Configurar y solucionar problemas de configuración de NTP en dispositivos Firepower

Opciones de descarga

  • PDF     (535.8 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:28 de noviembre de 2022
ID del documento:215468

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción


    Este documento describe cómo configurar, verificar y resolver problemas del protocolo de tiempo de la red (NTP) en los appliances Firepower FXOS.



    Prerequisites

    Requirements

    No hay requisitos específicos para este documento.

    Componentes Utilizados

    • FPR4140 que ejecuta FXOS 2.3(1.130) y 2.8(1.105)
    • FPR2110 que ejecuta el modo de plataforma ASA
    • FPR1140 que ejecuta el modo de dispositivo ASA

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    En Firepower, el funcionamiento de NTP depende de la plataforma.

    FPR41xx/FPR9300


    El tiempo de ASA o FTD se obtiene de la entrada/salida de gestión (MIO) del chasis Firepower Chassis Manager (FCM). MIO es el supervisor del chasis Firepower.

    Servidor NTP: dispositivo Firepower FPR41xx/9300

    FPR1xxx/FPR2100


    En el FTD, el tiempo se toma del CSP:

    Servidor NTP: dispositivo Firepower FPR1xx/FPR2100

    Para esta implementación, consulte estos documentos:

    Additional Information

    NTP se utiliza para la sincronización horaria. NTP utiliza como transporte el número de puerto UDP 123.

    Versiones NTP compatibles en FXOS:

    • FXOS 10.2.2.7 y versiones posteriores utilizan NTP versión 3
    • FXOS anteriores a 10.2.2.7 utilizan la versión 2 de NTP

    La versión admitida cambió debido al Id. de error de Cisco CSCve58269 - NTP: cambiar v2 a v3

    Nota: la versión 4 de NTP no es compatible oficialmente. La versión 4 de NTP es compatible con la versión 3 de NTP.


    Configurar

    NTP en FPR 41xx/9300

    Puntos clave

    • Para configurar NTP en un dispositivo Firepower 41xx/9300, inicie sesión en FCM y navegue hasta la pestaña Platform Settings.
    • El NTP de los dispositivos lógicos (ASA o FTD) está sincronizado con la MIO.
    • Actualmente, no existe la posibilidad de sincronizar NTP en FTD con Firepower Management Center (FMC), aunque elija esa opción, NTP en FTD se sincroniza con MIO. Por lo tanto, se recomienda encarecidamente que FMC y FCM utilicen el mismo servidor NTP.
    • El FMC no es un servidor NTP completo. Solo puede proporcionar ajustes de tiempo a sus dispositivos administrados a través del sftunnel. Por lo tanto, no se puede utilizar como servidor NTP para el chasis Firepower 41xx/9300.
    • Se requiere una configuración NTP adecuada para una instalación correcta de Smart License.

    NTP en FPR 1xxx/2100

    • Para configurar NTP en un dispositivo Firepower 1xxx/2100, vaya a la pestaña Configuración de plataforma desde Firepower Chassis Manager (FCM), Firepower para ASA en modo de plataforma.
    • En el caso de un ASA en modo de plataforma, el NTP en el dispositivo lógico se sincroniza con la MIO.
    • Configure los parámetros de NTP en la propia aplicación lógica. El ASA en modo de dispositivo o en caso de administración FTD integrada desde el administrador de dispositivos Firepower (FDM).
    • En caso de que el FTD sea gestionado por FMC (gestión externa), configure el NTP en el FMC.

    Nota: en las versiones posteriores a la 9.13(1), puede ejecutar Firepower 1xxx/2100 para ASA en estos modos: modo de dispositivo (predeterminado) y modo de plataforma. El modo de dispositivo permite configurar todos los parámetros, incluido NTP, en el ASA. En la CLI de FXOS sólo están disponibles los comandos avanzados de solución de problemas. Por otro lado, en el modo de plataforma, debe configurar los parámetros básicos (incluido NTP) y los parámetros de la interfaz de hardware en el administrador de chasis (FCM).

    Configuración del NTP en dispositivos FPR 1xxx/2100/41xx/9300

    Paso 1. Inicie sesión en la GUI de Firepower Chassis Manager con las credenciales del usuario local y navegue hasta Platform Settings > NTP. Seleccione el botón Add:

    Inicie sesión en Firepower Chassis Manager con las credenciales del usuario local

    Paso 2. Especifique la dirección IP o el nombre de host del servidor NTP (si utiliza un nombre de host para el servidor NTP, debe configurar un servidor DNS).

    Agregar servidor NTP

    Nota: Puede configurar hasta 4 servidores NTP

    Verificación

    Verifique la sincronización NTP en los dispositivos FPR41xx/9300

    Supervise el estado del servidor.

    Verificación de la sincronización en curso

    Verificación de sincronización completada

    Referencia del estado del servidor

    • No disponible: el estado predeterminado que se muestra inmediatamente después de la configuración del servidor NTP.
    • Inalcanzable/No válido: se muestra en estos escenarios:
      • Cuando el protocolo NTP no puede alcanzar la dirección IP o el nombre de host del servidor NTP.
      • Cuando la dirección IP o el nombre de host del servidor NTP son accesibles, pero el host remoto no es un servidor NTP.
      • Otros errores internos como, por ejemplo, cuando la consulta no se puede ejecutar, se produce una excepción, se encuentra un estado de sincronización horaria no definido, etc.
    • Sincronización en curso: el servidor es accesible y admite el protocolo NTP; la convergencia de tiempo inicial continúa y no se ha completado todavía.
    • Sincronizado: el host se declara como el par de sincronización del sistema y el reloj de tiempo está en sincronización con él.
    • Candidato: el host es el par candidato (en espera). Un servidor NTP candidato significa que es válido y que se ha comunicado correctamente con el dispositivo Firepower, pero el módulo se ha sincronizado con otro servidor NTP, por lo que es el servidor en espera. Se puede seleccionar como el siguiente peer en sincronización si se elimina el actual.
    • Antecedentes: servidor NTP que se descarta debido a una gran diferencia (desplazamiento de tiempo y retraso de ida y vuelta) en comparación con el resto de servidores NTP.

    Verifique la configuración de NTP en los dispositivos FPR41xx/9300

    Verifique el estado del peer NTP:

    FPR4100-8-A# connect fxos
    FPR4100-8-A(fxos)# show ntp peer-status 
Total peers : 4
* - selected for sync, + -  peer mode(active), 
- - peer mode(passive), = - polled in client mode 
    remote               local                 st   poll   reach delay
------------------------------------------------------------------------
=172.16.38.66           10.62.148.196           1 1024      17   0.20996 
*172.31.201.67          10.62.148.196           1 1024     377   0.03035 
=172.16.38.65           10.62.148.196           1 1024     377   0.19914 
=172.31.20.115         10.62.148.196           1 1024     377   0.02905

    Verifique la configuración y sincronización del servidor NTP:

    FPR4100-8-A# scope system 
    FPR4100-8-A /system # scope services 
    FPR4100-8-A /system/services # show ntp-server detail
    NTP server hostname:
    Name: 172.16.38.65Time Sync Status: Candidate
    NTP SHA-1 key id: 0
    Error Msg:

    Name: 172.16.38.66
    Time Sync Status: Time Sync In Progress
    NTP SHA-1 key id: 0
    Error Msg:

    Name: 172.31.20.115
    Time Sync Status: Candidate
    NTP SHA-1 key id: 0
    Error Msg:

    Name: 172.31.201.67
    Time Sync Status: Time Synchronized
    NTP SHA-1 key id: 0
    Error Msg:

    Verifique la asociación NTP:

    FPR4100-8-A# connect module 1 console 
    Firepower-module1>show ntp association

