ASA 8.x - Synchronisation du mode de contexte multiple avec le serveur NTP

Introduction

Ce document fournit un exemple de configuration de la façon de synchroniser l'horloge de l'appareil de sécurité adaptatif Cisco (ASA) en mode de contexte multiple avec celle d'un serveur NTP (Network Time Protocol).

NTP est un protocole utilisé afin de synchroniser les horloges de différentes entités réseau. Il utilise UDP/123. La principale raison d’utiliser ce protocole est d’éviter les effets de la latence variable sur les réseaux de données.

Dans ce scénario, Cisco ASA est en mode de contexte multiple. Admin et Test1 sont les deux contextes différents. Afin de configurer Cisco ASA en tant que client NTP, vous devez spécifier la commande NTP Server dans l'espace d'exécution du système uniquement parce que cette commande ne prend pas en charge le mode de contexte.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Cisco ASA avec versions de logiciel 8.2 et ultérieures

• Cisco Adaptive Security Device Manager (ASDM) avec les versions 6.3 et ultérieures du logiciel

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configuration

Dans cette section, vous recevrez les informations nécessaires pour configurer les fonctionnalités décrites dans ce document.

Remarque : utilisez l'outil de recherche de commandes (clients enregistrés uniquement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Configuration ASDM

Complétez ces étapes afin de configurer l'ASDM :

1. Cliquez sur System sous Cisco ASA afin de vérifier l'espace d'exécution du système.

   

2. Accédez à Configuration > Device Management > System Time > NTP, puis cliquez sur Add.

   

3. La fenêtre Add NTP Server Configuration s'affiche. Spécifiez l'adresse IP de l'interface associée au serveur NTP et spécifiez les détails de la clé d'authentification. Click OK.

   

   Remarque : les détails du serveur NTP doivent être spécifiés dans le système de contexte. Cependant, comme l'espace d'exécution du système n'inclut aucune interface en mode de contexte multiple, vous devez spécifier un nom d'interface (défini dans le contexte Admin).

4. Affichez les détails du serveur NTP dans cette fenêtre :

   

Il s'agit de la configuration CLI équivalente de Cisco ASA, à titre de référence :

ciscoasa# show run
: Saved
:
ASA Version 8.2(1) <system>
!
terminal width 511
hostname ciscoasa
enable password 2KFQnbNIdI.2KYOU encrypted
no mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
 shutdown
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
clock timezone GMT 0
pager lines 10
no failover
asdm image disk0:/asdm-635.bin
asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  allocate-interface Ethernet0/0
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/2
  allocate-interface Ethernet0/3
  config-url disk0:/admin.cfg
!

context Test1
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/3
  config-url disk0:/Test1.cfg
!

!--- This command is used to set a key to !--- authenticate with an NTP server.

ntp authentication-key 10 md5 *

!--- This command is used to configure the !--- NTP server IP address and the interface associated.

ntp server 192.168.100.10 source inside
username Test password I2xAvC8b372aLGtP encrypted privilege 15
username Cisco password dDFIeex1zkFMaVXs encrypted privilege 15

!--- Output suppressed.

!

prompt hostname context
Cryptochecksum:ae65e1f96123ea351ca1086c22f3ebc7
: end
ciscoasa#

FWSM en mode de contexte multiple en tant que client NTP

Le module de service de pare-feu Cisco (FWSM) ne prend pas en charge la configuration NTP séparément. L'horloge FWSM est automatiquement synchronisée avec l'horloge du commutateur Catalyst au démarrage du module. Si le commutateur Catalyst lui-même est synchronisé avec un serveur NTP, le FWSM héritera de cette horloge.

Vérification

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

• show ntp status - Affiche le statut de chaque association NTP.

  ciscoasa# show ntp status
  Clock is synchronized, stratum 10, reference is 192.168.100.10
  nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
  reference time is d3a93668.7b6b6155 (11:41:28.482 GMT Thu Jul 12 2012)
  clock offset is -2.0439 msec, root delay is 1.48 msec
  root dispersion is 3894.03 msec, peer dispersion is 3891.95 msec

• show ntp associations - Affiche les informations relatives à l'association NTP.

  ciscoasa# show ntp associations
        address         ref clock     st  when  poll reach  delay  offset    disp
  *~192.168.100.10   127.127.7.1       9     7    64    7     1.5   -2.04  3892.0
   * master (synced), # master (unsynced), + selected, - candidate, ~ configured

  ciscoasa# show ntp associations detail
  
  192.168.100.10 configured, our_master, sane, valid, stratum 9
  ref ID 127.127.7.1, time d3aa5d7a.d8cf2704 (08:40:26.846 GMT Fri Jul 13 2012)
  our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
  root delay 0.00 msec, root disp 0.03, reach 377, sync dist 16.602
  delay 1.71 msec, offset 1.3664 msec, dispersion 15.72
  precision 2**16, version 3
  org time d3aa5d8a.68391cb8 (08:40:42.407 GMT Fri Jul 13 2012)
  rcv time d3aa5d8a.6817b624 (08:40:42.406 GMT Fri Jul 13 2012)
  xmt time d3aa5d8a.67a3f2da (08:40:42.404 GMT Fri Jul 13 2012)
  filtdelay =     1.71    1.60    1.57    1.68    1.59    1.66    1.65    1.65
  filtoffset =    1.37    1.41    1.50    1.52    1.63    1.61    1.56    1.53
  filterror =    15.63   31.25   46.88   62.50   78.13   93.75  109.38  125.00

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Erreur : Horloge homologue/serveur non synchronisée

Cisco ASA ne se synchronise pas avec le serveur NTP et ce message d'erreur est reçu :

NTP: packet from 192.168.1.1 failed validity tests 20
 Peer/Server Clock unsynchronized

Solution :

Activez les débogages NTP et vérifiez cette sortie en détail :

ciscoasa(config)# NTP: xmit packet to 192.168.1.1:
   leap 3, mode 3, version 3, stratum 0, ppoll 64

Il semble que le serveur NTP est configuré avec une strate zéro, qui est spécifiée comme « Non spécifié » selon RFC 1305 .

Afin de résoudre cette erreur, définissez le numéro de strate du serveur NTP entre 6 et 10.

Problème : Impossible de synchroniser l'horloge avec le serveur NTP

Cisco ASA a été configuré en tant que client NTP, mais la synchronisation ne fonctionne pas et cette sortie est reçue :

ciscoasa# show ntp status
Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is d3a93395.388e423c (11:29:25.220 GMT Thu Jul 12 2012)
clock offset is -4050.4142 msec, root delay is 1.21 msec
root dispersion is 19941.07 msec, peer dispersion is 16000.00 msec

Solution :

Afin de résoudre ce problème, vérifiez les éléments suivants :

• Vérifiez si le serveur NTP est accessible depuis Cisco ASA. Exécutez le test ping et vérifiez le routage.

• Assurez-vous que la configuration de Cisco ASA est intacte et correspond aux paramètres du serveur NTP.

• Activez les commandes debug NTP afin de creuser plus loin.

Dépannage des commandes

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Remarque : Consulter les renseignements importants sur les commandes de débogage avant d’utiliser les commandes de débogage.

• debug ntp packet - Affiche les messages relatifs aux paquets NTP.

• debug ntp event - Affiche les messages relatifs aux événements NTP.

Informations connexes

• Assistance produit des dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500
• Exemple de configuration NTP pour commutateur Catalyst 6000 de haute disponibilité
• NTPv3 RFC 1305
• Support et documentation techniques - Cisco Systems