Introducción
Este documento describe lo que significa "IPS de recarga de aplicaciones del procesador de servicios de seguridad (SSP) del sistema de prevención de intrusiones" en los mensajes de syslog del dispositivo de seguridad adaptable (ASA) de Cisco.
¿Qué significa el mensaje IPS "IPS SSP application reloading IPS"?
Estos mensajes de syslog aparecen en ASA:
ASA5585-SSP-IPS20 Module in slot 1, application up "IPS", version "7.1(1)E4"
Normal Operation
ASA5585-SSP-IPS20 Module in slot 1, application reloading "IPS", version
"7.1(1)E4" Config Change
El ASA no falla y el IPS no muestra "failed".
Estos mensajes se generan durante algunas de las actualizaciones de Correlación Global (GC) que se intentan cada cinco minutos. También se generan durante una actualización de firma IPS y se sabe que son un comportamiento esperado.
Se realiza una comprobación GC cada cinco minutos, sin embargo, es posible que las actualizaciones no estén disponibles. Esta comprobación GC es la razón por la que el mensaje puede aparecer cada hora aproximadamente durante el funcionamiento normal. Cuando se realiza una actualización GC o se inicia una actualización de firma, el IPS envía un mensaje al ASA que indica que hay un cambio de configuración en curso.
May 22 2013 03:20:16: %ASA-1-505013: Module ASA-SSM-10 in slot 1 application reloading "IPS" version "7.1(7)E4" Config Change
En realidad, la aplicación no se recarga como lo haría un ASA si se ejecutara el comando reload. El IPS ajusta el motor de análisis y notifica el cambio al ASA. Esta operación puede ocurrir al mismo tiempo que el IPS entra en modo de omisión mientras procesa las actualizaciones. Una vez más, se trata de un funcionamiento normal y no tiene ningún impacto funcional en el rendimiento de IPS o ASA.
Cuando el ASA recibe este mensaje, no conmutará por error inmediatamente. Durante este tiempo, el ASA seguirá la configuración de cierre o apertura a fallos. Si se configuró fail-close, el ASA descartará todos los paquetes enviados al IPS hasta que el sensor envíe un mensaje que indique que está listo nuevamente para la supervisión, o hasta que se alcance el tiempo de espera (en cuyo momento el ASA se marcará como fallado).
May 22 2013 03:20:16: %ASA-3-420001: IPS card not up and fail-close mode used dropping TCP packet from Outside:213.248.117.16/80 to INSIDE:193.128.137.2/40860
El Id. de bug Cisco CSCts98806 se archivó para resolver una posible falla de tarjeta/aplicación debido a las causas de los mensajes mencionados.
El ID de bug de Cisco CSCub28854 fue archivado para resolver o documentar este problema desde el lado de IPS.
El ID de bug de Cisco CSCts9836 fue archivado para resolver el mensaje en el ASA.
Los mensajes de caída del canal de datos pueden mostrarse en una conmutación por error de ASA durante las actualizaciones de firma IPS o GC. Este bug ASA aborda esta situación:
ID de bug de Cisco CSCuc32250
Información Relacionada
Comentarios