NTP-Einstellungen für FirePOWER und eine sichere Firewall konfigurieren und Fehlerbehebung dafür durchführen
Inhalt
Einleitung
In diesem Dokument wird beschrieben, wie Sie das Network Time Protocol (NTP) auf Cisco Firepower- und Cisco Secure Firewall-Geräten konfigurieren, überprüfen und Fehler beheben.
Voraussetzungen
Anforderungen
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Verwendete Komponenten
- FPR4140 mit FXOS 2.3(1.130) und 2.8(1.105).
- FPR2110 mit ASA-Plattformmodus
- FPR1140 mit ASA Appliance-Modus
- CSF220 mit FTD 10.x
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Der NTP-Betrieb hängt von der Plattform ab.
FPR4100/FPR9300, FPR2100 (Plattformmodus)
Die ASA- oder FTD-Zeit wird vom Management-Eingang/Ausgang (MIO) des Firepower Chassis Managers (FCM) übernommen. MIO ist der Supervisor des Firepower-Chassis.
FPR1000, FPR2100 (Appliance-Modus), CSF200/3100/4200/6100
Auf FTD wird die Zeit vom FMC oder von einem NTP-Server übernommen:
Überprüfen Sie für diese Bereitstellung die folgenden Dokumente:
- NTP-Zeitsynchronisierung für die Abwehr von Bedrohungen konfigurieren
- Fehlerbehebung bei Problemen mit dem Network Time Protocol (NTP) in FirePOWER-Systemen
Zusätzliche Informationen:
NTP wird für die Zeitsynchronisierung verwendet. Das NTP verwendet als Transport die UDP-Portnummer 123.
Konfigurieren
NTP auf FPR4100/9300
Wichtigste Punkte
- Um NTP auf einer FPR4100/9300-Appliance zu konfigurieren, melden Sie sich bei FCM an, und navigieren Sie zur Registerkarte Plattformeinstellungen.
- Das NTP auf den logischen Geräten (ASA oder FTD) wird mit der MIO synchronisiert.
- Es besteht keine Möglichkeit, NTP auf FTD mit dem Firewall Management Center (FMC) zu synchronisieren, selbst wenn Sie diese Option auswählen, wird NTP auf FTD mit MIO synchronisiert. Es wird daher dringend empfohlen, dass FMC und FCM denselben NTP-Server verwenden.
- Das FMC ist kein vollständiger NTP-Server. Er kann einfach Zeiteinstellungen für seine verwalteten Geräte über den Sftunnel bereitstellen. Daher kann er nicht als NTP-Server für das Gehäuse FPR4100/9300 verwendet werden.
- Für eine erfolgreiche Installation der Smart-Lizenz ist eine ordnungsgemäße NTP-Konfiguration erforderlich.
NTP zu GFK200/1200/3100/4200/6100
- Konfigurieren Sie die NTP-Einstellungen für die logische Anwendung selbst. Die ASA im Appliance-Modus oder bei FTD-On-Box-Management über den Firewall Device Manager (FDM).
- Falls das FTD vom FMC verwaltet wird (externes Management), konfigurieren Sie das NTP auf dem FMC.
Konfigurieren des NTP auf FPR2100/4100/9300
- Um NTP auf einer FPR2100-Appliance im Plattformmodus zu konfigurieren, navigieren Sie vom Chassis-Manager zur Registerkarte Plattformeinstellungen.
Schritt 1: Melden Sie sich mit den lokalen Benutzeranmeldeinformationen bei der Benutzeroberfläche des Chassis-Managers an, und navigieren Sie zu Plattformeinstellungen > NTP. Wählen Sie die Schaltfläche Hinzufügen:
Schritt 2: Geben Sie die IP-Adresse oder den Hostnamen des NTP-Servers an (wenn Sie einen Hostnamen für den NTP-Server verwenden, müssen Sie einen DNS-Server konfigurieren).
- Bei einer ASA im Plattformmodus wird das NTP auf dem logischen Gerät mit der MIO synchronisiert.
- Für FTD auf FPR2100, der den Appliance-Modus verwendet, konfigurieren Sie das NTP auf FMC.
- Bei ASA mit FPR2100, die den Appliance-Modus verwendet, konfigurieren Sie das NTP auf der ASA.
Überprüfung
Überprüfen der NTP-Synchronisierung auf FPR4100/9300-Appliances
Überwachen des Serverstatus
Serverstatusreferenz
- Nicht verfügbar: Der Standardstatus, der unmittelbar nach der NTP-Serverkonfiguration angezeigt wird.
- Nicht erreichbar/Ungültig: Abgebildet in diesen Szenarien:
- Wenn die IP-Adresse oder der Hostname des NTP-Servers für das NTP-Protokoll nicht erreichbar ist.
- Wenn die IP-Adresse oder der Hostname des NTP-Servers erreichbar ist, der Remote-Host jedoch kein NTP-Server ist.
- Andere interne Fehler, z. B. wenn die Abfrage nicht ausgeführt werden kann, eine Ausnahme ausgelöst wird, ein undefinierter Zeitsynchronisierungsstatus auftritt usw.
- Synchronisierung läuft: Der Server ist erreichbar und unterstützt das NTP-Protokoll. Die anfängliche Zeitkonvergierung läuft noch und ist noch nicht abgeschlossen.
- Synchronisiert: Der Host wird als Synchronisierungs-Peer des Systems deklariert, und die Zeituhr wird mit diesem synchronisiert.
- Kandidat: Der Host ist der Kandidaten (Standby)-Peer. Ein möglicher NTP-Server bedeutet, dass es sich um einen gültigen Server handelt und erfolgreich mit der FirePOWER-Appliance kommuniziert wurde. Das Modul wurde jedoch mit einem anderen NTP-Server synchronisiert und ist somit der Standby-Server. Er kann als nächster synchronisierter Peer ausgewählt werden, wenn der aktuelle Peer gelöscht wird.
- Ausreißer: Ein NTP-Server, der aufgrund eines erheblichen Unterschieds (Zeitversatz und Round-Trip-Verzögerung) im Vergleich zu den anderen NTP-Servern verworfen wird.
Überprüfen Sie den NTP-Peer-Status:
FPR4100# connect fxos
FPR4100(fxos)# show ntp peer-status Total peers : 4 * - selected for sync, + - peer mode(active), - - peer mode(passive), = - polled in client mode remote local st poll reach delay ------------------------------------------------------------------------ =172.16.38.66 10.62.148.196 1 1024 17 0.20996 *172.31.201.67 10.62.148.196 1 1024 377 0.03035 =172.16.38.65 10.62.148.196 1 1024 377 0.19914 =172.31.20.115 10.62.148.196 1 1024 377 0.02905
Überprüfen Sie die Konfiguration und Synchronisierung des NTP-Servers:
FPR4100# scope system
FPR4100 /system # scope services
FPR4100 /system/services # show ntp-server detail
NTP server hostname: Name: 172.16.38.65Time Sync Status: Candidate NTP SHA-1 key id: 0 Error Msg: Name: 172.16.38.66 Time Sync Status: Time Sync In Progress NTP SHA-1 key id: 0 Error Msg: Name: 172.31.20.115 Time Sync Status: Candidate NTP SHA-1 key id: 0 Error Msg: Name: 172.31.201.67 Time Sync Status: Time Synchronized NTP SHA-1 key id: 0 Error Msg:
Überprüfen Sie die NTP-Zuordnung:
FPR4100# connect module 1 console
Firepower-module1>show ntp association remote refid st t when poll reach delay offset jitter ============================================================================== *203.0.113.126 172.31.201.67 2 u 39 64 370 0.070 0.445 0.210 ind assid status conf reach auth condition last_event cnt =========================================================== 1 16696 961a yes yes none sys.peer sys_peer 1 associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer, srcadr=203.0.113.126, srcport=123, dstadr=203.0.113.1, dstport=123, leap=00, stratum=2, precision=-21, rootdelay=29.053, rootdisp=70.496, refid=172.31.201.67, reftime=e24d4bd9.3b680f6d Fri, Apr 24 2020 11:28:25.232, rec=e24d4d34.170bd724 Fri, Apr 24 2020 11:34:12.090, reach=370, unreach=0, hmode=3, pmode=4, hpoll=6, ppoll=6, headway=0, flash=20 pkt_stratum, keyid=0, offset=0.445, delay=0.070, dispersion=2.152, jitter=0.210, xleave=0.017, filtdelay= 0.08 0.11 0.08 0.10 0.07 0.08 0.09 0.07, filtoffset= 0.17 0.18 0.29 0.29 0.45 0.45 0.69 0.69, filtdisp= 0.00 0.03 0.99 1.02 2.03 2.06 3.03 3.06 associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer, remote host: 203.0.113.126:123 local address: 203.0.113.1:123 time last received: 39 time until next send: 26 reachability change: 170025 packets sent: 5048 packets received: 5048 bad authentication: 0 bogus origin: 0 duplicate: 0 bad dispersion: 27 bad reference time: 0
Überprüfen Sie die NTP-Sysinfo:
FPR4100# connect module 1 console
Firepower-module1> show ntp sysinfo associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, version="ntpd 4.2.8p11@1.3728-o Sat Dec 8 06:11:47 UTC 2018 (2)", processor="x86_64", system="Linux/3.10.62-ltsi-WR10.0.0.29_standard", leap=00, stratum=3, precision=-24, rootdelay=29.129, rootdisp=24.276, refid=203.0.113.126, reftime=e24dd3bf.170a6210 Fri, Apr 24 2020 21:08:15.090, clock=e24dd437.59b86104 Fri, Apr 24 2020 21:10:15.350, peer=16696, tc=6, mintc=3, offset=0.009911, frequency=7.499, sys_jitter=0.023550, clk_jitter=0.004, clk_wander=0.001 associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, system peer: 203.0.113.126:123 system peer mode: client leap indicator: 00 stratum: 3 log2 precision: -24 root delay: 29.129 root dispersion: 24.276 reference ID: 203.0.113.126 reference time: e24dd3bf.170a6210 Fri, Apr 24 2020 21:08:15.090 system jitter: 0.023550 clock jitter: 0.004 clock wander: 0.001 broadcast delay: -50.000 symm. auth. delay: 0.000 uptime: 204908 sysstats reset: 204908 packets received: 19928 current version: 6069 older version: 0 bad length or format: 0 authentication failed: 0 declined: 0 restricted: 0 rate limited: 0 KoD responses: 0 processed for time: 6040 associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, pll offset: 0.006196 pll frequency: 7.49899 maximum error: 0.097039 estimated error: 3e-06 kernel status: pll nano pll time constant: 6 precision: 1e-06 frequency tolerance: 500 pps frequency: 0 pps stability: 0 pps jitter: 0 calibration interval 0 calibration cycles: 0 jitter exceeded: 0 stability exceeded: 0 calibration errors: 0 time since reset: 204908 receive buffers: 10 free receive buffers: 9 used receive buffers: 0 low water refills: 1 dropped packets: 0 ignored packets: 0 received packets: 19930 packets sent: 26811 packet send failures: 0 input wakeups: 224931 useful input wakeups: 20034
Zusätzliche Verifizierung:
FTD220 /eth-uplink # scope eth-uplink ; scope fabric a
FTD220 /eth-uplink/fabric # show ntp-overall-status
NTP Overall Time-Sync Status: Time Synchronized
Überprüfen der NTP-Synchronisierung zwischen MIO und logischem Gerät (Blade) auf FPR4100/9300-Appliances
Auf FPR4100/9300 werden die NTP-Einstellungen über die MIO (Chassis) an FTD übermittelt. Die NTP-Konfiguration über die FTD-CLI oder die FMC-UI ist nicht möglich.
Jede FTD-Blade verwendet eine interne Referenz-ID: 203.0.113.126 mit der MIO für die Zeitsynchronisierung zu kommunizieren. Auf dieser Grundlage wird angezeigt, ob die Synchronisierung erfolgt. Die FTD-CLI spiegelt dies wider. Die NTP-IP in diesem Beispiel ist die interne Ref-ID und nicht die tatsächliche NTP-Server-IP. Eine Änderung der IP-Adresse des NTP-Servers im FCM wirkt sich nicht auf diese Ausgabe aus, da die Referenz-ID immer dieselbe ist:
> show ntp NTP Server : 203.0.113.126 Status : Being Used Offset : -0.078 (milliseconds) Last Update : 43 (seconds)
Überprüfen der NTP-Konfiguration auf dem FRP2100-Plattformmodus und CSF200/1200/3100/4200/6100:
FTD220# scope system
FTD220 /system # scope services
FTD220 /system/services # show ntp-server detail
NTP server hostname:
Name: 172.31.201.67
Time Sync Status: Time Synchronized
Error Msg:
Auf FTD können Sie die NTP-Einstellungen auch über den CLISH-Modus überprüfen:
> show ntp
NTP Server : 172.31.201.67
Status : Being Used
Offset : +0.819 (milliseconds)
Last Update : 3 (seconds)
NTP Server : 127.127.1.1
Status : Available
Offset : +0.000 (milliseconds)
Last Update : 418 (seconds)
Wenn die FTD ihre Zeit vom FMC erhält, sehen Sie die IP-Adresse 127.0.0.2:
FTD220 /system/services # show ntp-server detail expand
NTP server hostname:
Name: 127.0.0.2
Time Sync Status: Time Synchronized
Error Msg:
In diesem Fall wird in CLISH auch die IP-Adresse 127.0.0.2 angezeigt:
> show ntp
NTP Server : 127.0.0.2
Status : Being Used
Offset : +0.008 (milliseconds)
Last Update : 6 (seconds)
NTP Server : 127.127.1.1
Status : Available
Offset : +0.000 (milliseconds)
Last Update : - (seconds)
Fehlerbehebung bei gängigen Problemen
1. FXOS konnte den NTP-Server-Hostnamen nicht auflösen
Die FCM-Benutzeroberfläche zeigt Folgendes an:
Empfohlene Aktion
Verwenden Sie den Befehl ping, um die Hostnamenauflösung des NTP-Servers zu überprüfen.
FPR4100(local-mgmt)# ping ntp.esl.cisco.com Invalid Host Name.
Mögliche Ursachen
- Der DNS-Server ist nicht konfiguriert.
- Der DNS-Server kann den Hostnamen nicht auflösen.
2. Verbindungsprobleme zwischen FXOS und dem NTP-Server auf UDP-Port 123
Die FCM-Benutzeroberfläche zeigt Folgendes an:
Empfohlene Aktion
Aufnahmen an der Chassis-Managementschnittstelle und Überprüfung der bidirektionalen Kommunikation auf UDP-Port 123:
FPR4100(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 123" Capturing on 'eth0' 1 2020-04-30 20:09:54.150237760 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client 2 2020-04-30 20:14:14.150172804 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
3 2020-04-30 20:23:13.150171682 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
Mögliche Ursachen
- Der konfigurierte Server ist kein NTP-Server.
- Ein Gerät im Pfad (z. B. die Firewall) blockiert oder ändert den Datenverkehr.
3. Intermittierende Verbindungsprobleme zwischen FXOS und NTP-Server
Die FCM-Benutzeroberfläche zeigt Folgendes an:
Empfohlene Maßnahmen
Initiieren des NTP-Synchronisierungsprozesses von der FXOS-CLI aus
FPR4100# connect fxos FPR4100(fxos)# ntp sync-retry
Erfassung über die Chassis-Managementschnittstelle mit dem Befehlszeilentool ethanalyzer CLI
Mögliche Ursache
- Intermittierende Verbindungsprobleme zwischen FXOS und dem NTP-Server
Verwandte Fehler
Überprüfen Sie die Versionshinweise auf bekannte/behobene Fehler.
Zugehörige Informationen
- FXOS-Konfigurationsleitfäden
- Fehlerbehebung bei Problemen mit dem Network Time Protocol (NTP) in FirePOWER-Systemen
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
5.0 |
26-May-2026
|
Aktualisierte Abstände, Grammatik und Rechtschreibung. |
4.0 |
25-May-2026
|
Rezertifizierung |
3.0 |
14-May-2025
|
Geringfügige Formatierungsprobleme |
2.0 |
28-Nov-2022
|
PII entfernt.
Alternativer Text hinzugefügt.
Aktualisierte Schriftarten-Tags, Titel und Einführung, Stilvorgaben, maschinelle Übersetzung, Gerunds und Formatierung. |
1.0 |
03-May-2020
|
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)