ASA 8.x - مزامنة وضع سياق متعدد مع خادم NTP

خيارات التنزيل

PDF (532.9 KB)
عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
ePub (329.4 KB)
العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
Mobi (Kindle) (302.2 KB)
عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة

تم التحديث:١٨ يوليو ٢٠١٢

معرّف المستند:113620

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

المقدمة

المتطلبات الأساسية

المتطلبات

المكونات المستخدمة

الاصطلاحات

التكوين

الرسم التخطيطي للشبكة

تكوين ASDM

FWSM في وضع السياق المتعدد كعميل NTP

التحقق من الصحة

استكشاف الأخطاء وإصلاحها

خطأ: لم تتم مزامنة ساعة الخادم/النظير

مشكلة: يتعذر مزامنة الساعة مع خادم NTP

أوامر استكشاف الأخطاء وإصلاحها

معلومات ذات صلة

المقدمة

يقدم هذا المستند نموذجا لتكوين كيفية مزامنة ساعة جهاز الأمان القابل للتكيف (ASA) من Cisco في وضع سياق متعدد مع ساعة خادم بروتوكول وقت الشبكة (NTP).

NTP هو بروتوكول يستخدم لمزامنة ساعات كيانات الشبكة المختلفة. إنه يستخدم UDP/123. السبب الأساسي لاستخدام هذا البروتوكول هو تجنب تأثيرات زمن الانتقال المتغير عبر شبكات البيانات.

في هذا السيناريو، يوجد Cisco ASA في وضع سياق متعدد. Admin و Test1 هما السياقان المختلفان. in order to شكلت ال cisco ASA كزبون NTP، أنت تحتاج أن يعين ال ntp نادل أمر في النظام تنفيذ مساحة فقط لأن هذا أمر لا يساند السياق أسلوب.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

ASA مع برنامج الإصدار 8.2 من Cisco والإصدارات الأحدث
مدير أجهزة حلول الأمان المعدلة (ASDM) من Cisco مع إصدار البرنامج 6.3 والإصدارات الأحدث

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

التكوين

في هذا القسم، تقدم لك المعلومات اللازمة لتكوين الميزات الموضحة في هذا المستند.

ملاحظة: أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط) للحصول على مزيد من المعلومات حول الأوامر المستخدمة في هذا القسم.

الرسم التخطيطي للشبكة

يستخدم هذا المستند إعداد الشبكة التالي:

تكوين ASDM

أتمت هذا steps in order to شكلت ال ASDM:

انقر فوق النظام ضمن Cisco ASA للتحقق من مساحة تنفيذ النظام.
انتقل إلى التكوين > إدارة الأجهزة>وقت النظام > NTP، وانقر فوق إضافة.
يتم عرض نافذة "إضافة تكوين خادم NTP". حدد عنوان IP الخاص بالقارن المقترن بخادم NTP، وحدد تفاصيل مفتاح المصادقة. وانقر فوق OK.

ملاحظة: ينبغي تحديد تفاصيل خادم NTP ضمن نظام السياق. ومع ذلك، نظرا لأن "مساحة تنفيذ النظام" لا تتضمن أي واجهات في وضع سياق متعدد، فأنت بحاجة إلى تحديد اسم واجهة (أي، يتم تعريفه ضمن سياق "الإدارة").
عرض تفاصيل خادم NTP في هذا الإطار:

هذا هو تكوين CLI المكافئ من Cisco ASA، لمرجعك:

ASA من Cisco
ciscoasa# show run : Saved : ASA Version 8.2(1) <system> ! terminal width 511 hostname ciscoasa enable password 2KFQnbNIdI.2KYOU encrypted no mac-address auto ! interface Ethernet0/0 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 shutdown ! interface Management0/0 shutdown ! class default limit-resource All 0 limit-resource ASDM 5 limit-resource SSH 5 limit-resource Telnet 5 ! ftp mode passive clock timezone GMT 0 pager lines 10 no failover asdm image disk0:/asdm-635.bin asdm history enable arp timeout 14400 console timeout 0 admin-context admin context admin allocate-interface Ethernet0/0 allocate-interface Ethernet0/1 allocate-interface Ethernet0/2 allocate-interface Ethernet0/3 config-url disk0:/admin.cfg ! context Test1 allocate-interface Ethernet0/1 allocate-interface Ethernet0/3 config-url disk0:/Test1.cfg ! !--- This command is used to set a key to !--- authenticate with an NTP server. ntp authentication-key 10 md5 * !--- This command is used to configure the !--- NTP server IP address and the interface associated. ntp server 192.168.100.10 source inside username Test password I2xAvC8b372aLGtP encrypted privilege 15 username Cisco password dDFIeex1zkFMaVXs encrypted privilege 15 !--- Output suppressed. ! prompt hostname context Cryptochecksum:ae65e1f96123ea351ca1086c22f3ebc7 : end ciscoasa#

ASA من Cisco

ciscoasa# show run
: Saved
:
ASA Version 8.2(1) <system>
!
terminal width 511
hostname ciscoasa
enable password 2KFQnbNIdI.2KYOU encrypted
no mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
 shutdown
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
clock timezone GMT 0
pager lines 10
no failover
asdm image disk0:/asdm-635.bin
asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  allocate-interface Ethernet0/0
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/2
  allocate-interface Ethernet0/3
  config-url disk0:/admin.cfg
!

context Test1
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/3
  config-url disk0:/Test1.cfg
!

!--- This command is used to set a key to !--- authenticate with an NTP server.

ntp authentication-key 10 md5 *

!--- This command is used to configure the !--- NTP server IP address and the interface associated.

ntp server 192.168.100.10 source inside
username Test password I2xAvC8b372aLGtP encrypted privilege 15
username Cisco password dDFIeex1zkFMaVXs encrypted privilege 15

!--- Output suppressed.

!

prompt hostname context
Cryptochecksum:ae65e1f96123ea351ca1086c22f3ebc7
: end
ciscoasa#

FWSM في وضع السياق المتعدد كعميل NTP

لا تدعم الوحدة النمطية لخدمة جدار الحماية (FWSM) من Cisco تكوين NTP بشكل منفصل. تتم مزامنة ساعة FWSM تلقائيا مع ساعة المحول Catalyst Switch أثناء تمهيد الوحدة النمطية. إن المادة حفازة مزامنة مفتاح نفسه إلى NTP نادل، ال FWSM يرث أن ساعة.

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

تدعم أداة مترجم الإخراج (للعملاءالمسجلين فقط) بعض أوامر show. استخدم أداة مترجم الإخراج (OIT) لعرض تحليل مُخرَج الأمر show .

show ntp status - يعرض حالة كل اقتران NTP.

ciscoasa# show ntp status
Clock is synchronized, stratum 10, reference is 192.168.100.10
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is d3a93668.7b6b6155 (11:41:28.482 GMT Thu Jul 12 2012)
clock offset is -2.0439 msec, root delay is 1.48 msec
root dispersion is 3894.03 msec, peer dispersion is 3891.95 msec

show ntp association - يعرض المعلومات المتعلقة باقتران NTP.

ciscoasa# show ntp associations
      address         ref clock     st  when  poll reach  delay  offset    disp
*~192.168.100.10   127.127.7.1       9     7    64    7     1.5   -2.04  3892.0
 * master (synced), # master (unsynced), + selected, - candidate, ~ configured

ciscoasa# show ntp associations detail

192.168.100.10 configured, our_master, sane, valid, stratum 9
ref ID 127.127.7.1, time d3aa5d7a.d8cf2704 (08:40:26.846 GMT Fri Jul 13 2012)
our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
root delay 0.00 msec, root disp 0.03, reach 377, sync dist 16.602
delay 1.71 msec, offset 1.3664 msec, dispersion 15.72
precision 2**16, version 3
org time d3aa5d8a.68391cb8 (08:40:42.407 GMT Fri Jul 13 2012)
rcv time d3aa5d8a.6817b624 (08:40:42.406 GMT Fri Jul 13 2012)
xmt time d3aa5d8a.67a3f2da (08:40:42.404 GMT Fri Jul 13 2012)
filtdelay =     1.71    1.60    1.57    1.68    1.59    1.66    1.65    1.65
filtoffset =    1.37    1.41    1.50    1.52    1.63    1.61    1.56    1.53
filterror =    15.63   31.25   46.88   62.50   78.13   93.75  109.38  125.00

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.

خطأ: لم تتم مزامنة ساعة الخادم/النظير

لا يقوم Cisco ASA بالمزامنة مع خادم NTP، ويتم تلقي رسالة الخطأ هذه:

NTP: packet from 192.168.1.1 failed validity tests 20
 Peer/Server Clock unsynchronized

الحل:

قم بتمكين تصحيح أخطاء NTP، والتحقق من هذا الإخراج بالتفصيل:

ciscoasa(config)# NTP: xmit packet to 192.168.1.1:
   leap 3, mode 3, version 3, stratum 0, ppoll 64

يبدو أنه تم تكوين خادم NTP باستخدام طبقة صفر، والتي يتم تحديدها على أنها "غير محددة" وفقا ل RFC 1305 .

لحل هذا الخطأ، قم بتعريف رقم الطبقة الخاص بخادم NTP بين 6 و 10.

مشكلة: يتعذر مزامنة الساعة مع خادم NTP

تم تكوين Cisco ASA كعميل NTP، ولكن لا تعمل المزامنة ويتم تلقي هذا الإخراج:

ciscoasa# show ntp status
Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is d3a93395.388e423c (11:29:25.220 GMT Thu Jul 12 2012)
clock offset is -4050.4142 msec, root delay is 1.21 msec
root dispersion is 19941.07 msec, peer dispersion is 16000.00 msec

الحل:

لحل هذه المشكلة، تحقق من العناصر التالية:

تحقق ما إذا كان خادم NTP يمكن الوصول إليه من Cisco ASA. قم بإجراء إختبار الاتصال والتحقق من التوجيه.
تأكد من أن تكوين Cisco ASA سليم ويطابق معلمات خادم NTP.
قم بتمكين أوامر تصحيح أخطاء NTP لإجراء مزيد من البحث.