Configurazione e risoluzione dei problemi delle impostazioni NTP sugli appliance Firepower

Opzioni per il download

  • PDF     (535.9 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (340.9 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (282.7 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:28 novembre 2022
ID documento:215468

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione


    In questo documento viene descritto come configurare, verificare e risolvere i problemi relativi al protocollo NTP (Network Time Protocol) sugli accessori Firepower FXOS.



    Prerequisiti

    Requisiti

    Nessun requisito specifico previsto per questo documento.

    Componenti usati

    • FPR4140 con FXOS 2.3(1.130) e 2.8(1.105)
    • FPR2110 con modalità piattaforma ASA
    • FPR1140 con modalità appliance ASA

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Su Firepower, il funzionamento NTP dipende dalla piattaforma.

    FPR41xx/FPR9300


    Il tempo ASA o FTD viene ricavato da MIO (Management Input/Output) di Firepower Chassis Manager (FCM) dello chassis. MIO è il supervisore dello chassis Firepower.

    Server NTP - Appliance Firepower FPR41xx/9300

    FPR1xxx/FPR2100


    Nel caso dell'FTD, il tempo è preso dal CCP:

    Server NTP - Appliance Firepower FPR1xx/FPR2100

    Per questa distribuzione, controllare i seguenti documenti:

    Ulteriori informazioni

    Il protocollo NTP viene utilizzato per la sincronizzazione dell'ora. NTP utilizza come trasporto il numero di porta UDP 123.

    Versioni NTP supportate su FXOS:

    • FXOS 10.2.2.7 e versioni successive utilizzano NTP versione 3
    • I sistemi operativi FXOS precedenti alla versione 10.2.2.7 utilizzano NTP versione 2

    Versione supportata modificata a causa dell'ID bug Cisco CSCve58269 - NTP: modifica da v2 a v3

    Nota: NTP versione 4 non è ufficialmente supportato. NTP versione 4 è compatibile con NTP versione 3.


    Configurazione

    NTP su FPR 41xx/9300

    Punti chiave

    • Per configurare NTP su un accessorio Firepower 41xx/9300, accedere a FCM e selezionare la scheda Platform Settings (Impostazioni piattaforma).
    • L'NTP sui dispositivi logici (ASA o FTD) è sincronizzato con l'MIO.
    • Attualmente non è possibile sincronizzare NTP su FTD con Firepower Management Center (FMC), anche se si sceglie questa opzione, NTP su FTD è sincronizzato con MIO. È pertanto consigliabile che FMC e FCM utilizzino lo stesso server NTP.
    • Il CCP non è un server NTP completo. Tramite sftunnel è possibile configurare le impostazioni di tempo per i dispositivi gestiti. Pertanto, non può essere utilizzato come server NTP per lo chassis Firepower 41xx/9300.
    • Per una corretta installazione di Smart License è necessaria una configurazione NTP corretta.

    NTP su FPR 1xxx/2100

    • Per configurare il protocollo NTP su un accessorio Firepower 1xxx/2100, selezionare la scheda Platform Settings (Impostazioni piattaforma) in Firepower Chassis Manager (FCM), Firepower for ASA in modalità piattaforma.
    • In caso di un'ASA in modalità piattaforma, l'NTP sul dispositivo logico è sincronizzato con l'MIO.
    • Configurare le impostazioni NTP sull'applicazione logica stessa. L'ASA in modalità accessorio o in caso di gestione integrata FTD da Firepower Device Manager (FDM).
    • Se l'FTD è gestito dall'FMC (gestione off-box), configurare l'NTP sul FMC.

    Nota: nelle versioni successive alla 9.13(1), è possibile eseguire Firepower 1xxx/2100 per ASA nelle seguenti modalità: modalità accessorio (predefinita) e modalità piattaforma. La modalità accessorio consente di configurare tutte le impostazioni sull'appliance ASA, compresa la modalità NTP. Dalla CLI di FXOS sono disponibili solo comandi avanzati per la risoluzione dei problemi. D'altra parte, in modalità Piattaforma, è necessario configurare le impostazioni di base (incluso NTP) e le impostazioni dell'interfaccia hardware in Gestione chassis (FCM).

    Configurazione dell'NTP sugli accessori FPR 1xxx/2100/41xx/9300

    Passaggio 1. Accedere alla GUI di Firepower Chassis Manager con le credenziali utente Locale e selezionare Platform Settings > NTP. Selezionare il pulsante Add:

    Accedere a Firepower Chassis Manager con le credenziali utente locali

    Passaggio 2. Specificare l'indirizzo IP o il nome host del server NTP (se si utilizza un nome host per il server NTP, è necessario configurare un server DNS).

    Aggiungi server NTP

    Nota: è possibile configurare fino a 4 server NTP

    Verifica

    Verifica della sincronizzazione NTP sugli accessori FPR41xx/9300

    Monitorare lo stato del server.

    Verifica sincronizzazione in corso

    Verifica completamento sincronizzato

    Riferimento stato server

    • Non disponibile: lo stato predefinito viene visualizzato subito dopo la configurazione del server NTP.
    • Non raggiungibile/Non valido: visualizzato in questi scenari:
      • Quando l'indirizzo IP o il nome host del server NTP non è raggiungibile dal protocollo NTP.
      • Quando l'indirizzo IP o il nome host del server NTP è raggiungibile, ma l'host remoto non è un server NTP.
      • Altri errori interni, ad esempio quando l'esecuzione della query non riesce, eccezione generata, stato di sincronizzazione temporale non definito rilevato e così via.
    • Sincronizzazione in corso. Il server è raggiungibile e supporta il protocollo NTP. La convergenza temporale iniziale è ancora in corso e non è stata ancora completata.
    • Sincronizzato: l'host viene dichiarato come peer di sincronizzazione del sistema e l'orologio è sincronizzato con esso.
    • Candidato: l'host è il peer candidato (in standby). Un server NTP candidato indica che si tratta di un server NTP valido che ha comunicato con l'appliance Firepower, ma il modulo è stato sincronizzato con un altro server NTP ed è quindi in standby. Può essere selezionato come peer successivo nella sincronizzazione se viene eliminato quello corrente.
    • Outlier: un server NTP che viene scartato a causa di una grande differenza (scostamento di tempo e ritardo di andata e ritorno) rispetto agli altri server NTP.

    Verifica della configurazione NTP sugli accessori FPR41xx/9300

    Verificare lo stato peer NTP:

    FPR4100-8-A# connect fxos
    FPR4100-8-A(fxos)# show ntp peer-status 
Total peers : 4
* - selected for sync, + -  peer mode(active), 
- - peer mode(passive), = - polled in client mode 
    remote               local                 st   poll   reach delay
------------------------------------------------------------------------
=172.16.38.66           10.62.148.196           1 1024      17   0.20996 
*172.31.201.67          10.62.148.196           1 1024     377   0.03035 
=172.16.38.65           10.62.148.196           1 1024     377   0.19914 
=172.31.20.115         10.62.148.196           1 1024     377   0.02905

    Verificare la configurazione e la sincronizzazione del server NTP:

    FPR4100-8-A# scope system 
    FPR4100-8-A /system # scope services 
    FPR4100-8-A /system/services # show ntp-server detail
    NTP server hostname:
    Name: 172.16.38.65Time Sync Status: Candidate
    NTP SHA-1 key id: 0
    Error Msg:

    Name: 172.16.38.66
    Time Sync Status: Time Sync In Progress
    NTP SHA-1 key id: 0
    Error Msg:

    Name: 172.31.20.115
    Time Sync Status: Candidate
    NTP SHA-1 key id: 0
    Error Msg:

    Name: 172.31.201.67
    Time Sync Status: Time Synchronized
    NTP SHA-1 key id: 0
    Error Msg:

    Verificare l'associazione NTP:

    FPR4100-8-A# connect module 1 console 
    Firepower-module1>show ntp association

