ASAPIX有和没有IPSec隧道的NTP配置示例.PDF

ASA/PIX：有和没有 IPSec 隧道的 NTP 配置示例 目录 简介 先决条件 要求 使用的组件 相关产品 规则 配置 网络图 VPN 隧道 ASDM 配置 NTP ASDM 配置 ASA1 CLI 配置 ASA2 CLI 配置 验证 故障排除 故障排除命令 相关信息 简介 本文档提供了使用 Network Time Protocol (NTP) 对 PIX/ASA 安全设备时钟与网络时间服务器进行 同步的示例配置。ASA1 直接与网络时间服务器进行通信。ASA2 通过 IPsec 隧道向 ASA1 传送 NTP 流量，后者反过来将数据包转发给网络时间服务器。 请参阅 ASA 8.3及以上版本：有和没有IPSec隧道配置示例的NTP关于在Cisco ASA的相同配置的更 多信息与版本8.3和以上。 注意： 路由器还可以用作同步 PIX/ASA 安全设备时钟的 NTP 服务器。 先决条件 要求 尝试进行此配置之前，请确保满足以下要求： 必须建立端到端 IPsec 连接才能开始此 NTP 配置。 必须为数据加密标准 (DES) 加密（在最低加密级别）启用安全设备许可证。 使用的组件 本文档中的信息基于以下软件和硬件版本。 Cisco 自适应安全设备 (ASA) 版本 7.x 及更高版本 ASDM 版本 5.x 及更高版本 注意： 要使 ASDM 可配置 ASA，请参阅允许 ASDM 进行 HTTPS 访问。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 相关产品 此配置也可用于 Cisco PIX 500 系列安全设备，这些设备运行版本 7.x 及更高版本。 注意： PIX 版本 6.2 已添加 NTP 支持。请参阅 PIX 6.2：有和没有 IPSec 隧道的 NTP 配置示例 ，以便在 Cisco PIX 防火墙上配置 NTP。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 配置 网络图 本文档使用此图所示的网络设置。 注意： 此配置中使用的 IP 编址方案在 Internet 上不可合法路由。这些地址是在实验室环境中使用 的 RFC 1918 地址。 VPN 隧道 ASDM 配置 NTP ASDM 配置 ASA1 CLI 配置 ASA2 CLI 配置 VPN 隧道 ASDM 配置 请完成以下步骤以创建 VPN 隧道： 1. 打开浏览器并键入 https:// Inside_IP_Address_of_ASA 以访问 ASA 上的 ASDM。请确保核 准浏览器提供的有关 SSL 证书真实性的任何警告。默认的用户名和口令均为空。ASA 显示此 窗口以允许下载 ASDM 应用程序。此示例将应用程序加载到本地计算机，但不在 Java 小程序 中运行。 2. 单击 Download ASDM Launcher and Start ASDM 以下载 ASDM 应用程序的安装程序。 3. 下载 ASDM 启动程序之后，完成提示所指示的步骤，以便安装该软件并运行 Cisco ASDM 启 动程序。 4. 输入使用 http - 命令配置的接口的 IP 地址，以及用户名和口令（如果已指定）。此示例使用 默认空白用户名和口令。 5. ASDM 应用程序连接到 ASA 后，请运行 VPN 向导。 6. 选择 Site-to-Site IPsec VPN 隧道类型。 7. 指定远程对等体的外部 IP 地址。输入要使用的身份验证信息，在本示例中是预共享密钥。 8. 指定要用于 IKE 的属性，也称为“第 1 阶段”。这些属性在隧道两端必须是相同的。 9. 指定要用于 IPsec 的属性，也称为“第 2 阶段”。这些属性在两端必须匹配。 10. 指定应允许其数据流通过 VPN 隧道的主机。在此步骤中，指定 ASA1 的本地主机。 11. 指定隧道的远程端的主机和网络。 12. 此概要中显示了通过 VPN 向导定义的属性。仔细检查配置，如果您确保设置正确，请单击 Finish。 NTP ASDM 配置 请完成以下步骤，以便在 Cisco 安全设备上配置 NTP： 1. 在 ASDM 主页中选择 Configuration （如图所示）： 2. 现在选择 Properties Device Management NTP