• 時刻管理の重要性
• 手動でタイムゾーンと時刻を設定する
• 外部NTPサーバと時刻同期する
• よくある質問

時刻管理の重要性

ASAを含めたセキュアなシステムの運用において、各装置が正確な時刻を保持していることは非常に重要です。

トラブル発生時の原因究明において、通常 その機器のログを確認しますが、出力日時が正しいことで 正確な問題発生時のログ分析と調査が可能となります。 また、セキュアなネットワークの運用において、問題が発生時は、複数機器(例えば、PC・ASA・対向機器の３つ)のログと その出力日時を比較し、状況の確認と原因究明を行う必要もでてきます。

  
ASAは以下2種類の時刻設定が可能です。本ドキュメントでは、以下の設定例と動作確認方法について紹介します。

• 手動でタイムゾーンと時刻を設定する
• 外部NTPサーバを利用し時刻同期する

  
本ドキュメントは、ASA5506の ASAバージョン 9.6(1)を用いて確認、作成しております。

手動でタイムゾーンと時刻を設定する

clock timezoneコマンドでタイムゾーンの設定を、clock setコマンドで現在の日時の設定が可能です。 例えば以下は、タイムゾーンをJST +9にし、2016年12月9日 10:40に時刻を合わせる設定です。

asa5506-01(config)# clock timezone JST 9
asa5506-01(config)# clock set 10:40:00 Dec 09 2016

 
設定したタイムゾーンと時刻は、show clockコマンドで確認できます。

asa5506-01(config)# show clock
10:43:31.312 JST Fri Dec 9 2016

  
ASAのロギング機能で、これら設定したタイムスタンプを付与するため、logging timestampコマンドを実行します。 設定後、ログメッセージの先頭に 出力日時が付与されるようになります。

asa5506-01(config)# logging timestamp
asa5506-01(config)# 
asa5506-01(config)# show log
Syslog logging: enabled
 Facility: 20
 Timestamp logging: enabled
 Hide Username logging: enabled
 Standby logging: disabled
 Debug-trace logging: enabled
 Console logging: level errors, 566 messages logged
 Monitor logging: disabled
 Buffer logging: level notifications, 6659 messages logged
 Trap logging: disabled
 Permit-hostdown logging: disabled
 History logging: disabled
 Device ID: disabled
 Mail logging: disabled
 ASDM logging: level informational, 332551 messages logged
 configured rate is 4; Cumulative total count is 14460
Nov 16 2016 18:29:43: %ASA-4-733100: [ Scanning] drop rate-2 exceeded. Current burst rate is 0 per second, max configured rate is 8; Current average rate is 4 per second, max configured rate is 4; Cumulative total count is 14485
Nov 16 2016 18:31:44: %ASA-4-733100: [ Scanning] drop rate-2 exceeded. Current burst rate is 0 per second, max configured rate is 8; Current average rate is 4 per second, max configured rate is 4; Cumulative total count is 14502

外部NTPサーバと時刻同期する

可能な限り、単一の信頼できるNTPサーバとの時刻同期をお勧めします。 一般的に、手動で設定した時刻は、時間がたつほど 極僅かにですが、ずれていくためです。 複数機器を運用している場合、時間が立てばたつほど、そのズレは大きくなってく恐れがあります。

ASAをNTPサーバと同期させるには、ntp serverコマンドを利用します。 例えば以下は、outside側にある NTPサーバ 1.0.0.2と時刻同期するための設定です。

asa5506-01(config)# ntp server 1.0.0.2 source outside

  
複数のNTPサーバを指定する場合は、preferオプションで、優先し利用したいサーバを指定できます。仮に複数NTPサーバの正確性が同等の場合は、preferオプションの付いたNTPサーバが優先利用されます。

asa5506-01(config)# ntp server 1.0.0.2 source outside prefer

  
設定したNTPサーバ一覧は、show run ntpコマンドで確認できます。 以下例だと2つのNTPサーバが設定されており、NTPサーバ 1.0.0.2が優先利用されます。

asa5506-01(config)# sh run ntp
ntp server 1.0.0.2 source outside prefer
ntp server 133.243.xx.xx source outside

  
NTPサーバとの同期(sync)状況は、show ntp associationsコマンドで確認できます。

asa5506-01(config)# show ntp associations
 address ref clock st when poll reach delay offset disp
*~1.0.0.2 171.68.xx.xx 2 35 64 1 0.7 -0.24 15890.
 ~133.243.xx.xx 0.0.0.0 16 - 64 0 0.0 0.00 16000.
 * master (synced), # master (unsynced), + selected, - candidate, ~ configured

よくある質問

ASAの再起動をしても、時刻は保持されてますか？

はい、保持されます。

NTPサーバの指定にFQDNは利用できますか？

残念ながらFQDNはサポートされてません。 例えば、NTPサーバ ntp.test.com と時刻同期をしたい場合、そのNTPサーバのIPアドレスを調べ、ASAに設定する必要があります。

ASA時刻と NTPサーバ時刻の乖離が大きい時、同期問題は発生しますか？

信頼できるNTPサーバだとASAが判断した場合は、時刻の乖離が大きくても時刻同期が可能です。 

例えば以下のように、意図的に大きく誤った日時を設定しても、NTPサーバと同期後、NTPサーバが持つ正しい時刻に修正されます。

asa5506-01# clock set 17:00:00 Dec 9 2013   <--- わざと3年前の時刻を設定
asa5506-01#
asa5506-01# show clock
17:00:02.709 JST Mon Dec 9 2013
asa5506-01#
asa5506-01# conf t
asa5506-01(config)# ntp server 1.0.0.2 source outside   <--- NTPサーバを利用開始
asa5506-01(config)#
asa5506-01(config)# end
asa5506-01#
asa5506-01# show ntp associations
 address ref clock st when poll reach delay offset disp
*~1.0.0.2 171.68.xx.xx 2 31 64 7 0.6 -3.58 3891.1
 * master (synced), # master (unsynced), + selected, - candidate, ~ configured
asa5506-01#
asa5506-01# show clock
12:38:44.409 JST Fri Dec 9 2016 <--- 同期され修正された