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*203.0.113.126   172.31.201.67   2 u   39   64  370    0.070    0.445   0.210

ind assid status  conf reach auth condition  last_event cnt
===========================================================
  1 16696  961a   yes   yes  none  sys.peer    sys_peer  1

associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer,
srcadr=203.0.113.126, srcport=123, dstadr=203.0.113.1, dstport=123,
leap=00, stratum=2, precision=-21, rootdelay=29.053, rootdisp=70.496,
refid=172.31.201.67,
reftime=e24d4bd9.3b680f6d  Fri, Apr 24 2020 11:28:25.232,
rec=e24d4d34.170bd724  Fri, Apr 24 2020 11:34:12.090, reach=370,
unreach=0, hmode=3, pmode=4, hpoll=6, ppoll=6, headway=0,
flash=20 pkt_stratum, keyid=0, offset=0.445, delay=0.070,
dispersion=2.152, jitter=0.210, xleave=0.017,

filtdelay=     0.08    0.11    0.08    0.10    0.07    0.08    0.09    0.07,
filtoffset=    0.17    0.18    0.29    0.29    0.45    0.45    0.69    0.69,
filtdisp=      0.00    0.03    0.99    1.02    2.03    2.06    3.03    3.06

associd=16696 status=961a conf, reach, sel_sys.peer, 1 event, sys_peer,
remote host:           203.0.113.126:123
local address:         203.0.113.1:123
time last received:    39
time until next send:  26
reachability change:   170025
packets sent:          5048
packets received:      5048
bad authentication:    0
bogus origin:          0
duplicate:             0
bad dispersion:        27
bad reference time:    0

    Verifique la información del sistema NTP:

    FPR4100-8-A# connect module 1 console 
    Firepower-module1>show ntp sysinfo
associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
version="ntpd 4.2.8p11@1.3728-o Sat Dec  8 06:11:47 UTC 2018 (2)",
processor="x86_64", system="Linux/3.10.62-ltsi-WR10.0.0.29_standard",
leap=00, stratum=3, precision=-24, rootdelay=29.129, rootdisp=24.276,
refid=203.0.113.126,
reftime=e24dd3bf.170a6210  Fri, Apr 24 2020 21:08:15.090,
clock=e24dd437.59b86104  Fri, Apr 24 2020 21:10:15.350, peer=16696, tc=6,
mintc=3, offset=0.009911, frequency=7.499, sys_jitter=0.023550,
clk_jitter=0.004, clk_wander=0.001

associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
system peer:        203.0.113.126:123
system peer mode:   client
leap indicator:     00
stratum:            3
log2 precision:     -24
root delay:         29.129
root dispersion:    24.276
reference ID:       203.0.113.126
reference time:     e24dd3bf.170a6210  Fri, Apr 24 2020 21:08:15.090
system jitter:      0.023550
clock jitter:       0.004
clock wander:       0.001
broadcast delay:    -50.000
symm. auth. delay:  0.000

uptime:                 204908
sysstats reset:         204908
packets received:       19928
current version:        6069
older version:          0
bad length or format:   0
authentication failed:  0
declined:               0
restricted:             0
rate limited:           0
KoD responses:          0
processed for time:     6040

associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
pll offset:            0.006196
pll frequency:         7.49899
maximum error:         0.097039
estimated error:       3e-06
kernel status:         pll nano
pll time constant:     6
precision:             1e-06
frequency tolerance:   500
pps frequency:         0
pps stability:         0
pps jitter:            0
calibration interval   0
calibration cycles:    0
jitter exceeded:       0
stability exceeded:    0
calibration errors:    0

time since reset:       204908
receive buffers:        10
free receive buffers:   9
used receive buffers:   0
low water refills:      1
dropped packets:        0
ignored packets:        0
received packets:       19930
packets sent:           26811
packet send failures:   0
input wakeups:          224931
useful input wakeups:   20034

    Verifique la sincronización NTP entre MIO y el dispositivo lógico (blade) en los dispositivos FPR41xx/9300

    En FPR41xx/9300, los ajustes de NTP se envían a FTD a través de MIO (chasis). La configuración de NTP desde la CLI de FTD o la interfaz de usuario de FMC no es posible.

