NTP-instellingen configureren en oplossen voor Firepower en Secure Firewall
Inhoud
Inleiding
In dit document wordt beschreven hoe u Network Time Protocol (NTP) op Cisco Firepower- en Cisco Secure Firewall-apparaten configureert, verifieert en problemen oplost.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
- FPR4140 met FXOS 2.3 (1.130) en 2.8 (1.105).
- FPR2110 met ASA-platformmodus.
- FPR1140 met ASA-toestelmodus.
- CSF220 met FTD 10.x.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
De werking van NTP is afhankelijk van het platform.
FPR4100/FPR9300, FPR2100 (platformmodus)
De ASA- of FTD-tijd is afkomstig van de Firepower Chassis Manager (FCM) Management Input/Output (MIO) van het chassis. MIO is de supervisor van het Firepower-chassis.
FPR1000, FPR2100 (toestelmodus), CSF200/3100/4200/6100
Bij FTD wordt de tijd genomen van de FMC of van een NTP-server:
Controleer voor deze implementatie de volgende documenten:
- NTP-tijdsynchronisatie configureren voor bescherming tegen bedreigingen
- Problemen oplossen met Network Time Protocol (NTP) op Firepower-systemen
Aanvullende informatie:
NTP wordt gebruikt voor tijdsynchronisatie. NTP gebruikt als transportmiddel het UDP-poortnummer 123.
Configureren
NTP op FPR4100/9300
Belangrijkste punten
- Als u NTP op een FPR4100/9300-toestel wilt configureren, meldt u zich aan bij FCM en navigeert u naar het tabblad Platforminstellingen.
- De NTP op de logische apparaten (ASA of FTD) wordt gesynchroniseerd met de MIO.
- Er is geen mogelijkheid om NTP op FTD te synchroniseren met Firewall Management Center (FMC), zelfs als u die optie kiest, wordt NTP op FTD gesynchroniseerd met MIO. Het wordt daarom sterk aanbevolen dat FMC en FCM dezelfde NTP-server gebruiken.
- De FMC is geen volledige NTP-server. Het kan alleen tijdsinstellingen bieden aan zijn beheerde apparaten via de sftunnel. Het kan dus niet worden gebruikt als de NTP-server voor het FPR4100/9300-chassis.
- Een goede NTP-configuratie is vereist voor een succesvolle installatie van de Smart License.
NTP op CSF200/1200/3100/4200/6100
- Configureer de NTP-instellingen op de logische toepassing zelf. De ASA in toestelmodus of in het geval van FTD on-box beheer van de Firewall Device Manager (FDM).
- Als de FTD wordt beheerd door de FMC (off-box management), configureert u de NTP op de FMC.
De NTP configureren op FPR2100/4100/9300
- Als u NTP op een FPR2100-toestel in platformmodus wilt configureren, gaat u naar het tabblad Platforminstellingen van chassisbeheer.
Stap 1. Meld u aan bij de gebruikersinterface van chassisbeheer met de lokale gebruikersreferenties en navigeer naar Platforminstellingen > NTP. Selecteer de knop Toevoegen:
Stap 2. Geef het IP-adres of de hostnaam van de NTP-server op (als u een hostnaam voor de NTP-server gebruikt, moet u een DNS-server configureren).
- In het geval van een ASA in platformmodus wordt de NTP op het logische apparaat gesynchroniseerd met de MIO.
- Voor FTD op FPR2100 die de toestelmodus gebruikt, configureert u de NTP op FMC.
- Voor ASA op FPR2100 die de toestelmodus gebruikt, configureert u de NTP op de ASA.
Verifiëren
Verifieer de NTP-synchronisatie op FPR4100/9300-toestellen
De serverstatus bewaken.
Referentie serverstatus
- Niet beschikbaar: De standaardstatus wordt direct na de configuratie van de NTP-server weergegeven.
- Onbereikbaar/ongeldig: weergegeven in deze scenario's:
- Wanneer het IP-adres of de hostnaam van de NTP-server onbereikbaar is voor het NTP-protocol.
- Wanneer het IP-adres of de hostnaam van de NTP-server bereikbaar is, maar de externe host geen NTP-server is.
- Andere interne fouten, zoals wanneer de query niet wordt uitgevoerd, uitzondering wordt gegenereerd, ongedefinieerde synchronisatiestatus wordt aangetroffen, enzovoort.
- Synchronisatie aan de gang: de server is bereikbaar en ondersteunt het NTP-protocol, de eerste tijdconvergentie is nog steeds aan de gang en is nog niet voltooid.
- Gesynchroniseerd: De host wordt gedeclareerd als de systeemsynchronisatiepeer en de tijdklok is ermee gesynchroniseerd.
- Kandidaat: De gastheer is de kandidaat (standby) peer. Een kandidaat-NTP-server betekent dat het een geldige is en met succes heeft gecommuniceerd met het Firepower-toestel, maar de module is gesynchroniseerd met een andere NTP-server, dus het is de standby-server. Het kan worden geselecteerd als de volgende in-sync peer als de huidige wordt verwijderd.
- Uitschieter: een NTP-server die wordt weggegooid vanwege een aanzienlijk verschil (tijdverschuiving en vertraging van de retourvlucht) in vergelijking met de rest van de NTP-servers.
Controleer de NTP-peer-status:
FPR4100# connect fxos
FPR4100(fxos)# show ntp peer-status Total peers : 4 * - selected for sync, + - peer mode(active), - - peer mode(passive), = - polled in client mode remote local st poll reach delay ------------------------------------------------------------------------ =172.16.38.66 10.62.148.196 1 1024 17 0.20996 *172.31.201.67 10.62.148.196 1 1024 377 0.03035 =172.16.38.65 10.62.148.196 1 1024 377 0.19914 =172.31.20.115 10.62.148.196 1 1024 377 0.02905
Controleer de configuratie en synchronisatie van de NTP-server:
FPR4100# scope system
FPR4100 /system # scope services
FPR4100 /system/services # show ntp-server detail
NTP server hostname: Name: 172.16.38.65Time Sync Status: Candidate NTP SHA-1 key id: 0 Error Msg: Name: 172.16.38.66 Time Sync Status: Time Sync In Progress NTP SHA-1 key id: 0 Error Msg: Name: 172.31.20.115 Time Sync Status: Candidate NTP SHA-1 key id: 0 Error Msg: Name: 172.31.201.67 Time Sync Status: Time Synchronized NTP SHA-1 key id: 0 Error Msg:
Controleer de NTP-associatie:
FPR4100# connect module 1 console
Firepower-module1>show ntp association remote refid st t when poll reach delay offset jitter ============================================================================== *203.0.113.126 172.31.201.67 2 u 39 64 370 0.070 0.445 0.210 ind assid status conf reach auth condition last_event cnt =========================================================== 1 16696 961a yes yes none sys.peer sys_peer 1 associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer, srcadr=203.0.113.126, srcport=123, dstadr=203.0.113.1, dstport=123, leap=00, stratum=2, precision=-21, rootdelay=29.053, rootdisp=70.496, refid=172.31.201.67, reftime=e24d4bd9.3b680f6d Fri, Apr 24 2020 11:28:25.232, rec=e24d4d34.170bd724 Fri, Apr 24 2020 11:34:12.090, reach=370, unreach=0, hmode=3, pmode=4, hpoll=6, ppoll=6, headway=0, flash=20 pkt_stratum, keyid=0, offset=0.445, delay=0.070, dispersion=2.152, jitter=0.210, xleave=0.017, filtdelay= 0.08 0.11 0.08 0.10 0.07 0.08 0.09 0.07, filtoffset= 0.17 0.18 0.29 0.29 0.45 0.45 0.69 0.69, filtdisp= 0.00 0.03 0.99 1.02 2.03 2.06 3.03 3.06 associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer, remote host: 203.0.113.126:123 local address: 203.0.113.1:123 time last received: 39 time until next send: 26 reachability change: 170025 packets sent: 5048 packets received: 5048 bad authentication: 0 bogus origin: 0 duplicate: 0 bad dispersion: 27 bad reference time: 0
Controleer het NTP-sysinfo:
FPR4100# connect module 1 console
Firepower-module1> show ntp sysinfo associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, version="ntpd 4.2.8p11@1.3728-o Sat Dec 8 06:11:47 UTC 2018 (2)", processor="x86_64", system="Linux/3.10.62-ltsi-WR10.0.0.29_standard", leap=00, stratum=3, precision=-24, rootdelay=29.129, rootdisp=24.276, refid=203.0.113.126, reftime=e24dd3bf.170a6210 Fri, Apr 24 2020 21:08:15.090, clock=e24dd437.59b86104 Fri, Apr 24 2020 21:10:15.350, peer=16696, tc=6, mintc=3, offset=0.009911, frequency=7.499, sys_jitter=0.023550, clk_jitter=0.004, clk_wander=0.001 associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, system peer: 203.0.113.126:123 system peer mode: client leap indicator: 00 stratum: 3 log2 precision: -24 root delay: 29.129 root dispersion: 24.276 reference ID: 203.0.113.126 reference time: e24dd3bf.170a6210 Fri, Apr 24 2020 21:08:15.090 system jitter: 0.023550 clock jitter: 0.004 clock wander: 0.001 broadcast delay: -50.000 symm. auth. delay: 0.000 uptime: 204908 sysstats reset: 204908 packets received: 19928 current version: 6069 older version: 0 bad length or format: 0 authentication failed: 0 declined: 0 restricted: 0 rate limited: 0 KoD responses: 0 processed for time: 6040 associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, pll offset: 0.006196 pll frequency: 7.49899 maximum error: 0.097039 estimated error: 3e-06 kernel status: pll nano pll time constant: 6 precision: 1e-06 frequency tolerance: 500 pps frequency: 0 pps stability: 0 pps jitter: 0 calibration interval 0 calibration cycles: 0 jitter exceeded: 0 stability exceeded: 0 calibration errors: 0 time since reset: 204908 receive buffers: 10 free receive buffers: 9 used receive buffers: 0 low water refills: 1 dropped packets: 0 ignored packets: 0 received packets: 19930 packets sent: 26811 packet send failures: 0 input wakeups: 224931 useful input wakeups: 20034
Aanvullende verificatie:
FTD220 /eth-uplink # scope eth-uplink ; scope fabric a
FTD220 /eth-uplink/fabric # show ntp-overall-status
NTP Overall Time-Sync Status: Time Synchronized
Verifieer de NTP-synchronisatie tussen MIO en Logical Device (Blade) op FPR4100/9300-toestellen
Op de FPR4100/9300 worden de NTP-instellingen via het MIO (chassis) naar FTD gepusht. De NTP-configuratie van de FTD CLI of de FMC UI is niet mogelijk.
Elke FTD-blade gebruikt een interne referentie-id: 203.0.113.126 om te communiceren met de MIO voor tijdsynchronisatie en op basis daarvan wordt weergegeven of deze is gesynchroniseerd of niet. De FTD CLI weerspiegelt dit. De NTP IP in dit voorbeeld is de interne ref-id, niet de werkelijke NTP Server IP. Een wijziging van de IP van de NTP-server in de FCM heeft geen invloed op deze uitvoer, omdat de referentie-id altijd hetzelfde is:
> show ntp NTP Server : 203.0.113.126 Status : Being Used Offset : -0.078 (milliseconds) Last Update : 43 (seconds)
Controleer de NTP-configuratie in de FRP2100-platformmodus en CSF200/1200/3100/4200/6100:
FTD220# scope system
FTD220 /system # scope services
FTD220 /system/services # show ntp-server detail
NTP server hostname:
Name: 172.31.201.67
Time Sync Status: Time Synchronized
Error Msg:
Op FTD kunt u ook de NTP-instellingen controleren vanuit de CLISH-modus:
> show ntp
NTP Server : 172.31.201.67
Status : Being Used
Offset : +0.819 (milliseconds)
Last Update : 3 (seconds)
NTP Server : 127.127.1.1
Status : Available
Offset : +0.000 (milliseconds)
Last Update : 418 (seconds)
Als de FTD zijn tijd krijgt van FMC, ziet u het IP-adres 127.0.0.2:
FTD220 /system/services # show ntp-server detail expand
NTP server hostname:
Name: 127.0.0.2
Time Sync Status: Time Synchronized
Error Msg:
In dit geval ziet u van CLISH ook het IP-adres 127.0.0.2:
> show ntp
NTP Server : 127.0.0.2
Status : Being Used
Offset : +0.008 (milliseconds)
Last Update : 6 (seconds)
NTP Server : 127.127.1.1
Status : Available
Offset : +0.000 (milliseconds)
Last Update : - (seconds)
Veelvoorkomende problemen oplossen
1. FXOS kan de NTP Server-hostnaam niet oplossen
De FCM UI toont:
Aanbevolen actie
Gebruik de opdracht ping om de NTP-serverhostnaamomzetting te controleren
FPR4100(local-mgmt)# ping ntp.esl.cisco.com Invalid Host Name.
Mogelijke oorzaken
- De DNS-server is niet geconfigureerd.
- De DNS-server kan de hostnaam niet oplossen.
2. Connectiviteitsproblemen tussen FXOS en de NTP-server op UDP-poort 123
De FCM UI toont:
Aanbevolen actie
Maak opnamen op de interface voor chassisbeheer en controleer de bidirectionele communicatie op UDP-poort 123:
FPR4100(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 123" Capturing on 'eth0' 1 2020-04-30 20:09:54.150237760 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client 2 2020-04-30 20:14:14.150172804 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
3 2020-04-30 20:23:13.150171682 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
Mogelijke oorzaken
- De geconfigureerde server is geen NTP-server.
- Een apparaat in het pad (bijvoorbeeld een firewall) blokkeert of wijzigt het verkeer.
3. Problemen met intermitterende connectiviteit tussen FXOS en NTP-server
De FCM UI toont:
Aanbevolen acties
Start het NTP-synchronisatieproces vanuit de FXOS CLI
FPR4100# connect fxos FPR4100(fxos)# ntp sync-retry
Maak opnamen op de interface voor chassisbeheer met ethanalyzer CLI-opdrachtregelprogramma.
Mogelijke oorzaak
- Intermitterende verbindingsproblemen tussen FXOS en de NTP-server
Gerelateerde gebreken
Controleer de Release Notes op bekende/vaste defecten.
Gerelateerde informatie
- FXOS-configuratiehandleidingen
- Problemen oplossen met Network Time Protocol (NTP) op Firepower-systemen
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
5.0 |
26-May-2026
|
Bijgewerkte spatie, grammatica en spelling. |
4.0 |
25-May-2026
|
hercertificering |
3.0 |
14-May-2025
|
Kleine opmaakproblemen. |
2.0 |
28-Nov-2022
|
Verwijderde PII.
Alt-tekst toegevoegd.
Bijgewerkte lettertypetags, titel en introductie, stijlvereisten, machinevertaling, achtergronden en opmaak. |
1.0 |
03-May-2020
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)