我在一周前开始使用 Cisco ASA 5505 时遇到一个非常奇怪的问题：ASA 就像一个路由器，带有到 ISP 的外部端口，下一个端口到 DMZ，另一个端口到内部网络（通过几个 Cisco SMB 交换机包含大约 50 个主机）。

来自内部网络的许多（但并非所有）主机（SIP 电话、笔记本电脑、台式机）突然停止访问互联网，甚至 ping ASA 也无法通过。其他一些主机，例如通过相同交换机连接的服务器，始终可以工作。DMZ 主机也可以正常工作。它可以工作 8 小时或每 15 分钟发生一次，但没有明显的理解。一旦主机的连接丢失，可以通过 ASA 重启来恢复它，或者等待 15-20-30 分钟（随机），然后它会自我恢复。

今天我刚刚开始挖掘，发现什么“clear arp”立即解决了这个问题，但据我所知，我无法确定根源以及如何解决它。配置工作将近一年，最近没有任何变化。ISP 从他们这边检查并在我们这边报告了这个问题，所以无济于事。

升级了 ASA 的软件 - 没有变化。

任何帮助将不胜感激，非个性化的运行配置如下。

谢谢！

命令的结果：“sh ru”

: 硬件: ASA5505, 512 MB RAM, CPU Geode 500 MHz
：
ASA 版本 9.2(4) 
！
主机名 ciscoasa
域名XXXX
启用密码XXXX加密
名字
ip 本地池 vpn-pool 192.168.3.2-192.168.3.254 掩码 255.255.255.0
！
接口 Ethernet0/0
 交换机端口接入 vlan 2
！
接口 Ethernet0/1
！
接口 Ethernet0/2
！
接口 Ethernet0/3
！
接口 Ethernet0/4
！
接口 Ethernet0/5
！
接口 Ethernet0/6
 交换机端口访问 vlan 12
！
接口 Ethernet0/7
 交换机端口访问 vlan 12
！
接口Vlan1
 里面的名字
 安全级别 100
 IP 地址 192.168.0.1 255.255.255.0 
！
接口Vlan2
 外面的名字
 安全级别 0
 IP 地址 ISP_PROVIDED_IP 255.255.255.192 
！
接口Vlan12
 无转发接口Vlan1
 命名 DMZ
 安全等级 50
 IP 地址 172.16.0.1 255.255.255.0 
！
启动系统disk0:/asa924-k8.bin
ftp 模式被动
时钟时区 MSK/MSD 3
时钟夏季时间 MSK/MDD 重复上个星期日 3 月 2:00 上个星期日 10 月 3:00
dns 域查找里面
外部 dns 域查找
dns 服务器组 DefaultDNS
 名称服务器 DNS1-ISP
 名称服务器 DNS2-ISP
 名称服务器 DNS3-INTERNAL_HOSTS
 名称服务器 8.8.8.8
 域名XXXXX
相同安全流量许可接口内
对象网络 obj_any
 子网 0.0.0.0 0.0.0.0
对象网络NETWORK_OBJ_192.168.2.0_24
 子网 192.168.2.0 255.255.255.0
对象网络 192.168.3.0
 子网 192.168.3.0 255.255.255.0
对象网络 192.168.0.1
 子网 192.168.0.0 255.255.255.0
对象网络ins
 子网 192.168.1.0 255.255.255.0
对象网络 192.168.1.1
 主机 192.168.1.1
对象网络 asdc
 主机 192.168.0.50
 描述 asdc
对象网络 TGP500-01
 主机 192.168.0.32
物联网TGP500-02
 主机 192.168.0.25
物联网TGP500-03
 主机 192.168.0.30
物联网TGP500-04
 主机 192.168.0.10
物联网TGP500-05
 主机 192.168.0.11
对象网络 DMZ_outside
 子网 0.0.0.0 0.0.0.0
对象网络 DMZ
 子网 172.16.0.0 255.255.255.0
对象组网络 SIP_PROVIDER
 描述 SIP_PROVIDER
 网络对象 SIP_ISP_NETW 255.255.255.0
 网络对象主机 SIP_ISP_HOST
 网络对象主机 SIP_ISP_HOST
 网络对象主机 SIP_ISP_HOST
对象组服务 SIP-stun tcp-udp
 描述 SIP-stun
 端口对象范围 3478 3479
对象组服务 SIP60000 udp
 描述 SIP60000
 端口对象 eq 60000
对象组服务 sip-SIP udp
 描述 sip-SIP
 端口对象范围 1024 65535
对象组服务 DM_INLINE_UDP_1 udp
 组对象 SIP 眩晕
 组对象 SIP60000
 组对象 sip-SIP
对象组协议 TCPUDP
 协议对象 udp
 协议对象 tcp
对象组网络 SIPphone
 描述 SIP 电话
 网络对象对象 TGP500-01
 网络对象对象 TGP500-02
 网络对象对象 TGP500-03
 网络对象对象 TGP500-04
 网络对象对象 TGP500-05
对象组服务 DM_INLINE_UDP_2 udp
 组对象 SIP60000
 组对象 sip-SIP
对象组服务 DM_INLINE_TCP_1 tcp
 端口对象 eq 3389
 端口对象 eq 7766
访问列表主要标准许可 192.168.1.0 255.255.255.0 
访问列表主要标准许可 192.168.2.0 255.255.255.0 
访问列表主要标准许可 192.168.3.0 255.255.255.0 
访问列表主要标准许可 192.168.0.0 255.255.255.0
访问列表 inside_access_in 扩展许可 icmp 任何任何 
访问列表 inside_access_in 扩展许可 ip 192.168.0.0 255.255.255.0 192.168.0.0 255.255.255.0 
访问列表 inside_access_in 扩展许可 ip 任何任何 
访问列表 global_access 扩展许可 icmp 任何任何 
访问列表 external_access_in 备注 SIPNAME SIP 5060
访问列表 external_access_in 扩展许可对象组 TCPUDP 对象组 SIPName 对象组 SIPphones eq sip 
access-list outside_access_in 备注 SIPNAME SIP
访问列表 external_access_in 扩展许可 udp 对象组 SIP 对象组 SIPphones 对象组 DM_INLINE_UDP_1 
访问列表 external_access_in 扩展拒绝对象组 TCPUDP 任何对象组 SIPphones eq sip 
访问列表 external_access_in 扩展拒绝 udp 任何对象组 SIPphones 对象组 DM_INLINE_UDP_2 
访问列表 external_access_in 扩展许可 tcp 任何对象 asdc 对象组 DM_INLINE_TCP_1 
访问列表 external_access_in 扩展拒绝 ip 任何对象 asdc 不活动 
访问列表 external_access_in 扩展许可 ip 任何任何 
访问列表 external_access_in 扩展许可 ip 任何对象 DMZ 
访问列表 AnyConnect_Client_Local_Print 扩展拒绝 ip any4 any4 
访问列表 AnyConnect_Client_Local_Print 扩展许可 tcp any4 any4 eq lpd 
access-list AnyConnect_Client_Local_Print 备注 IPP：互联网打印协议
访问列表 AnyConnect_Client_Local_Print 扩展许可 tcp any4 any4 eq 631 
access-list AnyConnect_Client_Local_Print 备注 Windows 的打印端口
访问列表 AnyConnect_Client_Local_Print 扩展许可 tcp any4 any4 eq 9100 
access-list AnyConnect_Client_Local_Print 备注 mDNS：组播 DNS 协议
访问列表 AnyConnect_Client_Local_Print 扩展许可 udp any4 主机 224.0.0.251 eq 5353 
access-list AnyConnect_Client_Local_Print 备注 LLMNR：链路本地多播名称解析协议
访问列表 AnyConnect_Client_Local_Print 扩展许可 udp any4 主机 224.0.0.252 eq 5355 
access-list AnyConnect_Client_Local_Print 备注 TCP/NetBIOS 协议
访问列表 AnyConnect_Client_Local_Print 扩展许可 tcp any4 any4 eq 137 
访问列表 AnyConnect_Client_Local_Print 扩展许可 udp any4 any4 eq netbios-ns 
访问列表 DMZ_access_in 扩展许可 ip 任何任何 
访问列表 DMZ_mpc 扩展许可 ip 任意 172.16.0.0 255.255.255.0 
访问列表 external_mpc 扩展许可 ip 对象组 SIPphones 对象组 SIP 
访问列表 external_mpc_1 扩展许可 ip 任意 172.16.0.0 255.255.255.0 
寻呼机第 24 行
记录启用
日志记录 asdm 调试
1500以内的mtu
mtu 1500 以外
MTU DMZ 1500
无故障转移
icmp 无法达到的速率限制 1 突发大小 1
asdm 映像 disk0:/asdm-751.bin
没有 asdm 历史启用
arp 超时 14400
无 arp 许可-非连接
！
对象网络 asdc
 nat（内部、外部）静态接口无代理 arp 服务 tcp 3389 7766 
！
nat (inside,outside) 自动源动态任何接口
nat (outside,inside) after-auto source static any any no-proxy-arp
nat (DMZ,outside) 后自动源动态任何接口
内部接口中的访问组 inside_access_in
外部接口中的访问组 external_access_in
接口 DMZ 中的访问组 DMZ_access_in
访问组 global_access 全局
0.0.0.0 0.0.0.0 ISP_GW_ADDR 1 外的路由
超时时间 3:00:00
超时 pat-xlate 0:00:30
超时连接 0:15:00 半关闭 0:10:00 udp 0:02:00 icmp 0:00:02
超时 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
超时 sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
超时 sip-临时媒体 0:02:00 uauth 0:05:00 绝对
超时 tcp 代理重组 0:01:00
超时浮动连接 0:00:00
动态访问策略记录 DfltAccessPolicy
没有用户身份启用
用户身份默认域本地
aaa 身份验证启用控制台本地 
aaa 身份验证 ssh 控制台本地 
http服务器启用
http 0.0.0.0 0.0.0.0 外面
http 192.168.2.0 255.255.255.0 里面
http 192.168.0.0 255.255.255.0 里面
http 192.168.3.0 255.255.255.0 外面
http 192.168.1.0 255.255.255.0 里面
没有 snmp-server 位置
没有 snmp 服务器联系
加密 ipsec ikev2 ipsec-proposal DES
 协议esp加密des
 协议 esp 完整性 sha-1 md5
加密 ipsec ikev2 ipsec-proposal 3DES
 协议 esp 加密 3des
 协议 esp 完整性 sha-1 md5
加密 ipsec ikev2 ipsec-proposal AES
 协议 esp 加密 aes
 协议 esp 完整性 sha-1 md5
加密 ipsec ikev2 ipsec-proposal AES192
 协议 esp 加密 aes-192
 协议 esp 完整性 sha-1 md5
加密 ipsec ikev2 ipsec-proposal AES256
 协议 esp 加密 aes-256
 协议 esp 完整性 sha-1 md5
加密 ipsec 安全关联 pmtu-aging 无限
加密动态映射 SYSTEM_DEFAULT_CRYPTO_MAP 65535 设置 ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
加密映射 inside_map 65535 ipsec-isakmp 动态 SYSTEM_DEFAULT_CRYPTO_MAP
里面的crypto map inside_map接口
加密映射 external_map 65535 ipsec-isakmp 动态 SYSTEM_DEFAULT_CRYPTO_MAP
加密映射外部_映射接口外部
加密 ca 信任点 ASDM_Launcher_Access_TrustPoint_0
 入学自我
 主题名称 CN=192.168.1.2,CN=ciscoasa
 配置文件
加密 ca 信任点 ASDM_Launcher_Access_TrustPoint_1
 入学自我
 主题名称 CN=192.168.1.2,CN=ciscoasa
 配置文件
加密 ca 信任点 ASDM_Launcher_Access_TrustPoint_2
 入学自我
 主题名称 CN=192.168.1.1,CN=ciscoasa
 配置文件
加密 ca 信任点 ASDM_Launcher_Access_TrustPoint_3
 入学自我
 主题名称 CN=192.168.2.1,CN=ciscoasa
 配置文件
加密 ca 信任点 ASDM_Launcher_Access_TrustPoint_4
 入学自我
 主题名称 CN=192.168.1.1,CN=ciscoasa
 配置文件
加密 ca 信任点 ASDM_Launcher_Access_TrustPoint_5
 入学自我
 主题名称 CN=192.168.0.1,CN=ciscoasa
 配置文件
加密 ca 信任点 ASDM_Launcher_Access_TrustPoint_6
 入学自我
 主题名称 CN=192.168.0.1,CN=ciscoasa
 配置文件
加密 ca 信任点 ASDM_Launcher_Access_TrustPoint_7
 入学自我
 主题名称 CN=192.168.0.1,CN=ciscoasa
 配置文件
加密 ca 信任池策略
加密 CA 证书链 ASDM_Launcher_Access_TrustPoint_0
 证书 747d9154
 XXX
  退出
加密 CA 证书链 ASDM_Launcher_Access_TrustPoint_1
 证书 465e9554
   XXX
  退出
加密 CA 证书链 ASDM_Launcher_Access_TrustPoint_2
 证书 475e9554
    XXX
  退出
加密 CA 证书链 ASDM_Launcher_Access_TrustPoint_3
 证书 485e9554
   XXX
  退出
加密 CA 证书链 ASDM_Launcher_Access_TrustPoint_4
 证书 495e9554
   XXX
  退出
加密 CA 证书链 ASDM_Launcher_Access_TrustPoint_5
 证书 4a5e9554
    XXX
  退出
加密 CA 证书链 ASDM_Launcher_Access_TrustPoint_6
 证书 4b5e9554
    XXX
  退出
加密 CA 证书链 ASDM_Launcher_Access_TrustPoint_7
 证书 9a7b9554
    XXX
  退出
加密 ikev2 政策 1
 加密 aes-256
 诚信沙
 第 5 组 2
 prf sha
 生命周期秒数 86400
加密 ikev2 政策 10
 加密 aes-192
 诚信沙
 第 5 组 2
 prf sha
 生命周期秒数 86400
加密 ikev2 策略 20
 加密 aes
 诚信沙
 第 5 组 2
 prf sha
 生命周期秒数 86400
加密 ikev2 策略 30
 加密3des
 诚信沙
 第 5 组 2
 prf sha
 生命周期秒数 86400
加密 ikev2 策略 40
 加密解密
 诚信沙
 第 5 组 2
 prf sha
 生命周期秒数 86400
加密 ikev2 在客户端服务端口 443 内启用
加密 ikev2 在外面启用
加密 ikev2 远程访问信任点 ASDM_Launcher_Access_TrustPoint_0
远程登录超时 5
ssh 严格主机密钥检查
ssh 192.168.0.0 255.255.255.0 里面
ssh 超时 5
SSH 版本 2
ssh 密钥交换组 dh-group14-sha1
控制台超时 0