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*203.0.113.126   172.31.201.67   2 u   39   64  370    0.070    0.445   0.210

ind assid status  conf reach auth condition  last_event cnt
===========================================================
  1 16696  961a   yes   yes  none  sys.peer    sys_peer  1

associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer,
srcadr=203.0.113.126, srcport=123, dstadr=203.0.113.1, dstport=123,
leap=00, stratum=2, precision=-21, rootdelay=29.053, rootdisp=70.496,
refid=172.31.201.67,
reftime=e24d4bd9.3b680f6d  Fri, Apr 24 2020 11:28:25.232,
rec=e24d4d34.170bd724  Fri, Apr 24 2020 11:34:12.090, reach=370,
unreach=0, hmode=3, pmode=4, hpoll=6, ppoll=6, headway=0,
flash=20 pkt_stratum, keyid=0, offset=0.445, delay=0.070,
dispersion=2.152, jitter=0.210, xleave=0.017,

filtdelay=     0.08    0.11    0.08    0.10    0.07    0.08    0.09    0.07,
filtoffset=    0.17    0.18    0.29    0.29    0.45    0.45    0.69    0.69,
filtdisp=      0.00    0.03    0.99    1.02    2.03    2.06    3.03    3.06

associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer,
remote host:           203.0.113.126:123
local address:         203.0.113.1:123
time last received:    39
time until next send:  26
reachability change:   170025
packets sent:          5048
packets received:      5048
bad authentication:    0
bogus origin:          0
duplicate:             0
bad dispersion:        27
bad reference time:    0

    Verificare le informazioni di sistema NTP:

    FPR4100-8-A# connect module 1 console 
    Firepower-module1>show ntp sysinfo
associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
version="ntpd 4.2.8p11@1.3728-o Sat Dec  8 06:11:47 UTC 2018 (2)",
processor="x86_64", system="Linux/3.10.62-ltsi-WR10.0.0.29_standard",
leap=00, stratum=3, precision=-24, rootdelay=29.129, rootdisp=24.276,
refid=203.0.113.126,
reftime=e24dd3bf.170a6210  Fri, Apr 24 2020 21:08:15.090,
clock=e24dd437.59b86104  Fri, Apr 24 2020 21:10:15.350, peer=16696, tc=6,
mintc=3, offset=0.009911, frequency=7.499, sys_jitter=0.023550,
clk_jitter=0.004, clk_wander=0.001

associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
system peer:        203.0.113.126:123
system peer mode:   client
leap indicator:     00
stratum:            3
log2 precision:     -24
root delay:         29.129
root dispersion:    24.276
reference ID:       203.0.113.126
reference time:     e24dd3bf.170a6210  Fri, Apr 24 2020 21:08:15.090
system jitter:      0.023550
clock jitter:       0.004
clock wander:       0.001
broadcast delay:    -50.000
symm. auth. delay:  0.000

uptime:                 204908
sysstats reset:         204908
packets received:       19928
current version:        6069
older version:          0
bad length or format:   0
authentication failed:  0
declined:               0
restricted:             0
rate limited:           0
KoD responses:          0
processed for time:     6040

associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
pll offset:            0.006196
pll frequency:         7.49899
maximum error:         0.097039
estimated error:       3e-06
kernel status:         pll nano
pll time constant:     6
precision:             1e-06
frequency tolerance:   500
pps frequency:         0
pps stability:         0
pps jitter:            0
calibration interval   0
calibration cycles:    0
jitter exceeded:       0
stability exceeded:    0
calibration errors:    0

time since reset:       204908
receive buffers:        10
free receive buffers:   9
used receive buffers:   0
low water refills:      1
dropped packets:        0
ignored packets:        0
received packets:       19930
packets sent:           26811
packet send failures:   0
input wakeups:          224931
useful input wakeups:   20034

    Verifica della sincronizzazione NTP tra MIO e il dispositivo logico (blade) sui dispositivi FPR41xx/9300

    Sugli FPR41xx/9300 le impostazioni NTP vengono trasferite su FTD tramite MIO (chassis). La configurazione NTP dalla CLI FTD o dall'interfaccia utente FMC non è possibile.

