Предыстория:
Есть территориально распределённая сеть по дальнему востоку 7 (городов). Как следствие 7 цисок 2811! Все как сёстры близнецы по конфигу - задачи простые:
1. выход в инет через двух провайдеров (основной/резервный), реализовано на ip sla.
2. поддержание туннелей ipip между одним городом и всеми остальными.

ПРОБЛЕМА !!!
ТОЛЬКО на одном филиале с периодичностью в 1,5 суток падают оба провайдера, как следствие падают туннели - лечиться перезагрузкой!!! В логах много записей типа:

Dec 15 07:05:45 172.16.1.1 956: %TRACKING-5-STATE: 101 ip sla 101 reachability Up->Down
Dec 15 07:05:59 172.16.1.1 957: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel500203, changed state to up
Dec 15 07:06:07 172.16.1.1 958: %OSPF-5-ADJCHG: Process 51, Nbr 255.255.255.255 on Tunnel500101 from EXSTART to DOWN, Neighbor Down: Interface down or detached
Dec 15 07:06:15 172.16.1.1 961: %TRACKING-5-STATE: 101 ip sla 101 reachability Down->Up

очевидно что одно следствие другого! ни каких др. записей просто нет! с какого-то момента начинают сыпать такие мэсэджи, связи нет и до самой перезагрузки забивается лог файл!

ДАНО:
cisco 2811 + HWIC-4ESW
IOS c2800nm-advsecurityk9-mz.124-24.T2.bin
провайдеры подключены к HWIC-4ESW дальше VLAN'ами

СДЕЛАНО:
1. изменены тайминги ip sla с дефолтовых на побольше ~ sla принемает решение около минуты
2. полностью сменено оборудование и cisco 2811 и HWIC-4ESW
3. поставлена перезагрузка по крону раз в сутки <- НЕ ВАРИАНТ!!!

ПОДОЗРЕНИЯ:
1. кто то ложит циску из вне! (DoS атаки)
2. не качественная работа одного из провайдеров (постоянное "дребезжание" провайдера => дерганье ip sla => переполнение какого-нибудь буфера => завал интерфейсов)

Стоит предположить: Аркаим?

Вообще циску мало знаю, но предпологаю что после падения основного канала, резервный не поднимается ввиду не правильной настройки самого интерфейса.
Ну причину падения первого узнать сложно это лучше узнавать у повайдера. Пусть на контроль вас поставят. А у второго просто перепроверь настройки.

Могу точно сказать что переключение настроено правильно! к тому же нет механизма поднятия (либо опускания) провайдера - оба прова сразу в апе - переключается только дг! ПРОВЫ падают одновременно! Т.е. если упал первый то и на второго из вне зайти нельзя! Определённо имеет место какая то ошибка (уязвимость) в циске которой либо пользуются злоумышленники, либо просто циска не справляется с какими то своими обязанностями!

З.Ы. может cef отключить?

Как и говорил циску я мало знаю(очень), могу лишь посоветовать. Если связь идет только между филиалами, фильтруй все ИП кроме своих. По крайней мере узнаешь атака это или нет.
Хотя странно, если не атака, то как могут падать два провайдера одновременно. Хотя в прочем, а если у них "ноги" из одного провода растут?

инетом естественно филиал пользуется
пока поставил фильтр тока на порты ssh и telnet стало видно что с каких то левых ипишников точно регулярно по этим портам бьет - но циска все равно заваливается правда примерно раз в 2,5 суток, все порты я точно не смогу закрыть! они нужны!

Инетом.......
Просто у меня филиал здраво обделен, но и сервисы для внешки все перекрыты, тока из внутренней сети. А я сам туда попадаю через EoIP который естественно проходит через VPN поднятый со стороны филиала на "центр". Таких как у тебя проблем не встречал. Для прикола на центре открыт как сервис FTP без учетных записей, так прелесно смотреть как пароли перебирают. Так для сведения: альтернативные ОС уберегают от проблем распространенности.
Закрой все что можно, используемые порты попробуй "перебросить" на другие порты. Может поможет.

Филиал в др. городе - не разумно имея на филиале подключение к инету пускать их в инет через головной офис в др. городе и сервисы тоже!
К тому же это не есть хорошее администрирование - закрыть все и радоваться какой ты пиз.....ый админ :D

Не ну ясно дело что в инет выходить надо "по месту". У меня просто политика в компании такова, что в инет не всем можно. В филиале никому нельзя. Потому я инет там и не заводил. Да и в любом случае правила на "прохождение" через маршрутизатор и "входящие" у меня под разными разделами. Просто все "входяшие" сервисы убрал. Оставил тока порт управления из локальной сети и вебку из внешки дабы смотреть за состоянием загруженности.
А на счет "хорошего" админа, пользуюсь критерием "запрещено все, что явно не разрешено", пока помогает.

И тишина :)
Подскажите хоть как и какие параметры помониторить на циске, но что б обязательно результаты в лог писались (отправка сообщений на syslog настроена)!

Можешь назвать город и провайдеров?

секрета конечно же нет, просто вряд ли в этом дело:
город Комсомольск, основной пров ТТК, резервный Дальсвязь! оба выделенка - директ конект (маска 30)

Ну про Дальсвязь тут у них конечно бывают проблемы, особенно сейчас ввиду ее закрытия ;).
А вот ТТК странно, глюков не должна давать.
Не знаю попробую другую модель циски поставить, альтернативные какие нибудь Роутеры. Или как вариант подними "коллектор"(вроде так называется) и скидывай на него с цыски по NetFlow все что есть. Если атака имеет место быть ты это увидишь. Что, от куда, куда и зачем ломится ломиться. Правда разбирать логи дело конечно.... долгое и нудное. Ну а потом закроешь, что лишнее.
Вообще, т.к. мало циску знаю, может у нее по другому, но пользовательский трафик по forward и уже на саму циску input разные вещи, запрети весь input кроме себе на нужные порты(с условием на свой удаленный IP). Должно помочь.

я и говорю дело не в провах а в циске!!! Если бы дело было в Дальсвязи, так она и так резерв! такое ощущение что у циски возникает проблема с работой с ip протоколом на Vlan-интерфейсах! Я сталкивался с похожей проблемой: - не работает local pbr если много виртуальных интерфейсов, например Fa0/0/0 -> Vlan 101 -> Dialer 1. В такой связке локальная политика маршрутизации уже не работает Tun на Dialer уже не повесиш приходится "подпирать" его стат маршрутом!