Whistleblower 45 Geschrieben 3. Februar 2010 Melden Teilen Geschrieben 3. Februar 2010 Hm, unsere ASA 5505 blockt nach einiger Zeit (mal 2 Stunden, mal 4 Stunden, vermutlich traffic-abhängig) das interne Interface, d.h. die interne IP ist vom Netz nicht mehr zu erreichen und vom internen Interface ist das Netz nicht mehr zu erreichen. Das Interface selber kann ich aber pingen... CPU-Last (< 10%) und Memory (< 80MB) scheint kein Problem zu sein, und sonst konnte ich während des normalen Betriebes auch keine Schwierigkeiten ausmachen. Aktuell laufen darüber 11 IPSec Tunnel (4 IKE) und Traffic ist auch nicht wirklich drauf... Gibt es irgendeine Regel oder ein Feature, was sämtlichen Traffic irgendwann blockt, oder hat die ASA 'nen Schuss? :( Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 3. Februar 2010 Melden Teilen Geschrieben 3. Februar 2010 Vielleicht hat das Geraet an der ASA nen Schuss? Schon mal debug drueber laufen lassen? Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 3. Februar 2010 Autor Melden Teilen Geschrieben 3. Februar 2010 Hi Wordo, welches Gerät? Der Switch/Switchport? Betrifft ansonsten alle Clients... Weiss momentan nicht wo genau ich mit debug ansetzen könnte - interface? Das einzige, was mir bisher aufgefallen ist, war eine nicht passende Duplex-Einstellung: Switchport 100Full ASA-Port Auto geeinigt: 100Half ... Hab ich auch schon korrigiert (beides auto) Aber hängt sich deswegen das Interface weg? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 3. Februar 2010 Melden Teilen Geschrieben 3. Februar 2010 Log dich mim ASDM ein und stell das ASDM Log auf "debug" .. Was steckt denn hinter der ASA? Gleich die Clients? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 3. Februar 2010 Melden Teilen Geschrieben 3. Februar 2010 steht was insteressantes im log ? schon versucht einen anderen switchport zu nutzen ? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 3. Februar 2010 Melden Teilen Geschrieben 3. Februar 2010 Also wenn ein IF auf Full fest steht und das andere Auto kanns schon Probleme geben. Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 3. Februar 2010 Autor Melden Teilen Geschrieben 3. Februar 2010 Bisher hängt die ASA am gleichen Port, der jetzt allerdings auf Auto eingestellt ist. Vorher hing da ein 871 dran, dessen IF auf 100FD eingestellt war. Ich muss jetzt wohl erstmal warten, bis (ob) wieder was passiert, am besten stoß ich gleich mal einen dicken Download an :D Achso, die Struktur ist: Internet - ASA - Layer2-Switch - Layer3-Switch (Default-GW) - Clients Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 3. Februar 2010 Melden Teilen Geschrieben 3. Februar 2010 und funktioniert die autneg ? was sagt ein sh int am (L2)Switch und auf der Firewall ? Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 3. Februar 2010 Autor Melden Teilen Geschrieben 3. Februar 2010 Aktuell ist bisher kein Problem mehr aufgetreten, trotzdem ich zwischenzeitlich ein 2,4GB großes File gezogen habe... Lag vermutlich tatsächlich an der Port-Konfig - fragt sich nur wer schuld war: Cisco oder 3Com... :D Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 3. Februar 2010 Melden Teilen Geschrieben 3. Februar 2010 Wenn einer fest auf Full steht und der andere Auto kann nicht ausgehandelt werden und Cisco stellt sich auf den konservativsten Wert - Half. Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 3. Februar 2010 Melden Teilen Geschrieben 3. Februar 2010 Ich frag aber bei der 5505 mal vorsichtig - welches Modell.... Wegen MAC Adressen begrenzung..... Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 3. Februar 2010 Melden Teilen Geschrieben 3. Februar 2010 dann musst du aber nach der Lizenz und nicht dem Modell fragen :) Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 4. Februar 2010 Autor Melden Teilen Geschrieben 4. Februar 2010 Ist eine ASA5505-SEC-BUN-K9... Ab wann würde eine MAC-Beschränkung greifen? Die Netze, die über VPN verbunden werden sind alle noch relativ übersichtlich (je zwischen 20 und 100 Clients)... Bisher ist übrigens das Problem nicht wieder aufgetreten - werde in Kürze mal den Kiwi Syslog zur Überwachung aktivieren... Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 4. Februar 2010 Melden Teilen Geschrieben 4. Februar 2010 SEC-BUN-K9 ist Unlimited, passt! :) Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 4. Februar 2010 Autor Melden Teilen Geschrieben 4. Februar 2010 SEC-BUN-K9 ist Unlimited, passt! :) Hab da ja auch auf Deine Empfehlung gehört! :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.