El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar, verificar y resolver problemas del protocolo de tiempo de la red (NTP) en los appliances Firepower FXOS.
No hay requisitos específicos para este documento.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
En Firepower, el funcionamiento de NTP depende de la plataforma.
FPR41xx/FPR9300
El tiempo de ASA o FTD se obtiene de la entrada/salida de gestión (MIO) del chasis Firepower Chassis Manager (FCM). MIO es el supervisor del chasis Firepower.
FPR1xxx/FPR2100
En el FTD, el tiempo se toma del CSP:
Para esta implementación, consulte estos documentos:
Additional Information
NTP se utiliza para la sincronización horaria. NTP utiliza como transporte el número de puerto UDP 123.
Versiones NTP compatibles en FXOS:
La versión admitida cambió debido al ID de bug de Cisco CSCve58269 - NTP: cambiar v2 a v3
Nota: La versión 4 de NTP no es oficialmente compatible. La versión 4 de NTP es compatible con la versión 3 de NTP.
Puntos clave
Nota: En las versiones posteriores a la 9.13(1), puede ejecutar Firepower 1xxx/2100 para ASA en estos modos: modo de dispositivo (el predeterminado) y modo de plataforma. El modo de dispositivo permite configurar todos los parámetros, incluido NTP, en el ASA. En la CLI de FXOS sólo están disponibles los comandos avanzados de solución de problemas. Por otro lado, en el modo de plataforma, debe configurar los parámetros básicos (incluido NTP) y los parámetros de la interfaz de hardware en el administrador de chasis (FCM).
Paso 1. Inicie sesión en la GUI de Firepower Chassis Manager con las credenciales del usuario local y navegue hasta Platform Settings > NTP. Seleccione el botón Add:
Paso 2. Especifique la dirección IP o el nombre de host del servidor NTP (si utiliza un nombre de host para el servidor NTP, debe configurar un servidor DNS).
Nota: Puede configurar hasta 4 servidores NTP
Supervise el estado del servidor.
Referencia del estado del servidor
Verifique el estado del peer NTP:
FPR4100-8-A# connect fxos
FPR4100-8-A(fxos)# show ntp peer-status Total peers : 4 * - selected for sync, + - peer mode(active), - - peer mode(passive), = - polled in client mode remote local st poll reach delay ------------------------------------------------------------------------ =172.16.38.66 10.62.148.196 1 1024 17 0.20996 *172.31.201.67 10.62.148.196 1 1024 377 0.03035 =172.16.38.65 10.62.148.196 1 1024 377 0.19914 =172.31.20.115 10.62.148.196 1 1024 377 0.02905
Verifique la configuración y sincronización del servidor NTP:
FPR4100-8-A# scope system
FPR4100-8-A /system # scope services
FPR4100-8-A /system/services # show ntp-server detail
NTP server hostname: Name: 172.16.38.65Time Sync Status: Candidate NTP SHA-1 key id: 0 Error Msg: Name: 172.16.38.66 Time Sync Status: Time Sync In Progress NTP SHA-1 key id: 0 Error Msg: Name: 172.31.20.115 Time Sync Status: Candidate NTP SHA-1 key id: 0 Error Msg: Name: 172.31.201.67 Time Sync Status: Time Synchronized NTP SHA-1 key id: 0 Error Msg:
Verifique la asociación NTP:
FPR4100-8-A# connect module 1 console
Firepower-module1>show ntp association remote refid st t when poll reach delay offset jitter ============================================================================== *203.0.113.126 172.31.201.67 2 u 39 64 370 0.070 0.445 0.210 ind assid status conf reach auth condition last_event cnt =========================================================== 1 16696 961a yes yes none sys.peer sys_peer 1 associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer, srcadr=203.0.113.126, srcport=123, dstadr=203.0.113.1, dstport=123, leap=00, stratum=2, precision=-21, rootdelay=29.053, rootdisp=70.496, refid=172.31.201.67, reftime=e24d4bd9.3b680f6d Fri, Apr 24 2020 11:28:25.232, rec=e24d4d34.170bd724 Fri, Apr 24 2020 11:34:12.090, reach=370, unreach=0, hmode=3, pmode=4, hpoll=6, ppoll=6, headway=0, flash=20 pkt_stratum, keyid=0, offset=0.445, delay=0.070, dispersion=2.152, jitter=0.210, xleave=0.017, filtdelay= 0.08 0.11 0.08 0.10 0.07 0.08 0.09 0.07, filtoffset= 0.17 0.18 0.29 0.29 0.45 0.45 0.69 0.69, filtdisp= 0.00 0.03 0.99 1.02 2.03 2.06 3.03 3.06 associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer, remote host: 203.0.113.126:123 local address: 203.0.113.1:123 time last received: 39 time until next send: 26 reachability change: 170025 packets sent: 5048 packets received: 5048 bad authentication: 0 bogus origin: 0 duplicate: 0 bad dispersion: 27 bad reference time: 0
Verifique la información del sistema NTP:
FPR4100-8-A# connect module 1 console
Firepower-module1>show ntp sysinfo associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, version="ntpd 4.2.8p11@1.3728-o Sat Dec 8 06:11:47 UTC 2018 (2)", processor="x86_64", system="Linux/3.10.62-ltsi-WR10.0.0.29_standard", leap=00, stratum=3, precision=-24, rootdelay=29.129, rootdisp=24.276, refid=203.0.113.126, reftime=e24dd3bf.170a6210 Fri, Apr 24 2020 21:08:15.090, clock=e24dd437.59b86104 Fri, Apr 24 2020 21:10:15.350, peer=16696, tc=6, mintc=3, offset=0.009911, frequency=7.499, sys_jitter=0.023550, clk_jitter=0.004, clk_wander=0.001 associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, system peer: 203.0.113.126:123 system peer mode: client leap indicator: 00 stratum: 3 log2 precision: -24 root delay: 29.129 root dispersion: 24.276 reference ID: 203.0.113.126 reference time: e24dd3bf.170a6210 Fri, Apr 24 2020 21:08:15.090 system jitter: 0.023550 clock jitter: 0.004 clock wander: 0.001 broadcast delay: -50.000 symm. auth. delay: 0.000 uptime: 204908 sysstats reset: 204908 packets received: 19928 current version: 6069 older version: 0 bad length or format: 0 authentication failed: 0 declined: 0 restricted: 0 rate limited: 0 KoD responses: 0 processed for time: 6040 associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, pll offset: 0.006196 pll frequency: 7.49899 maximum error: 0.097039 estimated error: 3e-06 kernel status: pll nano pll time constant: 6 precision: 1e-06 frequency tolerance: 500 pps frequency: 0 pps stability: 0 pps jitter: 0 calibration interval 0 calibration cycles: 0 jitter exceeded: 0 stability exceeded: 0 calibration errors: 0 time since reset: 204908 receive buffers: 10 free receive buffers: 9 used receive buffers: 0 low water refills: 1 dropped packets: 0 ignored packets: 0 received packets: 19930 packets sent: 26811 packet send failures: 0 input wakeups: 224931 useful input wakeups: 20034
En FPR41xx/9300, los ajustes de NTP se envían a FTD a través de MIO (chasis). La configuración de NTP desde la CLI de FTD o la interfaz de usuario de FMC no es posible.
Cada blade FTD utiliza una referencia interna id: 203.0.113.126 para comunicarse con la MIO para la sincronización horaria y, en función de eso, muestra si está sincronizado o no. La CLI de FTD lo refleja. La IP de NTP en este ejemplo es el ref-id interno, no la IP real del servidor NTP. Un cambio de la IP del servidor NTP en FCM no afecta a este resultado ya que el ID de referencia es siempre el mismo:
> show ntp NTP Server : 203.0.113.126 Status : Being Used Offset : -0.078 (milliseconds) Last Update : 43 (seconds)
Precaución: esto solo se aplica a los dispositivos FPR1xxx/2100 para ASA en modo de plataforma.
firepower-2140# scope system firepower-2140 /system # scope services firepower-2140 /system/services # show ntp-server detail NTP server hostname: Name: 172.31.201.67 Time Sync Status: Time Synchronized Error Msg: Name: ntp.esl.cisco.com Time Sync Status: Candidate Error Msg:
La interfaz de usuario de FCM muestra:
Acción Recomendada
Utilice el comando ping para verificar la resolución del nombre de host del servidor NTP
KSEC-FPR4100-8-A(local-mgmt)# ping ntp.esl.cisco.com Invalid Host Name.
Posibles Causas
La interfaz de usuario de FCM muestra:
Acción Recomendada
Precaución: la captura de Ethanalyzer en la interfaz de administración del chasis solo está disponible en los dispositivos FPR41xx/9300.
Realice capturas en la interfaz de administración del chasis y verifique la comunicación bidireccional en el puerto UDP 123:
KSEC- FPR4100-8-A(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 123" Capturing on 'eth0' 1 2020-04-30 20:09:54.150237760 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client 2 2020-04-30 20:14:14.150172804 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
3 2020-04-30 20:23:13.150171682 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
Posibles Causas
La interfaz de usuario de FCM muestra:
Acciones recomendadas
Precaución: solo para dispositivos FPR41xx/9300.
Inicie el proceso de sincronización NTP desde la CLI de FXOS
FPR4100-8-A# connect fxos FPR4100-8-A(fxos)# ntp sync-retry
Realice capturas en la interfaz de administración del chasis con la herramienta de comandos ethanalyzer CLI.
Posible Causa
Verifique las Release Notes para ver si hay defectos conocidos o corregidos.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
2.0 |
28-Nov-2022 |
PII eliminado.
Texto alternativo agregado.
Etiquetas de fuente actualizadas, título e introducción, requisitos de estilo, traducción automática, gerundios y formato. |
1.0 |
03-May-2020 |
Versión inicial |