NTP-instellingen configureren en oplossen op Firepower-apparaten
Inhoud
Inleiding
In dit document wordt beschreven hoe u Network Time Protocol (NTP) op Firepower FXOS-apparaten kunt configureren, controleren en oplossen van problemen.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
- FPR4140 met FXOS 2.3 (1.130) en 2.8 (1.105)
- FPR2110 met ASA-platformmodus
- FPR1140 met ASA-toestelmodus
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Bij Firepower is de werking van NTP afhankelijk van het platform.
FPR41xx/FPR9300
De ASA- of FTD-tijd is afkomstig van de Firepower Chassis Manager (FCM) Management Input/Output (MIO) van het chassis. MIO is de supervisor van het Firepower-chassis.
FPR1xxx/FPR2100
Bij FTD wordt de tijd genomen van het FMC:
Controleer voor deze implementatie de volgende documenten:
- NTP-tijdsynchronisatie configureren voor bescherming tegen bedreigingen
- Problemen oplossen met Network Time Protocol (NTP) op Firepower-systemen
Aanvullende informatie
NTP wordt gebruikt voor tijdsynchronisatie. NTP gebruikt als transportmiddel het UDP-poortnummer 123.
Ondersteunde NTP-versies op FXOS:
- FXOS 10.2.2.7 en hoger gebruiken NTP versie 3
- Oudere FXOS dan 10.2.2.7 gebruiken NTP versie 2
Ondersteunde versie gewijzigd als gevolg van Cisco bug ID CSCve58269
- NTP: verander v2 naar v3
Configureren
NTP op FPR 41xx/9300
Belangrijkste punten
- Als u NTP wilt configureren op een Firepower 41xx/9300-toestel, meldt u zich aan bij FCM en navigeert u naar het tabblad Platform-instellingen.
- De NTP op de logische apparaten (ASA of FTD) wordt gesynchroniseerd met de MIO.
- Momenteel is er geen mogelijkheid om NTP op FTD te synchroniseren met Firepower Management Center (FMC), zelfs als u die optie kiest, wordt NTP op FTD gesynchroniseerd met MIO. Het wordt daarom sterk aanbevolen dat FMC en FCM dezelfde NTP-server gebruiken.
- De FMC is geen volledige NTP-server. Het kan alleen tijdsinstellingen bieden aan zijn beheerde apparaten via de sftunnel. Het kan dus niet worden gebruikt als de NTP-server voor het Firepower 41xx/9300-chassis.
- Een goede NTP-configuratie is vereist voor een succesvolle installatie van de Smart License.
NTP op FPR 1xxx/2100
- Als u NTP wilt configureren op een Firepower 1xxx/2100-toestel, gaat u naar het tabblad Platforminstellingen van Firepower Chassis Manager (FCM), Firepower for ASA in de platformmodus.
- In het geval van een ASA in Platform-modus wordt de NTP op het logische apparaat gesynchroniseerd met de MIO.
- Configureer de NTP-instellingen op de logische toepassing zelf. De ASA in toestelmodus of in het geval van FTD on-box beheer van de Firepower Device Manager (FDM).
- Als de FTD wordt beheerd door de FMC (off-box management), configureert u de NTP op de FMC.
De NTP configureren op FPR 1xxx/2100/41xx/9300-apparaten
Stap 1. Meld u aan bij de gebruikersinterface van Firepower Chassis Manager met de referenties van de lokale gebruiker en navigeer naar Platforminstellingen > NTP. Selecteer de knop Toevoegen:
Stap 2. Geef het IP-adres of de hostnaam van de NTP-server op (Als u een hostnaam voor de NTP-server gebruikt, moet u een DNS-server configureren).
Verifiëren
Verifieer de NTP-synchronisatie op FPR41xx/9300-toestellen
De serverstatus bewaken.
Referentie serverstatus
- Niet beschikbaar: De standaardstatus wordt direct na de configuratie van de NTP-server weergegeven.
- Onbereikbaar/ongeldig: weergegeven in deze scenario's:
- Wanneer het IP-adres of de hostnaam van de NTP-server onbereikbaar is voor het NTP-protocol.
- Wanneer het IP-adres of de hostnaam van de NTP-server bereikbaar is, maar de externe host geen NTP-server is.
- Andere interne fouten, zoals wanneer de query niet wordt uitgevoerd, uitzondering wordt gegenereerd, ongedefinieerde synchronisatiestatus wordt aangetroffen, enzovoort.
- Synchronisatie aan de gang: de server is bereikbaar en ondersteunt het NTP-protocol, de eerste tijdconvergentie is nog steeds aan de gang en is nog niet voltooid.
