Whistleblower

Hm, vllt. bleib ich auch bei 12.4, Flash-Upgrade vorausgesetzt... Muss jetzt nicht das neueste IOS sein, ausser es geht damit dann QoS über Dialer-IF o.ä. :D

Oops, sorry, war ASA... Mal sehen, ob ich schnell das Äquivalent fürn Router finde... crypto ipsec nat-transparency udp-encapsulation bzw. no crypto ipsec nat-transparency udp-encapsulation um NAT-T zu deaktivieren

Danke! Letztere (15.1) würde passen, oder ich muss ein Flash-Upgrade machen, sofern das geht... Hab allerdings noch keinerlei Erfahrung mit der 15.1 - gibt es da gravierende Änderungen?

Hm, hab ich beim Cisco Software Advisor nicht gesehen... Danke für die Info! Kannst mir vllt. noch kurz die Anforderungen (Flash/Ram) nennen?

Wie sind denn die Settings für Dead Peer Detection (DPD), da scheint was nicht zu passen... Oder mit NAT, bzw. NAT-T, wie Wordo schon erwähnte? Ist auf der Gegenseite evtl NAT-T aktiv? #crypto isakmp nat-traversal

Moin, sehe ich das richtig, dass es für die 870er Serie kein Advanced Enterprise Services IOS gibt?

Hatte vor kurzem genau das gleiche Phänomen - eins von 5 VPNs kam nicht mehr hoch, keine Änderungen durchgeführt und dem Debug nach zu urteilen ein Phase 1 Problem. Sämtliche Einstellungen mit der Gegenstelle abgeglichen, keinen Fehler gefunden. Dann einfach auf Verdacht einen neuen PSK generiert und auf beiden Seiten eingetragen, und es lief wieder... Vorher war der PSK aber auch auf beiden Seiten identisch... Und check ansonsten nochmal, dass beide Router die korrekte Uhrzeit haben (allerdings sollten dann die anderen VPNs auch irgendwann down gehen, wenns da nicht passt)

Werte scheinen realistisch zu sein (i.d.R. 1%), allerdings liefert er scheinbar nur die (aufgerundeten) Vorkommastellen - ist also 'ne waagerechte Gerade... :D

Supi, Werte bekomme ich damit schon mal, muss ich mal beobachten, ob das passt...

Hi, mein 871 litt einige Tage unter extremer CPU-Last (i.d.R. um die 97-99%), durch den HTTP CORE Prozess. Ursache war vermutlich ein infizierter Client :mad: Der ist jetzt bereinigt (neu installiert) und seitdem ist alles soweit wieder schick. Zukünftig möchte ich aber frühzeitig bemerken, wenn solche Probleme auftreten, und will daher per SNMP die CPU-Last periodisch abfragen, erstmal über PRTG, später auch mal mit Nagios. Leider pollt PRTG standardmäßig nur die Interfaces - gibt es Möglichkeiten, auch die CPU-Last abzufragen?

Das stimmt allerdings, ist nur nirgends so wirklich dokumentiert... Klappte dann übrigens auch mit dem Cisco-Router, und auch die Einrichtung für dynDNS funktioniert soweit. :)

Okay, Problem gelöst: Kabeldeutschland speichert scheinbar für eine gewisse Zeit bis zu 2 verbundene MACs ab, alles weitere bekommt dann keine neue IP. Hab testhalber die MAC vom FastEth3 auf dem D-Link bei der Einrichtung der Internetverbindung eingetragen, und den Router dann für einige Minuten stromlos gemacht - und siehe da, beim Wiederinbetriebnehmen bekam der D-Link für die neue MAC auch eine (neue) IP. :) Jetzt sollte das nur noch mit dem Cisco-Router klappen...

Hm, das Problem (Feature) scheint bei KabelDeutschland zu liegen... :mad: Habe mit dem D-Link-Router (DIR-615) ein paar Tests gemacht - der bekommt nur eine IP zugewiesen, wenn z.B. die MAC eines verbundenen Rechners in den Einstellungen eingetragen wird... Was ist das bitte ???

