on 'eth0' 1 2020-04-30 20:09:54.150237760 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client 2 2020-04-30 20:14:14.150172804 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
3 2020-04-30 20:23:13.150171682 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
Possíveis causas
A interface do usuário do FCM mostra:
Ações recomendadas
Cuidado: somente para dispositivos FPR41xx/9300.
Inicie o processo de sincronização NTP a partir da CLI FXOS
FPR4100-8-A# connect fxos FPR4100-8-A(fxos)# ntp sync-retry
Faça capturas na interface de gerenciamento do chassi com a ferramenta de comando ethanalyzer CLI.
Possível causa
Verifique se há defeitos conhecidos/corrigidos nas Notas de versão.
Revisão | Data de publicação | Comentários |
---|---|---|
2.0 |
28-Nov-2022 |
PII removido.
Texto Alt adicionado.
Tags de fonte atualizadas, título e introdução, requisitos de estilo, tradução automática, fundamentos e formatação. |
1.0 |
03-May-2020 |
Versão inicial |