FirepowerおよびセキュアファイアウォールのNTP設定の設定とトラブルシューティング
内容
はじめに
このドキュメントでは、Cisco FirepowerおよびCisco Secure FirewallデバイスでNetwork Time Protocol(NTP)を設定、確認、およびトラブルシューティングする方法について説明します。
前提条件
要件
このドキュメントに関する固有の要件はありません。
使用するコンポーネント
- FXOS 2.3(1.130)および2.8(1.105)を実行するFPR4140。
- ASAプラットフォームモードを実行するFPR2110。
- ASAアプライアンスモードを実行するFPR1140。
- FTD 10.xを実行するCSF220。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
バックグラウンド情報
NTPの動作はプラットフォームによって異なります。
FPR4100/FPR9300、FPR2100(プラットフォームモード)
ASAまたはFTDの時刻は、シャーシのFirepower Chassis Manager(FCM)Management Input/Output(MIO)から取得されます。 MIOはFirepowerシャーシのスーパーバイザです。
FPR1000、FPR2100(アプライアンスモード)、CSF200/3100/4200/6100
FTDでは、時刻はFMCまたはNTPサーバから取得されます。
この導入では、次のドキュメントを確認してください。
関連情報
NTPは時刻の同期に使用されます。NTPは、UDPポート番号123をトランスポートとして使用します。
設定
FPR4100/9300のNTP
キー ポイント
- FPR4100/9300アプライアンスでNTPを設定するには、FCMにログインしてPlatform Settingsタブに移動します。
- 論理デバイス(ASAまたはFTD)のNTPはMIOと同期されます。
- FTDのNTPをFirewall Management Center(FMC)と同期させることはできません。このオプションを選択した場合でも、FTDのNTPはMIOと同期されます。したがって、FMCとFCMでは同じNTPサーバを使用することを強く推奨します。
- FMCはフルブーンのNTPサーバではありません。sftunnelを通じて管理デバイスに時刻設定を提供するだけです。したがって、FPR4100/9300シャーシのNTPサーバとして使用することはできません。
- スマートライセンスを正常にインストールするには、適切なNTP設定が必要です。
CSF200/1200/3100/4200/6100のNTP
- 論理アプリケーション自体でNTP設定を行います。アプライアンスモードのASA、またはFirewall Device Manager(FDM)からのFTDオンボックス管理の場合。
- FTDがFMC(オフボックス管理)で管理されている場合は、FMCでNTPを設定します。
FPR2100/4100/9300でNTPを設定する
- プラットフォームモードのFPR2100アプライアンスでNTPを設定するには、シャーシマネージャからPlatform Settingsタブに移動します。
ステップ 1:ローカルユーザクレデンシャルを使用してChassis Manager GUIにログインし、Platform Settings > NTPの順に選択します。Addボタンを選択します。
ステップ 2NTPサーバのIPアドレスまたはホスト名を指定します(NTPサーバのホスト名を使用する場合は、DNSサーバを設定する必要があります)。
- プラットフォームモードのASAの場合、論理デバイスのNTPはMIOと同期されます。
- アプライアンスモードを使用しているFPR2100のFTDの場合は、FMCでNTPを設定します。
- アプライアンスモードを使用しているFPR2100のASAの場合は、ASAでNTPを設定します。
確認
FPR4100/9300アプライアンスでのNTP同期の確認
サーバのステータスを監視します。
サーバステータスリファレンス
- Not available:NTPサーバ設定の直後に表示されるデフォルトステータス。
- 到達不能/無効:次のシナリオで表示されます。
- NTPサーバのIPアドレスまたはホスト名にNTPプロトコルが到達できない場合。
- NTPサーバのIPアドレスまたはホスト名に到達できるが、リモートホストがNTPサーバではない場合。
- クエリの実行に失敗した場合、例外がスローされた場合、未定義の時刻の同期ステータスが発生した場合など、その他の内部障害。
- Synchronization in progress:サーバに到達でき、NTPプロトコルをサポートしています。初期タイムコンバージェンスはまだ進行中で、まだ完了していません。
- 同期済み:ホストはシステム同期ピアとして宣言され、タイムクロックはそのホストと同期しています。
- Candidate:ホストは(スタンバイ)ピアの候補です。NTPサーバ候補とは、それが有効なサーバであり、Firepowerアプライアンスと正常に通信できるものの、別のNTPサーバと同期されているためスタンバイ側のサーバであることを意味します。現在のピアが削除されると、次の同期ピアとして選択できます。
- アウトライア:他のNTPサーバと大きく異なる(タイムオフセットとラウンドトリップ遅延)ために廃棄されたNTPサーバ。
NTPピアのステータスを確認します。
FPR4100# connect fxos
FPR4100(fxos)# show ntp peer-status Total peers : 4 * - selected for sync, + - peer mode(active), - - peer mode(passive), = - polled in client mode remote local st poll reach delay ------------------------------------------------------------------------ =172.16.38.66 10.62.148.196 1 1024 17 0.20996 *172.31.201.67 10.62.148.196 1 1024 377 0.03035 =172.16.38.65 10.62.148.196 1 1024 377 0.19914 =172.31.20.115 10.62.148.196 1 1024 377 0.02905
NTPサーバの設定と同期を確認します。
FPR4100# scope system
FPR4100 /system # scope services
FPR4100 /system/services # show ntp-server detail
NTP server hostname: Name: 172.16.38.65Time Sync Status: Candidate NTP SHA-1 key id: 0 Error Msg: Name: 172.16.38.66 Time Sync Status: Time Sync In Progress NTP SHA-1 key id: 0 Error Msg: Name: 172.31.20.115 Time Sync Status: Candidate NTP SHA-1 key id: 0 Error Msg: Name: 172.31.201.67 Time Sync Status: Time Synchronized NTP SHA-1 key id: 0 Error Msg:
