Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment configurer, vérifier et dépanner le protocole NTP (Network Time Protocol) sur les appliances Firepower FXOS.
Aucune exigence spécifique n'est associée à ce document.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Sur Firepower, le fonctionnement du protocole NTP dépend de la plate-forme.
FPR41xx/FPR9300
L'heure ASA ou FTD provient de l'entrée/sortie de gestion (MIO) du gestionnaire de châssis Firepower (FCM) du châssis. MIO est le superviseur du châssis Firepower.
FPR1xxx/FPR2100
Sur FTD, le temps est pris à partir du FMC :
Pour ce déploiement, consultez les documents suivants :
Additional Information
NTP est utilisé pour la synchronisation temporelle. NTP utilise comme transport le numéro de port UDP 123.
Versions NTP prises en charge sur FXOS :
Version prise en charge modifiée en raison du bogue Cisco ID CSCve58269 - NTP : remplacer v2 par v3
Remarque : NTP version 4 n'est pas officiellement pris en charge. NTP version 4 est rétrocompatible avec NTP version 3.
Points clés
Remarque : dans les versions postérieures à la version 9.13(1), vous pouvez exécuter Firepower 1xxx/2100 pour ASA dans les modes suivants : Appliance mode (mode par défaut) et Platform mode. Le mode Appliance vous permet de configurer tous les paramètres, y compris NTP, sur l'ASA. Seules les commandes de dépannage avancées sont disponibles à partir de l'ILC FXOS. D'autre part, en mode Plate-forme, vous devez configurer les paramètres de base (y compris NTP) et les paramètres d'interface matérielle dans le gestionnaire de châssis (FCM).
Étape 1. Connectez-vous à l'interface utilisateur graphique du Gestionnaire de châssis Firepower avec les informations d'identification de l'utilisateur local et accédez à Platform Settings > NTP. Cliquez sur le bouton Ajouter :
Étape 2. Spécifiez l'adresse IP ou le nom d'hôte du serveur NTP (si vous utilisez un nom d'hôte pour le serveur NTP, vous devez configurer un serveur DNS).
Remarque : vous pouvez configurer jusqu'à 4 serveurs NTP
Surveillez l'état du serveur.
Référence État du serveur
Vérifiez l'état de l'homologue NTP :
FPR4100-8-A# connect fxos
FPR4100-8-A(fxos)# show ntp peer-status Total peers : 4 * - selected for sync, + - peer mode(active), - - peer mode(passive), = - polled in client mode remote local st poll reach delay ------------------------------------------------------------------------ =172.16.38.66 10.62.148.196 1 1024 17 0.20996 *172.31.201.67 10.62.148.196 1 1024 377 0.03035 =172.16.38.65 10.62.148.196 1 1024 377 0.19914 =172.31.20.115 10.62.148.196 1 1024 377 0.02905
Vérifiez la configuration et la synchronisation du serveur NTP :
FPR4100-8-A# scope system
FPR4100-8-A /system # scope services
FPR4100-8-A /system/services # show ntp-server detail
NTP server hostname: Name: 172.16.38.65Time Sync Status: Candidate NTP SHA-1 key id: 0 Error Msg: Name: 172.16.38.66 Time Sync Status: Time Sync In Progress NTP SHA-1 key id: 0 Error Msg: Name: 172.31.20.115 Time Sync Status: Candidate NTP SHA-1 key id: 0 Error Msg: Name: 172.31.201.67 Time Sync Status: Time Synchronized NTP SHA-1 key id: 0 Error Msg:
Vérifiez l'association NTP :
FPR4100-8-A# connect module 1 console
Firepower-module1>show ntp association remote refid st t when poll reach delay offset jitter ============================================================================== *203.0.113.126 172.31.201.67 2 u 39 64 370 0.070 0.445 0.210 ind assid status conf reach auth condition last_event cnt =========================================================== 1 16696 961a yes yes none sys.peer sys_peer 1 associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer, srcadr=203.0.113.126, srcport=123, dstadr=203.0.113.1, dstport=123, leap=00, stratum=2, precision=-21, rootdelay=29.053, rootdisp=70.496, refid=172.31.201.67, reftime=e24d4bd9.3b680f6d Fri, Apr 24 2020 11:28:25.232, rec=e24d4d34.170bd724 Fri, Apr 24 2020 11:34:12.090, reach=370, unreach=0, hmode=3, pmode=4, hpoll=6, ppoll=6, headway=0, flash=20 pkt_stratum, keyid=0, offset=0.445, delay=0.070, dispersion=2.152, jitter=0.210, xleave=0.017, filtdelay= 0.08 0.11 0.08 0.10 0.07 0.08 0.09 0.07, filtoffset= 0.17 0.18 0.29 0.29 0.45 0.45 0.69 0.69, filtdisp= 0.00 0.03 0.99 1.02 2.03 2.06 3.03 3.06 associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer, remote host: 203.0.113.126:123 local address: 203.0.113.1:123 time last received: 39 time until next send: 26 reachability change: 170025 packets sent: 5048 packets received: 5048 bad authentication: 0 bogus origin: 0 duplicate: 0 bad dispersion: 27 bad reference time: 0
Vérifiez les informations système NTP :
FPR4100-8-A# connect module 1 console
Firepower-module1>show ntp sysinfo associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, version="ntpd 4.2.8p11@1.3728-o Sat Dec 8 06:11:47 UTC 2018 (2)", processor="x86_64", system="Linux/3.10.62-ltsi-WR10.0.0.29_standard", leap=00, stratum=3, precision=-24, rootdelay=29.129, rootdisp=24.276, refid=203.0.113.126, reftime=e24dd3bf.170a6210 Fri, Apr 24 2020 21:08:15.090, clock=e24dd437.59b86104 Fri, Apr 24 2020 21:10:15.350, peer=16696, tc=6, mintc=3, offset=0.009911, frequency=7.499, sys_jitter=0.023550, clk_jitter=0.004, clk_wander=0.001 associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, system peer: 203.0.113.126:123 system peer mode: client leap indicator: 00 stratum: 3 log2 precision: -24 root delay: 29.129 root dispersion: 24.276 reference ID: 203.0.113.126 reference time: e24dd3bf.170a6210 Fri, Apr 24 2020 21:08:15.090 system jitter: 0.023550 clock jitter: 0.004 clock wander: 0.001 broadcast delay: -50.000 symm. auth. delay: 0.000 uptime: 204908 sysstats reset: 204908 packets received: 19928 current version: 6069 older version: 0 bad length or format: 0 authentication failed: 0 declined: 0 restricted: 0 rate limited: 0 KoD responses: 0 processed for time: 6040 associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync, pll offset: 0.006196 pll frequency: 7.49899 maximum error: 0.097039 estimated error: 3e-06 kernel status: pll nano pll time constant: 6 precision: 1e-06 frequency tolerance: 500 pps frequency: 0 pps stability: 0 pps jitter: 0 calibration interval 0 calibration cycles: 0 jitter exceeded: 0 stability exceeded: 0 calibration errors: 0 time since reset: 204908 receive buffers: 10 free receive buffers: 9 used receive buffers: 0 low water refills: 1 dropped packets: 0 ignored packets: 0 received packets: 19930 packets sent: 26811 packet send failures: 0 input wakeups: 224931 useful input wakeups: 20034
Sur le FPR41xx/9300, les paramètres NTP sont transmis au FTD via le MIO (châssis). La configuration NTP à partir de l'interface de ligne de commande FTD ou de l'interface utilisateur FMC n'est pas possible.
Chaque lame FTD utilise un ID de référence interne : 203.0.113.126 pour communiquer avec le MIO pour la synchronisation temporelle et, en fonction de cela, elle indique si elle est synchronisée ou non. L'interface de ligne de commande FTD reflète cela. Dans cet exemple, l'IP NTP est l'ID de référence interne et non l'IP réelle du serveur NTP. Une modification de l'adresse IP du serveur NTP dans le FCM n'affecte pas ce résultat puisque l'id de référence est toujours le même :
> show ntp NTP Server : 203.0.113.126 Status : Being Used Offset : -0.078 (milliseconds) Last Update : 43 (seconds)
Attention : ceci s'applique uniquement aux appliances FPR1xxx/2100 pour ASA en mode Plate-forme.
firepower-2140# scope system firepower-2140 /system # scope services firepower-2140 /system/services # show ntp-server detail NTP server hostname: Name: 172.31.201.67 Time Sync Status: Time Synchronized Error Msg: Name: ntp.esl.cisco.com Time Sync Status: Candidate Error Msg:
L'interface utilisateur FCM affiche :
Action recommandée
Utilisez la commande ping pour vérifier la résolution du nom d’hôte du serveur NTP
KSEC-FPR4100-8-A(local-mgmt)# ping ntp.esl.cisco.com Invalid Host Name.
Causes possibles
L'interface utilisateur FCM affiche :
Action recommandée
Attention : la capture d'analyseur Ethernet sur l'interface de gestion du châssis est uniquement disponible sur les appliances FPR41xx/9300.
Effectuez des captures sur l'interface de gestion du châssis et vérifiez la communication bidirectionnelle sur le port UDP 123 :
KSEC- FPR4100-8-A(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 123" Capturing on 'eth0' 1 2020-04-30 20:09:54.150237760 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client 2 2020-04-30 20:14:14.150172804 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
3 2020-04-30 20:23:13.150171682 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
Causes possibles
L'interface utilisateur FCM affiche :
Actions recommandées
Attention : uniquement pour les appareils FPR41xx/9300.
Lancez le processus de synchronisation NTP à partir de l'interface CLI FXOS
FPR4100-8-A# connect fxos FPR4100-8-A(fxos)# ntp sync-retry
Effectuez des captures sur l'interface de gestion du châssis avec l'outil de commande CLI ethanalyzer.
Cause possible
Recherchez les défauts connus/corrigés dans les notes de version.
Révision | Date de publication | Commentaires |
---|---|---|
2.0 |
28-Nov-2022 |
PII supprimées.
Texte de remplacement ajouté.
Mise à jour des balises de police, titre et introduction, exigences de style, traduction automatique, géronds et mise en forme. |
1.0 |
03-May-2020 |
Première publication |