ASA 8.x — 與NTP伺服器同步多情景模式

簡介

本文提供如何在多情景模式下將思科自適應安全裝置(ASA)的時鐘與網路時間協定(NTP)伺服器的時鐘同步的示例配置。

NTP是用於同步不同網路實體的時鐘的協定。它使用UDP/123。使用此協定的主要原因是要避免資料網路上可變延遲的影響。

在此場景中，Cisco ASA處於多情景模式。Admin和Test1是兩個不同的情景。要將Cisco ASA配置為NTP客戶端，您只需在系統執行空間中指定NTP Server 命令，因為該命令不支援情景模式。

必要條件

需求

本文件沒有特定需求。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Cisco ASA軟體版本8.2及更高版本

• 軟體版本6.3及更高版本的思科自適應安全裝置管理器(ASDM)

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

慣例

請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。

設定

本節提供設定本檔案中所述功能所需的資訊。

註：使用Command Lookup Tool(僅供已註冊客戶使用)可獲取本節中使用的命令的詳細資訊。

網路圖表

本檔案會使用以下網路設定：

ASDM配置

完成以下步驟以配置ASDM:

1. 按一下Cisco ASA下的System以驗證系統執行空間。

   

2. 轉至Configuration > Device Management > System Time > NTP，然後按一下Add。

   

3. 將顯示「新增NTP伺服器配置」視窗。指定與NTP伺服器關聯的介面的IP地址，並指定身份驗證金鑰詳細資訊。按一下「OK」（確定）。

   

   注意：應在上下文系統中指定NTP伺服器詳細資訊。但是，由於系統執行空間不包括多情景模式中的任何介面，因此需要指定介面名稱（即在Admin情景中定義）。

4. 在此視窗中檢視NTP伺服器詳細資訊：

   

這是思科ASA的等效的CLI配置，供您參考：

ciscoasa# show run
: Saved
:
ASA Version 8.2(1) <system>
!
terminal width 511
hostname ciscoasa
enable password 2KFQnbNIdI.2KYOU encrypted
no mac-address auto
!
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
 shutdown
!
interface Management0/0
 shutdown
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
clock timezone GMT 0
pager lines 10
no failover
asdm image disk0:/asdm-635.bin
asdm history enable
arp timeout 14400
console timeout 0

admin-context admin
context admin
  allocate-interface Ethernet0/0
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/2
  allocate-interface Ethernet0/3
  config-url disk0:/admin.cfg
!

context Test1
  allocate-interface Ethernet0/1
  allocate-interface Ethernet0/3
  config-url disk0:/Test1.cfg
!

!--- This command is used to set a key to !--- authenticate with an NTP server.

ntp authentication-key 10 md5 *

!--- This command is used to configure the !--- NTP server IP address and the interface associated.

ntp server 192.168.100.10 source inside
username Test password I2xAvC8b372aLGtP encrypted privilege 15
username Cisco password dDFIeex1zkFMaVXs encrypted privilege 15

!--- Output suppressed.

!

prompt hostname context
Cryptochecksum:ae65e1f96123ea351ca1086c22f3ebc7
: end
ciscoasa#

作為NTP客戶端的多情景模式中的FWSM

思科防火牆服務模組(FWSM)不單獨支援NTP配置。當模組啟動時，FWSM時鐘會自動與Catalyst交換機的時鐘同步。如果Catalyst交換機本身同步到NTP伺服器，FWSM將繼承該時鐘。

驗證

使用本節內容，確認您的組態是否正常運作。

輸出直譯器工具(僅供已註冊客戶使用)(OIT)支援某些show命令。使用OIT檢視show命令輸出的分析。

• show ntp status — 顯示每個NTP關聯的狀態。

  ciscoasa# show ntp status
  Clock is synchronized, stratum 10, reference is 192.168.100.10
  nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
  reference time is d3a93668.7b6b6155 (11:41:28.482 GMT Thu Jul 12 2012)
  clock offset is -2.0439 msec, root delay is 1.48 msec
  root dispersion is 3894.03 msec, peer dispersion is 3891.95 msec

• show ntp associations — 顯示有關NTP關聯的資訊。

  ciscoasa# show ntp associations
        address         ref clock     st  when  poll reach  delay  offset    disp
  *~192.168.100.10   127.127.7.1       9     7    64    7     1.5   -2.04  3892.0
   * master (synced), # master (unsynced), + selected, - candidate, ~ configured

  ciscoasa# show ntp associations detail
  
  192.168.100.10 configured, our_master, sane, valid, stratum 9
  ref ID 127.127.7.1, time d3aa5d7a.d8cf2704 (08:40:26.846 GMT Fri Jul 13 2012)
  our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
  root delay 0.00 msec, root disp 0.03, reach 377, sync dist 16.602
  delay 1.71 msec, offset 1.3664 msec, dispersion 15.72
  precision 2**16, version 3
  org time d3aa5d8a.68391cb8 (08:40:42.407 GMT Fri Jul 13 2012)
  rcv time d3aa5d8a.6817b624 (08:40:42.406 GMT Fri Jul 13 2012)
  xmt time d3aa5d8a.67a3f2da (08:40:42.404 GMT Fri Jul 13 2012)
  filtdelay =     1.71    1.60    1.57    1.68    1.59    1.66    1.65    1.65
  filtoffset =    1.37    1.41    1.50    1.52    1.63    1.61    1.56    1.53
  filterror =    15.63   31.25   46.88   62.50   78.13   93.75  109.38  125.00

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

錯誤：對等/伺服器時鐘不同步

Cisco ASA未與NTP伺服器同步，收到以下錯誤消息：

NTP: packet from 192.168.1.1 failed validity tests 20
 Peer/Server Clock unsynchronized

解決方案：

啟用NTP調試，並詳細驗證此輸出：

ciscoasa(config)# NTP: xmit packet to 192.168.1.1:
   leap 3, mode 3, version 3, stratum 0, ppoll 64

NTP伺服器似乎配置了零層，按照RFC 1305 ，該層被指定為「未指定」。

為了解決此錯誤，請定義NTP伺服器層號(6-10)。

問題：無法與NTP伺服器同步時鐘

Cisco ASA已配置為NTP客戶端，但同步不起作用，收到以下輸出：

ciscoasa# show ntp status
Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is d3a93395.388e423c (11:29:25.220 GMT Thu Jul 12 2012)
clock offset is -4050.4142 msec, root delay is 1.21 msec
root dispersion is 19941.07 msec, peer dispersion is 16000.00 msec

解決方案：

若要解決此問題，請驗證以下專案：

• 檢查是否可從思科ASA訪問NTP伺服器。執行ping測試並檢驗路由。

• 確保Cisco ASA配置完好無損，並且匹配NTP伺服器的引數。

• 啟用NTP debug命令以進一步進行挖掘。

疑難排解指令

輸出直譯器工具(僅供已註冊客戶使用)(OIT)支援某些show命令。使用OIT檢視show命令輸出的分析。

附註：使用 debug 指令之前，請先參閱有關 Debug 指令的重要資訊。

• debug ntp packet — 顯示有關NTP資料包的消息。

• debug ntp event — 顯示有關NTP事件的消息。

相關資訊

• Cisco ASA 5500系列自適應安全裝置產品支援
• 高可用性Catalyst 6000交換機的NTP配置示例
• NTPv3 RFC 1305
• 技術支援與文件 - Cisco Systems