    Cada blade FTD utiliza una referencia interna id: 203.0.113.126 para comunicarse con la MIO para la sincronización horaria y, en función de eso, muestra si está sincronizado o no. La CLI de FTD lo refleja. La IP de NTP en este ejemplo es el ref-id interno, no la IP real del servidor NTP. Un cambio de la IP del servidor NTP en FCM no afecta a este resultado ya que el ID de referencia es siempre el mismo:

     > show ntp
NTP Server                : 203.0.113.126
Status                    : Being Used
Offset                    : -0.078 (milliseconds)
Last Update               : 43 (seconds)

    Verifique la configuración de NTP en los dispositivos FPR1xxx/2100

    Precaución: esto solo se aplica a los dispositivos FPR1xxx/2100 para ASA en modo de plataforma.

    firepower-2140# scope system
firepower-2140 /system # scope services
firepower-2140 /system/services # show ntp-server detail

NTP server hostname:
    Name: 172.31.201.67
    Time Sync Status: Time Synchronized
    Error Msg:

    Name: ntp.esl.cisco.com
    Time Sync Status: Candidate
    Error Msg:

    Solucionar problemas comunes

    1. FXOS no puede resolver el nombre de host del servidor NTP

    La interfaz de usuario de FCM muestra:

    FXOS no puede resolver el nombre de host del servidor NTP

    Acción Recomendada

    Utilice el comando ping para verificar la resolución del nombre de host del servidor NTP

    KSEC-FPR4100-8-A(local-mgmt)# ping ntp.esl.cisco.com
Invalid Host Name.

    Posibles Causas

    • El servidor DNS no está configurado.
    • El servidor DNS no puede resolver el nombre de host.



    2. Problemas de conectividad entre FXOS - Servidor NTP en el puerto UDP 123

    La interfaz de usuario de FCM muestra:

    Problemas de conectividad entre el servidor FXOS-NTP en el puerto UDP 123

    Acción Recomendada

    Precaución: la captura de Ethanalyzer en la interfaz de administración del chasis solo está disponible en los dispositivos FPR41xx/9300.

    Realice capturas en la interfaz de administración del chasis y verifique la comunicación bidireccional en el puerto UDP 123:

    KSEC- FPR4100-8-A(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 123"
Capturing on 'eth0'
1 2020-04-30 20:09:54.150237760 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
2 2020-04-30 20:14:14.150172804 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client
    3 2020-04-30 20:23:13.150171682 10.62.148.196 → 172.16.4.161 NTP 90 NTP Version 3, client

    Posibles Causas

    • El servidor configurado no es un servidor NTP.
    • Un dispositivo de la ruta (por ejemplo, un firewall) bloquea o modifica el tráfico.



    3. Problemas de conectividad intermitente entre FXOS y el servidor NTP

    La interfaz de usuario de FCM muestra:

    Problemas de conectividad intermitente entre FXOS y el servidor NTP

    Acciones recomendadas

    Precaución: solo para dispositivos FPR41xx/9300.

    Inicie el proceso de sincronización NTP desde la CLI de FXOS

    FPR4100-8-A# connect fxos
FPR4100-8-A(fxos)# ntp sync-retry

    Realice capturas en la interfaz de administración del chasis con la herramienta de comandos ethanalyzer CLI.

    Posible Causa

    • Problemas de conectividad intermitente entre FXOS y el servidor NTP

    Defectos relacionados

    Verifique las Release Notes para ver si hay defectos conocidos o corregidos.

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    28-Nov-2022
    PII eliminado. Texto alternativo agregado. Etiquetas de fuente actualizadas, título e introducción, requisitos de estilo, traducción automática, gerundios y formato.
    1.0
    03-May-2020
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Anita Pietrzyk
      Cisco TAC Engineer
    • Mikis Zafeiroudis
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos