Потеря пакетов на между брандмауэром и восходящим каналом?

У меня есть топология умеренно сложной сети между моим внешним брандмауэром и Интернетом, как показано ниже.

Время от времени - я еще не нашел шаблон - мы получаем существенную степень потери пакетов, приблизительно 25%. Большую часть времени это находится под.5%. Насколько я могу сказать, что единственная общность - то, что весь отброшенный трафик пересекает интерфейс от vpn server Cisco ASA 5505 к gateway router, Cisco 2901.

Править

В дополнение к чистым отброшенным пакетам я также смотрю на время отклика. Любой трафик от gateway router кому: vpn server или fiber uplink добавляет точно 200 миллисекунд по сравнению с ping, который останавливает один короткий шаг.

Так как высокое время отклика ping является общим индикатором ЦП, истраченного, я проверил show process cpu, но это только показывает приблизительно 40%-е использование.

Какие-либо мысли?

Редактирование конца

Предположение, что проблема действительно находится в интерфейсе между ASA и 2901, я очистил интерфейсную статистику по обоим устройствам.

С тех пор у нас было несколько периодов увеличенной потери пакетов. Интерфейсные статистические данные ниже, но не показывают ничего необычного с моей точки зрения - никакие уродливые или отброшенные пакеты, интерфейсный сброс, и т.д. Дуплекс и соответствие настроек скорости.

Что я пропускаю? Все эти аппаратные средства находятся в здании с возможностью соединения по крайней мере на 100 Мбит/с.

маршрутизатор шлюза

show interfaces GigabitEthernet 0/0
GigabitEthernet0/0 is up, line protocol is up
  Hardware is CN Gigabit Ethernet, address is a493.4ccc.b218 (bia a493.4ccc.b218)
  Internet address is xx.xx.xx.105/28
  MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
     reliability 255/255, txload 14/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full Duplex, 100Mbps, media type is RJ45
  output flow-control is unsupported, input flow-control is unsupported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:00, output 00:00:00, output hang never
  Last clearing of "show interface" counters 00:15:51
  Input queue: 0/75/0/6427 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 511000 bits/sec, 401 packets/sec
  5 minute output rate 5526000 bits/sec, 590 packets/sec
     413812 packets input, 83711483 bytes, 0 no buffer
     Received 5 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog, 0 multicast, 0 pause input
     600299 packets output, 695003736 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier, 0 pause output
     0 output buffer failures, 0 output buffers swapped out

сервер vpn

show interface ethernet 0/1
Interface Ethernet0/1 "", is up, line protocol is up
  Hardware is 88E6095, BW 100 Mbps
        Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
        Available but not configured via nameif
        MAC address 001e.f76a.a441, MTU not set
        IP address unassigned
        215073 packets input, 247716476 bytes, 0 no buffer
        Received 7 broadcasts, 0 runts, 0 giants
        0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
        0 L2 decode drops
        39 switch ingress policy drops
        148763 packets output, 21509818 bytes, 0 underruns
        0 output errors, 0 collisions, 0 interface resets
        0 babbles, 0 late collisions, 0 deferred
        0 lost carrier, 0 no carrier
        0 rate limit drops
        0 switch egress policy drops