Configurar y solucionar problemas de configuración de NTP en Firepower y firewall seguro

Opciones de descarga

  • PDF     (653.7 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (470.1 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (403.7 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:26 de mayo de 2026
ID del documento:215468

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción


Este documento describe cómo configurar, verificar y resolver problemas de Network Time Protocol (NTP) en los dispositivos Cisco Firepower y Cisco Secure Firewall.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

  • FPR4140 que ejecuta FXOS 2.3(1.130) y 2.8(1.105).
  • FPR2110 que ejecuta el modo de plataforma ASA.
  • FPR1140 que ejecuta el modo de dispositivo ASA.
  • CSF220 que ejecuta FTD 10.x.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

La operación NTP depende de la plataforma.

FPR4100/FPR9300, FPR2100 (modo plataforma)


El tiempo de ASA o FTD se obtiene de la entrada/salida de gestión (MIO) del chasis Firepower Chassis Manager (FCM). MIO es el supervisor del chasis Firepower.

Platform_Mode



FPR1000, FPR2100 (modo dispositivo), CSF200/3100/4200/6100


En el FTD, el tiempo se toma del FMC o de un servidor NTP:

Appliance_Mode

Para esta implementación, consulte estos documentos:

Información adicional:
NTP se utiliza para la sincronización horaria. NTP utiliza como transporte el número de puerto UDP 123.

Nota: La versión 4 de NTP no es compatible oficialmente. La versión 4 de NTP es compatible con la versión 3 de NTP.


Configurar

NTP en FPR4100/9300

Puntos clave

  • Para configurar NTP en un dispositivo FPR4100/9300, inicie sesión en FCM y navegue hasta la pestaña Configuración de la plataforma.
  • El NTP de los dispositivos lógicos (ASA o FTD) está sincronizado con la MIO.
  • No existe la posibilidad de sincronizar NTP en FTD con Firewall Management Center (FMC), aunque elija esa opción, NTP en FTD se sincroniza con MIO. Por lo tanto, se recomienda encarecidamente que FMC y FCM utilicen el mismo servidor NTP.
  • El FMC no es un servidor NTP completo. Solo puede proporcionar ajustes de tiempo a sus dispositivos administrados a través del sftunnel. Por lo tanto, no se puede utilizar como el servidor NTP para el chasis FPR4100/9300.
  • Se requiere una configuración NTP adecuada para una instalación correcta de Smart License.

NTP en CSF200/1200/3100/4200/6100

  • Configure los parámetros de NTP en la propia aplicación lógica. El ASA en modo de dispositivo o en caso de gestión integrada de FTD desde el administrador de dispositivos de firewall (FDM).
  • En caso de que el FTD sea gestionado por FMC (gestión externa), configure el NTP en el FMC.



Configure el NTP en FPR2100/4100/9300

  • Para configurar NTP en un dispositivo FPR2100 en modo plataforma, navegue hasta la pestaña Configuración de plataforma desde el administrador del chasis.

Nota: En las versiones posteriores a la 9.13(1) de FPR2100, puede ejecutar el modo de dispositivo (predeterminado) y el modo de plataforma. El modo de dispositivo permite configurar todos los parámetros, incluido NTP, en el ASA. En la CLI de FXOS sólo están disponibles los comandos avanzados de solución de problemas. Por otro lado, en el modo de plataforma, debe configurar los parámetros básicos (incluido NTP) y los parámetros de la interfaz de hardware en el administrador de chasis (FCM).

Paso 1. Inicie sesión en la GUI del administrador del chasis con las credenciales del usuario local y navegue hasta Configuración de la plataforma > NTP. Seleccione el botón Add:

Log in to Firepower Chassis Manager with the Local User Credentials

Paso 2. Especifique la dirección IP o el nombre de host del servidor NTP (si utiliza un nombre de host para el servidor NTP, debe configurar un servidor DNS).

Add NTP Server

Nota: Puede configurar hasta 4 servidores NTP


  • En el caso de un ASA en modo de plataforma, el NTP en el dispositivo lógico se sincroniza con la MIO.
  • Para FTD en FPR2100 que utiliza el modo de dispositivo, debe configurar NTP en FMC.
  • Para ASA en FPR2100 que utiliza el modo de dispositivo, usted configura el NTP en el ASA.

Verificación

Verifique la sincronización NTP en los dispositivos FPR4100/9300

Supervise el estado del servidor.

Verify Synchronization in Progress

Verify Synchronized Complete

Referencia del estado del servidor

  • No disponible: El estado predeterminado que se muestra inmediatamente después de la configuración del servidor NTP.
  • Inalcanzable/No válido: Se muestra en estos escenarios:
    • Cuando el protocolo NTP no puede alcanzar la dirección IP o el nombre de host del servidor NTP.
    • Cuando la dirección IP o el nombre de host del servidor NTP son accesibles, pero el host remoto no es un servidor NTP.
    • Otros errores internos, como, cuando la consulta no puede ejecutarse, excepción iniciada, estado de sincronización horaria indefinido, etc.
  • Sincronización en curso: El servidor es accesible y admite el protocolo NTP; la convergencia de tiempo inicial continúa y aún no se ha completado.
  • Sincronizada: El host se declara como el par de sincronización del sistema y el reloj de tiempo está en sincronización con él.
  • Candidato: El host es el peer candidato (en espera). Un servidor NTP candidato significa que es válido y que se ha comunicado correctamente con el dispositivo Firepower, pero el módulo se ha sincronizado con otro servidor NTP, por lo que es el servidor en espera. Se puede seleccionar como el siguiente peer en sincronización si se elimina el actual.
  • Antecedentes: Servidor NTP que se descarta debido a una diferencia significativa (desplazamiento de tiempo y retraso de ida y vuelta) en comparación con el resto de servidores NTP.

Verifique el estado del peer NTP:

FPR4100# connect fxos
FPR4100(fxos)# show ntp peer-status 
Total peers : 4
* - selected for sync, + -  peer mode(active), 
- - peer mode(passive), = - polled in client mode 
    remote               local                 st   poll   reach delay
------------------------------------------------------------------------
=172.16.38.66           10.62.148.196           1 1024      17   0.20996 
*172.31.201.67          10.62.148.196           1 1024     377   0.03035 
=172.16.38.65           10.62.148.196           1 1024     377   0.19914 
=172.31.20.115          10.62.148.196           1 1024     377   0.02905

Verifique la configuración y sincronización del servidor NTP:

FPR4100# scope system 
FPR4100 /system # scope services 
FPR4100 /system/services # show ntp-server detail
NTP server hostname:
    Name: 172.16.38.65Time Sync Status: Candidate
    NTP SHA-1 key id: 0
    Error Msg:

    Name: 172.16.38.66
    Time Sync Status: Time Sync In Progress
    NTP SHA-1 key id: 0
    Error Msg:

    Name: 172.31.20.115
    Time Sync Status: Candidate
    NTP SHA-1 key id: 0
    Error Msg:

    Name: 172.31.201.67
    Time Sync Status: Time Synchronized
    NTP SHA-1 key id: 0
    Error Msg:

Verifique la asociación NTP:

FPR4100# connect module 1 console 
Firepower-module1>show ntp association

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*203.0.113.126   172.31.201.67   2 u   39   64  370    0.070    0.445   0.210

ind assid status  conf reach auth condition  last_event cnt
===========================================================
  1 16696  961a   yes   yes  none  sys.peer    sys_peer  1

associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer,
srcadr=203.0.113.126, srcport=123, dstadr=203.0.113.1, dstport=123,
leap=00, stratum=2, precision=-21, rootdelay=29.053, rootdisp=70.496,
refid=172.31.201.67,
reftime=e24d4bd9.3b680f6d  Fri, Apr 24 2020 11:28:25.232,
rec=e24d4d34.170bd724  Fri, Apr 24 2020 11:34:12.090, reach=370,
unreach=0, hmode=3, pmode=4, hpoll=6, ppoll=6, headway=0,
flash=20 pkt_stratum, keyid=0, offset=0.445, delay=0.070,
dispersion=2.152, jitter=0.210, xleave=0.017,

filtdelay=     0.08    0.11    0.08    0.10    0.07    0.08    0.09    0.07,
filtoffset=    0.17    0.18    0.29    0.29    0.45    0.45    0.69    0.69,
filtdisp=      0.00    0.03    0.99    1.02    2.03    2.06    3.03    3.06

associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer,
remote host:           203.0.113.126:123
local address:         203.0.113.1:123
time last received:    39
time until next send:  26
reachability change:   170025
packets sent:          5048
packets received:      5048
bad authentication:    0
bogus origin:          0
duplicate:             0
bad dispersion:        27
bad reference time:    0


Verifique la información del sistema NTP:

FPR4100# connect module 1 console 
Firepower-module1> show ntp sysinfo
associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
version="ntpd 4.2.8p11@1.3728-o Sat Dec  8 06:11:47 UTC 2018 (2)",
processor="x86_64", system="Linux/3.10.62-ltsi-WR10.0.0.29_standard",
leap=00, stratum=3, precision=-24, rootdelay=29.129, rootdisp=24.276,
refid=203.0.113.126,
reftime=e24dd3bf.170a6210  Fri, Apr 24 2020 21:08:15.090,
clock=e24dd437.59b86104  Fri, Apr 24 2020 21:10:15.350, peer=16696, tc=6,
mintc=3, offset=0.009911, frequency=7.499, sys_jitter=0.023550,
clk_jitter=0.004, clk_wander=0.001

associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
system peer:        203.0.113.126:123
system peer mode:   client
leap indicator:     00
stratum:            3
log2 precision:     -24
root delay:         29.129
root dispersion:    24.276
reference ID:       203.0.113.126
reference time:     e24dd3bf.170a6210  Fri, Apr 24 2020 21:08:15.090
system jitter:      0.023550
clock jitter:       0.004
clock wander:       0.001
broadcast delay:    -50.000
symm. auth. delay:  0.000

uptime:                 204908
sysstats reset:         204908
packets received:       19928
current version:        6069
older version:          0
bad length or format:   0
authentication failed:  0
declined:               0
restricted:             0
rate limited:           0
KoD responses:          0
processed for time:     6040

associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
pll offset:            0.006196
pll frequency:         7.49899
maximum error:         0.097039
estimated error:       3e-06
kernel status:         pll nano
pll time constant:     6
precision:             1e-06
frequency tolerance:   500
pps frequency:         0
pps stability:         0
pps jitter:            0
calibration interval   0
calibration cycles:    0
jitter exceeded:       0
stability exceeded:    0
calibration errors:    0

time since reset:       204908
receive buffers:        10
free receive buffers:   9
used receive buffers:   0
low water refills:      1
dropped packets:        0
ignored packets:        0
received packets:       19930
packets sent:           26811
packet send failures:   0
input wakeups:          224931
useful input wakeups:   20034


Verificación adicional:

FTD220 /eth-uplink # scope eth-uplink ; scope fabric a
FTD220 /eth-uplink/fabric # show ntp-overall-status

NTP Overall Time-Sync Status: Time Synchronized

Verifique la sincronización NTP entre MIO y el dispositivo lógico (blade) en los dispositivos FPR4100/9300

En FPR4100/9300, los ajustes de NTP se envían a FTD a través de MIO (chasis). La configuración de NTP desde la CLI de FTD o la interfaz de usuario de FMC no es posible.

Cada blade FTD utiliza una ID de referencia interna: 203.0.113.126 para comunicarse con la MIO para la sincronización horaria y, en función de eso, muestra si está sincronizada o no. La CLI de FTD lo refleja. La IP de NTP en este ejemplo es el ref-id interno, no la IP real del servidor NTP. Un cambio de la IP del servidor NTP en FCM no afecta a este resultado ya que el ID de referencia es siempre el mismo:

 > show ntp
NTP Server                : 203.0.113.126
Status                    : Being Used
Offset                    : -0.078 (milliseconds)
Last Update               : 43 (seconds)


Verifique la configuración de NTP en el modo de plataforma FRP2100 y CSF200/1200/3100/4200/6100:

FTD220# scope system
FTD220 /system # scope services
FTD220 /system/services # show ntp-server detail

NTP server hostname:
    Name: 172.31.201.67
    Time Sync Status: Time Synchronized
    Error Msg:

En FTD también puede verificar la configuración de NTP desde el modo CLISH:

> show ntp
NTP Server : 172.31.201.67
Status : Being Used
Offset : +0.819 (milliseconds)
Last Update : 3 (seconds)

NTP Server : 127.127.1.1
Status : Available
Offset : +0.000 (milliseconds)
Last Update : 418 (seconds)


Si el FTD obtiene su tiempo de FMC, verá la dirección IP 127.0.0.2:

FTD220 /system/services # show ntp-server detail expand

NTP server hostname:
Name: 127.0.0.2
Time Sync Status: Time Synchronized
Error Msg:

FMC_NTP

En este caso, desde CLISH también verá la dirección IP 127.0.0.2:

> show ntp
NTP Server : 127.0.0.2
Status : Being Used
Offset : +0.008 (milliseconds)
Last Update : 6 (seconds)

NTP Server : 127.127.1.1
Status : Available
Offset : +0.000 (milliseconds)
Last Update : - (seconds)


Solucionar problemas comunes

1. FXOS no puede resolver el nombre de host del servidor NTP

La interfaz de usuario de FCM muestra:

FXOS Does Not Resolve the NTP Server Hostname

Acción Recomendada

Utilice el comando ping para verificar la resolución del nombre de host del servidor NTP

FPR4100(local-mgmt)# ping ntp.esl.cisco.com
Invalid Host Name.

Posibles Causas

  • El servidor DNS no está configurado.
  • El servidor DNS no puede resolver el nombre de host.

2. Problemas de conectividad entre FXOS y el servidor NTP en el puerto UDP 123

La interfaz de usuario de FCM muestra:

Connectivity Issues between FXOS-NTP Server on UDP Port 123

Acción Recomendada

Precaución: La captura de Ethanalyzer en la interfaz de administración del chasis solo está disponible en los dispositivos FPR4100/9300.

Realice capturas en la interfaz de administración del chasis y verifique la comunicación bidireccional en el puerto UDP 123:

FPR4100(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 123"
Capturing on 'eth0'
1 2020-04-30 20:09:54.150237760 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
2 2020-04-30 20:14:14.150172804 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
3 2020-04-30 20:23:13.150171682 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client

Posibles Causas

  • El servidor configurado no es un servidor NTP.
  • Un dispositivo de la ruta (por ejemplo, un firewall) bloquea o modifica el tráfico.

3. Problemas de conectividad intermitente entre FXOS y el servidor NTP

La interfaz de usuario de FCM muestra:

Intermittent Connectivity Issues between FXOS and NTP Server

Acciones recomendadas

Precaución: Solo para dispositivos FPR4100/9300.

Inicie el proceso de sincronización NTP desde la CLI de FXOS

FPR4100# connect fxos
FPR4100(fxos)# ntp sync-retry

Realice capturas en la interfaz de administración del chasis con la herramienta de comandos ethanalyzer CLI.

Posible Causa

  • Problemas de conectividad intermitente entre FXOS y el servidor NTP

Defectos relacionados

Verifique las Release Notes para ver si hay defectos conocidos o corregidos.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
5.0
26-May-2026
Espaciado, gramática y ortografía actualizados.
4.0
25-May-2026
Recertificación
3.0
14-May-2025
Problemas de formato menores.
2.0
28-Nov-2022
PII eliminado. Texto alternativo agregado. Etiquetas de fuente actualizadas, título e introducción, requisitos de estilo, traducción automática, gerundios y formato.
1.0
03-May-2020
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Anita Pietrzyk
    Cisco TAC Engineer
  • Mikis Zafeiroudis
    Cisco TAC Engineer
  • Ilkin Gasimov
    Cisco TAC Engineer

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos