تكوين إعدادات NTP على أجهزة FirePOWER واستكشاف أخطائها وإصلاحها
المحتويات
المقدمة
يوضح هذا المستند كيفية تكوين بروتوكول وقت الشبكة (NTP) والتحقق منه واستكشاف أخطاء هذا البروتوكول وإصلاحها على أجهزة FirePOWER FXOS.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
- FPR4140 التي تعمل بنظام التشغيل FXOS 2.3(1.130) و 2.8(1.105)
- FPR2110 الذي يشغل وضع النظام الأساسي ASA
- FPR1140 التي تعمل بوضع جهاز ASA
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
على FirePOWER، يعتمد تشغيل NTP على النظام الأساسي.
FPR41xx/FPR9300
يتم أخذ وقت ASA أو FTD من ميزة إدارة الإدخال/الإخراج (MIO) الخاصة بإدارة هيكل FirePOWER (FCM) للهيكل. يعتبر MIO المشرف على هيكل FirePOWER.
FPR1xxx/FPR2100
في برنامج الإرسال فائق السرعة (FTD)، يتم أخذ الوقت من FMC:
بالنسبة لهذا النشر، تحقق من هذه المستندات:
- تكوين مزامنة وقت NTP للدفاع عن التهديد
- أستكشاف أخطاء بروتوكول وقت الشبكة (NTP) وإصلاحها في أنظمة FirePOWER
معلومات إضافية
يتم إستخدام NTP لمزامنة الوقت. يستخدم NTP كنقل منفذ UDP رقم 123.
إصدارات NTP المدعومة على FXOS:
- FXOS 10.2.2.7 وفيما بعد أستخدم NTP الإصدار 3
- يستخدم FXOS الأقدم من 10.2.2.7 الإصدار 2 من NTP
تغير الإصدار المدعوم بسبب معرف تصحيح الأخطاء من Cisco CSCve58269
- NTP: التغيير من v2 إلى v3
التكوين
NTP على FPR 41xx/9300
النقاط الرئيسية
- لتكوين NTP على جهاز Firepower 41xx/9300، سجل الدخول إلى FCM وانتقل إلى علامة التبويب إعدادات النظام الأساسي.
- تتم مزامنة NTP الموجود على الأجهزة المنطقية (ASA أو FTD) مع MIO.
- حاليا، لا توجد إمكانية لمزامنة NTP على FTD مع مركز إدارة FirePOWER (FMC)، حتى إذا أخترت ذلك الخيار، فإنه يتم مزامنة NTP على FTD مع MIO. وبالتالي، يوصى بشدة باستخدام FMC و FCM نفس خادم NTP.
- لا يعد FMC خادم NTP كامل النضج. ويمكن أن توفر فقط إعدادات الوقت للأجهزة المدارة الخاصة بها من خلال SFtunnel. وبالتالي، لا يمكن إستخدامه كخادم NTP لهيكل Firepower 41xx/9300.
- يلزم تكوين NTP بشكل صحيح لتثبيت ترخيص ذكي ناجح.
NTP على FPR 1xxx/2100
- لتكوين NTP على جهاز FirePOWER 1xxx/2100، انتقل إلى علامة التبويب إعدادات النظام الأساسي من مدير هيكل Firepower (FCM)، و Firepower ل ASA في وضع النظام الأساسي.
- في حالة وجود ASA في وضع النظام الأساسي، تتم مزامنة NTP على الجهاز المنطقي مع MIO.
- قم بتكوين إعدادات NTP على التطبيق المنطقي نفسه. ال ASA في وضع الجهاز أو في حالة إدارة FTD على المربع من FirePOWER Device Manager (FDM).
- في حالة إدارة FTD بواسطة FMC (إدارة خارج المربع)، قم بتكوين NTP على FMC.
تكوين NTP على أجهزة FPR 1xxx/2100/41xx/9300
الخطوة 1. سجل الدخول إلى واجهة المستخدم الرسومية Firepower Chassis Manager باستخدام بيانات اعتماد المستخدم المحلي وتصفح إلى إعدادات النظام الأساسي > NTP. حدد الزر إضافة :
الخطوة 2. حدد عنوان IP لخادم NTP أو اسم المضيف (إذا كنت تستخدم اسم مضيف لخادم NTP، فيجب تكوين خادم DNS).
التحقق من الصحة
التحقق من مزامنة NTP على أجهزة FPR41xx/9300
مراقبة حالة الخادم.
مرجع حالة الخادم
- غير متوفر: يتم عرض الحالة الافتراضية مباشرة بعد تكوين خادم NTP.
- يتعذر الوصول/غير صالح: يظهر في هذه السيناريوهات:
- عندما يكون عنوان IP لخادم NTP أو اسم المضيف غير قابل للوصول إليه بواسطة بروتوكول NTP.
- عندما يكون عنوان IP لخادم NTP أو اسم المضيف قابلا للوصول إليه، ولكن المضيف البعيد ليس خادم NTP.
- حالات فشل داخلية أخرى مثل عند فشل تنفيذ الاستعلام، وظهور الاستثناء، وظهور حالة مزامنة الوقت غير المحددة، وما إلى ذلك.
- المزامنة قيد التقدم: يمكن الوصول إلى الخادم ويدعم بروتوكول NTP، ولا يزال تجميع الوقت الأولي قيد التشغيل ولم يكتمل بعد.
- تمت المزامنة: تم الإعلان عن المضيف باعتباره نظير مزامنة النظام وتتزامن ساعة الوقت معه.
- المرشح: المضيف هو النظير المرشح (الاحتياطي). إن أي خادم NTP مرشح يعني أنه خادم صالح وقد تم الاتصال به بنجاح بواسطة جهاز FirePOWER، ولكن تمت مزامنة الوحدة النمطية مع خادم NTP آخر لذلك هو الخادم الاحتياطي. يمكن إختياره ليكون النظير التالي في المزامنة إذا تم حذف النظير الحالي.
- العناصر الغريبة: خادم NTP يتم التخلص منه بسبب أختلاف كبير (الوقت إزاحة والتأخر في الذهاب والعودة) مقارنة بباقي خوادم NTP.
التحقق من تكوين NTP على أجهزة FPR41xx/9300
التحقق من حالة نظير NTP:
FPR4100-8-A# connect fxos
FPR4100-8-A(fxos)# show ntp peer-status Total peers : 4 * - selected for sync, + - peer mode(active), - - peer mode(passive), = - polled in client mode remote local st poll reach delay ------------------------------------------------------------------------ =172.16.38.66 10.62.148.196 1 1024 17 0.20996 *172.31.201.67 10.62.148.196 1 1024 377 0.03035 =172.16.38.65 10.62.148.196 1 1024 377 0.19914 =172.31.20.115 10.62.148.196 1 1024 377 0.02905
التحقق من تكوين خادم NTP ومزامنته:
FPR4100-8-A# scope system
FPR4100-8-A /system # scope services
FPR4100-8-A /system/services # show ntp-server detail
NTP server hostname: Name: 172.16.38.65Time Sync Status: Candidate NTP SHA-1 key id: 0 Error Msg: Name: 172.16.38.66 Time Sync Status: Time Sync In Progress NTP SHA-1 key id: 0 Error Msg: Name: 172.31.20.115 Time Sync Status: Candidate NTP SHA-1 key id: 0 Error Msg: Name: 172.31.201.67 Time Sync Status: Time Synchronized NTP SHA-1 key id: 0 Error Msg:
التحقق من اقتران NTP:
FPR4100-8-A# connect module 1 console
Firepower-module1>show ntp association remote refid st t when poll reach delay offset jitter ============================================================================== *203.0.113.126 172.31.201.67 2 u 39 64 370 0.070 0.445 0.210 ind assid status conf reach auth condition last_event cnt =========================================================== 1 16696 961a yes yes none sys.peer sys_peer 1 associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer, srcadr=203.0.113.126, srcport=123, dstadr=203.0.113.1, dstport=123, leap=00, stratum=2, precision=-21, rootdelay=29.053, rootdisp=70.496, refid=172.31.201.67, reftime=e24d4bd9.3b680f6d Fri, Apr 24 2020 11:28:25.232, rec=e24d4d34.170bd724 Fri, Apr 24 2020 11:34:12.090, reach=370, unreach=0, hmode=3, pmode=4, hpoll=6, ppoll=6, headway=0, flash=20 pkt_stratum, keyid=0, offset=0.445, delay=0.070, dispersion=2.152, jitter=0.210, xleave=0.017, filtdelay= 0.08 0.11 0.08 0.10 0.07 0.08 0.09 0.07, filtoffset= 0.17 0.18 0.29 0.29 0.45 0.45 0.69 0.69, filtdisp= 0.00 0.03 0.99 1.02 2.03 2.06 3.03 3.06 associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer, remote host: 203.0.113.126:123 local address: 203.0.113.1:123 time last received: 39 time until next send: 26 reachability change: 170025 packets sent: 5048 packets received: 5048 bad authentication: 0 bogus origin: 0 duplicate: 0 bad dispersion: 27 bad reference time: 0
التحقق من نظام NTP:
FPR4100-8-A# connect module 1 console
Firepower-module1>show ntp sysinfo associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, version="ntpd 4.2.8p11@1.3728-o Sat Dec 8 06:11:47 UTC 2018 (2)", processor="x86_64", system="Linux/3.10.62-ltsi-WR10.0.0.29_standard", leap=00, stratum=3, precision=-24, rootdelay=29.129, rootdisp=24.276, refid=203.0.113.126, reftime=e24dd3bf.170a6210 Fri, Apr 24 2020 21:08:15.090, clock=e24dd437.59b86104 Fri, Apr 24 2020 21:10:15.350, peer=16696, tc=6, mintc=3, offset=0.009911, frequency=7.499, sys_jitter=0.023550, clk_jitter=0.004, clk_wander=0.001 associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, system peer: 203.0.113.126:123 system peer mode: client leap indicator: 00 stratum: 3 log2 precision: -24 root