Este documento fornece uma configuração de exemplo de como sincronizar o relógio do Cisco Adaptive Security Appliance (ASA) no modo de contexto múltiplo com o de um servidor Network Time Protocol (NTP).
O NTP é um protocolo usado para sincronizar os relógios de diferentes entidades de rede. Usa UDP/123. O principal motivo para usar esse protocolo é evitar os efeitos da latência variável nas redes de dados.
Neste cenário, o Cisco ASA está no modo de contexto múltiplo. Admin e Test1 são os dois contextos diferentes. Para configurar o Cisco ASA como um cliente NTP, você precisa especificar o comando NTP Server somente no espaço de execução do sistema porque esse comando não suporta o modo de contexto.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas nestas versões de software e hardware:
Cisco ASA com versão de software 8.2 e posterior
Cisco Adaptive Security Device Manager (ASDM) com versão de software 6.3 e posterior
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Nesta seção, você verá as informações necessárias para configurar os recursos descritos neste documento.
Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.
Este documento utiliza a seguinte configuração de rede:
Conclua estas etapas para configurar o ASDM:
Clique em System no Cisco ASA para verificar o System Execution Space.
Vá para Configuration > Device Management > System Time > NTP e clique em Add.
A janela Adicionar configuração do servidor NTP é exibida. Especifique o endereço IP da interface associada ao Servidor NTP e especifique os detalhes da Chave de autenticação. Click OK.
Observação: os detalhes do Servidor NTP devem ser especificados no contexto Sistema. No entanto, como o Espaço de execução do sistema não inclui nenhuma interface no modo de contexto múltiplo, você precisa especificar um nome de interface (ou seja, definido no contexto Admin).
Exiba os detalhes do Servidor NTP nesta janela:
Esta é a configuração CLI equivalente do Cisco ASA, para sua referência:
Cisco ASA |
---|
ciscoasa# show run : Saved : ASA Version 8.2(1) <system> ! terminal width 511 hostname ciscoasa enable password 2KFQnbNIdI.2KYOU encrypted no mac-address auto ! interface Ethernet0/0 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 shutdown ! interface Management0/0 shutdown ! class default limit-resource All 0 limit-resource ASDM 5 limit-resource SSH 5 limit-resource Telnet 5 ! ftp mode passive clock timezone GMT 0 pager lines 10 no failover asdm image disk0:/asdm-635.bin asdm history enable arp timeout 14400 console timeout 0 admin-context admin context admin allocate-interface Ethernet0/0 allocate-interface Ethernet0/1 allocate-interface Ethernet0/2 allocate-interface Ethernet0/3 config-url disk0:/admin.cfg ! context Test1 allocate-interface Ethernet0/1 allocate-interface Ethernet0/3 config-url disk0:/Test1.cfg ! !--- This command is used to set a key to !--- authenticate with an NTP server. ntp authentication-key 10 md5 * !--- This command is used to configure the !--- NTP server IP address and the interface associated. ntp server 192.168.100.10 source inside username Test password I2xAvC8b372aLGtP encrypted privilege 15 username Cisco password dDFIeex1zkFMaVXs encrypted privilege 15 !--- Output suppressed. ! prompt hostname context Cryptochecksum:ae65e1f96123ea351ca1086c22f3ebc7 : end ciscoasa# |
O Cisco Firewall Service Module (FWSM) não suporta a configuração de NTP separadamente. O relógio FWSM é sincronizado automaticamente com o relógio do Switch Catalyst quando o módulo é inicializado. Se o próprio Switch Catalyst estiver sincronizado com um servidor NTP, o FWSM herdará esse relógio.
Use esta seção para confirmar se a sua configuração funciona corretamente.
A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.
show ntp status - Mostra o status de cada associação NTP.
ciscoasa# show ntp status Clock is synchronized, stratum 10, reference is 192.168.100.10 nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6 reference time is d3a93668.7b6b6155 (11:41:28.482 GMT Thu Jul 12 2012) clock offset is -2.0439 msec, root delay is 1.48 msec root dispersion is 3894.03 msec, peer dispersion is 3891.95 msec
show ntp associations - Mostra as informações sobre a associação NTP.
ciscoasa# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.100.10 127.127.7.1 9 7 64 7 1.5 -2.04 3892.0 * master (synced), # master (unsynced), + selected, - candidate, ~ configured
ciscoasa# show ntp associations detail 192.168.100.10 configured, our_master, sane, valid, stratum 9 ref ID 127.127.7.1, time d3aa5d7a.d8cf2704 (08:40:26.846 GMT Fri Jul 13 2012) our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024 root delay 0.00 msec, root disp 0.03, reach 377, sync dist 16.602 delay 1.71 msec, offset 1.3664 msec, dispersion 15.72 precision 2**16, version 3 org time d3aa5d8a.68391cb8 (08:40:42.407 GMT Fri Jul 13 2012) rcv time d3aa5d8a.6817b624 (08:40:42.406 GMT Fri Jul 13 2012) xmt time d3aa5d8a.67a3f2da (08:40:42.404 GMT Fri Jul 13 2012) filtdelay = 1.71 1.60 1.57 1.68 1.59 1.66 1.65 1.65 filtoffset = 1.37 1.41 1.50 1.52 1.63 1.61 1.56 1.53 filterror = 15.63 31.25 46.88 62.50 78.13 93.75 109.38 125.00
Esta seção disponibiliza informações para a solução de problemas de configuração.
O Cisco ASA não está sincronizando com o servidor NTP e esta mensagem de erro é recebida:
NTP: packet from 192.168.1.1 failed validity tests 20 Peer/Server Clock unsynchronized
Solução:
Habilite as depurações de NTP e verifique esta saída em detalhes:
ciscoasa(config)# NTP: xmit packet to 192.168.1.1: leap 3, mode 3, version 3, stratum 0, ppoll 64
Parece que o servidor NTP está configurado com um stratum zero, que é especificado como "Não especificado" conforme RFC 1305.
Para resolver esse erro, defina o número de stratum do servidor NTP entre 6 e 10.
O Cisco ASA foi configurado como um cliente NTP, mas a sincronização não funciona e esta saída é recebida:
ciscoasa# show ntp status Clock is unsynchronized, stratum 16, no reference clock nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6 reference time is d3a93395.388e423c (11:29:25.220 GMT Thu Jul 12 2012) clock offset is -4050.4142 msec, root delay is 1.21 msec root dispersion is 19941.07 msec, peer dispersion is 16000.00 msec
Solução:
Para resolver esse problema, verifique estes itens:
Verifique se o servidor NTP pode ser acessado a partir do Cisco ASA. Execute o teste de ping e verifique o roteamento.
Verifique se a configuração do Cisco ASA está intacta e corresponde aos parâmetros do servidor NTP.
Habilite os comandos de depuração do NTP para escavar mais.
A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.
Nota:Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.
debug ntp packet - Mostra mensagens sobre pacotes NTP.
debug ntp event - Mostra mensagens sobre eventos NTP.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
18-Jul-2012
|
Versão inicial |