ASA 8.x - Synchronisierung des Multiple-Context-Modus mit dem NTP-Server

Einleitung

Dieses Dokument enthält eine Beispielkonfiguration für die Synchronisierung der Uhrzeit der Cisco Adaptive Security Appliance (ASA) im Multiple-Context-Modus mit der eines NTP-Servers (Network Time Protocol).

NTP ist ein Protokoll, das zum Synchronisieren der Uhren verschiedener Netzwerkeinheiten verwendet wird. Es verwendet UDP/123. Der Hauptgrund für die Verwendung dieses Protokolls besteht darin, die Auswirkungen variabler Latenz über die Datennetzwerke zu vermeiden.

In diesem Szenario befindet sich die Cisco ASA im Multiple-Context-Modus. Admin und Test1 sind die beiden unterschiedlichen Kontexte. Um die Cisco ASA als NTP-Client zu konfigurieren, müssen Sie den Befehl NTP Server nur im Systemausführungsumfang angeben, da dieser Befehl den Kontextmodus nicht unterstützt.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Cisco ASA mit Softwareversion 8.2 und höher

• Cisco Adaptive Security Device Manager (ASDM) mit Softwareversion 6.3 und höher

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Konfigurieren

In diesem Abschnitt werden die Informationen angezeigt, die Sie zum Konfigurieren der in diesem Dokument beschriebenen Funktionen benötigen.

Hinweis: Verwenden Sie das Tool für die Suche nach Befehlen (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

ASDM-Konfiguration

Gehen Sie wie folgt vor, um den ASDM zu konfigurieren:

1. Klicken Sie unter der Cisco ASA auf System, um den Bereich für die Systemausführung zu überprüfen.

   

2. Gehen Sie zu Configuration > Device Management > System Time > NTP, und klicken Sie auf Add (Hinzufügen).

   

3. Das Fenster "NTP-Serverkonfiguration hinzufügen" wird angezeigt. Geben Sie die IP-Adresse der Schnittstelle an, die dem NTP-Server zugeordnet ist, und geben Sie die Details für den Authentifizierungsschlüssel an. Klicken Sie auf OK.

   

   Hinweis: Details zum NTP-Server müssen im Kontext "System" angegeben werden. Da der Systemausführungsbereich jedoch keine Schnittstellen im Mehrfachkontextmodus enthält, müssen Sie einen Schnittstellennamen angeben (d. h., er wird im Admin-Kontext definiert).

4. Details zum NTP-Server finden Sie in diesem Fenster:

   

Dies ist die gleichwertige CLI-Konfiguration der Cisco ASA.

ciscoasa# show run
: Saved
:
ASA Version 8.2(1) <system>
!
terminal width 511
hostname ciscoasa
enable password 2KFQnbNIdI.2KYOU encrypted
no mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
 shutdown
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
clock timezone GMT 0
pager lines 10
no failover
asdm image disk0:/asdm-635.bin
asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  allocate-interface Ethernet0/0
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/2
  allocate-interface Ethernet0/3
  config-url disk0:/admin.cfg
!

context Test1
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/3
  config-url disk0:/Test1.cfg
!

!--- This command is used to set a key to !--- authenticate with an NTP server.

ntp authentication-key 10 md5 *

!--- This command is used to configure the !--- NTP server IP address and the interface associated.

ntp server 192.168.100.10 source inside
username Test password I2xAvC8b372aLGtP encrypted privilege 15
username Cisco password dDFIeex1zkFMaVXs encrypted privilege 15

!--- Output suppressed.

!

prompt hostname context
Cryptochecksum:ae65e1f96123ea351ca1086c22f3ebc7
: end
ciscoasa#

FWSM im Multiple-Context-Modus als NTP-Client

Das Cisco Firewall Service Module (FWSM) unterstützt die NTP-Konfiguration nicht separat. Die FWSM-Uhr wird beim Hochfahren des Moduls automatisch mit der Uhr des Catalyst Switches synchronisiert. Wenn der Catalyst Switch selbst mit einem NTP-Server synchronisiert wird, übernimmt das FWSM diese Uhr.

Überprüfung

Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Das Output Interpreter-Tool (OIT) (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der show-Befehlsausgabe anzuzeigen.

• show ntp status - Zeigt den Status jeder NTP-Zuordnung an.

  ciscoasa# show ntp status
  Clock is synchronized, stratum 10, reference is 192.168.100.10
  nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
  reference time is d3a93668.7b6b6155 (11:41:28.482 GMT Thu Jul 12 2012)
  clock offset is -2.0439 msec, root delay is 1.48 msec
  root dispersion is 3894.03 msec, peer dispersion is 3891.95 msec

• show ntp associations : Zeigt Informationen zur NTP-Zuordnung an.

  ciscoasa# show ntp associations
        address         ref clock     st  when  poll reach  delay  offset    disp
  *~192.168.100.10   127.127.7.1       9     7    64    7     1.5   -2.04  3892.0
   * master (synced), # master (unsynced), + selected, - candidate, ~ configured

  ciscoasa# show ntp associations detail
  
  192.168.100.10 configured, our_master, sane, valid, stratum 9
  ref ID 127.127.7.1, time d3aa5d7a.d8cf2704 (08:40:26.846 GMT Fri Jul 13 2012)
  our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
  root delay 0.00 msec, root disp 0.03, reach 377, sync dist 16.602
  delay 1.71 msec, offset 1.3664 msec, dispersion 15.72
  precision 2**16, version 3
  org time d3aa5d8a.68391cb8 (08:40:42.407 GMT Fri Jul 13 2012)
  rcv time d3aa5d8a.6817b624 (08:40:42.406 GMT Fri Jul 13 2012)
  xmt time d3aa5d8a.67a3f2da (08:40:42.404 GMT Fri Jul 13 2012)
  filtdelay =     1.71    1.60    1.57    1.68    1.59    1.66    1.65    1.65
  filtoffset =    1.37    1.41    1.50    1.52    1.63    1.61    1.56    1.53
  filterror =    15.63   31.25   46.88   62.50   78.13   93.75  109.38  125.00

Fehlerbehebung

In diesem Abschnitt erhalten Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

Fehler: Peer-/Serveruhr nicht synchronisiert

Die Cisco ASA führt keine Synchronisierung mit dem NTP-Server durch, und es wird folgende Fehlermeldung empfangen:

NTP: packet from 192.168.1.1 failed validity tests 20
 Peer/Server Clock unsynchronized

Lösung:

Aktivieren Sie die NTP-Debugging-Funktion, und überprüfen Sie diese Ausgabe im Detail:

ciscoasa(config)# NTP: xmit packet to 192.168.1.1:
   leap 3, mode 3, version 3, stratum 0, ppoll 64

Es sieht so aus, als ob der NTP-Server mit einer Schicht Null konfiguriert ist, die gemäß RFC 1305 als "Nicht angegeben" angegeben wird.

Um diesen Fehler zu beheben, definieren Sie die Schichtnummer des NTP-Servers zwischen 6 und 10.

Problem: Synchronisierung der Uhr mit dem NTP-Server nicht möglich

Die Cisco ASA wurde als NTP-Client konfiguriert, aber die Synchronisierung funktioniert nicht, und die folgende Ausgabe wird empfangen:

ciscoasa# show ntp status
Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is d3a93395.388e423c (11:29:25.220 GMT Thu Jul 12 2012)
clock offset is -4050.4142 msec, root delay is 1.21 msec
root dispersion is 19941.07 msec, peer dispersion is 16000.00 msec

Lösung:

Um dieses Problem zu beheben, überprüfen Sie Folgendes:

• Prüfen Sie, ob der NTP-Server über die Cisco ASA erreichbar ist. Führen Sie den Ping-Test durch, und überprüfen Sie das Routing.

• Stellen Sie sicher, dass die Cisco ASA-Konfiguration intakt ist und mit den Parametern des NTP-Servers übereinstimmt.

• Aktivieren Sie die NTP-Debug-Befehle, um weitere Informationen zu erhalten.

Befehle für die Fehlerbehebung

Das Output Interpreter-Tool (OIT) (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der show-Befehlsausgabe anzuzeigen.

Hinweis: Lesen Sie den Artikel Important Information on Debug Commands (Wichtige Informationen zu Debug-Befehlen), bevor Sie debug-Befehle verwenden.

• debug ntp packet - Zeigt Nachrichten über NTP-Pakete an.

• debug ntp event - Zeigt Meldungen zu NTP-Ereignissen an.

Zugehörige Informationen

• Produktsupport für die Cisco Adaptive Security Appliances der Serie ASA 5500
• NTP-Beispielkonfiguration für einen hochverfügbaren Catalyst 6000 Switch
• NTPv3 RFC 1305
• Technischer Support und Dokumentation für Cisco Systeme