delay: 29.129 root dispersion: 24.276 reference ID: 203.0.113.126 reference time: e24dd3bf.170a6210 Fri, Apr 24 2020 21:08:15.090 system jitter: 0.023550 clock jitter: 0.004 clock wander: 0.001 broadcast delay: -50.000 symm. auth. delay: 0.000 uptime: 204908 sysstats reset: 204908 packets received: 19928 current version: 6069 older version: 0 bad length or format: 0 authentication failed: 0 declined: 0 restricted: 0 rate limited: 0 KoD responses: 0 processed for time: 6040 associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, pll offset: 0.006196 pll frequency: 7.49899 maximum error: 0.097039 estimated error: 3e-06 kernel status: pll nano pll time constant: 6 precision: 1e-06 frequency tolerance: 500 pps frequency: 0 pps stability: 0 pps jitter: 0 calibration interval 0 calibration cycles: 0 jitter exceeded: 0 stability exceeded: 0 calibration errors: 0 time since reset: 204908 receive buffers: 10 free receive buffers: 9 used receive buffers: 0 low water refills: 1 dropped packets: 0 ignored packets: 0 received packets: 19930 packets sent: 26811 packet send failures: 0 input wakeups: 224931 useful input wakeups: 20034
التحقق من مزامنة NTP بين وحدة الإدخال والإخراج (MIO) والجهاز المنطقي (Blade) على أجهزة FPR41xx/9300
في FPR41xx/9300، يتم دفع إعدادات NTP إلى FTD عبر وحدة الإدخال والإخراج الأساسي (MIO). تكوين NTP من واجهة سطر الأوامر (CLI) الخاصة ب FTD أو واجهة مستخدم FMC غير ممكن.
يستخدم كل خادم نصلي يعمل في برنامج الإرسال فائق السرعة (FTD) معرف مرجع داخلي: 203.0.113.126 للاتصال بوحدة الإدخال والإخراج (MIO) لمزامنة الوقت، وعلى أساس ذلك، فإنه يوضح ما إذا كان قد تمت مزامنته أم لا. تعكس واجهة سطر الأوامر (CLI) الخاصة ب FTD هذا. ال NTP في هذا مثال ال ref-id داخلي، ليس ال NTP نادل حقيقي. لا يؤثر أي تغيير في NTP Server IP في FCM على هذا الإخراج نظرا لأن معرف المرجع هو نفسه دائما:
> show ntp NTP Server : 203.0.113.126 Status : Being Used Offset : -0.078 (milliseconds) Last Update : 43 (seconds)
التحقق من تكوين NTP على أجهزة FPR1xxx/2100
firepower-2140# scope system
firepower-2140 /system # scope services
firepower-2140 /system/services # show ntp-server detail
NTP server hostname:
Name: 172.31.201.67
Time Sync Status: Time Synchronized
Error Msg:
Name: ntp.esl.cisco.com
Time Sync Status: Candidate
Error Msg:
أستكشاف المشكلات الشائعة وإصلاحها
1. تعذر على FXOS حل اسم مضيف خادم NTP
تظهر واجهة مستخدم FCM:
الإجراء الموصى به
أستخدم الأمر ping للتحقق من دقة اسم المضيف لخادم NTP
KSEC-FPR4100-8-A(local-mgmt)# ping ntp.esl.cisco.com Invalid Host Name.
الأسباب المحتملة
- لم يتم تكوين خادم DNS.
- يتعذر على خادم DNS حل اسم المضيف.
2. مشكلات الاتصال بين FXOS - خادم NTP على منفذ UDP 123
تظهر واجهة مستخدم FCM:
الإجراء الموصى به
التقاط على واجهة إدارة الهيكل والتحقق من الاتصال ثنائي الإتجاه على منفذ UDP 123:
KSEC- FPR4100-8-A(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 123" Capturing on 'eth0' 1 2020-04-30 20:09:54.150237760 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client 2 2020-04-30 20:14:14.150172804 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
3 2020-04-30 20:23:13.150171682 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
الأسباب المحتملة
- الخادم الذي تم تكوينه ليس خادم NTP.
- يقوم جهاز في المسار (على سبيل المثال، جدار الحماية) بحظر حركة المرور أو تعديلها.
3. مشكلات الاتصال المتقطع بين FXOS وخادم NTP
تظهر واجهة مستخدم FCM:
الإجراءات الموصى بها
بدء عملية مزامنة NTP من واجهة سطر الأوامر (CLI) ل FXOS
FPR4100-8-A# connect fxos FPR4100-8-A(fxos)# ntp sync-retry
التقاط على واجهة إدارة الهيكل باستخدام أداة أوامر واجهة سطر الأوامر (CLI) eAnalyzer.
السبب المحتمل
- مشكلات الاتصال المتقطع بين FXOS - خادم NTP
عيوب ذات صلة
تحقق من ملاحظات الإصدار الخاصة بالعيوب المعروفة/الثابتة.
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
2.0 |
28-Nov-2022 |
إزالة PII.
نص بديل مضاف.
علامات خط محدثة، العنوان والمقدمة، متطلبات النمط، الترجمة الآلية، الجراردات والتنسيق. |
1.0 |
03-May-2020 |
الإصدار الأولي |
التعليقات