تكوين إعدادات NTP واستكشاف أخطائها وإصلاحها على FirePOWER وجدار الحماية الآمن
المحتويات
المقدمة
يصف هذا المستند كيفية تكوين بروتوكول وقت الشبكة (NTP) والتحقق منه واستكشاف أخطاء هذا البروتوكول وإصلاحها على أجهزة جدار الحماية الآمنة من Cisco Firepower.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
- FPR4140 يشغل FXOS 2.3(1.130) و 2.8(1.105).
- FPR2110 الذي يشغل وضع النظام الأساسي ASA.
- FPR1140 يشغل وضع جهاز ASA.
- المحول CSF220 الذي يشغل الإصدار FTD 10.x.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
تعتمد عملية NTP على النظام الأساسي.
FPR4100/FPR9300 و FPR2100 (وضع النظام الأساسي)
يتم أخذ وقت ASA أو FTD من ميزة إدارة الإدخال/الإخراج (MIO) الخاصة بإدارة هيكل FirePOWER (FCM) للهيكل. يعتبر MIO المشرف على هيكل FirePOWER.
FPR1000 و FPR2100 (وضع الجهاز) و CSF200/3100/4200/6100
في FTD، يتم أخذ الوقت من وحدة التحكم في إدارة الهيكل (FMC) أو من خادم NTP:
بالنسبة لهذا النشر، تحقق من هذه المستندات:
- تكوين مزامنة وقت NTP للدفاع عن التهديد
- أستكشاف أخطاء بروتوكول وقت الشبكة (NTP) وإصلاحها في أنظمة FirePOWER
معلومات إضافية:
يتم إستخدام NTP لمزامنة الوقت. يستخدم NTP كنقل منفذ UDP رقم 123.
التكوين
NTP على FPR4100/9300
النقاط الرئيسية
- لتكوين NTP على جهاز FPR4100/9300، سجل الدخول إلى FCM وانتقل إلى علامة التبويب إعدادات النظام الأساسي.
- تتم مزامنة NTP الموجود على الأجهزة المنطقية (ASA أو FTD) مع MIO.
- لا توجد إمكانية لمزامنة NTP على FTD مع مركز إدارة جدار الحماية (FMC)، حتى إذا أخترت ذلك الخيار، فإنه يتم مزامنة NTP على FTD مع MIO. وبالتالي، يوصى بشدة باستخدام FMC و FCM نفس خادم NTP.
- لا يعد FMC خادم NTP كامل النضج. ويمكن أن توفر فقط إعدادات الوقت للأجهزة المدارة الخاصة بها من خلال SFtunnel. وبالتالي، لا يمكن إستخدامه كخادم NTP لهيكل FPR4100/9300.
- يلزم تكوين NTP بشكل صحيح لتثبيت ترخيص ذكي ناجح.
NTP على CSF200/1200/3100/4200/6100
- قم بتكوين إعدادات NTP على التطبيق المنطقي نفسه. ASA في وضع الجهاز أو في حالة إدارة FTD في المربع من مدير أجهزة جدار الحماية (FDM).
- في حالة إدارة FTD بواسطة FMC (إدارة خارج المربع)، قم بتكوين NTP على FMC.
تكوين NTP على FPR2100/4100/9300
- لتكوين NTP على جهاز FPR2100 في وضع النظام الأساسي، انتقل إلى علامة التبويب إعدادات النظام الأساسي من مدير الهيكل.
الخطوة 1. سجل الدخول إلى واجهة المستخدم الرسومية (GUI) لمدير الهيكل باستخدام بيانات اعتماد المستخدم المحلية وتصفح إلى إعدادات النظام الأساسي > NTP. حدد الزر إضافة :
الخطوة 2. حدد عنوان IP لخادم NTP أو اسم المضيف (إذا كنت تستخدم اسم مضيف لخادم NTP، فيجب تكوين خادم DNS).
- في حالة وجود ASA في وضع النظام الأساسي، تتم مزامنة NTP على الجهاز المنطقي مع MIO.
- بالنسبة إلى FTD على FPR2100 الذي يستخدم وضع الجهاز، يمكنك تكوين NTP على FMC.
