Firewall 或者PanoramaNTP状态显示“已拒绝”

Firewall 或者PanoramaNTP状态显示“已拒绝”

51277
Created On 04/19/21 23:01 PM - Last Modified 05/23/23 03:07 AM


Symptom


+Firewall或者Panorama时钟与配置不同步NTP服务器时间
+“show ntp”显示状态“rejected”,可达状态“yes”

> 显示 ntp

NTP状态:
NTP不同步,使用本地时钟
NTP服务器:192.168.0.11
状态:拒绝
可达:是


+ 在消息日志中,“找不到适合同步的服务器" 与嫌疑人一起被举报NTP服务器报告偏移量大于 1 秒

* 变量/日志/消息

Feb 3 18:09:08 mgmt ntpdate [25168]:找不到适合同步的服务器
Feb 3 18:09:14 mgmt ntpdate[25242]:步进时间服务器 192.168.0.11 偏移量 2.249209 秒

Environment


PAN-OS
Firewall 
Panorama

Cause


NTP 服务器的“Root Dispersion”时间偏移超过 1 秒。

笔记:NTP “Root Dispersion”是在本地时钟和服务器时钟之间观察到的最大时钟时间差

+ 在 pcap 上,“Root Dispersion”值可以在NTP包头如下图所示。

没时间PID源目标协议长度信息
2 2021-02-03 18:42:04.488308 0x3841 (14401) 192.168.0.11 10.14.14.14NTP 90后NTP版本 3,服务器

帧 2:在线传输 90 个字节(720 位),捕获 90 个字节(720 位)
以太网II, Src: HewlettP_b8:25:ae (5c:8a:38:b8:25:ae), Dst: PaloAlto_00:84:94 (24:0b:0a:00:84:94)
Internet 协议版本 4,Src:10.10.10.10,Dst:10.14.14.14
用户数据报协议,Src 端口:123,Dst 端口:123
网络时间协议 (NTP版本 3,服务器)
标志:0x1c,Leap Indicator:无警告,版本号:NTP版本 3,模式:服务器
[请求输入:1]
[增量时间:0.000392000 秒]
Peer Clock Stratum:二次参考(二)
对等轮询间隔:无效 (3)
对等时钟精度:0.015625 秒
根延迟:0.031250 秒
根散布:11.008163 秒<<< 根扩散时间大于1秒
参考ID: 192.168.0.11
参考时间戳:2021-02-03 18:41:18.850684499UTC
起源时间戳:2021 年 2 月 3 日 18:42:04.487880084UTC
接收时间戳:2021 年 2 月 3 日 18:42:04.490684499UTC
传输时间戳:2021 年 2 月 3 日 18:42:04.490684499UTC

Resolution


以下后续步骤之一应该解决NTP“拒绝”状态问题。

1. 纠正NTP偏移超过 1 秒以匹配本地时间的服务器时间

2. 更换问题NTP公共服务器NTP服务器作为解决方法(例如:time.google.com;0.us.pool.ntp.org 等)
设备 > 设置 > 服务 >NTP >NTP服务器地址
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VArCAM&lang=zh_CN%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language