firepower 어플라이언스에서 NTP 설정 구성 및 문제 해결

다운로드 옵션

  • PDF     (574.5 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (333.6 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (274.2 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2022년 11월 28일
문서 ID:215468

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개


    이 문서에서는 Firepower FXOS 어플라이언스에서 NTP(Network Time Protocol)를 구성, 확인 및 트러블슈팅하는 방법에 대해 설명합니다.



    사전 요구 사항

    요구 사항

    이 문서에 대한 특정 요건이 없습니다.

    사용되는 구성 요소

    • FXOS 2.3(1.130) 및 2.8(1.105)을 실행하는 FPR4140
    • ASA 플랫폼 모드를 실행하는 FPR2110
    • ASA 어플라이언스 모드를 실행하는 FPR1140

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

    배경 정보

    firepower에서 NTP 작업은 플랫폼에 따라 다릅니다.

    FPR41xx/FPR9300


    ASA 또는 FTD 시간은 섀시 Firepower FCM(Chassis Manager) MIO(Management Input/Output)에서 가져옵니다. MIO는 Firepower 섀시의 수퍼바이저입니다.

    NTP 서버 - Firepower 어플라이언스 FPR41xx/9300

    FPR1xxx/FPR2100


    FTD에서 시간은 FMC에서 가져옵니다.

    NTP 서버 - Firepower 어플라이언스 FPR1xx/FPR2100

    이 구축의 경우 다음 문서를 확인하십시오.

    추가 정보

    NTP는 시간 동기화에 사용됩니다. NTP는 UDP 포트 번호 123을 전송으로 사용합니다.

    FXOS에서 지원되는 NTP 버전:

    • FXOS 10.2.2.7 이상에서는 NTP 버전 3을 사용합니다
    • 10.2.2.7보다 오래된 FXOS는 NTP 버전 2를 사용합니다.

    Cisco 버그 ID CSCve58269로 인해 지원되는 버전이 변경됨 - NTP: v2를 v3로 변경

    참고: NTP 버전 4는 공식적으로 지원되지 않습니다. NTP 버전 4는 NTP 버전 3과 역호환됩니다.


    구성

    FPR 41xx/9300의 NTP

    핵심 사항

    • Firepower 41xx/9300 어플라이언스에서 NTP를 구성하려면 FCM에 로그인하고 Platform Settings(플랫폼 설정) 탭으로 이동합니다.
    • 논리적 디바이스(ASA 또는 FTD)의 NTP는 MIO와 동기화됩니다.
    • 현재 FTD의 NTP를 FMC(Firepower 관리 센터)와 동기화할 가능성이 없습니다. 해당 옵션을 선택하더라도 FTD의 NTP는 MIO와 동기화됩니다. 따라서 FMC와 FCM은 동일한 NTP 서버를 사용하는 것이 좋습니다.
    • FMC는 전체 NTP 서버가 아닙니다. 또한 sftunnel을 통해 관리되는 디바이스에 시간 설정만 제공할 수 있습니다. 따라서 Firepower 41xx/9300 섀시의 NTP 서버로 사용할 수 없습니다.
    • Smart License를 성공적으로 설치하려면 올바른 NTP 컨피그레이션이 필요합니다.

    FPR 1xxx/2100의 NTP

    • Firepower Firepower 1xxx/2100 어플라이언스에서 NTP를 구성하려면 플랫폼 모드의 ASA용 Firepower FCM(Domain Chassis Manager)에서 플랫폼 설정 탭으로 이동합니다.
    • 플랫폼 모드의 ASA에서는 논리적 디바이스의 NTP가 MIO와 동기화됩니다.
    • 논리 애플리케이션 자체에서 NTP 설정을 구성합니다. 어플라이언스 모드의 ASA 또는 FDM(Firepower 장치 관리자)에서 FTD 온박스 관리를 수행하는 경우.
    • FTD가 FMC에 의해 관리되는 경우(오프박스 관리) FMC에서 NTP를 구성합니다.

    참고: 9.13(1) 이후 버전에서는 어플라이언스 모드(기본값) 및 플랫폼 모드(ASA용 Firepower 1xxx/2100)에서 실행할 수 있습니다. 어플라이언스 모드를 사용하면 ASA에서 NTP를 포함하는 모든 설정을 구성할 수 있습니다. 고급 문제 해결 명령만 FXOS CLI에서 사용할 수 있습니다. 반면, 플랫폼 모드에서는 FCM(Chassis Manager)에서 기본 설정(NTP 포함) 및 하드웨어 인터페이스 설정을 구성해야 합니다.

    FPR 1xxx/2100/41xx/9300 어플라이언스에서 NTP 구성

    1단계. 로컬 사용자 자격 증명을 사용하여 Firepower Chassis Manager GUI에 로그인하고 Platform Settings(플랫폼 설정) > NTP로 이동합니다. Add(추가) 버튼을 선택합니다.

    로컬 사용자 자격 증명을 사용하여 Firepower 섀시 관리자에 로그인합니다.

    2단계. NTP 서버 IP 주소 또는 호스트 이름을 지정합니다(NTP 서버에 호스트 이름을 사용하는 경우 DNS 서버를 구성해야 함).

    NTP 서버 추가

    참고: 최대 4개의 NTP 서버를 구성할 수 있습니다

    다음을 확인합니다.

    FPR41xx/9300 어플라이언스에서 NTP 동기화 확인

    서버 상태를 모니터링합니다.

    동기화 진행 중 확인

    동기화됨 완료 확인

    서버 상태 참조

    • Not available(사용할 수 없음): NTP 서버 컨피그레이션 직후에 표시되는 기본 상태입니다.
    • Unreachable/Invalid(도달 불가/유효하지 않음): 다음 시나리오에 표시됩니다.
      • NTP 프로토콜에서 NTP 서버 IP 주소 또는 호스트 이름에 연결할 수 없는 경우.
      • NTP 서버 IP 주소 또는 호스트 이름에 연결할 수 있지만 원격 호스트가 NTP 서버가 아닌 경우.
      • 쿼리 실행 실패, 예외 발생, 정의되지 않은 시간 동기화 상태 발생 등의 기타 내부 오류
    • 동기화 진행 중: 서버에 연결할 수 있고 NTP 프로토콜을 지원하며, 초기 컨버전스가 계속 진행 중이며 아직 완료되지 않았습니다.
    • Synchronized(동기화됨): 호스트가 시스템 동기화 피어로 선언되고 시간 시계가 동기화됩니다.
    • Candidate(후보): 호스트가 후보(대기) 피어입니다. 후보 NTP 서버는 유효한 NTP 서버이며 Firepower 어플라이언스와 성공적으로 통신하지만, 모듈은 다른 NTP 서버와 동기화되어 대기 서버입니다. 현재 피어가 삭제되면 다음 동기화 피어로 선택할 수 있습니다.
    • Outlier: 나머지 NTP 서버와 큰 차이(시간 오프셋 및 왕복 지연)로 인해 폐기되는 NTP 서버입니다.

    FPR41xx/9300 어플라이언스에서 NTP 컨피그레이션 확인

    NTP 피어 상태를 확인합니다.

    FPR4100-8-A# connect fxos
    FPR4100-8-A(fxos)# show ntp peer-status 
Total peers : 4
* - selected for sync, + -  peer mode(active), 
- - peer mode(passive), = - polled in client mode 
    remote               local                 st   poll   reach delay
------------------------------------------------------------------------
=172.16.38.66           10.62.148.196           1 1024      17   0.20996 
*172.31.201.67          10.62.148.196           1 1024     377   0.03035 
=172.16.38.65           10.62.148.196           1 1024     377   0.19914 
=172.31.20.115         10.62.148.196           1 1024     377   0.02905

    NTP 서버 컨피그레이션 및 동기화를 확인합니다.

    FPR4100-8-A# scope system 
    FPR4100-8-A /system # scope services 
    FPR4100-8-A /system/services # show ntp-server detail
    NTP server hostname:
    Name: 172.16.38.65Time Sync Status: Candidate
    NTP SHA-1 key id: 0
    Error Msg:

    Name: 172.16.38.66
    Time Sync Status: Time Sync In Progress
    NTP SHA-1 key id: 0
    Error Msg:

    Name: 172.31.20.115
    Time Sync Status: Candidate
    NTP SHA-1 key id: 0
    Error Msg:

    Name: 172.31.201.67
    Time Sync Status: Time Synchronized
    NTP SHA-1 key id: 0
    Error Msg:

    NTP 연결을 확인합니다.

    FPR4100-8-A# connect module 1 console 
    Firepower-module1>show ntp association

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*203.0.113.126   172.31.201.67   2 u   39   64  370    0.070    0.445   0.210

ind assid status  conf reach auth condition  last_event cnt
===========================================================
  1 16696  961a   yes   yes  none  sys.peer    sys_peer  1

associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer,
srcadr=203.0.113.126, srcport=123, dstadr=203.0.113.1, dstport=123,
leap=00, stratum=2, precision=-21, rootdelay=29.053, rootdisp=70.496,
refid=172.31.201.67,
reftime=e24d4bd9.3b680f6d  Fri, Apr 24 2020 11:28:25.232,
rec=e24d4d34.170bd724  Fri, Apr 24 2020 11:34:12.090, reach=370,
unreach=0, hmode=3, pmode=4, hpoll=6, ppoll=6, headway=0,
flash=20 pkt_stratum, keyid=0, offset=0.445, delay=0.070,
dispersion=2.152, jitter=0.210, xleave=0.017,

filtdelay=     0.08    0.11    0.08    0.10    0.07    0.08    0.09    0.07,
filtoffset=    0.17    0.18    0.29    0.29    0.45    0.45    0.69    0.69,
filtdisp=      0.00    0.03    0.99    1.02    2.03    2.06    3.03    3.06

associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer,
remote host:           203.0.113.126:123
local address:         203.0.113.1:123
time last received:    39
time until next send:  26
reachability change:   170025
packets sent:          5048
packets received:      5048
bad authentication:    0
bogus origin:          0
duplicate:             0
bad dispersion:        27
bad reference time:    0

    NTP sysinfo를 확인합니다.

    FPR4100-8-A# connect module 1 console 
    Firepower-module1>show ntp sysinfo
associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
version="ntpd 4.2.8p11@1.3728-o Sat Dec  8 06:11:47 UTC 2018 (2)",
processor="x86_64", system="Linux/3.10.62-ltsi-WR10.0.0.29_standard",
leap=00, stratum=3, precision=-24, rootdelay=29.129, rootdisp=24.276,
refid=203.0.113.126,
reftime=e24dd3bf.170a6210  Fri, Apr 24 2020 21:08:15.090,
clock=e24dd437.59b86104  Fri, Apr 24 2020 21:10:15.350, peer=16696, tc=6,
mintc=3, offset=0.009911, frequency=7.499, sys_jitter=0.023550,
clk_jitter=0.004, clk_wander=0.001

associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
system peer:        203.0.113.126:123
system peer mode:   client
leap indicator:     00
stratum:            3
log2 precision:     -24
root delay:         29.129
root dispersion:    24.276
reference ID:       203.0.113.126
reference time:     e24dd3bf.170a6210  Fri, Apr 24 2020 21:08:15.090
system jitter:      0.023550
clock jitter:       0.004
clock wander:       0.001
broadcast delay:    -50.000
symm. auth. delay:  0.000

uptime:                 204908
sysstats reset:         204908
packets received:       19928
current version:        6069
older version:          0
bad length or format:   0
authentication failed:  0
declined:               0
restricted:             0
rate limited:           0
KoD responses:          0
processed for time:     6040

associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
pll offset:            0.006196
pll frequency:         7.49899
maximum error:         0.097039
estimated error:       3e-06
kernel status:         pll nano
pll time constant:     6
precision:             1e-06
frequency tolerance:   500
pps frequency:         0
pps stability:         0
pps jitter:            0
calibration interval   0
calibration cycles:    0
jitter exceeded:       0
stability exceeded:    0
calibration errors:    0

time since reset:       204908
receive buffers:        10
free receive buffers:   9
used receive buffers:   0
low water refills:      1
dropped packets:        0
ignored packets:        0
received packets:       19930
packets sent:           26811
packet send failures:   0
input wakeups:          224931
useful input wakeups:   20034

    FPR41xx/9300 어플라이언스에서 MIO와 논리적 디바이스(블레이드) 간의 NTP 동기화 확인

    FPR41xx/9300에서 NTP 설정은 MIO(섀시)를 통해 FTD로 푸시됩니다. FTD CLI 또는 FMC UI에서 NTP 컨피그레이션을 수행할 수 없습니다.

    각 FTD 블레이드는 내부 참조 ID 203.0.113.126을 사용하여 시간 동기화를 위해 MIO와 통신하며, 이를 기반으로 동기화 여부를 표시합니다. FTD CLI는 이를 반영합니다. 이 예에서 NTP IP는 실제 NTP 서버 IP가 아니라 내부 ref-id입니다. reference-id는 항상 동일하므로 FCM에서 NTP 서버 IP를 변경해도 이 출력에 영향을 주지 않습니다.

     > show ntp
NTP Server                : 203.0.113.126
Status                    : Being Used
Offset                    : -0.078 (milliseconds)
Last Update               : 43 (seconds)

    FPR1xxx/2100 어플라이언스에서 NTP 컨피그레이션을 확인합니다.

    주의: 이는 플랫폼 모드의 ASA용 FPR1xxx/2100 어플라이언스에만 적용됩니다.

    firepower-2140# scope system
firepower-2140 /system # scope services
firepower-2140 /system/services # show ntp-server detail

NTP server hostname:
    Name: 172.31.201.67
    Time Sync Status: Time Synchronized
    Error Msg:

    Name: ntp.esl.cisco.com
    Time Sync Status: Candidate
    Error Msg:

    일반적인 문제 해결

    1. FXOS가 NTP 서버 호스트 이름을 확인할 수 없습니다.

    FCM UI에는 다음이 표시됩니다.

    FXOS가 NTP 서버 호스트 이름을 확인할 수 없음

    권장 조치

    ping 명령을 사용하여 NTP 서버 호스트 이름 확인을 확인합니다

    KSEC-FPR4100-8-A(local-mgmt)# ping ntp.esl.cisco.com
Invalid Host Name.

    가능한 원인

    • DNS 서버가 구성되지 않았습니다.
    • DNS 서버가 호스트 이름을 확인할 수 없습니다.



    2. FXOS - UDP 포트 123의 NTP 서버 간 연결 문제

    FCM UI에는 다음이 표시됩니다.

    UDP 포트 123의 FXOS-NTP 서버 간 연결 문제

    권장 조치

    주의: 섀시 관리 인터페이스의 Ethanalyzer 캡처는 FPR41xx/9300 어플라이언스에서만 사용할 수 있습니다.

    섀시 관리 인터페이스에서 캡처를 수행하고 UDP 포트 123의 양방향 통신을 확인합니다.

    KSEC- FPR4100-8-A(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 123"
Capturing on 'eth0'
1 2020-04-30 20:09:54.150237760 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
2 2020-04-30 20:14:14.150172804 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
    3 2020-04-30 20:23:13.150171682 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client

    가능한 원인

    • 구성된 서버가 NTP 서버가 아닙니다.
    • 경로의 디바이스(예: 방화벽)는 트래픽을 차단하거나 수정합니다.



    3. FXOS와 NTP 서버 간의 간헐적인 연결 문제

    FCM UI에는 다음이 표시됩니다.

    FXOS와 NTP 서버 간의 간헐적 연결 문제

    권장 작업

    주의: FPR41xx/9300 어플라이언스에만 해당됩니다.

    FXOS CLI에서 NTP 동기화 프로세스 시작

    FPR4100-8-A# connect fxos
FPR4100-8-A(fxos)# ntp sync-retry

    Ethanalyzer CLI 명령 툴을 사용하여 섀시 관리 인터페이스에서 캡처를 수행합니다.

    가능한 원인

    • FXOS - NTP 서버 간의 간헐적인 연결 문제

    관련 결함

    릴리스 정보에서 알려진/수정된 결함이 있는지 확인합니다.

    관련 정보

    개정 이력

    개정 게시 날짜 의견
    2.0
    28-Nov-2022
    PII를 제거했습니다. 대체 텍스트를 추가했습니다. 업데이트된 글꼴 태그, 제목 및 소개, 스타일 요구 사항, 기계 번역, 공유 및 서식.
    1.0
    03-May-2020
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • 아니타 피지크
      Cisco TAC 엔지니어
    • 미키스 자페이루디스
      Cisco TAC 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품