ASA 8.x - Sincronizza modalità contesto multiplo con server NTP

Opzioni per il download

PDF (400.6 KB)
Visualizza con Adobe Reader su diversi dispositivi
ePub (332.7 KB)
Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (305.1 KB)
Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi

Aggiornato:18 luglio 2012

ID documento:113620

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Sommario

Introduzione

Prerequisiti

Requisiti

Componenti usati

Convenzioni

Configurazione

Esempio di rete

Configurazione ASDM

FWSM in modalità a contesto multiplo come client NTP

Verifica

Risoluzione dei problemi

Errore: Orologio peer/server non sincronizzato

Problema: Impossibile sincronizzare l'orologio con il server NTP

Comandi per la risoluzione dei problemi

Informazioni correlate

Introduzione

In questo documento viene fornito un esempio di configurazione della sincronizzazione dell'orologio di Cisco Adaptive Security Appliance (ASA) in modalità contesto multiplo con quello di un server Network Time Protocol (NTP).

NTP è un protocollo utilizzato per sincronizzare gli orologi di diverse entità di rete. Utilizza UDP/123. Il motivo principale per cui si utilizza questo protocollo è evitare gli effetti della latenza variabile sulle reti di dati.

In questo scenario, Cisco ASA è in modalità contesto multiplo. Admin e Test1 sono i due contesti diversi. Per configurare Cisco ASA come client NTP, è necessario specificare il comando NTP Server nello spazio di esecuzione del sistema solo perché questo comando non supporta la modalità contesto.

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

Cisco ASA con software versione 8.2 e successive
Cisco Adaptive Security Device Manager (ASDM) con software versione 6.3 e successive

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Convenzioni

Fare riferimento a Cisco Technical Tips Conventions per ulteriori informazioni sulle convenzioni dei documenti.

Configurazione

In questa sezione vengono presentate le informazioni necessarie per configurare le funzionalità descritte più avanti nel documento.

Nota: per ulteriori informazioni sui comandi menzionati in questa sezione, usare lo strumento di ricerca dei comandi (solo utenti registrati).

Esempio di rete

Nel documento viene usata questa impostazione di rete:

Configurazione ASDM

Per configurare ASDM, effettuare i seguenti passaggi:

Per verificare lo spazio di esecuzione del sistema, fare clic su System in Cisco ASA.
Selezionare Configurazione > Gestione dispositivi > Ora di sistema > NTP, quindi fare clic su Aggiungi.
Viene visualizzata la finestra Aggiungi configurazione server NTP. Specificare l'indirizzo IP dell'interfaccia associata al server NTP e specificare i dettagli della chiave di autenticazione. Fare clic su OK.

Nota: i dettagli del server NTP devono essere specificati nel sistema del contesto. Tuttavia, poiché lo spazio di esecuzione del sistema non include alcuna interfaccia in modalità contesto multiplo, è necessario specificare un nome di interfaccia, ovvero definito nel contesto Admin.
Visualizzare i dettagli del server NTP in questa finestra:

Questa è la configurazione CLI equivalente dell'appliance Cisco ASA, da usare come riferimento:

Cisco ASA
ciscoasa# show run : Saved : ASA Version 8.2(1) <system> ! terminal width 511 hostname ciscoasa enable password 2KFQnbNIdI.2KYOU encrypted no mac-address auto ! interface Ethernet0/0 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 shutdown ! interface Management0/0 shutdown ! class default limit-resource All 0 limit-resource ASDM 5 limit-resource SSH 5 limit-resource Telnet 5 ! ftp mode passive clock timezone GMT 0 pager lines 10 no failover asdm image disk0:/asdm-635.bin asdm history enable arp timeout 14400 console timeout 0 admin-context admin context admin allocate-interface Ethernet0/0 allocate-interface Ethernet0/1 allocate-interface Ethernet0/2 allocate-interface Ethernet0/3 config-url disk0:/admin.cfg ! context Test1 allocate-interface Ethernet0/1 allocate-interface Ethernet0/3 config-url disk0:/Test1.cfg ! !--- This command is used to set a key to !--- authenticate with an NTP server. ntp authentication-key 10 md5 * !--- This command is used to configure the !--- NTP server IP address and the interface associated. ntp server 192.168.100.10 source inside username Test password I2xAvC8b372aLGtP encrypted privilege 15 username Cisco password dDFIeex1zkFMaVXs encrypted privilege 15 !--- Output suppressed. ! prompt hostname context Cryptochecksum:ae65e1f96123ea351ca1086c22f3ebc7 : end ciscoasa#

Cisco ASA

ciscoasa# show run
: Saved
:
ASA Version 8.2(1) <system>
!
terminal width 511
hostname ciscoasa
enable password 2KFQnbNIdI.2KYOU encrypted
no mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
 shutdown
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
clock timezone GMT 0
pager lines 10
no failover
asdm image disk0:/asdm-635.bin
asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  allocate-interface Ethernet0/0
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/2
  allocate-interface Ethernet0/3
  config-url disk0:/admin.cfg
!

context Test1
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/3
  config-url disk0:/Test1.cfg
!

!--- This command is used to set a key to !--- authenticate with an NTP server.

ntp authentication-key 10 md5 *

!--- This command is used to configure the !--- NTP server IP address and the interface associated.

ntp server 192.168.100.10 source inside
username Test password I2xAvC8b372aLGtP encrypted privilege 15
username Cisco password dDFIeex1zkFMaVXs encrypted privilege 15

!--- Output suppressed.

!

prompt hostname context
Cryptochecksum:ae65e1f96123ea351ca1086c22f3ebc7
: end
ciscoasa#

FWSM in modalità a contesto multiplo come client NTP

Il Cisco Firewall Service Module (FWSM) non supporta la configurazione NTP separatamente. All'avvio del modulo, l'orologio FWSM viene sincronizzato automaticamente con l'orologio dello switch Catalyst. Se lo switch Catalyst è sincronizzato con un server NTP, il modulo FWSM erediterà l'orologio.

Verifica

Fare riferimento a questa sezione per verificare che la configurazione funzioni correttamente.

Lo strumento Output Interpreter (solo utenti registrati) (OIT) supporta alcuni comandi show. Usare l'OIT per visualizzare un'analisi dell'output del comando show.

show ntp status: visualizza lo stato di ciascuna associazione NTP.

ciscoasa# show ntp status
Clock is synchronized, stratum 10, reference is 192.168.100.10
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is d3a93668.7b6b6155 (11:41:28.482 GMT Thu Jul 12 2012)
clock offset is -2.0439 msec, root delay is 1.48 msec
root dispersion is 3894.03 msec, peer dispersion is 3891.95 msec

show ntp association: visualizza le informazioni relative all'associazione NTP.

ciscoasa# show ntp associations
      address         ref clock     st  when  poll reach  delay  offset    disp
*~192.168.100.10   127.127.7.1       9     7    64    7     1.5   -2.04  3892.0
 * master (synced), # master (unsynced), + selected, - candidate, ~ configured

ciscoasa# show ntp associations detail

192.168.100.10 configured, our_master, sane, valid, stratum 9
ref ID 127.127.7.1, time d3aa5d7a.d8cf2704 (08:40:26.846 GMT Fri Jul 13 2012)
our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
root delay 0.00 msec, root disp 0.03, reach 377, sync dist 16.602
delay 1.71 msec, offset 1.3664 msec, dispersion 15.72
precision 2**16, version 3
org time d3aa5d8a.68391cb8 (08:40:42.407 GMT Fri Jul 13 2012)
rcv time d3aa5d8a.6817b624 (08:40:42.406 GMT Fri Jul 13 2012)
xmt time d3aa5d8a.67a3f2da (08:40:42.404 GMT Fri Jul 13 2012)
filtdelay =     1.71    1.60    1.57    1.68    1.59    1.66    1.65    1.65
filtoffset =    1.37    1.41    1.50    1.52    1.63    1.61    1.56    1.53
filterror =    15.63   31.25   46.88   62.50   78.13   93.75  109.38  125.00

Risoluzione dei problemi

Le informazioni contenute in questa sezione permettono di risolvere i problemi relativi alla configurazione.

Errore: Orologio peer/server non sincronizzato

Cisco ASA non sta eseguendo la sincronizzazione con il server NTP e viene visualizzato questo messaggio di errore:

NTP: packet from 192.168.1.1 failed validity tests 20
 Peer/Server Clock unsynchronized

Soluzione:

Abilitare i debug NTP e verificare questo output in dettaglio:

ciscoasa(config)# NTP: xmit packet to 192.168.1.1:
   leap 3, mode 3, version 3, stratum 0, ppoll 64

Sembra che il server NTP sia configurato con uno strato zero, specificato come "Non specificato" in base alla RFC 1305 .

Per risolvere questo errore, definire il numero di strato del server NTP tra 6 e 10.

Problema: Impossibile sincronizzare l'orologio con il server NTP

Cisco ASA è stato configurato come client NTP, ma la sincronizzazione non funziona e viene ricevuto questo output:

ciscoasa# show ntp status
Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is d3a93395.388e423c (11:29:25.220 GMT Thu Jul 12 2012)
clock offset is -4050.4142 msec, root delay is 1.21 msec
root dispersion is 19941.07 msec, peer dispersion is 16000.00 msec

Soluzione:

Per risolvere il problema, verificare i seguenti elementi:

Verificare se il server NTP è raggiungibile da Cisco ASA. Eseguire il test ping e verificare il routing.
Verificare che la configurazione Cisco ASA sia intatta e corrisponda ai parametri del server NTP.
Per ulteriori informazioni, abilitare i comandi di debug NTP.

Comandi per la risoluzione dei problemi

Lo strumento Output Interpreter (solo utenti registrati) (OIT) supporta alcuni comandi show. Usare l'OIT per visualizzare un'analisi dell'output del comando show.

Nota: consultare le informazioni importanti sui comandi di debug prima di usare i comandi di debug.