ASA 8.x - NTP 서버와 다중 컨텍스트 모드 동기화
목차
소개
이 문서에서는 다중 컨텍스트 모드에서 Cisco ASA(Adaptive Security Appliance)의 시계를 NTP(Network Time Protocol) 서버의 시계와 동기화하는 방법에 대한 샘플 컨피그레이션을 제공합니다.
NTP는 서로 다른 네트워크 엔티티의 시계를 동기화하는 데 사용되는 프로토콜입니다. 이 프로토콜은 UDP/123을 사용합니다. 이 프로토콜을 사용하는 주된 이유는 데이터 네트워크에 대한 가변 레이턴시의 영향을 피하기 위한 것입니다.
이 시나리오에서는 Cisco ASA가 다중 컨텍스트 모드에 있습니다. Admin 및 Test1은 두 가지 컨텍스트입니다. Cisco ASA를 NTP 클라이언트로 구성하려면 이 명령이 컨텍스트 모드를 지원하지 않으므로 시스템 실행 공간에서만 NTP Server 명령을 지정해야 합니다.
사전 요구 사항
요구 사항
이 문서에 대한 특정 요건이 없습니다.
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
-
Cisco ASA with Software 릴리스 버전 8.2 이상
-
Cisco ASDM(Adaptive Security Device Manager) 및 소프트웨어 릴리스 버전 6.3 이상
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
표기 규칙
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.
구성
이 섹션에서는 이 문서에 설명된 기능을 구성하는 데 필요한 정보를 제공합니다.
참고: 명령 조회 도구(등록된 고객만 해당)를 사용하여 이 섹션에 사용된 명령에 대한 자세한 내용을 확인하십시오.
네트워크 다이어그램
이 문서에서는 다음 네트워크 설정을 사용합니다.
ASDM 컨피그레이션
ASDM을 구성하려면 다음 단계를 완료합니다.
-
System Execution Space를 확인하려면 Cisco ASA 아래에서 System을 클릭합니다.
-
Configuration(컨피그레이션) > Device Management(디바이스 관리) > System Time(시스템 시간) > NTP로 이동하고 Add(추가)를 클릭합니다.
-
Add NTP Server Configuration(NTP 서버 컨피그레이션 추가) 창이 표시됩니다. NTP 서버와 연결된 인터페이스의 IP 주소를 지정하고 인증 키 세부 정보를 지정합니다. 확인을 클릭합니다.
참고: NTP 서버 세부 정보는 컨텍스트 System 내에서 지정해야 합니다. 그러나 시스템 실행 영역에는 다중 컨텍스트 모드의 인터페이스가 포함되지 않으므로 인터페이스 이름(즉, 관리 컨텍스트 내에 정의됨)을 지정해야 합니다.
-
이 창에서 NTP 서버 세부 정보를 봅니다.
다음은 참조용으로 Cisco ASA의 동등한 CLI 컨피그레이션입니다.
| Cisco ASA |
|---|
ciscoasa# show run : Saved : ASA Version 8.2(1) <system> ! terminal width 511 hostname ciscoasa enable password 2KFQnbNIdI.2KYOU encrypted no mac-address auto ! interface Ethernet0/0 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 shutdown ! interface Management0/0 shutdown ! class default limit-resource All 0 limit-resource ASDM 5 limit-resource SSH 5 limit-resource Telnet 5 ! ftp mode passive clock timezone GMT 0 pager lines 10 no failover asdm image disk0:/asdm-635.bin asdm history enable arp timeout 14400 console timeout 0 admin-context admin context admin allocate-interface Ethernet0/0 allocate-interface Ethernet0/1 allocate-interface Ethernet0/2 allocate-interface Ethernet0/3 config-url disk0:/admin.cfg ! context Test1 allocate-interface Ethernet0/1 allocate-interface Ethernet0/3 config-url disk0:/Test1.cfg ! !--- This command is used to set a key to !--- authenticate with an NTP server. ntp authentication-key 10 md5 * !--- This command is used to configure the !--- NTP server IP address and the interface associated. ntp server 192.168.100.10 source inside username Test password I2xAvC8b372aLGtP encrypted privilege 15 username Cisco password dDFIeex1zkFMaVXs encrypted privilege 15 !--- Output suppressed. ! prompt hostname context Cryptochecksum:ae65e1f96123ea351ca1086c22f3ebc7 : end ciscoasa# |
NTP 클라이언트로 다중 컨텍스트 모드의 FWSM
Cisco FWSM(Firewall Service Module)은 NTP 컨피그레이션을 별도로 지원하지 않습니다. FWSM 클럭은 모듈이 부팅될 때 Catalyst 스위치의 클럭과 자동으로 동기화됩니다. Catalyst 스위치 자체가 NTP 서버에 동기화되면 FWSM은 해당 시계를 상속합니다.