NTPアソシエーションを確認します。
FPR4100# connect module 1 console
Firepower-module1>show ntp association remote refid st t when poll reach delay offset jitter ============================================================================== *203.0.113.126 172.31.201.67 2 u 39 64 370 0.070 0.445 0.210 ind assid status conf reach auth condition last_event cnt =========================================================== 1 16696 961a yes yes none sys.peer sys_peer 1 associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer, srcadr=203.0.113.126, srcport=123, dstadr=203.0.113.1, dstport=123, leap=00, stratum=2, precision=-21, rootdelay=29.053, rootdisp=70.496, refid=172.31.201.67, reftime=e24d4bd9.3b680f6d Fri, Apr 24 2020 11:28:25.232, rec=e24d4d34.170bd724 Fri, Apr 24 2020 11:34:12.090, reach=370, unreach=0, hmode=3, pmode=4, hpoll=6, ppoll=6, headway=0, flash=20 pkt_stratum, keyid=0, offset=0.445, delay=0.070, dispersion=2.152, jitter=0.210, xleave=0.017, filtdelay= 0.08 0.11 0.08 0.10 0.07 0.08 0.09 0.07, filtoffset= 0.17 0.18 0.29 0.29 0.45 0.45 0.69 0.69, filtdisp= 0.00 0.03 0.99 1.02 2.03 2.06 3.03 3.06 associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer, remote host: 203.0.113.126:123 local address: 203.0.113.1:123 time last received: 39 time until next send: 26 reachability change: 170025 packets sent: 5048 packets received: 5048 bad authentication: 0 bogus origin: 0 duplicate: 0 bad dispersion: 27 bad reference time: 0
NTP sysinfoを確認します。
FPR4100# connect module 1 console
Firepower-module1> show ntp sysinfo associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, version="ntpd 4.2.8p11@1.3728-o Sat Dec 8 06:11:47 UTC 2018 (2)", processor="x86_64", system="Linux/3.10.62-ltsi-WR10.0.0.29_standard", leap=00, stratum=3, precision=-24, rootdelay=29.129, rootdisp=24.276, refid=203.0.113.126, reftime=e24dd3bf.170a6210 Fri, Apr 24 2020 21:08:15.090, clock=e24dd437.59b86104 Fri, Apr 24 2020 21:10:15.350, peer=16696, tc=6, mintc=3, offset=0.009911, frequency=7.499, sys_jitter=0.023550, clk_jitter=0.004, clk_wander=0.001 associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, system peer: 203.0.113.126:123 system peer mode: client leap indicator: 00 stratum: 3 log2 precision: -24 root delay: 29.129 root dispersion: 24.276 reference ID: 203.0.113.126 reference time: e24dd3bf.170a6210 Fri, Apr 24 2020 21:08:15.090 system jitter: 0.023550 clock jitter: 0.004 clock wander: 0.001 broadcast delay: -50.000 symm. auth. delay: 0.000 uptime: 204908 sysstats reset: 204908 packets received: 19928 current version: 6069 older version: 0 bad length or format: 0 authentication failed: 0 declined: 0 restricted: 0 rate limited: 0 KoD responses: 0 processed for time: 6040 associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, pll offset: 0.006196 pll frequency: 7.49899 maximum error: 0.097039 estimated error: 3e-06 kernel status: pll nano pll time constant: 6 precision: 1e-06 frequency tolerance: 500 pps frequency: 0 pps stability: 0 pps jitter: 0 calibration interval 0 calibration cycles: 0 jitter exceeded: 0 stability exceeded: 0 calibration errors: 0 time since reset: 204908 receive buffers: 10 free receive buffers: 9 used receive buffers: 0 low water refills: 1 dropped packets: 0 ignored packets: 0 received packets: 19930 packets sent: 26811 packet send failures: 0 input wakeups: 224931 useful input wakeups: 20034
その他の検証:
FTD220 /eth-uplink # scope eth-uplink ; scope fabric a
FTD220 /eth-uplink/fabric # show ntp-overall-status
NTP Overall Time-Sync Status: Time Synchronized
FPR4100/9300アプライアンスでのMIOと論理デバイス(ブレード)間のNTP同期の確認
FPR4100/9300では、NTP設定はMIO(シャーシ)経由でFTDにプッシュされます。 FTD CLIまたはFMC UIからのNTP設定はできません。
各FTDブレードは、内部参照ID 203.0.113.126を使用してMIOと通信し、時刻を同期し、それに基づいて同期されているかどうかを示します。FTD CLIにはこれが反映されます。この例のNTP IPは、実際のNTPサーバのIPではなく、内部のref-idです。FCMでNTPサーバのIPを変更しても、reference-idは常に同じであるため、この出力には影響しません。
> show ntp NTP Server : 203.0.113.126 Status : Being Used Offset : -0.078 (milliseconds) Last Update : 43 (seconds)
FRP2100プラットフォームモードおよびCSF200/1200/3100/4200/6100でNTP設定を確認します。
FTD220# scope system
FTD220 /system # scope services
FTD220 /system/services # show ntp-server detail
NTP server hostname:
Name: 172.31.201.67
Time Sync Status: Time Synchronized
Error Msg:
FTDでは、CLISHモードからNTP設定を確認することもできます。
> show ntp
NTP Server : 172.31.201.67
Status : Being Used
Offset : +0.819 (milliseconds)
Last Update : 3 (seconds)
NTP Server : 127.127.1.1
Status : Available
Offset : +0.000 (milliseconds)
Last Update : 418 (seconds)
FTDがFMCから時刻を取得している場合は、IPアドレス127.0.0.2が表示されます。
FTD220 /system/services # show ntp-server detail expand
NTP server hostname:
Name: 127.0.0.2
Time Sync Status: Time Synchronized
Error Msg:
この場合、CLISHからはIPアドレス127.0.0.2も表示されます。
> show ntp
NTP Server : 127.0.0.2
Status : Being Used
Offset : +0.008 (milliseconds)
Last Update : 6 (seconds)
NTP Server : 127.127.1.1
Status : Available
Offset : +0.000 (milliseconds)
Last Update : - (seconds)
一般的な問題のトラブルシューティング
1. FXOSがNTPサーバホスト名を解決できない
FCM UIには次のように表示されます。
推奨アクション
pingコマンドを使用して、NTPサーバのホスト名解決を確認します
FPR4100(local-mgmt)# ping ntp.esl.cisco.com Invalid Host Name.
考えられる原因
- DNSサーバが設定されていません。
- DNSサーバがホスト名を解決できません。
2. FXOSとUDPポート123のNTPサーバ間の接続の問題
FCM UIには次のように表示されます。
推奨アクション
シャーシ管理インターフェイスでキャプチャを取得し、UDPポート123での双方向通信を確認します。
FPR4100(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 123" Capturing on 'eth0' 1 2020-04-30 20:09:54.150237760 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client 2 2020-04-30 20:14:14.150172804 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
3 2020-04-30 20:23:13.150171682 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
考えられる原因
- 設定されたサーバはNTPサーバではありません。
- パス内のデバイス(ファイアウォールなど)は、トラフィックをブロックまたは変更します。
3. FXOSとNTPサーバ間で接続が断続する問題
FCM UIには次のように表示されます。
推奨される対処法
FXOS CLIからNTP同期プロセスを開始します
FPR4100# connect fxos FPR4100(fxos)# ntp sync-retry
ethanalyzer CLIコマンドツールを使用して、シャーシ管理インターフェイスのキャプチャを取得します。
考えられる原因
- FXOSとNTPサーバ間の接続が断続的になる問題
関連する障害
既知の問題と修正済みの不具合については、リリースノートを確認してください。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
5.0 |
26-May-2026
|
スペース、文法、スペルが更新されました。 |
4.0 |
25-May-2026
|
再認定 |
3.0 |
14-May-2025
|
書式に関する小さな問題。 |
2.0 |
28-Nov-2022
|
PIIを削除。
代替テキストが追加されました。
フォントタグ、タイトルと概要、スタイル要件、機械翻訳、言語とフォーマットを更新。 |
1.0 |
03-May-2020
|
初版 |
フィードバック