    Ogni blade FTD utilizza un ID riferimento interno: 203.0.113.126 per comunicare con l'MIO per la sincronizzazione temporale e, in base a tale ID, indica se è sincronizzato o meno. L'FTD CLI riflette questo. Nell'esempio, l'IP NTP è l'ID di riferimento interno e non l'IP effettivo del server NTP. Una modifica dell'indirizzo IP del server NTP in FCM non influisce su questo output poiché l'ID di riferimento è sempre lo stesso:

     > show ntp
NTP Server                : 203.0.113.126
Status                    : Being Used
Offset                    : -0.078 (milliseconds)
Last Update               : 43 (seconds)

    Verifica della configurazione NTP sugli accessori FPR1xxx/2100

    Attenzione: questa condizione si applica solo agli accessori FPR1xxx/2100 per ASA in modalità piattaforma.

    firepower-2140# scope system
firepower-2140 /system # scope services
firepower-2140 /system/services # show ntp-server detail

NTP server hostname:
    Name: 172.31.201.67
    Time Sync Status: Time Synchronized
    Error Msg:

    Name: ntp.esl.cisco.com
    Time Sync Status: Candidate
    Error Msg:

    Risoluzione dei problemi comuni

    1. FXOS non è in grado di risolvere il nome host del server NTP

    L'interfaccia utente di FCM mostra:

    FXOS non è in grado di risolvere il nome host del server NTP

    Azione consigliata

    Utilizzare il comando ping per verificare la risoluzione dei nomi host del server NTP

    KSEC-FPR4100-8-A(local-mgmt)# ping ntp.esl.cisco.com
Invalid Host Name.

    Possibili cause

    • Server DNS non configurato.
    • Il server DNS non è in grado di risolvere il nome host.



    2. Problemi di connettività tra FXOS - Server NTP sulla porta UDP 123

    L'interfaccia utente di FCM mostra:

    Problemi di connettività tra il server FXOS-NTP sulla porta UDP 123

    Azione consigliata

    Attenzione: l'acquisizione di Ethanalyzer sull'interfaccia di gestione dello chassis è disponibile solo sugli accessori FPR41xx/9300.

    Acquisire immagini sull'interfaccia di gestione dello chassis e verificare la comunicazione bidirezionale sulla porta UDP 123:

    KSEC- FPR4100-8-A(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 123"
Capturing on 'eth0'
1 2020-04-30 20:09:54.150237760 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
2 2020-04-30 20:14:14.150172804 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
    3 2020-04-30 20:23:13.150171682 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client

    Possibili cause

    • Il server configurato non è un server NTP.
    • Un dispositivo nel percorso, ad esempio un firewall, blocca o modifica il traffico.



    3. Problemi di connettività intermittente tra FXOS e server NTP

    L'interfaccia utente di FCM mostra:

    Problemi di connettività intermittente tra FXOS e server NTP

    Azioni consigliate

    Attenzione: solo per accessori FPR41xx/9300.

    Avviare il processo di sincronizzazione NTP dalla CLI di FXOS

    FPR4100-8-A# connect fxos
FPR4100-8-A(fxos)# ntp sync-retry

    Acquisizione di immagini sull'interfaccia di gestione dello chassis con lo strumento di comando ethanalyzer CLI.

    Possibile causa

    • Problemi intermittenti di connettività tra FXOS e server NTP

    Difetti correlati

    Consultare le Note sulla versione per individuare eventuali difetti noti/corretti.

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    28-Nov-2022
    PII rimossa. Testo alternativo aggiunto. Aggiornamento dei tag dei caratteri, del titolo e dell'introduzione, dei requisiti di stile, della traduzione automatica, dei rilievi e della formattazione.
    1.0
    03-May-2020
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Anita Pietrzyk
      Cisco TAC Engineer
    • Mikis Zafeiroudis
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti