Cisco ASA - internes Interface blockt nach einiger Zeit

[bnice]

Hm,

unsere ASA 5505 blockt nach einiger Zeit (mal 2 Stunden, mal 4 Stunden, vermutlich traffic-abhängig) das interne Interface, d.h. die interne IP ist vom Netz nicht mehr zu erreichen und vom internen Interface ist das Netz nicht mehr zu erreichen. Das Interface selber kann ich aber pingen...
CPU-Last (< 10%) und Memory (< 80MB) scheint kein Problem zu sein, und sonst konnte ich während des normalen Betriebes auch keine Schwierigkeiten ausmachen.
Aktuell laufen darüber 11 IPSec Tunnel (4 IKE) und Traffic ist auch nicht wirklich drauf...
Gibt es irgendeine Regel oder ein Feature, was sämtlichen Traffic irgendwann blockt, oder hat die ASA 'nen Schuss?

[Wordo]

Vielleicht hat das Geraet an der ASA nen Schuss? Schon mal debug drueber laufen lassen?

[bnice]

Hi Wordo,

welches Gerät? Der Switch/Switchport? Betrifft ansonsten alle Clients...
Weiss momentan nicht wo genau ich mit debug ansetzen könnte - interface?
Das einzige, was mir bisher aufgefallen ist, war eine nicht passende Duplex-Einstellung:

Switchport 100Full
ASA-Port Auto
geeinigt: 100Half
...
Hab ich auch schon korrigiert (beides auto)

Aber hängt sich deswegen das Interface weg?

[Wordo]

Log dich mim ASDM ein und stell das ASDM Log auf "debug" ..

Was steckt denn hinter der ASA? Gleich die Clients?

[Otaku19]

steht was insteressantes im log ? schon versucht einen anderen switchport zu nutzen ?

[Wordo]

Also wenn ein IF auf Full fest steht und das andere Auto kanns schon Probleme geben.

[bnice]

Bisher hängt die ASA am gleichen Port, der jetzt allerdings auf Auto eingestellt ist. Vorher hing da ein 871 dran, dessen IF auf 100FD eingestellt war.
Ich muss jetzt wohl erstmal warten, bis (ob) wieder was passiert, am besten stoß ich gleich mal einen dicken Download an

Achso, die Struktur ist:
Internet - ASA - Layer2-Switch - Layer3-Switch (Default-GW) - Clients

[Otaku19]

und funktioniert die autneg ? was sagt ein sh int am (L2)Switch und auf der Firewall ?

[bnice]

Aktuell ist bisher kein Problem mehr aufgetreten, trotzdem ich zwischenzeitlich ein 2,4GB großes File gezogen habe... Lag vermutlich tatsächlich an der Port-Konfig - fragt sich nur wer schuld war: Cisco oder 3Com...

[Wordo]

Wenn einer fest auf Full steht und der andere Auto kann nicht ausgehandelt werden und Cisco stellt sich auf den konservativsten Wert - Half.