ASA 8.x - Sincronizar o Modo de Contexto Múltiplo com o Servidor NTP

Opções de download

  • PDF     (366.9 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (333.7 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (306.1 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:18 de julho de 2012
ID do documento:113620

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento fornece uma configuração de exemplo de como sincronizar o relógio do Cisco Adaptive Security Appliance (ASA) em modo de contexto múltiplo com o de um servidor Network Time Protocol (NTP).

O NTP é um protocolo usado para sincronizar os relógios de diferentes entidades de rede. Usa UDP/123. O principal motivo para usar esse protocolo é evitar os efeitos da latência variável nas redes de dados.

Neste cenário, o Cisco ASA está em modo de contexto múltiplo. Admin e Test1 são os dois contextos diferentes. Para configurar o Cisco ASA como um cliente NTP, você precisa especificar o comando NTP Server no espaço de execução do sistema somente porque esse comando não suporta o modo de contexto.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco ASA com Software Versão 8.2 e posterior

  • Cisco Adaptive Security Device Manager (ASDM) com Software Release 6.3 e Mais Recente

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você recebe as informações necessárias para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

acs-ntp-context-01.gif

Configuração do ASDM

Conclua estes passos para configurar o ASDM:

  1. Clique em Sistema no Cisco ASA para verificar o Espaço de execução do sistema.

    acs-ntp-context-02.gif

  2. Vá para Configuration > Device Management > System Time > NTP e clique em Add.

    acs-ntp-context-03.gif

  3. A janela Add NTP Server Configuration é exibida. Especifique o endereço IP da interface associada ao Servidor NTP e especifique os detalhes da Chave de autenticação. Click OK.

    acs-ntp-context-04.gif

    Observação: os detalhes do Servidor NTP devem ser especificados no contexto Sistema. No entanto, como o Espaço de execução do sistema não inclui nenhuma interface no modo de contexto múltiplo, você precisa especificar um nome de interface (ou seja, definido no contexto Admin).

  4. Veja os detalhes do Servidor NTP nesta janela:

    acs-ntp-context-05.gif

Esta é a configuração de CLI equivalente do Cisco ASA, para sua referência:

Cisco ASA 
ciscoasa# show run
: Saved
:
ASA Version 8.2(1) <system>
!
terminal width 511
hostname ciscoasa
enable password 2KFQnbNIdI.2KYOU encrypted
no mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
 shutdown
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
clock timezone GMT 0
pager lines 10
no failover
asdm image disk0:/asdm-635.bin
asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  allocate-interface Ethernet0/0
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/2
  allocate-interface Ethernet0/3
  config-url disk0:/admin.cfg
!

context Test1
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/3
  config-url disk0:/Test1.cfg
!

!--- This command is used to set a key to !--- authenticate with an NTP server.

ntp authentication-key 10 md5 *

!--- This command is used to configure the !--- NTP server IP address and the interface associated.

ntp server 192.168.100.10 source inside
username Test password I2xAvC8b372aLGtP encrypted privilege 15
username Cisco password dDFIeex1zkFMaVXs encrypted privilege 15

!--- Output suppressed.

!

prompt hostname context
Cryptochecksum:ae65e1f96123ea351ca1086c22f3ebc7
: end
ciscoasa#

FWSM no modo de contexto múltiplo como um cliente NTP

O Cisco Firewall Service Module (FWSM) não suporta a configuração NTP separadamente. O relógio do FWSM é automaticamente sincronizado com o relógio do Switch Catalyst enquanto o módulo está sendo inicializado. Se o próprio Switch Catalyst for sincronizado com um servidor NTP, o FWSM herdará esse relógio.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • show ntp status - Mostra o status de cada associação NTP.

    ciscoasa# show ntp status
Clock is synchronized, stratum 10, reference is 192.168.100.10
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is d3a93668.7b6b6155 (11:41:28.482 GMT Thu Jul 12 2012)
clock offset is -2.0439 msec, root delay is 1.48 msec
root dispersion is 3894.03 msec, peer dispersion is 3891.95 msec

  • show ntp associations - Mostra as informações sobre a associação NTP.

    ciscoasa# show ntp associations
      address         ref clock     st  when  poll reach  delay  offset    disp
*~192.168.100.10   127.127.7.1       9     7    64    7     1.5   -2.04  3892.0
 * master (synced), # master (unsynced), + selected, - candidate, ~ configured
    ciscoasa# show ntp associations detail

192.168.100.10 configured, our_master, sane, valid, stratum 9
ref ID 127.127.7.1, time d3aa5d7a.d8cf2704 (08:40:26.846 GMT Fri Jul 13 2012)
our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
root delay 0.00 msec, root disp 0.03, reach 377, sync dist 16.602
delay 1.71 msec, offset 1.3664 msec, dispersion 15.72
precision 2**16, version 3
org time d3aa5d8a.68391cb8 (08:40:42.407 GMT Fri Jul 13 2012)
rcv time d3aa5d8a.6817b624 (08:40:42.406 GMT Fri Jul 13 2012)
xmt time d3aa5d8a.67a3f2da (08:40:42.404 GMT Fri Jul 13 2012)
filtdelay =     1.71    1.60    1.57    1.68    1.59    1.66    1.65    1.65
filtoffset =    1.37    1.41    1.50    1.52    1.63    1.61    1.56    1.53
filterror =    15.63   31.25   46.88   62.50   78.13   93.75  109.38  125.00

Troubleshoot

Esta seção disponibiliza informações para a solução de problemas de configuração.

Erro: Relógio de Peer/Servidor não sincronizado

O Cisco ASA não está sincronizando com o servidor NTP, e esta mensagem de erro é recebida:

NTP: packet from 192.168.1.1 failed validity tests 20
 Peer/Server Clock unsynchronized

Solução:

Ative as depurações de NTP e verifique essa saída em detalhes:

ciscoasa(config)# NTP: xmit packet to 192.168.1.1:
   leap 3, mode 3, version 3, stratum 0, ppoll 64

Parece que o Servidor NTP está configurado com um stratum zero, que é especificado como "Não especificado" de acordo com o RFC 1305 leavingcisco.com.

Para resolver esse erro, defina o número do stratum do servidor NTP entre 6 e 10.

Problema: Não é possível sincronizar o relógio com o servidor NTP

O Cisco ASA foi configurado como um cliente NTP, mas a sincronização não funciona e esta saída é recebida:

ciscoasa# show ntp status
Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is d3a93395.388e423c (11:29:25.220 GMT Thu Jul 12 2012)
clock offset is -4050.4142 msec, root delay is 1.21 msec
root dispersion is 19941.07 msec, peer dispersion is 16000.00 msec

Solução:

Para resolver esse problema, verifique estes itens:

  • Verifique se o servidor NTP pode ser alcançado pelo Cisco ASA. Execute o teste de ping e verifique o roteamento.

  • Verifique se a configuração do Cisco ASA está intacta e corresponde aos parâmetros do Servidor NTP.

  • Ative os comandos debug do NTP para pesquisar mais.

Comandos para Troubleshooting

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota:Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
18-Jul-2012
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos