• Escrito por 
  • Publicado en Blog
  • 2 comentarios

Sincronizar Firewall Cisco ASA con servidor NTP

Actualmente es muy común encontrarnos con problemas generados por un desfase horario. Sobre todo si se trata de equipos añadidos al dominio, pero también ocurre con la asignación de fecha y hora a máquinas virtuales, Hosts de vSphere (o Hyper-V) y también con dispositivos.
 
En ese caso lo mejor es cortar por lo sano y establecer un servidor (físico o virtual, lo mismo da) que sea el que asigne a todos los equipos y dispositivos la misma fecha y hora, con distinción de su zona horaria, claro está.
 
Lo mejor de todo es que en la mayoría de los casos ya contamos con ese servidor. La mejor opción probablemente sea utilizar nuestro Directorio Activo. Más precisamente el controlador de dominio que ejecuta el rol de emulador de PDC. Ese servidor es el que se encarga de sincronizar la fecha y la hora a todos los equipos y servidores que son añadidos al dominio.
Ese servidor, el controlador de dominio con el rol de PDC Emulator, debería a su vez estar sincronizado con un reloj atómico de internet (veremos cómo en otro Post).
 
A continuación veremos cómo sincronizar nuestro Firewall Cisco ASA con un servidor de hora de nuestra red, en este caso con nuestro controlador de dominio.
 
El proceso es muy simple. Utilizaremos el comando ntp server con los siguientes parámetros:

ntp server dirección-ip [ej 192.168.1.2] source [interface, ej inside]

En este ejemplo, nuestro controlador de dominio utiliza la dirección IP 192.168.1.2 y accedemos al servidor desde nuestro firewall con el interface inside.
 
De forma que el comando sería como se muestra a continuación:

Sincronizar hora en Firewall Cisco ASA
 

Podemos comprobar la sincronización con nuestro servidor NTP con el comando sh running-config ntp.

Verificación de sincronizacion NTP Cisco ASA

Le preguntaremos fecha y hora al Firewall con el comando sh clock:

Comando sh clock para consultar fecha y hora al Firewall Cisco ASA


Es muy posible que veamos que, aparentemente, está correctamente sincronizado pero que en realidad la hora no es la correcta. Eso es debido a la zona horaria que tiene definido el Firewall.
Para resolver eso estableceremos la zona horaria con el comando clock timezone como mostramos a continuación:

Establecer zona horaria Firewall Cisco ASA

 

Ahora ya podemos ver cómo tanto la fecha como la hora es la correcta. El comando clock time zone tiene que llevar acompañado el número de horas de diferencia (hacia atrás o hacia delante) respecto al Meridiano de Greenwich. Por ejemplo para España el valor correspondiente sería 2.

Cisco nos ofrece una tabla con las diferentes zonas: http://www.cisco.com/en/US/docs/ios/12_3/configfun/command/reference/cfr_1g01.html#wp1033494
 

También es posible definir las fechas con los cambios de horario de verano con el comando clock summer-time.

Dudas, consultas o comentarios? Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Artículos relacionados (por etiqueta)

2 comentarios

  • Sergio
    Sergio Martes, 22 Octubre 2013 21:28 Enlace al Comentario

    Se pude habilitar un ASA como servidor NTP?

  • Xavier Medina
    Xavier Medina Martes, 22 Enero 2013 15:50 Enlace al Comentario

    Hola soy de uruguay y estoy tratando de colocarle la hora a un router cisco que a su ves sincronice con un servidor ntp y que tenga cambio de horario de verano que aqui en uruguay hay. me podrias ayudar un poco?
    con el comando clock timezone coloco 3
    y no entiendo bien el comando clock summer-time

Deja un comentario

Muchas gracias por tus comentarios!!
Tras la revisión rutinaria, será publicado.