Introduzione
In questo documento viene descritto il significato di "Intrusion Prevention System (IPS) Security Services Processor (SSP) reload IPS" nei messaggi di syslog di Cisco Adaptive Security Appliance (ASA).
Qual è il significato del messaggio IPS "IPS SSP application reloading IPS" (Ricaricamento dell'applicazione IPS SSP in corso)?
Sull'appliance ASA vengono visualizzati i seguenti messaggi syslog:
ASA5585-SSP-IPS20 Module in slot 1, application up "IPS", version "7.1(1)E4"
Normal Operation
ASA5585-SSP-IPS20 Module in slot 1, application reloading "IPS", version
"7.1(1)E4" Config Change
L'ASA non esegue il failover e l'IPS non visualizza il messaggio "Failed" (Errore).
Questi messaggi vengono generati durante alcuni degli aggiornamenti di correlazione globale (GC) che vengono tentati ogni cinque minuti. Vengono inoltre generati durante un aggiornamento della firma IPS e sono noti per essere un comportamento previsto.
Il controllo GC viene eseguito ogni cinque minuti. Gli aggiornamenti potrebbero tuttavia non essere disponibili. Questo controllo GC spiega perché il messaggio può apparire ogni ora o giù di lì durante il normale funzionamento. Quando viene eseguito un aggiornamento del catalogo globale o viene avviato un aggiornamento della firma, l'IPS invia un messaggio all'ASA per comunicargli che è in corso una modifica alla configurazione.
May 22 2013 03:20:16: %ASA-1-505013: Module ASA-SSM-10 in slot 1 application reloading "IPS" version "7.1(7)E4" Config Change
L'applicazione non si ricarica come farebbe un'ASA con il comando reload. L'IPS regola il motore di analisi e notifica la modifica all'ASA. Questa operazione può essere eseguita contemporaneamente all'attivazione della modalità bypass da parte dell'IPS durante l'elaborazione degli aggiornamenti. Anche in questo caso, si tratta di un funzionamento normale e non vi è alcun impatto funzionale sulle prestazioni dell'IPS o dell'ASA.
Quando l'ASA riceve questo messaggio, non esegue immediatamente il failover. Durante questo periodo, l'ASA seguirà la configurazione della chiusura o dell'apertura in errore. Se è stato configurato il fail-close, l'ASA rifiuta tutti i pacchetti inviati all'IPS finché il sensore non invia un messaggio che informa che è pronto per il monitoraggio o finché non viene raggiunto il timeout (il punto in cui l'ASA viene contrassegnata come guasta).
May 22 2013 03:20:16: %ASA-3-420001: IPS card not up and fail-close mode used dropping TCP packet from Outside:213.248.117.16/80 to INSIDE:193.128.137.2/40860
Per risolvere un possibile errore della scheda/applicazione causato dai messaggi menzionati, non è stato possibile usare l'ID bug Cisco CSCts98806.
Impossibile risolvere o documentare il problema con l'ID bug Cisco CSCub28854 dal lato IPS.
Per risolvere il messaggio sull'appliance ASA, consultare l'ID bug Cisco CSCts98836.
I messaggi di disattivazione del canale dati potrebbero essere visualizzati su un failover ASA durante la firma IPS o gli aggiornamenti GC. Il bug dell'ASA risolve questa situazione:
ID bug Cisco CSCuc3250
Informazioni correlate
Feedback