Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

ASA 8.x: Cisco ASA no modo de contexto múltiplo sincronizado com o exemplo de configuração do servidor de NTP

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo de como sincronizar o pulso de disparo da ferramenta de segurança adaptável de Cisco (ASA) no modo de contexto múltiplo com o aquele de um server do Network Time Protocol (NTP).

O NTP é um protocolo usado a fim sincronizar os pulsos de disparo de entidades de rede diferentes. Usa UDP/123. A razão principal usar este protocolo é evitar os efeitos da latência variável sobre as redes de dados.

Nesta encenação, Cisco ASA reage do modo de contexto múltiplo. Os Admin e Test1 são os dois contextos diferentes. A fim configurar Cisco ASA como um cliente de NTP, você precisa de especificar o comando ntp server no espaço da execução do sistema somente porque este comando não apoia o modo do contexto.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco ASA com Software Release Version 8.2 e mais atrasado

  • Cisco Adaptive Security Device Manager (ASDM) com Software Release Version 6.3 e mais atrasado

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você é presentado com a informação necessária a fim configurar as características descritas neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-01.gif

Configuração ASDM

Termine estas etapas a fim configurar o ASDM:

  1. Clique o sistema sob Cisco ASA a fim verificar o espaço da execução do sistema.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-02.gif

  2. Vá à configuração > ao Gerenciamento de dispositivos > ao tempo de sistema > ao NTP, e o clique adiciona.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-03.gif

  3. A janela de configuração do servidor de NTP adicionar é indicada. Especifique o endereço IP de Um ou Mais Servidores Cisco ICM NT da relação que é associada com o servidor de NTP, e especifique os detalhes da chave de autenticação. Clique em OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-04.gif

    Nota: Os detalhes do servidor de NTP devem ser especificados dentro do sistema do contexto. Contudo, desde que o espaço da execução do sistema não inclui nenhuma relações no modo de contexto múltiplo, você precisa de especificar um nome da relação (isto é, definido dentro do contexto Admin).

  4. Veja os detalhes do servidor de NTP neste indicador:

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-05.gif

Esta é a configuração de CLI equivalente de Cisco ASA, para sua referência:

Cisco ASA
ciscoasa# show run
: Saved
:
ASA Version 8.2(1) <system>
!
terminal width 511
hostname ciscoasa
enable password 2KFQnbNIdI.2KYOU encrypted
no mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
 shutdown
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
clock timezone GMT 0
pager lines 10
no failover
asdm image disk0:/asdm-635.bin
asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  allocate-interface Ethernet0/0
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/2
  allocate-interface Ethernet0/3
  config-url disk0:/admin.cfg
!

context Test1
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/3
  config-url disk0:/Test1.cfg
!

!--- This command is used to set a key to 
!--- authenticate with an NTP server.

ntp authentication-key 10 md5 *

!--- This command is used to configure the
!--- NTP server IP address and the interface associated.

ntp server 192.168.100.10 source inside
username Test password I2xAvC8b372aLGtP encrypted privilege 15
username Cisco password dDFIeex1zkFMaVXs encrypted privilege 15

!--- Output suppressed.

!

prompt hostname context
Cryptochecksum:ae65e1f96123ea351ca1086c22f3ebc7
: end
ciscoasa#

FWSM no modo de contexto múltiplo como um cliente de NTP

O módulo firewall service de Cisco (FWSM) não apoia a configuração de NTP separadamente. O pulso de disparo FWSM é sincronizado automaticamente com o pulso de disparo do Catalyst Switch enquanto o módulo está carreg acima. Se o Catalyst Switch próprio é a um servidor de NTP, o FWSM herdado esse pulso de disparo.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • mostre o estado NTP - Mostra o estado de cada associação NTP.

    ciscoasa# show ntp status
    Clock is synchronized, stratum 10, reference is 192.168.100.10
    nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
    reference time is d3a93668.7b6b6155 (11:41:28.482 GMT Thu Jul 12 2012)
    clock offset is -2.0439 msec, root delay is 1.48 msec
    root dispersion is 3894.03 msec, peer dispersion is 3891.95 msec
  • mostre associações NTP - Mostra a informação em relação à associação NTP.

    ciscoasa# show ntp associations
          address         ref clock     st  when  poll reach  delay  offset    disp
    *~192.168.100.10   127.127.7.1       9     7    64    7     1.5   -2.04  3892.0
     * master (synced), # master (unsynced), + selected, - candidate, ~ configured
    ciscoasa# show ntp associations detail
    
    192.168.100.10 configured, our_master, sane, valid, stratum 9
    ref ID 127.127.7.1, time d3aa5d7a.d8cf2704 (08:40:26.846 GMT Fri Jul 13 2012)
    our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
    root delay 0.00 msec, root disp 0.03, reach 377, sync dist 16.602
    delay 1.71 msec, offset 1.3664 msec, dispersion 15.72
    precision 2**16, version 3
    org time d3aa5d8a.68391cb8 (08:40:42.407 GMT Fri Jul 13 2012)
    rcv time d3aa5d8a.6817b624 (08:40:42.406 GMT Fri Jul 13 2012)
    xmt time d3aa5d8a.67a3f2da (08:40:42.404 GMT Fri Jul 13 2012)
    filtdelay =     1.71    1.60    1.57    1.68    1.59    1.66    1.65    1.65
    filtoffset =    1.37    1.41    1.50    1.52    1.63    1.61    1.56    1.53
    filterror =    15.63   31.25   46.88   62.50   78.13   93.75  109.38  125.00

Troubleshooting

Esta seção fornece a informação que você pode se usar a fim pesquisar defeitos sua configuração.

Erro: Pulso de disparo do par/server não-sincronizado

Cisco ASA não está sincronizando com o servidor de NTP, e este Mensagem de Erro é recebido:

NTP: packet from 192.168.1.1 failed validity tests 20
 Peer/Server Clock unsynchronized

Solução:

Permita o NTP debuga, e verificam esta saída em detalhe:

ciscoasa(config)# NTP: xmit packet to 192.168.1.1:
   leap 3, mode 3, version 3, stratum 0, ppoll 64

Olha como o servidor de NTP é configurado com um estrato zero, que seja especificado como “não especificado” conforme o RFC 1305leavingcisco.com .

A fim resolver este erro, defina o número de estrato do servidor de NTP entre 6-10.

Problema: Incapaz de sincronizar o pulso de disparo com o servidor de NTP

Cisco ASA foi configurado como um cliente de NTP, mas a sincronização não trabalha e esta saída é recebida:

ciscoasa# show ntp status
Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is d3a93395.388e423c (11:29:25.220 GMT Thu Jul 12 2012)
clock offset is -4050.4142 msec, root delay is 1.21 msec
root dispersion is 19941.07 msec, peer dispersion is 16000.00 msec

Solução:

Para resolver esse problema, verifique estes itens:

  • Verifique se o servidor de NTP esteja alcançável de Cisco ASA. Execute o teste de ping e verifique o roteamento.

  • Certifique-se que a configuração ASA Cisco é intacto e combina os parâmetros do servidor de NTP.

  • Permita os comandos debug NTP a fim escavar mais.

Comandos para Troubleshooting

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.


Informações Relacionadas


Document ID: 113620