安全 : Cisco ASA 5500 系列自适应安全设备

ASA 8.x:在与Ntp server配置示例同步的多个上下文模式的思科ASA

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


目录


简介

本文如何提供配置示例同步思科可适应安全工具(ASA)的时钟在多个上下文模式那网络时间协议(NTP)服务器。

NTP是用于的协议为了同步不同的网络实体时钟。它使用UDP/123。主要原因使用此协议是避免可变延迟的作用在数据网的。

在此方案中,思科ASA在多个上下文模式。Admin和Test1是两不同的上下文。只有因为此命令不支持上下文模式,为了配置Cisco ASA作为NTP客户机,您需要指定ntp server命令在系统最多执行空间。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 与软件版本8.2的Cisco ASA及以后

  • Cisco Adaptive Security Device Manager (ASDM)有软件版本的6.3及以后

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

在此部分,您提交与需要的信息为了配置在本文描述的功能。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

本文档使用以下网络设置:

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-01.gif

ASDM 配置

完成这些步骤为了配置ASDM :

  1. 单击系统在思科ASA下为了验证系统最多执行空间。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-02.gif

  2. Configuration>设备管理>System Time> NTP,并且单击添加

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-03.gif

  3. 添加Ntp server配置窗口显示。指定关联与Ntp server接口的IP地址,并且指定认证密钥详细信息。单击 Ok

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-04.gif

    注意: 应该在上下文系统内指定Ntp server详细信息。然而,因为系统最多执行空间在多个上下文模式不包括任何接口,您需要指定接口名称(即定义在Admin上下文内)。

  4. 查看在此窗口的Ntp server详细信息:

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-05.gif

这是思科ASA的等同CLI配置,供您的参考:

Cisco ASA
ciscoasa# show run
: Saved
:
ASA Version 8.2(1) <system>
!
terminal width 511
hostname ciscoasa
enable password 2KFQnbNIdI.2KYOU encrypted
no mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
 shutdown
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
clock timezone GMT 0
pager lines 10
no failover
asdm image disk0:/asdm-635.bin
asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  allocate-interface Ethernet0/0
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/2
  allocate-interface Ethernet0/3
  config-url disk0:/admin.cfg
!

context Test1
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/3
  config-url disk0:/Test1.cfg
!

!--- This command is used to set a key to 
!--- authenticate with an NTP server.

ntp authentication-key 10 md5 *

!--- This command is used to configure the
!--- NTP server IP address and the interface associated.

ntp server 192.168.100.10 source inside
username Test password I2xAvC8b372aLGtP encrypted privilege 15
username Cisco password dDFIeex1zkFMaVXs encrypted privilege 15

!--- Output suppressed.

!

prompt hostname context
Cryptochecksum:ae65e1f96123ea351ca1086c22f3ebc7
: end
ciscoasa#

在多个上下文模式的FWSM作为NTP客户机

Cisco防火墙服务模块(FWSM)不分开支持NTP配置。当模块启动, FWSM时钟与Catalyst交换机的时钟自动地同步。如果Catalyst交换机同步对Ntp server, FWSM将继承该时钟。

验证

使用本部分可确认配置能否正常运行。

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

  • show ntp status -显示每个NTP关联状况。

    ciscoasa# show ntp status
    Clock is synchronized, stratum 10, reference is 192.168.100.10
    nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
    reference time is d3a93668.7b6b6155 (11:41:28.482 GMT Thu Jul 12 2012)
    clock offset is -2.0439 msec, root delay is 1.48 msec
    root dispersion is 3894.03 msec, peer dispersion is 3891.95 msec
  • show ntp associations -显示关于NTP关联的信息。

    ciscoasa# show ntp associations
          address         ref clock     st  when  poll reach  delay  offset    disp
    *~192.168.100.10   127.127.7.1       9     7    64    7     1.5   -2.04  3892.0
     * master (synced), # master (unsynced), + selected, - candidate, ~ configured
    ciscoasa# show ntp associations detail
    
    192.168.100.10 configured, our_master, sane, valid, stratum 9
    ref ID 127.127.7.1, time d3aa5d7a.d8cf2704 (08:40:26.846 GMT Fri Jul 13 2012)
    our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
    root delay 0.00 msec, root disp 0.03, reach 377, sync dist 16.602
    delay 1.71 msec, offset 1.3664 msec, dispersion 15.72
    precision 2**16, version 3
    org time d3aa5d8a.68391cb8 (08:40:42.407 GMT Fri Jul 13 2012)
    rcv time d3aa5d8a.6817b624 (08:40:42.406 GMT Fri Jul 13 2012)
    xmt time d3aa5d8a.67a3f2da (08:40:42.404 GMT Fri Jul 13 2012)
    filtdelay =     1.71    1.60    1.57    1.68    1.59    1.66    1.65    1.65
    filtoffset =    1.37    1.41    1.50    1.52    1.63    1.61    1.56    1.53
    filterror =    15.63   31.25   46.88   62.50   78.13   93.75  109.38  125.00

故障排除

本部分提供了可用于对配置进行故障排除的信息。

Error:对等体不同步/Server的时钟

思科ASA与Ntp server不同步,并且此错误消息接收:

NTP: packet from 192.168.1.1 failed validity tests 20
 Peer/Server Clock unsynchronized

解决方案:

启用NTP调试,并且详细验证此输出:

ciscoasa(config)# NTP: xmit packet to 192.168.1.1:
   leap 3, mode 3, version 3, stratum 0, ppoll 64

它看起来象Ntp server配置与层零,指定作为“未指定”根据RFC 1305leavingcisco.com

为了解决此错误,请定义Ntp server的层数在6-10之间的。

问题:有Ntp server的无法同步时钟

思科ASA配置作为NTP客户机,但是同步不工作,并且此输出接收:

ciscoasa# show ntp status
Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is d3a93395.388e423c (11:29:25.220 GMT Thu Jul 12 2012)
clock offset is -4050.4142 msec, root delay is 1.21 msec
root dispersion is 19941.07 msec, peer dispersion is 16000.00 msec

解决方案:

为了解决此问题,请验证这些项目:

  • 证实Ntp server是否从思科ASA是可及的。执行ping测试并且验证路由。

  • 确保思科ASA配置是完整的并且匹配Ntp server的参数。

  • 使NTP调试指令为了进一步开掘。

故障排除命令

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

注意: 使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 113620