ASA 8.x - Sincronización del Modo de Contexto Múltiple con el Servidor NTP

Introducción

Este documento proporciona una configuración de ejemplo de cómo sincronizar el reloj de Cisco Adaptive Security Appliance (ASA) en modo de contexto múltiple con el de un servidor de protocolo de tiempo de red (NTP).

NTP es un protocolo utilizado para sincronizar los relojes de las diferentes entidades de red. Utiliza UDP/123. La razón principal para utilizar este protocolo es evitar los efectos de la latencia variable sobre las redes de datos.

En esta situación, Cisco ASA se encuentra en modo de contexto múltiple. Admin y Test1 son los dos contextos diferentes. Para configurar Cisco ASA como cliente NTP, debe especificar el comando NTP Server en el espacio de ejecución del sistema solamente porque este comando no soporta el modo de contexto.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Cisco ASA con versión de software 8.2 y posteriores

• Cisco Adaptive Security Device Manager (ASDM) con versión de software 6.3 y posteriores

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección, se le presenta la información necesaria para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Configuración de ASDM

Complete estos pasos para configurar el ASDM:

1. Haga clic en System en Cisco ASA para verificar el espacio de ejecución del sistema.

   

2. Vaya a Configuration > Device Management > System Time > NTP y haga clic en Add.

   

3. Se muestra la ventana Add NTP Server Configuration . Especifique la dirección IP de la interfaz asociada al servidor NTP y especifique los detalles de la clave de autenticación. Click OK.

   

   Nota: Los detalles del servidor NTP deben especificarse dentro del contexto Sistema. Sin embargo, dado que el espacio de ejecución del sistema no incluye ninguna interfaz en el modo de contexto múltiple, debe especificar un nombre de interfaz (es decir, definido en el contexto Admin).

4. Vea los detalles del servidor NTP en esta ventana:

   

Esta es la configuración CLI equivalente de Cisco ASA para su referencia:

ciscoasa# show run
: Saved
:
ASA Version 8.2(1) <system>
!
terminal width 511
hostname ciscoasa
enable password 2KFQnbNIdI.2KYOU encrypted
no mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
 shutdown
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
clock timezone GMT 0
pager lines 10
no failover
asdm image disk0:/asdm-635.bin
asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  allocate-interface Ethernet0/0
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/2
  allocate-interface Ethernet0/3
  config-url disk0:/admin.cfg
!

context Test1
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/3
  config-url disk0:/Test1.cfg
!

!--- This command is used to set a key to !--- authenticate with an NTP server.

ntp authentication-key 10 md5 *

!--- This command is used to configure the !--- NTP server IP address and the interface associated.

ntp server 192.168.100.10 source inside
username Test password I2xAvC8b372aLGtP encrypted privilege 15
username Cisco password dDFIeex1zkFMaVXs encrypted privilege 15

!--- Output suppressed.

!

prompt hostname context
Cryptochecksum:ae65e1f96123ea351ca1086c22f3ebc7
: end
ciscoasa#

FWSM en modo de contexto múltiple como cliente NTP

Cisco Firewall Service Module (FWSM) no admite la configuración de NTP por separado. El reloj FWSM se sincroniza automáticamente con el reloj del switch Catalyst mientras el módulo se está iniciando. Si el switch Catalyst en sí se sincroniza con un servidor NTP, el FWSM heredará ese reloj.

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

• show ntp status - Muestra el estado de cada asociación NTP.

  ciscoasa# show ntp status
  Clock is synchronized, stratum 10, reference is 192.168.100.10
  nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
  reference time is d3a93668.7b6b6155 (11:41:28.482 GMT Thu Jul 12 2012)
  clock offset is -2.0439 msec, root delay is 1.48 msec
  root dispersion is 3894.03 msec, peer dispersion is 3891.95 msec

• show ntp associations - Muestra la información relacionada con la asociación NTP.

  ciscoasa# show ntp associations
        address         ref clock     st  when  poll reach  delay  offset    disp
  *~192.168.100.10   127.127.7.1       9     7    64    7     1.5   -2.04  3892.0
   * master (synced), # master (unsynced), + selected, - candidate, ~ configured

  ciscoasa# show ntp associations detail
  
  192.168.100.10 configured, our_master, sane, valid, stratum 9
  ref ID 127.127.7.1, time d3aa5d7a.d8cf2704 (08:40:26.846 GMT Fri Jul 13 2012)
  our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
  root delay 0.00 msec, root disp 0.03, reach 377, sync dist 16.602
  delay 1.71 msec, offset 1.3664 msec, dispersion 15.72
  precision 2**16, version 3
  org time d3aa5d8a.68391cb8 (08:40:42.407 GMT Fri Jul 13 2012)
  rcv time d3aa5d8a.6817b624 (08:40:42.406 GMT Fri Jul 13 2012)
  xmt time d3aa5d8a.67a3f2da (08:40:42.404 GMT Fri Jul 13 2012)
  filtdelay =     1.71    1.60    1.57    1.68    1.59    1.66    1.65    1.65
  filtoffset =    1.37    1.41    1.50    1.52    1.63    1.61    1.56    1.53
  filterror =    15.63   31.25   46.88   62.50   78.13   93.75  109.38  125.00

Troubleshoot

En esta sección se brinda información que puede utilizar para resolver problemas en su configuración.

Error: Reloj de Peer/Servidor no sincronizado

Cisco ASA no se sincroniza con el servidor NTP y se recibe este mensaje de error:

NTP: packet from 192.168.1.1 failed validity tests 20
 Peer/Server Clock unsynchronized

Solución:

Habilite los debugs NTP y verifique este resultado en detalle:

ciscoasa(config)# NTP: xmit packet to 192.168.1.1:
   leap 3, mode 3, version 3, stratum 0, ppoll 64

Parece que el servidor NTP está configurado con un estrato cero, que se especifica como "No especificado" según RFC 1305 .

Para resolver este error, defina el número de estrato del servidor NTP entre 6-10.

Problema: No se puede sincronizar el reloj con el servidor NTP

Cisco ASA se configuró como cliente NTP, pero la sincronización no funciona y se recibe este resultado:

ciscoasa# show ntp status
Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is d3a93395.388e423c (11:29:25.220 GMT Thu Jul 12 2012)
clock offset is -4050.4142 msec, root delay is 1.21 msec
root dispersion is 19941.07 msec, peer dispersion is 16000.00 msec

Solución:

Para resolver el problema, verifique estos elementos:

• Compruebe si el servidor NTP es accesible desde Cisco ASA. Realice la prueba de ping y verifique el ruteo.

• Asegúrese de que la configuración de Cisco ASA esté intacta y coincida con los parámetros del servidor NTP.

• Habilite los comandos debug NTP para profundizar.

Comandos para resolución de problemas

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.

• debug ntp packet - Muestra mensajes acerca de los paquetes NTP.

• debug ntp event - Muestra mensajes sobre eventos NTP.

Información Relacionada

• Soporte de producto para dispositivos de seguridad adaptable Cisco ASA de la serie 5500
• Ejemplo de configuración NTP para un switch Catalyst 6000 de alta disponibilidad
• RFC 1305 de NTPv3
• Soporte Técnico y Documentación - Cisco Systems