Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA 8.x: Cisco ASA в многоконтекстном режиме синхронизировался с Примером конфигурации NTP Server

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ предоставляет пример конфигурации того, как синхронизировать часы устройства адаптивной защиты Cisco (ASA) в многоконтекстном режиме с тем из сервера Протокола NTP.

NTP является протоколом, используемым для синхронизации часов других объектов сети. Это использует UDP/123. Основная причина использовать этот протокол состоит в том, чтобы избежать эффектов переменной задержки по сетям передачи данных.

В этом сценарии Cisco ASA находится в многоконтекстном режиме. Admin и Test1 являются двумя другими контекстами. Для настройки Cisco ASA как клиент NTP необходимо задать команду NTP Server в системном поле выполнения только потому, что эта команда не поддерживает режим контекста.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Cisco ASA с Версией релиза ПО 8.2 и позже

  • Cisco Adaptive Security Device Manager (ASDM) с Версией релиза ПО 6.3 и позже

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Настройка

В этом разделе вам предоставляют информацию, необходимую для настройки функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В этом документе использованы параметры данной сети:

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-01.gif

Настройка посредством ASDM

Выполните эти шаги для настройки ASDM:

  1. Нажмите System под Cisco ASA для подтверждения Системного Поля выполнения.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-02.gif

  2. Перейдите к Конфигурации> Управление устройствами> Системное время> NTP и нажмите Add.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-03.gif

  3. Добавить Окно конфигурации NTP Server отображено. Задайте IP-адрес интерфейса, который привязан к NTP Server, и задайте подробные данные Ключа проверки подлинности. Нажмите кнопку ОК.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-04.gif

    Примечание: Подробные данные NTP Server должны быть заданы в Системе контекста. Однако, так как Системное Поле выполнения не включает интерфейсов в многоконтекстный режим, необходимо задать имя интерфейса (т.е. определенный в Контексте администратора).

  4. Посмотрите детали NTP Server в этом окне:

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113620-acs-ntp-context-05.gif

Это - эквивалентная конфигурация CLI Cisco ASA для ссылки:

Cisco — ASA
ciscoasa# show run
: Saved
:
ASA Version 8.2(1) <system>
!
terminal width 511
hostname ciscoasa
enable password 2KFQnbNIdI.2KYOU encrypted
no mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
 shutdown
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
clock timezone GMT 0
pager lines 10
no failover
asdm image disk0:/asdm-635.bin
asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  allocate-interface Ethernet0/0
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/2
  allocate-interface Ethernet0/3
  config-url disk0:/admin.cfg
!

context Test1
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/3
  config-url disk0:/Test1.cfg
!

!--- This command is used to set a key to 
!--- authenticate with an NTP server.

ntp authentication-key 10 md5 *

!--- This command is used to configure the
!--- NTP server IP address and the interface associated.

ntp server 192.168.100.10 source inside
username Test password I2xAvC8b372aLGtP encrypted privilege 15
username Cisco password dDFIeex1zkFMaVXs encrypted privilege 15

!--- Output suppressed.

!

prompt hostname context
Cryptochecksum:ae65e1f96123ea351ca1086c22f3ebc7
: end
ciscoasa#

FWSM в многоконтекстном режиме как клиент NTP

Модуль Сервиса межсетевого экрана Cisco (FWSM) не поддерживает конфигурацию NTP отдельно. Часы FWSM автоматически синхронизируются с часами Коммутатора Catalyst, поскольку загружается модуль. Если сам Коммутатор Catalyst будет синхронизироваться с NTP server, то FWSM наследует те часы.

Проверка.

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

  • show ntp status- Показывает статус каждого сопоставления NTP.

    ciscoasa# show ntp status
    Clock is synchronized, stratum 10, reference is 192.168.100.10
    nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
    reference time is d3a93668.7b6b6155 (11:41:28.482 GMT Thu Jul 12 2012)
    clock offset is -2.0439 msec, root delay is 1.48 msec
    root dispersion is 3894.03 msec, peer dispersion is 3891.95 msec
  • show ntp associations - Показывает информацию относительно сопоставления NTP.

    ciscoasa# show ntp associations
          address         ref clock     st  when  poll reach  delay  offset    disp
    *~192.168.100.10   127.127.7.1       9     7    64    7     1.5   -2.04  3892.0
     * master (synced), # master (unsynced), + selected, - candidate, ~ configured
    ciscoasa# show ntp associations detail
    
    192.168.100.10 configured, our_master, sane, valid, stratum 9
    ref ID 127.127.7.1, time d3aa5d7a.d8cf2704 (08:40:26.846 GMT Fri Jul 13 2012)
    our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
    root delay 0.00 msec, root disp 0.03, reach 377, sync dist 16.602
    delay 1.71 msec, offset 1.3664 msec, dispersion 15.72
    precision 2**16, version 3
    org time d3aa5d8a.68391cb8 (08:40:42.407 GMT Fri Jul 13 2012)
    rcv time d3aa5d8a.6817b624 (08:40:42.406 GMT Fri Jul 13 2012)
    xmt time d3aa5d8a.67a3f2da (08:40:42.404 GMT Fri Jul 13 2012)
    filtdelay =     1.71    1.60    1.57    1.68    1.59    1.66    1.65    1.65
    filtoffset =    1.37    1.41    1.50    1.52    1.63    1.61    1.56    1.53
    filterror =    15.63   31.25   46.88   62.50   78.13   93.75  109.38  125.00

Устранение неполадок

Этот раздел обеспечивает информацию, которую вы можете использовать для того, чтобы устранить неисправность в вашей конфигурации.

Ошибка: несинхронизованные Часы узла/Сервера

Cisco ASA не синхронизируется с NTP server, и это сообщение об ошибках получено:

NTP: packet from 192.168.1.1 failed validity tests 20
 Peer/Server Clock unsynchronized

Решение:

Включите отладки NTP и проверьте эти выходные данные подробно:

ciscoasa(config)# NTP: xmit packet to 192.168.1.1:
   leap 3, mode 3, version 3, stratum 0, ppoll 64

Похоже, что NTP Server настроен с нолем страты, который задан как "Неуказанный" согласно RFC 1305 leavingcisco.com.

Для решения этой ошибки определите номер страты NTP server между 6-10.

Проблема: Неспособный Синхронизировать часы с NTP server

Cisco ASA был настроен как клиент NTP, но синхронизация не работает, и эти выходные данные получены:

ciscoasa# show ntp status
Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is d3a93395.388e423c (11:29:25.220 GMT Thu Jul 12 2012)
clock offset is -4050.4142 msec, root delay is 1.21 msec
root dispersion is 19941.07 msec, peer dispersion is 16000.00 msec

Решение:

Чтобы решить эту проблему, проверьте следующие элементы:

  • Проверьте, достижим ли NTP Server от Cisco ASA. Выполните эхо - тест (ping test) и проверьте маршрутизацию.

  • Удостоверьтесь, что конфигурация Cisco ASA неповреждена и совпадает с параметрами NTP Server.

  • Включите команды отладки NTP для рытья далее.

Команды для устранения неполадок

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 113620