Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

ASA 8.x : Cisco ASA dans le mode de contexte multiple synchronisé avec l'exemple de configuration du serveur de NTP

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit une configuration d'échantillon de la façon synchroniser l'horloge de l'appliance de sécurité adaptable Cisco (ASA) dans le mode de contexte multiple avec cela d'un serveur de Protocole NTP (Network Time Protocol).

Le NTP est un protocole utilisé afin de synchroniser les horloges de différentes entités réseau. Il utilise UDP/123. La raison principale d'utiliser ce protocole est d'éviter les effets de la latence variable au-dessus des réseaux de données.

Dans ce scénario, Cisco ASA est dans le mode de contexte multiple. L'admin et les Test1 sont les deux contextes différents. Afin de configurer Cisco ASA en tant que client de NTP, vous devez spécifier l'ordre de serveur de NTP dans l'espace d'exécution de système seulement parce que cette commande ne prend en charge pas le mode de contexte.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Cisco ASA avec la version de logiciel 8.2 et plus tard

  • Cisco Adaptive Security Device Manager (ASDM) avec la version de logiciel 6.3 et plus tard

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez

Dans cette section, vous êtes présenté avec les informations requises afin de configurer les caractéristiques décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-01.gif

Configuration ASDM

Terminez-vous ces étapes afin de configurer l'ASDM :

  1. Cliquez sur le système sous Cisco ASA afin de vérifier l'espace d'exécution de système.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-02.gif

  2. Allez à la configuration > à la Gestion de périphériques > à l'heure système > au NTP, et cliquez sur Add.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-03.gif

  3. La fenêtre de configuration du serveur de NTP d'ajouter est affichée. Spécifiez l'adresse IP de l'interface qui est associée avec le serveur de NTP, et spécifiez les détails de clé d'authentification. Cliquez sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-04.gif

    Remarque: Des petits groupes de serveur de NTP devraient être spécifiés dans le système de contexte. Cependant, puisque l'espace d'exécution de système n'inclut aucune interface dans le mode de contexte multiple, vous devez spécifier un nom d'interface (c'est-à-dire, défini dans le contexte d'admin).

  4. Visualisez les petits groupes de serveur de NTP dans cette fenêtre :

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-05.gif

C'est la configuration équivalente CLI de Cisco ASA, pour votre référence :

Cisco ASA
ciscoasa# show run
: Saved
:
ASA Version 8.2(1) <system>
!
terminal width 511
hostname ciscoasa
enable password 2KFQnbNIdI.2KYOU encrypted
no mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
 shutdown
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
clock timezone GMT 0
pager lines 10
no failover
asdm image disk0:/asdm-635.bin
asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  allocate-interface Ethernet0/0
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/2
  allocate-interface Ethernet0/3
  config-url disk0:/admin.cfg
!

context Test1
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/3
  config-url disk0:/Test1.cfg
!

!--- This command is used to set a key to 
!--- authenticate with an NTP server.

ntp authentication-key 10 md5 *

!--- This command is used to configure the
!--- NTP server IP address and the interface associated.

ntp server 192.168.100.10 source inside
username Test password I2xAvC8b372aLGtP encrypted privilege 15
username Cisco password dDFIeex1zkFMaVXs encrypted privilege 15

!--- Output suppressed.

!

prompt hostname context
Cryptochecksum:ae65e1f96123ea351ca1086c22f3ebc7
: end
ciscoasa#

FWSM dans le mode de contexte multiple en tant que client de NTP

Le module de service de Pare-feu de Cisco (FWSM) ne prend en charge pas la configuration de NTP séparément. L'horloge FWSM est automatiquement synchronisée avec l'horloge du commutateur de Catalyst pendant que le module initialise. Si le commutateur de Catalyst lui-même est synchronisé à un serveur de NTP, le FWSM héritera de cette horloge.

Vérifiez

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

  • show ntp status - Affiche le statut de chaque association de NTP.

    ciscoasa# show ntp status
    Clock is synchronized, stratum 10, reference is 192.168.100.10
    nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
    reference time is d3a93668.7b6b6155 (11:41:28.482 GMT Thu Jul 12 2012)
    clock offset is -2.0439 msec, root delay is 1.48 msec
    root dispersion is 3894.03 msec, peer dispersion is 3891.95 msec
  • show ntp associations - Affiche les informations concernant l'association de NTP.

    ciscoasa# show ntp associations
          address         ref clock     st  when  poll reach  delay  offset    disp
    *~192.168.100.10   127.127.7.1       9     7    64    7     1.5   -2.04  3892.0
     * master (synced), # master (unsynced), + selected, - candidate, ~ configured
    ciscoasa# show ntp associations detail
    
    192.168.100.10 configured, our_master, sane, valid, stratum 9
    ref ID 127.127.7.1, time d3aa5d7a.d8cf2704 (08:40:26.846 GMT Fri Jul 13 2012)
    our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
    root delay 0.00 msec, root disp 0.03, reach 377, sync dist 16.602
    delay 1.71 msec, offset 1.3664 msec, dispersion 15.72
    precision 2**16, version 3
    org time d3aa5d8a.68391cb8 (08:40:42.407 GMT Fri Jul 13 2012)
    rcv time d3aa5d8a.6817b624 (08:40:42.406 GMT Fri Jul 13 2012)
    xmt time d3aa5d8a.67a3f2da (08:40:42.404 GMT Fri Jul 13 2012)
    filtdelay =     1.71    1.60    1.57    1.68    1.59    1.66    1.65    1.65
    filtoffset =    1.37    1.41    1.50    1.52    1.63    1.61    1.56    1.53
    filterror =    15.63   31.25   46.88   62.50   78.13   93.75  109.38  125.00

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Erreur : Horloge de pair/serveur non synchronisée

Cisco ASA ne synchronise pas avec le serveur de NTP, et ce message d'erreur est reçu :

NTP: packet from 192.168.1.1 failed validity tests 20
 Peer/Server Clock unsynchronized

Solution :

Activez le NTP met au point, et vérifie cette sortie en détail :

ciscoasa(config)# NTP: xmit packet to 192.168.1.1:
   leap 3, mode 3, version 3, stratum 0, ppoll 64

Il ressemble au serveur de NTP est configuré avec une strate zéro, qui est spécifiée en tant que « non spécifié » selon RFC 1305leavingcisco.com .

Afin de résoudre cette erreur, définissez le nombre de strate du serveur de NTP entre 6-10.

Problème : Incapable de synchroniser l'horloge avec le serveur de NTP

Cisco ASA a été configuré en tant que client de NTP, mais la synchronisation ne fonctionne pas et cette sortie est reçue :

ciscoasa# show ntp status
Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is d3a93395.388e423c (11:29:25.220 GMT Thu Jul 12 2012)
clock offset is -4050.4142 msec, root delay is 1.21 msec
root dispersion is 19941.07 msec, peer dispersion is 16000.00 msec

Solution :

Afin de résoudre ce problème, vérifiez ces éléments :

  • Vérifiez si le serveur de NTP est accessible de Cisco ASA. Réalisez le test de ping et vérifiez le routage.

  • Assurez-vous que la configuration de Cisco ASA est intacte et apparie les paramètres du serveur de NTP.

  • Permettez aux commandes de débogage de NTP afin de creuser plus loin.

Dépannage des commandes

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 113620