NTP-verificatie in ISE configureren

Downloadopties

  • PDF     (445.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (274.8 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (314.8 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:28 mei 2024
Document-id:217215

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u NTP-verificatie kunt configureren op Cisco Identity Services Engine (ISE) en problemen kunt oplossen met de NTP-verificatie.

    Voorwaarden

    Vereisten

    Aanbevolen wordt dat u kennis van deze onderwerpen hebt:

    • Cisco ISE-CLI-configuratie
    • Basiskennis van Network Time Protocol (NTP)

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • ISE 2.7 standalone knooppunt
    • CISCO 2911/K9 VERSIE 15.2(1)T2

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Netwerkdiagram

    Netwerk op hoog niveau

    Configuraties

    Voordat u begint

    U moet de beheerdersrol Super Admin of System Admin hebben toegewezen voor ISE-toegang.

    Zorg ervoor dat de NTP-poort niet is geblokkeerd in het transitpad tussen ISE- en NTP-server(s).

    Er wordt aangenomen dat u uw NTP-servers hebt geconfigureerd op ISE. Als u uw NTP-server(s) wilt wijzigen, navigeer dan naar Beheer > Systeem > Instellingen > Systeemtijd. Voor een korte video ziet u ISE-netwerkconfiguratie

    Opmerking: kies in het geval van gedistribueerde implementatie dezelfde Network Time Protocol (NTP)-server voor alle knooppunten. Om problemen met de tijdzone tussen de knooppunten te voorkomen, moet u dezelfde NTP-servernaam opgeven tijdens de installatie van elke knooppunt. Dit zorgt ervoor dat de rapporten en logboeken van de diverse knooppunten in uw plaatsing altijd gesynchroniseerd met tijdstempels zijn.

    Opmerking: u kunt de tijdzone niet wijzigen vanaf GUI. U kunt dat doen via CLI, waarvoor ISE-herstart van de service voor dat specifieke knooppunt vereist is. Aanbevolen wordt om de voorkeurstijdzone (standaard UTC) te gebruiken op het moment van installatie wanneer de wizard voor de eerste installatie u om de tijdzones vraagt. Raadpleeg Cisco-bug-id CSCvo49755 in verband met het inschakelen van de opdracht voor de CLI-kloktijdzone.


    Als u zowel primaire als secundaire Cisco ISE-knooppunten in uw implementatie hebt, moet u inloggen op de gebruikersinterface van elk knooppunt en de instellingen voor systeemtijd en Network Time Protocol (NTP)-server configureren.

    U kunt de NTP-verificatie in ISE configureren via GUI of CLI.

    GUI-stappen

    Stap 1. Navigeer naar Beheer > Systeem > Instellingen > Systeemtijd en klik op NTP-verificatiesleutels, zoals in deze afbeelding.

    NTP-verificatie GUI

    Stap 2. Hier kunt u een of meer verificatiesleutels toevoegen. Klik op Add, dan krijg je een pop-up. Hier ondersteunt het veld Key ID numerieke waarden tussen 1 tot 65535 en het veld Key Value ondersteunt maximaal 15 alfanumerieke tekens. De sleutelwaarde is de daadwerkelijke sleutel NTP die wordt gebruikt om ISE als client voor de NTP-server te verifiëren. Ook, moet zeer belangrijke ID met aanpassen die op de server NTP wordt gevormd. Kies de gewenste Hashed Message Verification Code (HMAC)-waarde in de vervolgkeuzelijst HMAC.

    Verificatiesleutel GUI

    Stap 3. Klik op OK en sla vervolgens de verificatiesleutels op. U keert terug naar het tabblad NTP-serverconfiguratie.

    Stap 4. Nu in de belangrijkste vervolgkeuzelijst, ziet u de sleutel-ID die u in stap 3 hebt geconfigureerd. Klik op de respectieve sleutel-ID als u meerdere sleutel-ID’s hebt geconfigureerd. Klik vervolgens op Opslaan.

    Tijdconfiguratie GUI-systeem

    CLI-stappen

    Stap 1. Configureer de NTP-verificatiesleutel.

    admin(config)# ntp authentication-key ?
    <1-65535> Key number >>> This is the Key ID
    admin(config)# ntp authentication-key 1 ? >>> Here you can choose the HMAC value
    md5 MD5 authentication
    sha1 SHA1 authentication
    sha256 SHA256 authentication
    sha512 SHA512 authentication
    admin(config)# ntp authentication-key 1 md5 ? >>> You can choose either to paste the hash of the actual key or type the key in plain text. 
    hash Specifies an ENCRYPTED (hashed) key follows
    plain Specifies an UNENCRYPTED plain text key follows

    admin(config)# ntp authentication-key 1 md5 plain Ntp123 >>> Ensure there are no spaces given at the end of the key.

