ASA 8.x - Synchroniseer de Meervoudige Context Mode met NTP-server

Downloadopties

PDF (278.2 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (88.3 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (75.6 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:18 juli 2012

Document-id:113620

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Conventies

Configureren

Netwerkdiagram

ASDM-configuratie

FWSM in meervoudige contextmodus als NTP-client

Verifiëren

Problemen oplossen

Fout: Peer/server-klok niet gesynchroniseerd

Probleem: Kan klok niet synchroniseren met NTP-server

Opdrachten voor troubleshooting

Gerelateerde informatie

Inleiding

Dit document biedt een voorbeeldconfiguratie van hoe u de kloktijd van de Cisco adaptieve security applicatie (ASA) in meervoudige contextmodus kunt synchroniseren met die van een Network Time Protocol (NTP)-server.

NTP is een protocol dat wordt gebruikt om de klokken van verschillende netwerkentiteiten te synchroniseren. Het gebruikt UDP/123. De primaire reden om dit protocol te gebruiken is om de gevolgen van veranderlijke latentie over de gegevensnetwerken te vermijden.

In dit scenario is Cisco ASA in de meervoudige contextmodus. Admin en Test1 zijn de twee verschillende contexten. Om Cisco ASA als een NTP-client te kunnen configureren, moet u de opdracht NTP Server alleen specificeren in de ruimte voor systeemuitvoering omdat deze opdracht de contextmodus niet ondersteunt.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

Cisco ASA met softwarerelease versie 8.2 en hoger
Cisco Adaptieve Security Device Manager (ASDM) met softwarerelease versie 6.3 en hoger

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Configureren

In deze sectie krijgt u de informatie die nodig is om de in dit document beschreven functies te kunnen configureren.

Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

ASDM-configuratie

Voltooi de volgende stappen om de ASDM te configureren:

Klik op Systeem onder Cisco ASA om de systeemuitvoeringsruimte te verifiëren.
Ga naar Configuratie > Apparaatbeheer > Systeemtijd > NTP, en klik op Toevoegen.
Het venster Add NTP Server Configuration verschijnt. Specificeer het IP-adres van de interface die aan de NTP-server is gekoppeld en specificeer de verificatie-sleuteldetails. Klik op OK.

Opmerking: NTP-servergegevens moeten binnen het contextsysteem worden gespecificeerd. Aangezien de ruimte voor systeemuitvoering echter geen interfaces in meervoudige contextmodus bevat, moet u een interfacenaam specificeren (dat wil zeggen, gedefinieerd binnen de Admin-context).
Bekijk de NTP Server details in dit venster:

Dit is de equivalente CLI-configuratie van Cisco ASA, voor uw referentie:

Cisco ASA
ciscoasa# show run : Saved : ASA Version 8.2(1) <system> ! terminal width 511 hostname ciscoasa enable password 2KFQnbNIdI.2KYOU encrypted no mac-address auto ! interface Ethernet0/0 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 shutdown ! interface Management0/0 shutdown ! class default limit-resource All 0 limit-resource ASDM 5 limit-resource SSH 5 limit-resource Telnet 5 ! ftp mode passive clock timezone GMT 0 pager lines 10 no failover asdm image disk0:/asdm-635.bin asdm history enable arp timeout 14400 console timeout 0 admin-context admin context admin allocate-interface Ethernet0/0 allocate-interface Ethernet0/1 allocate-interface Ethernet0/2 allocate-interface Ethernet0/3 config-url disk0:/admin.cfg ! context Test1 allocate-interface Ethernet0/1 allocate-interface Ethernet0/3 config-url disk0:/Test1.cfg ! !--- This command is used to set a key to !--- authenticate with an NTP server. ntp authentication-key 10 md5 * !--- This command is used to configure the !--- NTP server IP address and the interface associated. ntp server 192.168.100.10 source inside username Test password I2xAvC8b372aLGtP encrypted privilege 15 username Cisco password dDFIeex1zkFMaVXs encrypted privilege 15 !--- Output suppressed. ! prompt hostname context Cryptochecksum:ae65e1f96123ea351ca1086c22f3ebc7 : end ciscoasa#

Cisco ASA

ciscoasa# show run
: Saved
:
ASA Version 8.2(1) <system>
!
terminal width 511
hostname ciscoasa
enable password 2KFQnbNIdI.2KYOU encrypted
no mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
 shutdown
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
clock timezone GMT 0
pager lines 10
no failover
asdm image disk0:/asdm-635.bin
asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  allocate-interface Ethernet0/0
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/2
  allocate-interface Ethernet0/3
  config-url disk0:/admin.cfg
!

context Test1
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/3
  config-url disk0:/Test1.cfg
!

