Configure, verifique y resuelva problemas las configuraciones del Network Time Protocol (NTP) en los dispositivos de FirePOWER FXOS

Introducción

Este documento describe la configuración, la verificación y el Troubleshooting del NTP en los dispositivos de FirePOWER (FPR1xxx, FPR2100, FPR41xx, FPR9300).

Contribuido por Anita Pietrzyk, Mikis Zafeiroudis, ingenieros del TAC de Cisco.

Prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

• FPR4140 que ejecuta FXOS 2.3(1.130) y 2.8(1.105)
  
• FPR2110 que funciona con el modo de la plataforma ASA
• FPR1140 que funciona con el modo del dispositivo ASA

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

En FirePOWER la operación NTP depende de la plataforma.

FPR41xx/FPR9300

El tiempo ASA o FTD se lleva de la entrada-salida de la Administración del encargado del chasis de FirePOWER del chasis (FCM) (MIO). MIO es el supervisor del chasis de FirePOWER.

FPR1xxx/FPR2100

En FTD el tiempo se lleva del FMC:

Para este despliegue controle estos documentos:

• Configure la sincronización horaria NTP para la defensa de la amenaza
• Resuelva problemas los problemas con el Network Time Protocol (NTP) en los sistemas de FirePOWER

Información adicional

El NTP se utiliza para la sincronización horaria. Aplicaciones NTP como transporte el número del puerto 123 UDP.

Versiones utilizadas NTP en FXOS:

• FXOS 2.2.2.7 y versión 3 posterior NTP del uso
• Un FXOS más viejo que la versión 2 NTP del uso de 2.2.2.7

Cambiada versión admitida debido a CSCve58269 - NTP: cambie v2 a v3

Nota: La versión 4 NTP no se utiliza oficialmente. La versión 4 NTP es al revés compatible a la versión 3 NTP.

Configurar

NTP en FPR 41xx/9300

Puntos claves

• Para configurar el NTP en un dispositivo de FirePOWER 41xx/9300 ábrase una sesión a FCM y navegue a las configuraciones cuadro de la plataforma.
  
• El NTP en los dispositivos lógicos (ASA o FTD) se sincroniza con el MIO.
  
• No hay actualmente posibilidad para sincronizar el NTP en FTD con el centro de administración de FirePOWER (FMC), incluso si usted elige esa opción, NTP en FTD se sincroniza con MIO. Así, se recomienda altamente que FMC y FCM utilizan al mismo servidor NTP.
• El FMC no es verdadero servidor NTP. Puede apenas proporcionar a las configuraciones horarias a sus dispositivos administrados a través del sftunnel. Así, no puede ser utilizado como el servidor NTP para el chasis de FirePOWER 41xx/9300.
• La configuración del NTP apropiada se requiere para una instalación elegante acertada de la licencia.

NTP en FPR 1xxx/2100

• Para configurar el NTP en un dispositivo de FirePOWER 1xxx/2100 navegue a la tabulación de las configuraciones de la plataforma del FCM (encargado) del chasis de FirePOWER (FirePOWER para el ASA en el modo de la plataforma).
• En caso de un ASA en el modo de la plataforma el NTP en el dispositivo lógico se sincroniza con el MIO.
  
• Configure las configuraciones en la aplicación lógica sí mismo NTP. El ASA en el modo del dispositivo o en caso de la Administración del en-cuadro FTD del administrador de dispositivos de FirePOWER (FDM).
  
• En caso de que el FTD sea manejado por FMC (Administración del apagado-cuadro), configure el NTP en el FMC.
  

Nota: En las versiones del poste-9.13(1) usted puede ejecutar FirePOWER 1xxx/2100 para el ASA en estos modos: Modo del dispositivo (el valor por defecto) y modo de la plataforma. El modo del dispositivo permite que usted configure todas las configuraciones, incluyendo el NTP, en el ASA. Solamente los comandos avanzados del Troubleshooting están disponibles del FXOS CLI. Por otra parte, en el modo de la plataforma usted debe configurar las configuraciones básicas (NTP incluyendo) y las configuraciones de la interfaz de hardware en el encargado del chasis (FCM).

Configure el NTP en los dispositivos FPR 1xxx/2100/41xx/9300

Paso 1. Ábrase una sesión en el GUI del encargado del chasis de FirePOWER con las credenciales del usuario local y navegue a las configuraciones de la plataforma > al NTP. Seleccione el botón Add:

Paso 2. Especifique la dirección IP o el hostname (si usted utiliza un hostname para el servidor NTP, usted del servidor NTP debe configurar un servidor DNS).

Nota: Usted puede configurar a hasta 4 servidores NTP

Verificación

Verifique la sincronización NTP en los dispositivos FPR41xx/9300

Vigile el estado del servidor

Referencia del estado del servidor

• No disponible: El estado predeterminado mostrado inmediatamente después de la configuración de servidor NTP.
• Inalcanzable/inválido:  Mostrado en estos decorados:
  • Cuando la dirección IP o el nombre de host del servidor NTP es inalcanzable por el protocolo NTP.
  • Cuando la dirección IP o el nombre de host del servidor NTP es accesible, pero el host remoto no es un servidor NTP.
  • Encuentran a otros errores internos por ejemplo cuando la interrogación no puede ejecutar, excepción lanzados, estatus indefinido de la sincronización horaria, etc.
• Sincronización en curso: El servidor es accesible y utiliza el protocolo NTP, el tiempo inicial converge todavía está continuando y no ha completado todavía.
• Sincronizado: El host se declara como el par de la sincronización del sistema y el reloj de control de horas está en la sincronización con él.
• Candidato: El host es el par (espera) del candidato. Un servidor NTP del candidato significa que es válido y que ha comunicado con éxito con el dispositivo de FirePOWER, pero el módulo se ha sincronizado con otro servidor NTP así que es el espera. Puede ser elegido como el par siguiente en-sinc. si suprimen el actual.
• Afloramiento: Un servidor NTP que es desechado debido a la diferencia grande (desplazamiento del tiempo y retardo de ida y vuelta) comparó al resto de los servidores NTP.

Verifique la configuración del NTP en los dispositivos FPR41xx/9300

Verifique el estado de peer NTP:

FPR4100-8-A# connect fxos
FPR4100-8-A(fxos)# show ntp peer-status 
Total peers : 4
* - selected for sync, + -  peer mode(active), 
- - peer mode(passive), = - polled in client mode 
    remote               local                 st   poll   reach delay
------------------------------------------------------------------------
=171.68.38.66           10.62.148.196           1 1024      17   0.20996 
*173.38.201.67 10.62.148.196 1 1024 377 0.03035 
=171.68.38.65           10.62.148.196           1 1024     377   0.19914 
=173.38.201.115         10.62.148.196           1 1024     377   0.02905

Verifique la configuración y la sincronización de servidor NTP:

FPR4100-8-A# scope system 
FPR4100-8-A /system # scope services 
FPR4100-8-A /system/services # show ntp-server detail
NTP server hostname:
    Name: 171.68.38.65
    Time Sync Status: Candidate
    NTP SHA-1 key id: 0
    Error Msg:

    Name: 171.68.38.66
    Time Sync Status: Time Sync In Progress
    NTP SHA-1 key id: 0
    Error Msg:

    Name: 173.38.201.115
    Time Sync Status: Candidate
    NTP SHA-1 key id: 0
    Error Msg:

    Name: 173.38.201.67
    Time Sync Status: Time Synchronized
    NTP SHA-1 key id: 0
    Error Msg:

Verifique la asociación NTP:

FPR4100-8-A# connect module 1 console 
Firepower-module1>show ntp association

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*203.0.113.126   173.38.201.67   2 u   39   64  370    0.070    0.445   0.210

ind assid status  conf reach auth condition  last_event cnt
===========================================================
  1 16696  961a   yes   yes  none  sys.peer    sys_peer  1

associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer,
srcadr=203.0.113.126, srcport=123, dstadr=203.0.113.1, dstport=123,
leap=00, stratum=2, precision=-21, rootdelay=29.053, rootdisp=70.496,
refid=173.38.201.67,
reftime=e24d4bd9.3b680f6d  Fri, Apr 24 2020 11:28:25.232,
rec=e24d4d34.170bd724  Fri, Apr 24 2020 11:34:12.090, reach=370,
unreach=0, hmode=3, pmode=4, hpoll=6, ppoll=6, headway=0,
flash=20 pkt_stratum, keyid=0, offset=0.445, delay=0.070,
dispersion=2.152, jitter=0.210, xleave=0.017,

filtdelay=     0.08    0.11    0.08    0.10    0.07    0.08    0.09    0.07,
filtoffset=    0.17    0.18    0.29    0.29    0.45    0.45    0.69    0.69,
filtdisp=      0.00    0.03    0.99    1.02    2.03    2.06    3.03    3.06

associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer,
remote host:           203.0.113.126:123
local address:         203.0.113.1:123
time last received:    39
time until next send:  26
reachability change:   170025
packets sent:          5048
packets received:      5048
bad authentication:    0
bogus origin:          0
duplicate:             0
bad dispersion:        27
bad reference time:    0

Verifique el sysinfo NTP:

FPR4100-8-A# connect module 1 console 
Firepower-module1>show ntp sysinfo
associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
version="ntpd 4.2.8p11@1.3728-o Sat Dec 8 06:11:47 UTC 2018 (2)",
processor="x86_64", system="Linux/3.10.62-ltsi-WR6.0.0.29_standard",
leap=00, stratum=3, precision=-24, rootdelay=29.129, rootdisp=24.276,
refid=203.0.113.126,
reftime=e24dd3bf.170a6210  Fri, Apr 24 2020 21:08:15.090,
clock=e24dd437.59b86104  Fri, Apr 24 2020 21:10:15.350, peer=16696, tc=6,
mintc=3, offset=0.009911, frequency=7.499, sys_jitter=0.023550,
clk_jitter=0.004, clk_wander=0.001

associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
system peer:        203.0.113.126:123
system peer mode:   client
leap indicator:     00
stratum:            3
log2 precision:     -24
root delay:         29.129
root dispersion:    24.276
reference ID:       203.0.113.126
reference time:     e24dd3bf.170a6210  Fri, Apr 24 2020 21:08:15.090
system jitter:      0.023550
clock jitter:       0.004
clock wander:       0.001
broadcast delay:    -50.000
symm. auth. delay:  0.000

uptime:                 204908
sysstats reset:         204908
packets received:       19928
current version:        6069
older version:          0
bad length or format:   0
authentication failed:  0
declined:               0
restricted:             0
rate limited:           0
KoD responses:          0
processed for time:     6040

associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
pll offset:            0.006196
pll frequency:         7.49899
maximum error:         0.097039
estimated error:       3e-06
kernel status:         pll nano
pll time constant:     6
precision:             1e-06
frequency tolerance:   500
pps frequency:         0
pps stability:         0
pps jitter:            0
calibration interval   0
calibration cycles:    0
jitter exceeded:       0
stability exceeded:    0
calibration errors:    0

time since reset:       204908
receive buffers:        10
free receive buffers:   9
used receive buffers:   0
low water refills:      1
dropped packets:        0
ignored packets:        0
received packets:       19930
packets sent:           26811
packet send failures:   0
input wakeups:          224931
useful input wakeups:   20034

Verifique la sincronización NTP entre MIO y el dispositivo lógico (cuchilla) en los dispositivos FPR41xx/9300

En FPR41xx/9300 las configuraciones NTP se empujan a FTD vía el MIO (chasis). La configuración del NTP del FTD CLI o del FMC UI no es posible.

Cada cuchilla FTD utiliza una referencia-identificación interna: 203.0.116.126 a comunicar con el MIO para la sincronización horaria y basada en ése, muestra si está sincronizada o no. El FTD CLI refleja esto. Observe que el IP NTP en este ejemplo es la referencia-identificación interna, no el IP real del servidor NTP. Un cambio del IP del servidor NTP en el FCM no afecta a esta salida puesto que la referencia-identificación es siempre lo mismo:

 > show ntp
NTP Server : 203.0.113.126
Status                    : Being Used
Offset                    : -0.078 (milliseconds)
Last Update               : 43 (seconds)	

Verifique la configuración del NTP en los dispositivos FPR1xxx/2100

Precaución: Esto es solamente aplicable en los dispositivos FPR1xxx/2100 para el ASA en el modo de la plataforma.

firepower-2140# scope system
firepower-2140 /system # scope services
firepower-2140 /system/services # show ntp-server detail

NTP server hostname:
    Name: 173.38.201.67
    Time Sync Status: Time Synchronized
    Error Msg:

    Name: ntp.esl.cisco.com
    Time Sync Status: Candidate
    Error Msg:

Problemas frecuentes del Troubleshooting

1. FXOS no capaz de resolver el hostname del servidor NTP

Las demostraciones FCM UI:

Acción recomendada

Utilice el comando ping de verificar al servidor NTP resolución del nombre de la computadora principal

KSEC-FPR4100-8-A(local-mgmt)# ping ntp.esl.cisco.com
Invalid Host Name. 

Posibles causas

• El servidor DNS no se configura.
• El servidor DNS no puede resolver el hostname.

2. Problemas de la Conectividad entre FXOS - Servidor NTP en el puerto 123 UDP

Las demostraciones FCM UI:

Acción recomendada

Precaución: La captura de Ethanalyzer en la interfaz de administración del chasis está solamente disponible en los dispositivos FPR41xx/9300.

Tome las capturas en la interfaz de administración del chasis y verifique la comunicación bidireccional en el puerto 123 UDP:

KSEC- FPR4100-8-A(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 123"
Capturing on 'eth0'
1 2020-04-30 20:09:54.150237760 10.62.148.196 → 72.163.4.161 NTP 90 NTP Version 3, client
2 2020-04-30 20:14:14.150172804 10.62.148.196 → 72.163.4.161 NTP 90 NTP Version 3, client
3 2020-04-30 20:23:13.150171682 10.62.148.196 → 72.163.4.161 NTP 90 NTP Version 3, client

Posibles causas

• El servidor configurado no es servidor NTP.
• Un dispositivo en la trayectoria (e.g Firewall) bloquea o modifica el tráfico.

3. Problemas de la Conectividad intermitente entre FXOS y el servidor NTP

Las demostraciones FCM UI:

Acciones recomendadas

Precaución: Solamente para los dispositivos FPR41xx/9300.

Inicie el proceso de la sincronización NTP del FXOS CLI

FPR4100-8-A# connect fxos
FPR4100-8-A(fxos)# ntp sync-retry

Tome las capturas en la interfaz de administración del chasis con la herramienta del comando CLI del ethanalyzer.

Posible causa

• Problemas de la Conectividad intermitente entre FXOS - Servidor NTP

Defectos relacionados

Controle los Release Note para saber si hay sabido/fijó los defectos.

Información Relacionada

• Guías de configuración FXOS
• Problemas del Troubleshooting con el Network Time Protocol (NTP) en los sistemas de FirePOWER