    Stap 2. Definieer de NTP-server en koppel de sleutel-ID die in stap 1 is geconfigureerd.

    admin(config)# ntp server IP/HOSTNAME ?
    key Peer key number
    <cr> Carriage return.

    admin(config)# ntp serve IP/HOSTNAME key ?
    <1-65535>

    admin(config)# ntp serve IP/HOSTNAME key 1 ?
    <cr> Carriage return.

    admin(config)# ntp serve IP/HOSTNAME key 1

    Configuratie op router

    De router fungeert als een NTP-server. Configureer deze opdrachten om de router als een NTP-server met NTP-verificatie in te schakelen.

    ntp authentication-key 1 md5 Ntp123 >>> The same key that you configured on ISE
    ntp authenticate
    ntp master STRATUM

    Verifiëren

    ISE:

    Gebruik het show ntp bevel. Als de NTP-verificatie succesvol is, moet u de ISE zien te synchroniseren met de NTP-server.

    admin# sh ntp
    Configured NTP Servers:
    NTP_SERVER_IP

    Reference ID : 0A6A23B1 (NTP_SERVER_IP)
    Stratum : 3
    Ref time (UTC) : Fri Mar 26 09:14:31 2021
    System time : 0.000008235 seconds fast of NTP time
    Last offset : +0.000003193 seconds
    RMS offset : 0.000020295 seconds
    Frequency : 10.472 ppm slow
    Residual freq : +0.000 ppm
    Skew : 0.018 ppm
    Root delay : 0.000571255 seconds
    Root dispersion : 0.000375993 seconds
    Update interval : 519.3 seconds
    Leap status : Normal >>> If there is any issue in NTP synchronization, it shows "Not synchronised".

    210 Number of sources = 1
    MS Name/IP address Stratum Poll Reach LastRx Last sample
    ===============================================================================
    ^* NTP_SERVER_IP 2 9 377 100 +3853ns[+7046ns] +/- 684us

    M indicates the mode of the source.
    ^ server, = peer, # local reference clock.

    S indicates the state of the sources.
    * Current time source, + Candidate, x False ticker, ? Connectivity lost, ~ Too much variability

    Warning: Output results can conflict at the time of changing synchronization.

    admin#

    Problemen oplossen

    Deze sectie bevat informatie voor het troubleshooten van de configuratie.

    1. Als de NTP-verificatie niet werkt, is de eerste stap om te garanderen de bereikbaarheid tussen ISE- en NTP-server.

    2. Verzeker de belangrijkste de configuratieovereenkomsten van ID op ISE en op de server NTP.

    3. Zorg ervoor dat de key-ID is ingesteld als vertrouwde sleutel op de NTP-server.

    4. De oudere versies van ISE zoals 2.4 en 2.6 ondersteunen de ntp Trusted-Key opdracht. Zorg er dus voor dat u de NTP-toets hebt geconfigureerd als vertrouwde sleutel op deze ISE-versies.

    5. ISE 2.7 introduceert een gedragswijziging voor NTP-synchronisatie. Terwijl vorige versies ntpd gebruiken, maken 2.7 en hogere versies gebruik van chrony. Chrony heeft andere vereisten dan ntpd. Een van de meest opvallende is dat terwijl ntpd synchroniseert met servers die een worteldispersie van maximaal 10 seconden hebben, chrony alleen synchroniseert wanneer de worteldispersie minder dan 3 seconden is. Dit zorgt ervoor dat de NTP-servers die in staat waren om pre-upgrade te synchroniseren, niet synchroon lopen op 2.7 zonder enige duidelijke reden.

      Wegens deze verandering, zouden de NTP synchronisatiekwesties vaak worden gezien als u de server van Windows NTP gebruikt aangezien zij zeer grote wortelverspreiding (3 of meer seconden) melden en dit veroorzaakt chrony om de server te negeren NTP te onnauwkeurig.

    Referentiedefecten

    Cisco bug-id CSCvw78019

    Cisco bug-id CSCvw03693

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    3.0
    28-May-2024
    Bijgewerkte koppen, Alt-tekst en opmaak.
    2.0
    16-May-2023
    Hercertificering
    1.0
    28-Jun-2021
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Ankush Kaidalwar
      Technisch adviseur-engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten