Столкнулся с аналогичной проблемой с той же железкой Cisco 2851Проблема действительно кроется в инспектировании
Обратим внимание на 5-ю строчку: max-incomplete tcp connections per host is 50.
gw#sh ip inspect config
Session audit trail is disabled
Session alert is enabled
one-minute (sampling period) thresholds are [400:500] connections
max-incomplete sessions thresholds are [400:500]
max-incomplete tcp connections per host is 50. Block-time 0 minute.
tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec
tcp idle-time is 3600 sec -- udp idle-time is 30 sec
dns-timeout is 5 sec
Inspection Rule Configuration
Inspection name visor
ftp alert is on audit-trail is off timeout 3600
ssh alert is on audit-trail is off timeout 30
telnet alert is on audit-trail is off timeout 3600
smtp max-data 20000000 alert is on audit-trail is off timeout 3600
tftp alert is on audit-trail is off timeout 30
http alert is on audit-trail is off timeout 3600
pop3 alert is on audit-trail is off timeout 3600
imap alert is on audit-trail is off timeout 3600
ldap alert is on audit-trail is off timeout 3600
https alert is on audit-trail is off timeout 3600
tcp alert is on audit-trail is off timeout 3600
udp alert is on audit-trail is off timeout 30
icmp alert is on audit-trail is off timeout 10
Если за циской стоит прокси-сервер, то ничего удивительного в том, что циска "рубит" соединения нет. При большом количестве пользователей и в пиковые нагрузки число неустановленных сессий легко может превысить значение по умолчанию.
Решение простое:
gw#configure terminal
gw(config)#ip inspect tcp max-incomplete host 1000
Значение может лежать в диапазоне <1-2^32>. Но "задирать" его все-таки не стоит...