다음을 확인합니다.
이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.
Output Interpreter 도구(등록된 고객만 해당)(OIT)는 특정 show 명령을 지원합니다. OIT를 사용하여 show 명령 출력의 분석을 봅니다.
-
show ntp status - 각 NTP 연결의 상태를 표시합니다.
ciscoasa# show ntp status Clock is synchronized, stratum 10, reference is 192.168.100.10 nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6 reference time is d3a93668.7b6b6155 (11:41:28.482 GMT Thu Jul 12 2012) clock offset is -2.0439 msec, root delay is 1.48 msec root dispersion is 3894.03 msec, peer dispersion is 3891.95 msec
-
show ntp associations - NTP 연결에 대한 정보를 표시합니다.
ciscoasa# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.100.10 127.127.7.1 9 7 64 7 1.5 -2.04 3892.0 * master (synced), # master (unsynced), + selected, - candidate, ~ configuredciscoasa# show ntp associations detail 192.168.100.10 configured, our_master, sane, valid, stratum 9 ref ID 127.127.7.1, time d3aa5d7a.d8cf2704 (08:40:26.846 GMT Fri Jul 13 2012) our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024 root delay 0.00 msec, root disp 0.03, reach 377, sync dist 16.602 delay 1.71 msec, offset 1.3664 msec, dispersion 15.72 precision 2**16, version 3 org time d3aa5d8a.68391cb8 (08:40:42.407 GMT Fri Jul 13 2012) rcv time d3aa5d8a.6817b624 (08:40:42.406 GMT Fri Jul 13 2012) xmt time d3aa5d8a.67a3f2da (08:40:42.404 GMT Fri Jul 13 2012) filtdelay = 1.71 1.60 1.57 1.68 1.59 1.66 1.65 1.65 filtoffset = 1.37 1.41 1.50 1.52 1.63 1.61 1.56 1.53 filterror = 15.63 31.25 46.88 62.50 78.13 93.75 109.38 125.00
문제 해결
이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.
오류: 피어/서버 클럭이 동기화되지 않았습니다.
Cisco ASA가 NTP 서버와 동기화되지 않으며 다음 오류 메시지가 표시됩니다.
NTP: packet from 192.168.1.1 failed validity tests 20 Peer/Server Clock unsynchronized
해결책:
NTP 디버그를 활성화하고 이 출력을 자세히 확인합니다.
ciscoasa(config)# NTP: xmit packet to 192.168.1.1: leap 3, mode 3, version 3, stratum 0, ppoll 64
NTP 서버가 stratum 0으로 구성된 것처럼 보이며, 이는 RFC 1305에 따라 "지정되지 않음"으로 지정됩니다 
.
이 오류를 해결하려면 6~10 사이의 NTP 서버의 계층 번호를 정의합니다.
문제/장애: NTP 서버와 시계를 동기화할 수 없음
Cisco ASA는 NTP 클라이언트로 구성되었지만 동기화가 작동하지 않으며 다음 출력이 수신됩니다.
ciscoasa# show ntp status Clock is unsynchronized, stratum 16, no reference clock nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6 reference time is d3a93395.388e423c (11:29:25.220 GMT Thu Jul 12 2012) clock offset is -4050.4142 msec, root delay is 1.21 msec root dispersion is 19941.07 msec, peer dispersion is 16000.00 msec
해결책:
이 문제를 해결하려면 다음 항목을 확인하십시오.
-
Cisco ASA에서 NTP 서버에 연결할 수 있는지 확인합니다. ping 테스트를 수행하고 라우팅을 확인합니다.
-
Cisco ASA 컨피그레이션이 손상되지 않았는지, 그리고 NTP 서버의 매개변수와 일치하는지 확인합니다.
-
NTP debug 명령을 활성화하여 자세히 알아보십시오.
문제 해결 명령
Output Interpreter 도구(등록된 고객만 해당)(OIT)는 특정 show 명령을 지원합니다. OIT를 사용하여 show 명령 출력의 분석을 봅니다.
참고: debug 명령을 사용하기 전에 디버그 명령에 대한 중요 정보를 참조하십시오.
-
debug ntp packet - NTP 패킷에 대한 메시지를 표시합니다.
-
debug ntp event - NTP 이벤트에 대한 메시지를 표시합니다.
관련 정보
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
18-Jul-2012 |
최초 릴리스 |
피드백