!--- This command is used to set a key to !--- authenticate with an NTP server.

ntp authentication-key 10 md5 *

!--- This command is used to configure the !--- NTP server IP address and the interface associated.

ntp server 192.168.100.10 source inside
username Test password I2xAvC8b372aLGtP encrypted privilege 15
username Cisco password dDFIeex1zkFMaVXs encrypted privilege 15

!--- Output suppressed.

!

prompt hostname context
Cryptochecksum:ae65e1f96123ea351ca1086c22f3ebc7
: end
ciscoasa#

FWSM in meervoudige contextmodus als NTP-client

Cisco Firewall Service Module (FWSM) ondersteunt de NTP-configuratie niet afzonderlijk. De FWSM kloktijd wordt automatisch gesynchroniseerd met de kloktijd van de Catalyst Switch als de module wordt opgestart. Als de Catalyst Switch zelf gesynchroniseerd is met een NTP-server, zal de FWSM die kloktijd erven.

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.

toon ntp status - toont de status van elke NTP vereniging.

ciscoasa# show ntp status
Clock is synchronized, stratum 10, reference is 192.168.100.10
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is d3a93668.7b6b6155 (11:41:28.482 GMT Thu Jul 12 2012)
clock offset is -2.0439 msec, root delay is 1.48 msec
root dispersion is 3894.03 msec, peer dispersion is 3891.95 msec

toon ntp associaties - Toont de informatie betreffende de NTP associatie.

ciscoasa# show ntp associations
      address         ref clock     st  when  poll reach  delay  offset    disp
*~192.168.100.10   127.127.7.1       9     7    64    7     1.5   -2.04  3892.0
 * master (synced), # master (unsynced), + selected, - candidate, ~ configured

ciscoasa# show ntp associations detail

192.168.100.10 configured, our_master, sane, valid, stratum 9
ref ID 127.127.7.1, time d3aa5d7a.d8cf2704 (08:40:26.846 GMT Fri Jul 13 2012)
our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
root delay 0.00 msec, root disp 0.03, reach 377, sync dist 16.602
delay 1.71 msec, offset 1.3664 msec, dispersion 15.72
precision 2**16, version 3
org time d3aa5d8a.68391cb8 (08:40:42.407 GMT Fri Jul 13 2012)
rcv time d3aa5d8a.6817b624 (08:40:42.406 GMT Fri Jul 13 2012)
xmt time d3aa5d8a.67a3f2da (08:40:42.404 GMT Fri Jul 13 2012)
filtdelay =     1.71    1.60    1.57    1.68    1.59    1.66    1.65    1.65
filtoffset =    1.37    1.41    1.50    1.52    1.63    1.61    1.56    1.53
filterror =    15.63   31.25   46.88   62.50   78.13   93.75  109.38  125.00

Problemen oplossen

Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.

Fout: Peer/server-klok niet gesynchroniseerd

Cisco ASA synchroniseert niet met de NTP-server en deze foutmelding wordt ontvangen:

NTP: packet from 192.168.1.1 failed validity tests 20
 Peer/Server Clock unsynchronized

Oplossing:

Schakel de NTP-debugs in en controleer deze uitvoer in detail:

ciscoasa(config)# NTP: xmit packet to 192.168.1.1:
   leap 3, mode 3, version 3, stratum 0, ppoll 64

Het ziet eruit alsof de NTP Server is geconfigureerd met een stratum nul, die is gespecificeerd als "Niet gespecificeerd" zoals per RFC 1305.

Om deze fout op te lossen, definieert u het stratumnummer van de NTP-server tussen 6-10.

Probleem: Kan klok niet synchroniseren met NTP-server

Cisco ASA werd geconfigureerd als NTP-client, maar de synchronisatie werkt niet en deze uitvoer wordt ontvangen:

ciscoasa# show ntp status
Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is d3a93395.388e423c (11:29:25.220 GMT Thu Jul 12 2012)
clock offset is -4050.4142 msec, root delay is 1.21 msec
root dispersion is 19941.07 msec, peer dispersion is 16000.00 msec

Oplossing:

Controleer de volgende items om dit probleem op te lossen:

Controleer of de NTP-server bereikbaar is via Cisco ASA. Voer de ping-test uit en controleer de routing.
Zorg ervoor dat de Cisco ASA-configuratie intact is en overeenkomt met de parameters van de NTP-server.
Schakel de NTP debug opdrachten in om verder te graven.

Opdrachten voor troubleshooting

De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.

Opmerking: raadpleeg Belangrijke informatie over debug-opdrachten voordat u debug-opdrachten gebruikt.

debug ntp-pakket - toont berichten over NTP-pakketten.
debug ntp event - toont berichten over NTP gebeurtenissen.

Gerelateerde informatie

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
1.0	18-Jul-2012	Eerste vrijgave

Was dit document nuttig?

Feedback

Contact Cisco

Een ondersteuningscase openen
(Vereist een Cisco-servicecontract)