ASA 8.x — 将多情景模式与NTP服务器同步

简介

本文档提供如何在多情景模式下将思科自适应安全设备(ASA)的时钟与网络时间协议(NTP)服务器的时钟同步的示例配置。

NTP是用于同步不同网络实体时钟的协议。它使用UDP/123。使用此协议的主要原因是避免数据网络上的可变延迟的影响。

在此场景中，Cisco ASA处于多情景模式。Admin和Test1是两种不同的情景。要将Cisco ASA配置为NTP客户端，您只需在系统执行空间中指定NTP Server命令，因为此命令不支持情景模式。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 带软件版本8.2及更高版本的Cisco ASA

• 思科自适应安全设备管理器(ASDM)，带软件版本6.3及更高版本

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档约定的更多信息，请参考 Cisco 技术提示约定。

配置

在本节中，您将了解配置本文档中描述的功能所需的信息。

注意：使用命令查找工具(仅限注册客户)可获取有关本节中使用的命令的详细信息。

网络图

本文档使用以下网络设置：

ASDM 配置

要配置ASDM，请完成以下步骤：

1. 单击Cisco ASA下的System以验证系统执行空间。

   

2. 转到Configuration > Device Management > System Time > NTP，然后点击Add。

   

3. 系统将显示Add NTP Server Configuration窗口。指定与NTP服务器关联的接口的IP地址，并指定身份验证密钥详细信息。Click OK.

   

   注意：应在情景系统中指定NTP服务器详细信息。但是，由于系统执行空间不包括多情景模式下的任何接口，您需要指定接口名称（即，在管理情景中定义）。

4. 在此窗口中查看NTP服务器详细信息：

   

以下是Cisco ASA的等效CLI配置，供您参考：

ciscoasa# show run
: Saved
:
ASA Version 8.2(1) <system>
!
terminal width 511
hostname ciscoasa
enable password 2KFQnbNIdI.2KYOU encrypted
no mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
 shutdown
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
clock timezone GMT 0
pager lines 10
no failover
asdm image disk0:/asdm-635.bin
asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  allocate-interface Ethernet0/0
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/2
  allocate-interface Ethernet0/3
  config-url disk0:/admin.cfg
!

context Test1
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/3
  config-url disk0:/Test1.cfg
!

!--- This command is used to set a key to !--- authenticate with an NTP server.

ntp authentication-key 10 md5 *

!--- This command is used to configure the !--- NTP server IP address and the interface associated.

ntp server 192.168.100.10 source inside
username Test password I2xAvC8b372aLGtP encrypted privilege 15
username Cisco password dDFIeex1zkFMaVXs encrypted privilege 15

!--- Output suppressed.

!

prompt hostname context
Cryptochecksum:ae65e1f96123ea351ca1086c22f3ebc7
: end
ciscoasa#

作为NTP客户端的多情景模式中的FWSM

思科防火墙服务模块(FWSM)不单独支持NTP配置。当模块启动时，FWSM时钟会自动与Catalyst交换机的时钟同步。如果Catalyst交换机本身已同步到NTP服务器，FWSM将继承该时钟。

验证

使用本部分可确认配置能否正常运行。

命令输出解释程序（仅限注册用户）(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

• show ntp status — 显示每个NTP关联的状态。

  ciscoasa# show ntp status
  Clock is synchronized, stratum 10, reference is 192.168.100.10
  nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
  reference time is d3a93668.7b6b6155 (11:41:28.482 GMT Thu Jul 12 2012)
  clock offset is -2.0439 msec, root delay is 1.48 msec
  root dispersion is 3894.03 msec, peer dispersion is 3891.95 msec

• show ntp associations — 显示有关NTP关联的信息。

  ciscoasa# show ntp associations
        address         ref clock     st  when  poll reach  delay  offset    disp
  *~192.168.100.10   127.127.7.1       9     7    64    7     1.5   -2.04  3892.0
   * master (synced), # master (unsynced), + selected, - candidate, ~ configured

  ciscoasa# show ntp associations detail
  
  192.168.100.10 configured, our_master, sane, valid, stratum 9
  ref ID 127.127.7.1, time d3aa5d7a.d8cf2704 (08:40:26.846 GMT Fri Jul 13 2012)
  our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
  root delay 0.00 msec, root disp 0.03, reach 377, sync dist 16.602
  delay 1.71 msec, offset 1.3664 msec, dispersion 15.72
  precision 2**16, version 3
  org time d3aa5d8a.68391cb8 (08:40:42.407 GMT Fri Jul 13 2012)
  rcv time d3aa5d8a.6817b624 (08:40:42.406 GMT Fri Jul 13 2012)
  xmt time d3aa5d8a.67a3f2da (08:40:42.404 GMT Fri Jul 13 2012)
  filtdelay =     1.71    1.60    1.57    1.68    1.59    1.66    1.65    1.65
  filtoffset =    1.37    1.41    1.50    1.52    1.63    1.61    1.56    1.53
  filterror =    15.63   31.25   46.88   62.50   78.13   93.75  109.38  125.00

故障排除

本部分提供了可用于对配置进行故障排除的信息。

Error:对等/服务器时钟不同步

Cisco ASA未与NTP服务器同步，并收到以下错误消息：

NTP: packet from 192.168.1.1 failed validity tests 20
 Peer/Server Clock unsynchronized

解决方案：

启用NTP调试，并详细验证此输出：

ciscoasa(config)# NTP: xmit packet to 192.168.1.1:
   leap 3, mode 3, version 3, stratum 0, ppoll 64

NTP服务器似乎配置了零层，根据RFC 1305，该层被指定为“未指定” 。

要解决此错误，请定义6-10之间的NTP服务器层数。

问题：无法将时钟与NTP服务器同步

Cisco ASA已配置为NTP客户端，但同步不起作用，并且收到以下输出：

ciscoasa# show ntp status
Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is d3a93395.388e423c (11:29:25.220 GMT Thu Jul 12 2012)
clock offset is -4050.4142 msec, root delay is 1.21 msec
root dispersion is 19941.07 msec, peer dispersion is 16000.00 msec

解决方案：

要解决此问题，请验证以下项目：

• 检查NTP服务器是否可从Cisco ASA访问。执行ping测试并检验路由。

• 确保Cisco ASA配置完整且与NTP服务器的参数匹配。

• 启用NTP debug命令以进一步挖掘。

故障排除命令

命令输出解释程序（仅限注册用户）(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

注意：在使用debug命令之前，请参阅有关Debug命令的重要信息。

• debug ntp packet — 显示有关NTP数据包的消息。

• debug ntp event — 显示有关NTP事件的消息。

相关信息

• Cisco ASA 5500 系列自适应安全设备产品支持
• 高可用性 Catalyst 6000 交换机的 NTP 示例配置
• NTPv3 RFC 1305
• 技术支持和文档 - Cisco Systems