Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

ASA 8.x: Cisco ASA en el modo de contexto múltiple sincronizado con el ejemplo de configuración del servidor NTP

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento proporciona una configuración de muestra de cómo sincronizar el reloj del dispositivo de seguridad adaptante de Cisco (ASA) en el modo de contexto múltiple con el de un servidor del Network Time Protocol (NTP).

El NTP es un protocolo usado para sincronizar los relojes de diversas entidades de red. Utiliza UDP/123. La razón primaria para utilizar este protocolo es evitar los efectos del tiempo de espera variable sobre las redes de datos.

En este escenario, Cisco ASA está en el modo de contexto múltiple. Los Admin y Test1 son los dos diversos contextos. Para configurar Cisco ASA como cliente NTP, usted necesita especificar el comando ntp server en el espacio de la ejecución del sistema solamente porque este comando no soporta el modo del contexto.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco ASA con la versión de software 8.2 y posterior

  • Cisco Adaptive Security Device Manager (ASDM) con la versión de software 6.3 y posterior

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección, le presentan con la información necesaria para configurar las características descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-01.gif

Configuración de ASDM

Complete estos pasos para configurar el ASDM:

  1. Haga clic el sistema bajo Cisco ASA para verificar el espacio de la ejecución del sistema.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-02.gif

  2. Vaya a la configuración > a la Administración de dispositivos > al Tiempo del sistema > al NTP, y el haga click en Add

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-03.gif

  3. Se visualiza la ventana de configuración del servidor NTP del agregar. Especifique la dirección IP de la interfaz que se asocia al servidor NTP, y especifique los detalles de la clave de autenticación. Haga clic en OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-04.gif

    Nota: Los detalles del servidor NTP deben ser especificados dentro del sistema del contexto. Sin embargo, puesto que el espacio de la ejecución del sistema no incluye ninguna interfaces en el modo de contexto múltiple, usted necesita especificar un nombre de la interfaz (es decir, definido dentro del contexto Admin).

  4. Vea a los detalles del servidor NTP en esta ventana:

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-05.gif

Ésta es la configuración CLI equivalente de Cisco ASA, para su referencia:

Cisco ASA
ciscoasa# show run
: Saved
:
ASA Version 8.2(1) <system>
!
terminal width 511
hostname ciscoasa
enable password 2KFQnbNIdI.2KYOU encrypted
no mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
 shutdown
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
clock timezone GMT 0
pager lines 10
no failover
asdm image disk0:/asdm-635.bin
asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  allocate-interface Ethernet0/0
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/2
  allocate-interface Ethernet0/3
  config-url disk0:/admin.cfg
!

context Test1
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/3
  config-url disk0:/Test1.cfg
!

!--- This command is used to set a key to 
!--- authenticate with an NTP server.

ntp authentication-key 10 md5 *

!--- This command is used to configure the
!--- NTP server IP address and the interface associated.

ntp server 192.168.100.10 source inside
username Test password I2xAvC8b372aLGtP encrypted privilege 15
username Cisco password dDFIeex1zkFMaVXs encrypted privilege 15

!--- Output suppressed.

!

prompt hostname context
Cryptochecksum:ae65e1f96123ea351ca1086c22f3ebc7
: end
ciscoasa#

FWSM en el modo de contexto múltiple como cliente NTP

El módulo de servicio del escudo de protección Cisco (FWSM) no soporta la configuración del NTP por separado. El reloj FWSM se sincroniza automáticamente con el reloj del switch de Catalyst mientras que el módulo está iniciando para arriba. Si el switch de Catalyst sí mismo se sincroniza a un servidor NTP, el FWSM heredará ese reloj.

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

  • muestre el estatus NTP - Muestra el estatus de cada asociación NTP.

    ciscoasa# show ntp status
    Clock is synchronized, stratum 10, reference is 192.168.100.10
    nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
    reference time is d3a93668.7b6b6155 (11:41:28.482 GMT Thu Jul 12 2012)
    clock offset is -2.0439 msec, root delay is 1.48 msec
    root dispersion is 3894.03 msec, peer dispersion is 3891.95 msec
  • muestre las asociaciones NTP - Muestra la información con respecto a la asociación NTP.

    ciscoasa# show ntp associations
          address         ref clock     st  when  poll reach  delay  offset    disp
    *~192.168.100.10   127.127.7.1       9     7    64    7     1.5   -2.04  3892.0
     * master (synced), # master (unsynced), + selected, - candidate, ~ configured
    ciscoasa# show ntp associations detail
    
    192.168.100.10 configured, our_master, sane, valid, stratum 9
    ref ID 127.127.7.1, time d3aa5d7a.d8cf2704 (08:40:26.846 GMT Fri Jul 13 2012)
    our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
    root delay 0.00 msec, root disp 0.03, reach 377, sync dist 16.602
    delay 1.71 msec, offset 1.3664 msec, dispersion 15.72
    precision 2**16, version 3
    org time d3aa5d8a.68391cb8 (08:40:42.407 GMT Fri Jul 13 2012)
    rcv time d3aa5d8a.6817b624 (08:40:42.406 GMT Fri Jul 13 2012)
    xmt time d3aa5d8a.67a3f2da (08:40:42.404 GMT Fri Jul 13 2012)
    filtdelay =     1.71    1.60    1.57    1.68    1.59    1.66    1.65    1.65
    filtoffset =    1.37    1.41    1.50    1.52    1.63    1.61    1.56    1.53
    filterror =    15.63   31.25   46.88   62.50   78.13   93.75  109.38  125.00

Troubleshooting

Esta sección proporciona la información que usted puede utilizar para resolver problemas su configuración.

Error: Reloj del par/del servidor unsynchronized

Cisco ASA no está sincronizando con el servidor NTP, y se recibe este mensaje de error:

NTP: packet from 192.168.1.1 failed validity tests 20
 Peer/Server Clock unsynchronized

Solución:

Habilite los debugs NTP, y verifique esta salida detalladamente:

ciscoasa(config)# NTP: xmit packet to 192.168.1.1:
   leap 3, mode 3, version 3, stratum 0, ppoll 64

Parece el servidor NTP se configura con un estrato cero, que se especifica como “sin especificar” según el RFC 1305leavingcisco.com .

Para resolver este error, defina al número de estrato del servidor NTP entre 6-10.

Problema: Incapaz de sincronizar el reloj con el servidor NTP

Cisco ASA fue configurado como cliente NTP, pero la sincronización no trabaja y se recibe esta salida:

ciscoasa# show ntp status
Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is d3a93395.388e423c (11:29:25.220 GMT Thu Jul 12 2012)
clock offset is -4050.4142 msec, root delay is 1.21 msec
root dispersion is 19941.07 msec, peer dispersion is 16000.00 msec

Solución:

Para resolver el problema, verifique estos elementos:

  • Marque si el servidor NTP es accesible de Cisco ASA. Realice la prueba de ping y verifique la encaminamiento.

  • Aseegurese la configuración de ASA de Cisco está intacto y hace juego los parámetros del servidor NTP.

  • Permita a los comandos debug NTP para cavar más lejos.

Comandos para resolución de problemas

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.


Información Relacionada


Document ID: 113620