Introdução
Este documento descreve o que significa "IPS de recarregamento de aplicativo do IPS do IPS do IPS do IPS do IPS do Sistema de Prevenção de Intrusão (IPS - Intrusion Prevention System) Security Services Processor (SSP)" nas mensagens de syslog do Cisco Adaptive Security Appliance (ASA).
O que significa a mensagem IPS "IPS SSP application reloading IPS"?
Estas mensagens de syslog aparecem no ASA:
ASA5585-SSP-IPS20 Module in slot 1, application up "IPS", version "7.1(1)E4"
Normal Operation
ASA5585-SSP-IPS20 Module in slot 1, application reloading "IPS", version
"7.1(1)E4" Config Change
O ASA não faz failover e o IPS não mostra "falha".
Essas mensagens são geradas durante algumas atualizações de Correlação Global (GC) que são tentadas a cada cinco minutos. Eles também são gerados durante uma atualização de assinatura de IPS e são conhecidos por ser um comportamento esperado.
Uma verificação GC ocorre a cada cinco minutos, no entanto, as atualizações podem não estar disponíveis. Essa verificação GC é o motivo pelo qual a mensagem pode aparecer a cada hora, aproximadamente, durante a operação normal. Quando uma atualização GC realmente ocorre ou uma atualização de assinatura começa, o IPS envia uma mensagem ao ASA indicando que uma alteração de configuração está em andamento.
May 22 2013 03:20:16: %ASA-1-505013: Module ASA-SSM-10 in slot 1 application reloading "IPS" version "7.1(7)E4" Config Change
Na verdade, o aplicativo não é recarregado como um ASA faria se o comando reload fosse emitido. O IPS ajusta o mecanismo de análise e notifica o ASA sobre a alteração. Essa operação pode ocorrer ao mesmo tempo em que o IPS entra no modo de desvio enquanto processa as atualizações. Novamente, essa é uma operação normal e não há impacto funcional no IPS ou no desempenho do ASA.
Quando o ASA receber essa mensagem, ele não executará o failover imediatamente. Durante esse período, o ASA seguirá a configuração fail-close ou fail-open. Se o fechamento com falha tiver sido configurado, o ASA descartará todos os pacotes enviados ao IPS até que o sensor envie uma mensagem dizendo que está pronto novamente para monitoramento ou que o tempo limite foi atingido (nesse ponto, o ASA será marcado como com falha).
May 22 2013 03:20:16: %ASA-3-420001: IPS card not up and fail-close mode used dropping TCP packet from Outside:213.248.117.16/80 to INSIDE:193.128.137.2/40860
O bug da Cisco ID CSCts98806 falhou para resolver uma possível falha de placa/aplicativo devido às causas das mensagens mencionadas.
A ID de bug da Cisco CSCub28854 foi arquivada para resolver ou documentar esse problema no lado do IPS.
O bug da Cisco ID CSCts9836 foi arquivado para resolver a mensagem no ASA.
As mensagens de inatividade do canal de dados podem ser exibidas em um failover do ASA durante a assinatura do IPS ou atualizações do GC. Este bug do ASA resolve esta situação:
ID de bug da Cisco CSCuc32250
Informações Relacionadas
Feedback