- بالنسبة إلى ASA على FPR2100 الذي يستخدم وضع الجهاز، يمكنك تكوين NTP على ASA.
التحقق من الصحة
التحقق من مزامنة NTP على أجهزة FPR4100/9300
مراقبة حالة الخادم.
مرجع حالة الخادم
- غير متوفر: الحالة الافتراضية الموضحة مباشرة بعد تكوين خادم NTP.
- يتعذر الوصول إليه/غير صالح: موضح في هذه السيناريوهات:
- عندما يكون عنوان IP لخادم NTP أو اسم المضيف غير قابل للوصول إليه بواسطة بروتوكول NTP.
- عندما يكون عنوان IP لخادم NTP أو اسم المضيف قابلا للوصول إليه، ولكن المضيف البعيد ليس خادم NTP.
- حالات فشل داخلية أخرى، مثل، عند فشل تنفيذ الاستعلام، يتم طرح إستثناء، تتم مواجهة حالة مزامنة الوقت غير المحددة، وما إلى ذلك.
- المزامنة قيد التقدم: يمكن الوصول إلى الخادم وهو يدعم بروتوكول NTP، ولا يزال تحويل الوقت الأولي قيد التشغيل ولم يتم إكماله بعد.
- تمت المزامنة: يتم الإعلان عن المضيف باعتباره نظير مزامنة النظام وتتزامن ساعة الوقت معه.
- المرشح: المضيف هو النظير المرشح (الاحتياطي). إن أي خادم NTP مرشح يعني أنه خادم صالح وقد تم الاتصال به بنجاح بواسطة جهاز FirePOWER، ولكن تمت مزامنة الوحدة النمطية مع خادم NTP آخر لذلك هو الخادم الاحتياطي. يمكن إختياره ليكون النظير التالي في المزامنة إذا تم حذف النظير الحالي.
- غير معروف: خادم NTP يتم التخلص منه بسبب أختلاف كبير (الوقت مقابل والتأخر في الرحلة) مقارنة بباقي خوادم NTP.
التحقق من حالة نظير NTP:
FPR4100# connect fxos
FPR4100(fxos)# show ntp peer-status Total peers : 4 * - selected for sync, + - peer mode(active), - - peer mode(passive), = - polled in client mode remote local st poll reach delay ------------------------------------------------------------------------ =172.16.38.66 10.62.148.196 1 1024 17 0.20996 *172.31.201.67 10.62.148.196 1 1024 377 0.03035 =172.16.38.65 10.62.148.196 1 1024 377 0.19914 =172.31.20.115 10.62.148.196 1 1024 377 0.02905
التحقق من تكوين خادم NTP ومزامنته:
FPR4100# scope system
FPR4100 /system # scope services
FPR4100 /system/services # show ntp-server detail
NTP server hostname: Name: 172.16.38.65Time Sync Status: Candidate NTP SHA-1 key id: 0 Error Msg: Name: 172.16.38.66 Time Sync Status: Time Sync In Progress NTP SHA-1 key id: 0 Error Msg: Name: 172.31.20.115 Time Sync Status: Candidate NTP SHA-1 key id: 0 Error Msg: Name: 172.31.201.67 Time Sync Status: Time Synchronized NTP SHA-1 key id: 0 Error Msg:
التحقق من اقتران NTP:
FPR4100# connect module 1 console
Firepower-module1>show ntp association remote refid st t when poll reach delay offset jitter ============================================================================== *203.0.113.126 172.31.201.67 2 u 39 64 370 0.070 0.445 0.210 ind assid status conf reach auth condition last_event cnt =========================================================== 1 16696 961a yes yes none sys.peer sys_peer 1 associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer, srcadr=203.0.113.126, srcport=123, dstadr=203.0.113.1, dstport=123, leap=00, stratum=2, precision=-21, rootdelay=29.053, rootdisp=70.496, refid=172.31.201.67, reftime=e24d4bd9.3b680f6d Fri, Apr 24 2020 11:28:25.232, rec=e24d4d34.170bd724 Fri, Apr 24 2020 11:34:12.090, reach=370, unreach=0, hmode=3, pmode=4, hpoll=6, ppoll=6, headway=0, flash=20 pkt_stratum, keyid=0, offset=0.445, delay=0.070, dispersion=2.152, jitter=0.210, xleave=0.017, filtdelay= 0.08 0.11 0.08 0.10 0.07 0.08 0.09 0.07, filtoffset= 0.17 0.18 0.29 0.29 0.45 0.45 0.69 0.69, filtdisp= 0.00 0.03 0.99 1.02 2.03 2.06 3.03 3.06 associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer, remote host: 203.0.113.126:123 local address: 203.0.113.1:123 time last received: 39 time until next send: 26 reachability change: 170025 packets sent: 5048 packets received: 5048 bad authentication: 0 bogus origin: 0 duplicate: 0 bad dispersion: 27 bad reference time: 0
التحقق من نظام NTP:
FPR4100# connect module 1 console
Firepower-module1> show ntp sysinfo associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, version="ntpd 4.2.8p11@1.3728-o Sat Dec 8 06:11:47 UTC 2018 (2)", processor="x86_64", system="Linux/3.10.62-ltsi-WR10.0.0.29_standard", leap=00, stratum=3, precision=-24, rootdelay=29.129, rootdisp=24.276, refid=203.0.113.126, reftime=e24dd3bf.170a6210 Fri, Apr 24 2020 21:08:15.090, clock=e24dd437.59b86104 Fri, Apr 24 2020 21:10:15.350, peer=16696, tc=6, mintc=3, offset=0.009911, frequency=7.499, sys_jitter=0.023550, clk_jitter=0.004, clk_wander=0.001 associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, system peer: 203.0.113.126:123 system peer mode: client leap indicator: 00 stratum: 3 log2 precision: -24 root delay: 29.129 root dispersion: 24.276 reference ID: 203.0.113.126 reference time: e24dd3bf.170a6210 Fri, Apr 24 2020 21:08:15.090 system jitter: 0.023550 clock jitter: 0.004 clock wander: 0.001 broadcast delay: -50.000 symm. auth. delay: 0.000 uptime: 204908 sysstats reset: 204908 packets received: 19928 current version: 6069 older version: 0 bad length or format: 0 authentication failed: 0 declined: 0 restricted: 0 rate limited: 0 KoD responses: 0 processed for time: 6040 associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, pll offset: 0.006196 pll frequency: 7.49899 maximum error: 0.097039 estimated error: 3e-06 kernel status: pll nano pll time constant: 6 precision: 1e-06 frequency tolerance: 500 pps frequency: 0 pps stability: 0 pps jitter: 0 calibration interval 0 calibration cycles: 0 jitter exceeded: 0 stability exceeded: 0 calibration errors: 0 time since reset: 204908 receive buffers: 10 free receive buffers: 9 used receive buffers: 0 low water refills: 1 dropped packets: 0 ignored packets: 0 received packets: 19930 packets sent: 26811 packet send failures: 0 input wakeups: 224931 useful input wakeups: 20034
تحقق إضافي:
FTD220 /eth-uplink # scope eth-uplink ; scope fabric a
FTD220 /eth-uplink/fabric # show ntp-overall-status
NTP Overall Time-Sync Status: Time Synchronized
التحقق من مزامنة NTP بين MIO والجهاز المنطقي (Blade) على أجهزة FPR4100/9300
في FPR4100/9300، يتم دفع إعدادات NTP إلى FTD عبر وحدة الإدخال والإخراج (MIO). تكوين NTP من واجهة سطر الأوامر (CLI) الخاصة ب FTD أو واجهة مستخدم FMC غير ممكن.
يستخدم كل خادم نصلي في برنامج الإرسال فائق السرعة (FTD) معرف مرجع داخلي: 203.0.113.126 للاتصال بمزامنة عمليات الإدخال/الإخراج (MIO) للوقت واستنادا إلى ذلك، فإنها توضح ما إذا كانت تتم مزامنتها أم لا. تعكس واجهة سطر الأوامر (CLI) الخاصة ب FTD هذا. ال NTP في هذا مثال ال ref-id داخلي، ليس ال NTP نادل حقيقي. لا يؤثر أي تغيير في NTP Server IP في FCM على هذا الإخراج نظرا لأن معرف المرجع هو نفسه دائما:
> show ntp NTP Server : 203.0.113.126 Status : Being Used Offset : -0.078 (milliseconds) Last Update : 43 (seconds)
دققت ال NTP تشكيل على FRP2100 منصة أسلوب و CSF200/1200/3100/4200/6100:
FTD220# scope system
FTD220 /system # scope services
FTD220 /system/services # show ntp-server detail
NTP server hostname:
Name: 172.31.201.67
Time Sync Status: Time Synchronized
Error Msg:
على FTD أنت يستطيع أيضا دققت ال NTP عملية إعداد من ال clish أسلوب:
> show ntp
NTP Server : 172.31.201.67
Status : Being Used
Offset : +0.819 (milliseconds)
Last Update : 3 (seconds)
NTP Server : 127.127.1.1
Status : Available
Offset : +0.000 (milliseconds)
Last Update : 418 (seconds)
إذا حصل FTD على وقته من FMC، سترى عنوان IP 127.0.0.2:
FTD220 /system/services # show ntp-server detail expand
NTP server hostname:
Name: 127.0.0.2
Time Sync Status: Time Synchronized
Error Msg:
في هذه الحالة، من CLISH، أنت ترى أيضا عنوان 127.0.0.2:
> show ntp
NTP Server : 127.0.0.2
Status : Being Used
Offset : +0.008 (milliseconds)
Last Update : 6 (seconds)
NTP Server : 127.127.1.1
Status : Available
Offset : +0.000 (milliseconds)
Last Update : - (seconds)
أستكشاف المشكلات الشائعة وإصلاحها
1. تعذر على FXOS حل اسم مضيف خادم NTP
تظهر واجهة مستخدم FCM:
الإجراء الموصى به
أستخدم الأمر ping للتحقق من دقة اسم المضيف لخادم NTP
FPR4100(local-mgmt)# ping ntp.esl.cisco.com Invalid Host Name.
الأسباب المحتملة
- لم يتم تكوين خادم DNS.
- يتعذر على خادم DNS حل اسم المضيف.
2. مشكلات الاتصال بين FXOS وخادم NTP على منفذ UDP 123
تظهر واجهة مستخدم FCM:
الإجراء الموصى به
التقاط على واجهة إدارة الهيكل والتحقق من الاتصال ثنائي الإتجاه على منفذ UDP 123:
FPR4100(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 123" Capturing on 'eth0' 1 2020-04-30 20:09:54.150237760 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client 2 2020-04-30 20:14:14.150172804 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
3 2020-04-30 20:23:13.150171682 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
الأسباب المحتملة
- الخادم الذي تم تكوينه ليس خادم NTP.
- يقوم جهاز في المسار (على سبيل المثال، جدار الحماية) بحظر حركة المرور أو تعديلها.
3. مشكلات الاتصال المتقطع بين FXOS وخادم NTP
تظهر واجهة مستخدم FCM:
الإجراءات الموصى بها
بدء عملية مزامنة NTP من واجهة سطر الأوامر (CLI) ل FXOS
FPR4100# connect fxos FPR4100(fxos)# ntp sync-retry
التقاط على واجهة إدارة الهيكل باستخدام أداة أوامر واجهة سطر الأوامر (CLI) eAnalyzer.
السبب المحتمل
- مشكلات الاتصال المتقطع بين FXOS وخادم NTP
عيوب ذات صلة
تحقق من ملاحظات الإصدار الخاصة بالعيوب المعروفة/الثابتة.
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
5.0 |
26-May-2026
|
المسافات المحدثة، القواعد، والتصحيح الإملائي. |
4.0 |
25-May-2026
|
تقويم |
3.0 |
14-May-2025
|
مشاكل التنسيق الثانوية. |
2.0 |
28-Nov-2022
|
إزالة PII.
نص بديل مضاف.
علامات خط محدثة، العنوان والمقدمة، متطلبات النمط، الترجمة الآلية، الجراردات والتنسيق. |
1.0 |
03-May-2020
|
الإصدار الأولي |
التعليقات