dhcpd dns 192.168.0.1 接口里面
！
dhcpd 地址 172.16.0.5-172.16.0.50 DMZ
dhcpd dns 8.8.8.8 接口 DMZ
dhcpd 租用 604800 接口 DMZ
dhcpd 启用 DMZ
！
优先队列外
威胁检测基本威胁
威胁检测统计
威胁检测统计 tcp-intercept rate-interval 30 突发速率 400 平均速率 200
ntp server 129.6.15.29 源外
ssl 信任点 ASDM_Launcher_Access_TrustPoint_2 外
vpnlb-ip 内的 ssl 信任点 ASDM_Launcher_Access_TrustPoint_7
ssl 信任点 ASDM_Launcher_Access_TrustPoint_7 里面
ssl 信任点 ASDM_Launcher_Access_TrustPoint_2 外 vpnlb-ip
网络VPN
 启用内部
 启用外部
 anyconnect-essentials
 anyconnect 映像 disk0:/anyconnect-win-4.0.00048-k9.pkg 1
 启用任何连接
 隧道组列表启用
组策略 DfltGrpPolicy 属性
 dns-server 值 192.168.0.1
 split-tunnel-network-list 值 main
 网络VPN
  anyconnect ssl 压缩放气
group-policy GroupPolicy_main 内部
组策略 GroupPolicy_main 属性
 wins-server 无
 dns-server 值 192.168.0.1
 vpn 隧道协议 ikev2 ssl 客户端 
 拆分隧道策略隧道指定
 split-tunnel-network-list 值 main
 默认域值 XXX
 网络VPN
  anyconnect 配置文件值 main_client_profile 类型用户
隧道组主要类型远程访问
隧道组主要通用属性
 地址池 VPN 池
 身份验证服务器组（内部）本地
 身份验证服务器组（外部）本地
 授权服务器组本地
 默认组策略 GroupPolicy_main
隧道组主要 webvpn 属性
 组别名主要启用
！
类图外类 1
 匹配访问列表 external_mpc_1
类映射 DMZ 类
 匹配访问列表 DMZ_mpc
类映射检查_默认
 匹配默认检查流量
课外班级地图
 匹配访问列表 external_mpc
！
！
策略映射类型检查 dns preset_dns_map
 参数
  消息长度最大客户端自动
  消息长度最大 512
策略映射 global_policy
 班级检查_默认
  检查 dns preset_dns_map 
  检查 ftp 
  检查 h323 h225 
  检查 h323 ras 
  检查 rsh 
  检查 rtsp 
  检查 esmtp 
  检查 sqlnet 
  检查瘦  
  检查 sunrpc 
  检查 xdmcp 
  检查 sip  
  检查 netbios 
  检查 tftp 
  检查 ip 选项 
 类类-默认
  用户统计会计
政策地图外政策
 课外课
  优先事项
 课外课1
  警察投入 2000000 1500
策略映射 DMZ 策略
 类 DMZ 级
  警力输出 2000000 1500
！
service-policy global_policy global
服务策略外策略接口外
服务策略 DMZ 策略接口 DMZ
提示主机名上下文 
没有回电报告匿名
hpm topN 启用
加密校验和：XX
： 结尾

版本

命令的结果：“sh ver”

思科自适应安全设备软件版本 9.2(4) 
设备管理器版本 7.5(1)

由建造者于 15 年 7 月 14 日星期二 22:19 编译
系统镜像文件为“disk0:/asa924-k8.bin”
启动时的配置文件是“startup-config”

ciscoasa 5 小时 38 分钟

硬件：ASA5505，512 MB RAM，CPU Geode 500 MHz，
内部 ATA 紧凑型闪存，128MB
BIOS 闪存 M50FW016 @ 0xfff00000, 2048KB

加密硬件设备：Cisco ASA-5505 板载加速器（修订版 0x0）
                             启动微码：CN1000-MC-BOOT-2.00 
                             SSL/IKE 微码：CNLite-MC-SSLm-PLUS-2.06
                             IPSec 微码：CNlite-MC-IPSECm-MAIN-2.09
                             加速器数量：1

 0: Int: Internal-Data0/0 : 地址是 442b.034a.96fa, irq 11
 1：Ext：Ethernet0/0：地址是442b.034a.96f2，irq 255
 2：分机：Ethernet0/1：地址为 442b.034a.96f3，irq 255
 3：Ext：Ethernet0/2：地址是442b.034a.96f4，irq 255
 4：Ext：Ethernet0/3：地址是442b.034a.96f5，irq 255
 5：分机：Ethernet0/4：地址为 442b.034a.96f6，irq 255
 6：分机：Ethernet0/5：地址为 442b.034a.96f7，irq 255
 7：分机：Ethernet0/6：地址为 442b.034a.96f8，irq 255
 8：分机：Ethernet0/7：地址为 442b.034a.96f9，irq 255
 9: Int: Internal-Data0/1 : 地址是 0000.0003.0002, irq 255
10：Int：未使用：irq 255
11：Int：未使用：irq 255

此平台的许可功能：
最大物理接口：8 个永久
VLAN：20 DMZ 无限制
双 ISP：永久启用
VLAN 中继端口：8 个永久
内部主机：无限永久
故障转移：活动/备用永久
加密-DES：永久启用
Encryption-3DES-AES：永久启用
AnyConnect 高级对等点：25 个永久
AnyConnect Essentials：25 个永久
其他 VPN 对等点：25 个永久
总 VPN 对等点：25 个永久
共享许可证：永久禁用
AnyConnect for Mobile：永久启用
适用于 Cisco VPN 电话的 AnyConnect：永久启用
高级端点评估：永久启用
UC 电话代理会话：2 次永久
总 UC 代理会话：2 永久
僵尸网络流量过滤器：永久禁用
公司间媒体引擎：永久禁用
群集：永久禁用

该平台具有 ASA 5505 Security Plus 许可证。

配置寄存器为 0x1

补充：一旦用户报告互联网缺席，就显示日志 http://pastebin.com/3CqXGtuk