- Gesynchroniseerd: De host wordt gedeclareerd als de systeemsynchronisatiepeer en de tijdklok is ermee gesynchroniseerd.
- Kandidaat: De gastheer is de kandidaat (standby) peer. Een kandidaat-NTP-server betekent dat het een geldige is en met succes heeft gecommuniceerd met het Firepower-toestel, maar de module is gesynchroniseerd met een andere NTP-server, dus het is de standby-server. Het kan worden geselecteerd als de volgende in-sync peer als de huidige wordt verwijderd.
- Uitschieter: Een NTP-server die wordt weggegooid vanwege een groot verschil (tijdverschuiving en retourvertraging) in vergelijking met de rest van de NTP-servers.
Verifieer de NTP-configuratie op FPR41xx/9300-toestellen
Controleer de NTP-peer-status:
FPR4100-8-A# connect fxos
FPR4100-8-A(fxos)# show ntp peer-status Total peers : 4 * - selected for sync, + - peer mode(active), - - peer mode(passive), = - polled in client mode remote local st poll reach delay ------------------------------------------------------------------------ =172.16.38.66 10.62.148.196 1 1024 17 0.20996 *172.31.201.67 10.62.148.196 1 1024 377 0.03035 =172.16.38.65 10.62.148.196 1 1024 377 0.19914 =172.31.20.115 10.62.148.196 1 1024 377 0.02905
Controleer de configuratie en synchronisatie van de NTP-server:
FPR4100-8-A# scope system
FPR4100-8-A /system # scope services
FPR4100-8-A /system/services # show ntp-server detail
NTP server hostname: Name: 172.16.38.65Time Sync Status: Candidate NTP SHA-1 key id: 0 Error Msg: Name: 172.16.38.66 Time Sync Status: Time Sync In Progress NTP SHA-1 key id: 0 Error Msg: Name: 172.31.20.115 Time Sync Status: Candidate NTP SHA-1 key id: 0 Error Msg: Name: 172.31.201.67 Time Sync Status: Time Synchronized NTP SHA-1 key id: 0 Error Msg:
Controleer de NTP-associatie:
FPR4100-8-A# connect module 1 console
Firepower-module1>show ntp association remote refid st t when poll reach delay offset jitter ============================================================================== *203.0.113.126 172.31.201.67 2 u 39 64 370 0.070 0.445 0.210 ind assid status conf reach auth condition last_event cnt =========================================================== 1 16696 961a yes yes none sys.peer sys_peer 1 associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer, srcadr=203.0.113.126, srcport=123, dstadr=203.0.113.1, dstport=123, leap=00, stratum=2, precision=-21, rootdelay=29.053, rootdisp=70.496, refid=172.31.201.67, reftime=e24d4bd9.3b680f6d Fri, Apr 24 2020 11:28:25.232, rec=e24d4d34.170bd724 Fri, Apr 24 2020 11:34:12.090, reach=370, unreach=0, hmode=3, pmode=4, hpoll=6, ppoll=6, headway=0, flash=20 pkt_stratum, keyid=0, offset=0.445, delay=0.070, dispersion=2.152, jitter=0.210, xleave=0.017, filtdelay= 0.08 0.11 0.08 0.10 0.07 0.08 0.09 0.07, filtoffset= 0.17 0.18 0.29 0.29 0.45 0.45 0.69 0.69, filtdisp= 0.00 0.03 0.99 1.02 2.03 2.06 3.03 3.06 associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer, remote host: 203.0.113.126:123 local address: 203.0.113.1:123 time last received: 39 time until next send: 26 reachability change: 170025 packets sent: 5048 packets received: 5048 bad authentication: 0 bogus origin: 0 duplicate: 0 bad dispersion: 27 bad reference time: 0
Controleer het NTP-sysinfo:
FPR4100-8-A# connect module 1 console
Firepower-module1>show ntp sysinfo associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, version="ntpd 4.2.8p11@1.3728-o Sat Dec 8 06:11:47 UTC 2018 (2)", processor="x86_64", system="Linux/3.10.62-ltsi-WR10.0.0.29_standard", leap=00, stratum=3, precision=-24, rootdelay=29.129, rootdisp=24.276, refid=203.0.113.126, reftime=e24dd3bf.170a6210 Fri, Apr 24 2020 21:08:15.090, clock=e24dd437.59b86104 Fri, Apr 24 2020 21:10:15.350, peer=16696, tc=6, mintc=3, offset=0.009911, frequency=7.499, sys_jitter=0.023550, clk_jitter=0.004, clk_wander=0.001 associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, system peer: 203.0.113.126:123 system peer mode: client leap indicator: 00 stratum: 3 log2 precision: -24 root delay: 29.129 root dispersion: 24.276 reference ID: 203.0.113.126 reference time: e24dd3bf.170a6210 Fri, Apr 24 2020 21:08:15.090 system jitter: 0.023550 clock jitter: 0.004 clock wander: 0.001 broadcast delay: -50.000 symm. auth. delay: 0.000 uptime: 204908 sysstats reset: 204908 packets received: 19928 current version: 6069 older version: 0 bad length or format: 0 authentication failed: 0 declined: 0 restricted: 0 rate limited: 0 KoD responses: 0 processed for time: 6040 associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, pll offset: 0.006196 pll frequency: 7.49899 maximum error: 0.097039 estimated error: 3e-06 kernel status: pll nano pll time constant: 6 precision: 1e-06 frequency tolerance: 500 pps frequency: 0 pps stability: 0 pps jitter: 0 calibration interval 0 calibration cycles: 0 jitter exceeded: 0 stability exceeded: 0 calibration errors: 0 time since reset: 204908 receive buffers: 10 free receive buffers: 9 used receive buffers: 0 low water refills: 1 dropped packets: 0 ignored packets: 0 received packets: 19930 packets sent: 26811 packet send failures: 0 input wakeups: 224931 useful input wakeups: 20034
Verifieer de NTP-synchronisatie tussen MIO en Logical Device (Blade) op FPR41xx/9300-toestellen
Op FPR41xx/9300 worden de NTP-instellingen via het MIO (chassis) naar FTD gepusht. De NTP-configuratie van de FTD CLI of de FMC UI is niet mogelijk.
Elke FTD-blade gebruikt een interne referentie-id: 203.0.113.126 om te communiceren met de MIO voor tijdsynchronisatie en op basis daarvan wordt weergegeven of deze is gesynchroniseerd of niet. De FTD CLI weerspiegelt dit. De NTP IP in dit voorbeeld is de interne ref-id, niet de werkelijke NTP Server IP. Een wijziging van de IP van de NTP-server in de FCM heeft geen invloed op deze uitvoer, omdat de referentie-id altijd hetzelfde is:
> show ntp NTP Server : 203.0.113.126 Status : Being Used Offset : -0.078 (milliseconds) Last Update : 43 (seconds)
Verifieer de NTP-configuratie op FPR1xxx/2100-toestellen
firepower-2140# scope system
firepower-2140 /system # scope services
firepower-2140 /system/services # show ntp-server detail
NTP server hostname:
Name: 172.31.201.67
Time Sync Status: Time Synchronized
Error Msg:
Name: ntp.esl.cisco.com
Time Sync Status: Candidate
Error Msg:
Veelvoorkomende problemen oplossen
1. FXOS kan de NTP Server-hostnaam niet oplossen
De FCM UI toont:
Aanbevolen actie
Gebruik de opdracht ping om de NTP-serverhostnaamomzetting te controleren
KSEC-FPR4100-8-A(local-mgmt)# ping ntp.esl.cisco.com Invalid Host Name.
Mogelijke oorzaken
- De DNS-server is niet geconfigureerd.
- De DNS-server kan de hostnaam niet oplossen.
2. Connectiviteitsproblemen tussen FXOS en NTP-server op UDP-poort 123
De FCM UI toont:
Aanbevolen actie
Maak opnamen op de interface voor chassisbeheer en controleer de bidirectionele communicatie op UDP-poort 123:
KSEC- FPR4100-8-A(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 123" Capturing on 'eth0' 1 2020-04-30 20:09:54.150237760 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client 2 2020-04-30 20:14:14.150172804 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
3 2020-04-30 20:23:13.150171682 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
Mogelijke oorzaken
- De geconfigureerde server is geen NTP-server.
- Een apparaat in het pad (bijvoorbeeld een firewall) blokkeert of wijzigt het verkeer.
3. Problemen met intermitterende connectiviteit tussen FXOS en NTP-server
De FCM UI toont:
Aanbevolen acties
Start het NTP-synchronisatieproces vanuit de FXOS CLI
FPR4100-8-A# connect fxos FPR4100-8-A(fxos)# ntp sync-retry
Maak opnamen op de interface voor chassisbeheer met ethanalyzer CLI-opdrachtregelprogramma.
Mogelijke oorzaak
- Intermitterende connectiviteitsproblemen tussen FXOS en NTP Server
Gerelateerde gebreken
Controleer de Release Notes op bekende/vaste defecten.
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
3.0 |
14-May-2025
|
Kleine opmaakproblemen. |
2.0 |
28-Nov-2022
|
Verwijderde PII.
Alt-tekst toegevoegd.
Bijgewerkte lettertypetags, titel en introductie, stijlvereisten, machinevertaling, achtergronden en opmaak. |
1.0 |
03-May-2020
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)