Cisco ASA - internes Interface blockt nach einiger Zeit

[Whistleblower 45]

Hm,

 

unsere ASA 5505 blockt nach einiger Zeit (mal 2 Stunden, mal 4 Stunden, vermutlich traffic-abhängig) das interne Interface, d.h. die interne IP ist vom Netz nicht mehr zu erreichen und vom internen Interface ist das Netz nicht mehr zu erreichen. Das Interface selber kann ich aber pingen...

CPU-Last (< 10%) und Memory (< 80MB) scheint kein Problem zu sein, und sonst konnte ich während des normalen Betriebes auch keine Schwierigkeiten ausmachen.

Aktuell laufen darüber 11 IPSec Tunnel (4 IKE) und Traffic ist auch nicht wirklich drauf...

Gibt es irgendeine Regel oder ein Feature, was sämtlichen Traffic irgendwann blockt, oder hat die ASA 'nen Schuss? :(

[Wordo 11]

Vielleicht hat das Geraet an der ASA nen Schuss? Schon mal debug drueber laufen lassen?

[Whistleblower 45]

Hi Wordo,

 

welches Gerät? Der Switch/Switchport? Betrifft ansonsten alle Clients...

Weiss momentan nicht wo genau ich mit debug ansetzen könnte - interface?

Das einzige, was mir bisher aufgefallen ist, war eine nicht passende Duplex-Einstellung:

 

Switchport 100Full

ASA-Port Auto

geeinigt: 100Half

...

Hab ich auch schon korrigiert (beides auto)

 

Aber hängt sich deswegen das Interface weg?

[Wordo 11]

Log dich mim ASDM ein und stell das ASDM Log auf "debug" ..

 

Was steckt denn hinter der ASA? Gleich die Clients?

[Otaku19 33]

steht was insteressantes im log ? schon versucht einen anderen switchport zu nutzen ?

[Wordo 11]

Also wenn ein IF auf Full fest steht und das andere Auto kanns schon Probleme geben.

[Whistleblower 45]

Bisher hängt die ASA am gleichen Port, der jetzt allerdings auf Auto eingestellt ist. Vorher hing da ein 871 dran, dessen IF auf 100FD eingestellt war.

Ich muss jetzt wohl erstmal warten, bis (ob) wieder was passiert, am besten stoß ich gleich mal einen dicken Download an :D

 

Achso, die Struktur ist:

Internet - ASA - Layer2-Switch - Layer3-Switch (Default-GW) - Clients

[Otaku19 33]

und funktioniert die autneg ? was sagt ein sh int am (L2)Switch und auf der Firewall ?

[Whistleblower 45]

Aktuell ist bisher kein Problem mehr aufgetreten, trotzdem ich zwischenzeitlich ein 2,4GB großes File gezogen habe... Lag vermutlich tatsächlich an der Port-Konfig - fragt sich nur wer schuld war: Cisco oder 3Com... :D

[Wordo 11]

Wenn einer fest auf Full steht und der andere Auto kann nicht ausgehandelt werden und Cisco stellt sich auf den konservativsten Wert - Half.

[blackbox 10]

Ich frag aber bei der 5505 mal vorsichtig - welches Modell.... Wegen MAC Adressen begrenzung.....

[Otaku19 33]

dann musst du aber nach der Lizenz und nicht dem Modell fragen :)

[Whistleblower 45]

Ist eine ASA5505-SEC-BUN-K9...

Ab wann würde eine MAC-Beschränkung greifen?

Die Netze, die über VPN verbunden werden sind alle noch relativ übersichtlich (je zwischen 20 und 100 Clients)...

Bisher ist übrigens das Problem nicht wieder aufgetreten - werde in Kürze mal den Kiwi Syslog zur Überwachung aktivieren...

[Wordo 11]

SEC-BUN-K9 ist Unlimited, passt! :)

[Whistleblower 45]

SEC-BUN-K9 ist Unlimited, passt! :)

 

Hab da ja auch auf Deine Empfehlung gehört! :)