Hallo zusammen, habe momentan ein kleines Problem (oder nur einen Denkfehler): Will einen 871er am KD-Anschluss betreiben, da FastEth4 bereits für ein (späteres) DSL-Backup reserviert ist (s.a. http://www.mcseboard.de/cisco-forum-allgemein-38/ha-vpn-cisco-871-moeglich-166093.html), soll FastEth3 mit über ein zweites VLAN-Interface für KD genutzt werden. Allerdings bekomme ich leider keine IP vom Netz zugewiesen. Der Anschluss an sich funktioniert (z.B. an D-Link-Router). Auszug der Config: sh run int fast 3 Building configuration... Current configuration : 102 bytes ! interface FastEthernet3 description *** Link KabelDeutschland *** switchport access vlan 199 end sh run int vlan 199 Building configuration... Current configuration : 327 bytes ! interface Vlan199 description VLAN_fuer_KabelDeutschland-Link ip ddns update hostname xxx.dyndns.org ip ddns update xxx_dyndns ip address dhcp ip access-group outside_rule in no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip nat outside ip virtual-reassembly crypto map staticmap end Leider keine IP: sh int vlan 199 Vlan199 is up, line protocol is up Hardware is EtherSVI, address is 0019.55f3.e80b (bia 0019.55f3.e80b) Description: VLAN_fuer_KabelDeutschland-Link Internet address will be negotiated using DHCP MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:00, output never, output hang never Last clearing of "show interface" counters never Input queue: 1/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 20000 bits/sec, 32 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 33868 packets input, 2049237 bytes, 0 no buffer Received 33868 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 237 packets output, 146466 bytes, 0 underruns 0 output errors, 5 interface resets 0 unknown protocol drops 0 unknown protocol drops 0 output buffer failures, 0 output buffers swapped out Kann es sein, dass ich irgendwo noch eine MAC durchreichen muss? Beim D-Link musste ich eine eintragen, erst dann bekam der auch eine IP zugewiesen... Nachtrag: Auch mit konfiguriertem ETH4 (Dialer-Konfig gelöscht) keine IP...

Richtig, HA-VPN ist (erstmal) außen vor, wäre aber sicherlich eine interessante Erweiterung... Ich stehe der Verfügbarkeit von KabelDeutschland immer noch relativ skeptisch gegenüber... :D

Teil 4 (von 3 :D ): ip access-list extended outside_rule remark ### NTP-Server ### permit udp host 192.53.103.104 eq ntp host dyn_pubIP_Kabel eq ntp permit udp host 192.53.103.108 eq ntp host dyn_pubIP_Kabel eq ntp permit udp host 194.25.2.129 eq domain any remark ### VPN vpn2_ ### permit ahp host IP_vpn2 host dyn_pubIP_Kabel permit esp host IP_vpn2 host dyn_pubIP_Kabel permit udp host IP_vpn2 host dyn_pubIP_Kabel eq isakmp remark ### VPN vpn4_ ### permit esp host IP_vpn4 host dyn_pubIP_Kabel permit udp host IP_vpn4 host dyn_pubIP_Kabel eq isakmp remark ### VPN vpn3_ ### permit esp host IP_vpn3 host dyn_pubIP_Kabel permit udp host IP_vpn3 host dyn_pubIP_Kabel eq isakmp remark ### VPN vpn1_ ### permit esp host IP_vpn1 host dyn_pubIP_Kabel permit udp host IP_vpn1 host dyn_pubIP_Kabel eq isakmp remark ### VPN vpn5_ ### permit esp host IP_vpn5 host dyn_pubIP_Kabel permit udp host IP_vpn5 host dyn_pubIP_Kabel eq isakmp permit udp host IP_vpn5 host dyn_pubIP_Kabel eq non500-isakmp remark ### Anti-Spoofing ### deny ip 10.150.0.0 0.0.255.255 any deny ip 10.0.0.0 0.255.255.255 any deny ip 10.48.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any deny ip 127.0.0.0 0.255.255.255 any deny ip host 255.255.255.255 any deny ip host 0.0.0.0 any deny ip any any log ip access-list extended vpn_vpn1_ permit ip 10.150.1.0 0.0.0.255 192.168.93.0 0.0.0.255 deny ip any any ip access-list extended vpn_vpn4_ permit ip 10.150.1.0 0.0.0.255 192.168.1.0 0.0.0.255 log permit ip 10.150.1.0 0.0.0.255 192.168.85.0 0.0.0.255 log deny ip any any ip access-list extended vpn_vpn5 permit ip 10.150.0.0 0.0.255.255 10.160.0.0 0.0.255.255 permit ip 10.150.0.0 0.0.255.255 192.168.60.0 0.0.0.255 permit ip 192.168.50.0 0.0.0.255 10.160.0.0 0.0.255.255 ip access-list extended vpn_vpn2 remark IPSec Rule permit ip 10.150.0.0 0.0.255.255 10.120.0.0 0.0.255.255 deny ip any any ip access-list extended vpn_vpn3 remark IPSec Rule permit ip 10.150.0.0 0.0.255.255 10.170.0.0 0.0.255.255 deny ip any any ! access-list 1 remark INSIDE_IF=vlan1 access-list 1 remark SDM_ACL Category=2 access-list 1 permit 10.150.0.0 0.0.255.255 access-list 2 remark SDM_ACL Category=2 access-list 2 permit 10.150.0.0 0.0.255.255 access-list 106 remark Client_Split access-list 106 permit ip 10.150.0.0 0.0.255.255 any access-list 106 permit ip 10.160.0.0 0.0.255.255 any access-list 106 permit ip 10.120.0.0 0.0.255.255 any access-list 110 permit ip 10.150.0.0 0.0.255.255 192.168.15.0 0.0.0.255 no cdp run ! ! ! route-map TDSL permit 1 match ip address NAT_rule ! route-map Kabel permit 1 match ip address NAT_rule ! ! control-plane ! ! line con 0 logging synchronous no modem enable transport output telnet line aux 0 transport output telnet line vty 0 4 session-timeout 60 access-class mgmt_rule in logging synchronous transport input telnet ssh ! scheduler max-task-time 5000 scheduler allocate 4000 1000 scheduler interval 500 end Sind wahrscheinlich noch einige Fehler drin, muss ich dann vor Ort anpassen. Aber vom Prinzip richtig gedacht? Alles ausser Traffic für vpn1 soll über's "Kabel"-Interface rausgehen...

Teil 3: interface Dialer1 description tdsl_flat$FW_OUTSIDE$ bandwidth 2048 ip address negotiated ip access-group outside_rule in no ip redirects no ip unreachables no ip proxy-arp ip mtu 1492 ip nat outside no ip virtual-reassembly encapsulation ppp no ip route-cache cef no ip route-cache no ip mroute-cache dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname xxx ppp chap password 7 xxx crypto map staticmap ! ip local pool clientpool 192.168.50.240 192.168.50.254 ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 FastEthernet3 ip route 10.150.4.0 255.255.255.0 10.150.1.254 ip route 10.150.5.0 255.255.255.0 10.150.1.254 ip route 10.150.14.0 255.255.255.0 10.150.1.254 ip route 192.168.93.0 255.255.255.0 Dialer1 ip route IP_vpn1 255.255.255.255 Dialer1 ip route 192.168.99.0 255.255.255.0 10.160.1.1 no ip http server ip http secure-server ip http secure-port 50443 ! ip nat inside source route-map KABEL interface FastEthernet3 overload ip nat inside source route-map TDSL interface Dialer1 overload ip nat inside source static tcp 10.150.1.210 80 dyn_pubIP_Kabel 80 route-map NAT_rule extendable ip nat inside source static tcp 10.150.1.210 443 dyn_pubIP_Kabel 443 route-map N-rule extendable ! ip access-list extended NAT_rule remark NAT-Ausnahme Site2Site deny ip 10.150.0.0 0.0.255.255 10.160.0.0 0.0.255.255 deny ip 10.150.1.0 0.0.0.255 192.168.99.0 0.0.0.255 deny ip 10.150.0.0 0.0.255.255 10.120.0.0 0.0.255.255 deny ip 10.150.0.0 0.0.255.255 10.170.0.0 0.0.255.255 deny ip 10.150.1.0 0.0.0.255 192.168.93.0 0.0.0.255 deny ip 10.150.1.0 0.0.0.255 192.168.1.0 0.0.0.255 deny ip 10.150.0.0 0.0.255.255 192.168.210.0 0.0.0.255 deny ip 10.150.1.0 0.0.0.255 192.168.85.0 0.0.0.255 deny ip 10.150.0.0 0.0.255.255 192.168.60.0 0.0.0.255 deny ip 10.150.0.0 0.0.255.255 192.168.50.0 0.0.0.255 remark Alles andere natten permit ip 10.150.0.0 0.0.255.255 any ip access-list extended inside_rule remark ### Traffic_Site2Site ### permit ip 10.160.0.0 0.0.255.255 any permit ip 192.168.99.0 0.0.0.255 10.150.1.0 0.0.0.255 permit ip 10.170.0.0 0.0.255.255 10.150.0.0 0.0.255.255 permit ip 192.168.93.0 0.0.0.255 10.150.0.0 0.0.255.255 permit ip 192.168.1.0 0.0.0.255 10.150.1.0 0.0.0.255 permit ip 192.168.85.0 0.0.0.255 10.150.1.0 0.0.0.255 permit ip 10.120.0.0 0.0.255.255 10.150.0.0 0.0.255.255 permit ip 192.168.210.0 0.0.0.255 10.150.0.0 0.0.255.255 permit ip 192.168.60.0 0.0.0.255 any permit ip 192.168.50.0 0.0.0.255 any permit ip 192.168.15.0 0.0.0.255 host 10.150.4.108 permit gre any any log permit icmp any any deny ip any any ip access-list extended mgmt_rule remark VTY Access-class list [..] deny ip any any

Teil 2: crypto isakmp profile allusersprofile description Remote access users profile match identity group allusers client authentication list remoteaccess isakmp authorization list allusers client configuration address respond crypto isakmp profile vpn1_profile description Tunnel vpn1_zuNiederlassung keyring vpn1_keyring match identity address IP_vpn1 255.255.255.255 crypto isakmp profile vpn2_profile description Tunnel vpn2_zuNiederlassung keyring vpn2_keyring match identity address IP_vpn2 255.255.255.255 crypto isakmp profile vpn3_profile description Tunnel vpn3_zuNiederlassung keyring vpn3_keyring match identity address IP_vpn3 255.255.255.255 crypto isakmp profile vpn4_profile description Tunnel vpn4_zuNiederlassung keyring vpn4_keyring match identity address IP_vpn4 255.255.255.255 crypto isakmp profile vpn5_profile description Tunnel vpn5_zuNiederlassung keyring vpn5_keyring match identity address IP_vpn5 255.255.255.255 ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec transform-set VPN_vpn1_ esp-3des esp-md5-hmac crypto ipsec transform-set VPN_vpn1_2 esp-aes 256 esp-sha-hmac crypto ipsec transform-set VPN_vpn4 esp-3des esp-md5-hmac crypto ipsec transform-set ESP-AES192-SHA esp-aes 192 esp-sha-hmac ! crypto dynamic-map dynmap 5 set transform-set ESP-3DES-SHA set isakmp-profile allusersprofile ! ! crypto map ext_staticmap 1 ipsec-isakmp description Tunnel to vpn1 set peer IP_vpn1 set transform-set VPN_vpn1_ set isakmp-profile vpn1_profile match address vpn_vpn1_ ! crypto map staticmap 1 ipsec-isakmp description Tunnel to vpn5_ set peer IP_vpn5 set transform-set ESP-3DES-SHA set pfs group2 set isakmp-profile vpn5_profile match address vpn_vpn5 crypto map staticmap 4 ipsec-isakmp description Tunnel to vpn4_ set peer IP_vpn4 set transform-set VPN_vpn4 set pfs group2 set isakmp-profile vpn4_profile match address vpn_vpn4_ crypto map staticmap 5 ipsec-isakmp description Tunnel to vpn2_ set peer IP_vpn2 set transform-set ESP-3DES-SHA set pfs group2 set isakmp-profile vpn2_profile match address vpn_vpn2 crypto map staticmap 7 ipsec-isakmp description Tunnel to vpn3_ set peer IP_vpn3 set transform-set ESP-3DES-SHA set isakmp-profile vpn3_profile match address vpn_vpn3 crypto map staticmap 65535 ipsec-isakmp dynamic dynmap ! archive log config hidekeys ! ! ip tcp synwait-time 10 ip tftp source-interface Vlan1 ip ssh authentication-retries 2 ! ! ! interface Null0 no ip unreachables ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 description *** Link KabelDeutschland *** switchport access vlan 199 ! interface FastEthernet4 no ip address no ip redirects no ip unreachables no ip proxy-arp ip nat outside no ip virtual-reassembly duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 ! interface Vlan1 description LAN_inside$FW_INSIDE$ ip address 10.150.1.1 255.255.255.0 ip access-group inside_rule out no ip redirects no ip unreachables no ip proxy-arp ip inspect ethernet_0 in ip nat inside ip virtual-reassembly ip tcp adjust-mss 1300 no ip mroute-cache ! interface Vlan199 description VLAN_fuer_KabelDeutschland-Link ip address dhcp client-id FastEthernet3 ip access-group outside_rule in no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip nat outside ip virtual-reassembly crypto map ext_staticmap !

Jo, Blog war wohl nur temporär offline... Anbei mal die Konfig, basierend auf aktuellen Einstellungen - hoffentlich nicht zu konfus, musste natürlich einiges durch Suchen&Ersetzen ändern... ;) Teil 1 von 3: ! version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname router ! boot-start-marker boot system flash c870-advsecurityk9-mz.124-24.T.bin boot-end-marker ! logging message-counter syslog no logging buffered logging rate-limit 1 logging console critical enable secret 5 xxx ! aaa new-model ! ! aaa authentication login default local aaa authentication login remoteaccess local aaa authorization exec default local aaa authorization network allusers local ! ! aaa session-id common clock timezone CET 1 clock summer-time CEST recurring clock save interval 24 ! crypto pki trustpoint TP-self-signed-2481874788 [..] ! ! crypto pki certificate chain TP-self-signed-2481874788 certificate self-signed 01 [..] quit dot11 syslog no ip source-route ! ! ip cef ip inspect name ethernet_0 tcp router-traffic ip inspect name ethernet_0 ftp ip inspect name ethernet_0 udp ip inspect name ethernet_0 realaudio ip inspect name ethernet_0 h323 ip inspect name ethernet_0 sip ip inspect name ethernet_0 sip-tls ip inspect name ethernet_0 fragment maximum 256 timeout 1 ip inspect name ethernet_0 pptp no ip bootp server ip domain name irgendwas.local ip name-server 217.237.149.205 ip name-server 217.237.151.51 ip name-server 194.25.2.129 ! ! vpdn enable ! ! ! username xxx ! crypto keyring L2Lkeyring description PSK for L2L peers with dynamic addressing crypto keyring vpn1_keyring description PSK for vpn1 pre-shared-key address IP_vpn1 key xxx crypto keyring vpn2_keyring description PSK for vpn2 pre-shared-key address IP_vpn2 key xxx crypto keyring vpn3_keyring description PSK for vpn3 pre-shared-key address IP_vpn3 key xxx crypto keyring vpn4_keyring description PSK for vpn4 pre-shared-key address IP_vpn4 key xxx crypto keyring vpn5_keyring description PSK for vpn5 pre-shared-key address IP_vpn5 key xxx ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 ! crypto isakmp policy 2 encr 3des authentication pre-share group 2 ! crypto isakmp policy 3 encr 3des hash md5 authentication pre-share group 2 lifetime 3600 ! crypto isakmp policy 4 encr 3des authentication pre-share group 2 lifetime 7200 ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group allusers key xxx dns 10.x.x.x wins 10.x.x.x domain irgendwas.local pool clientpool acl 106 split-dns irgendwas.local split-dns irgendwas2.local pfs

Hm, nach wie vor bin ich mir nicht sicher, ob sich EasyVPN mit der bestehenden Config verträgt. Deswegen wird wohl erstmal der Router auf den KabelDeutschland-Anschluss umkonfiguriert, und der DSL-Anschluss nur für ein einziges VPN genutzt, alles andere soll dann über Kabel gehen... Ein Backup von Kabel auf DSL wird dann später nachträglich konfiguriert. Am meisten stört mich die dynIP bei der Geschichte, aber da gibt's momentan leider keine Alternative zu ...:( Ich poste hier nachher mal die Konfig, wie ich mir das vorgestellt habe (testen kann ich leider erst später...) PS: Der obige Blog ist leider grad offline... :(

Hi, ein grundlegendes Backup (erstmal nur für reinen Internetzugang) über Tracking sollte doch auch mit PBR und Multiple Tracking möglich sein, oder? Policy Based Routing with the Multiple Tracking Options Feature Configuration Example [iP Routed Protocols] - Cisco Systems Leider kann ich dem nicht entnehmen, ob das auch mit Dialer Interfaces funktioniert... Ich such nochmal weiter...

Ja, eigentlich... Wir haben aber eine vermaschte VPN-Struktur, da alle Niederlassungen relativ selbstständig sind, und zudem einige Niederlassungen noch VPN-Verbindungen zu Dritten betreiben, die nicht über die Zentrale laufen müssen/sollen. Dadurch auch die gemischte VPN-Landschaft... Ist Easy-VPN denn ein Muss dafür?

Hi Wordo, um EasyVPN habe ich bisher immer einen Bogen gemacht, weil auch VPNs zu Nicht-Cisco Endpunkten aufgebaut werden (z.B. Astaro, Juniper, Nokia), auch von dieser Niederlassung aus. Vermutlich wird das also nicht ohne größere Änderungen möglich sein, ich werd mich aber mal in das Thema einlesen...

Hi, wir stehen vor der Herausforderung, eine Niederlassung mit denkbar ungünstigen Rahmenbedingungen zuverlässig an eine Zentrale (ASA 5505) anzubinden. Der Standort der Niederlassung erlaubt leider keinen brauchbaren ADSL-Anschluss, so dass bisher nur eine 1-2MBit ADSL-Leitung (mit fester IP über PPPoE) vorhanden war, mit einem Upload von 96-128 KBit... :( Dass darüber weder RDP-Sessions von VoIP annehmbar möglich sind, brauche ich nicht zu erwähnen. Folglich gibt es jetzt eine zweite Anbindung über Kabel, die auch ziemlich performant ist (32MBit, in der Praxis ca. 20-25 downstream), allerdings keine feste IP beinhaltet. Um eine grundsätzliche Erreichbarkeit des Standortes sicherzustellen, würde jetzt im Idealfall die Kabelstrecke hauptsächlich genutzt werden, und nur bei Ausfall ein Backup über die langsame Anbindung erfolgen. Lässt sich das mit dem 871 der Niederlassung und der ASA 5505 in der Zentrale realisieren? VPN-Verbindung müsste von der Niederlassung initialisiert werden oder über dyndns laufen. Gibt es noch andere Wege, beide Leitungen sinnvoll zu nutzen? Hatte auch schon an eine einfache Lastverteilung anhand des Zielnetzes (VPN über eine Strecke, Internet über andere) nachgedacht, aber performant sollte am besten beides sein, somit bleibt eigentlich nur der Aufbau mit Backup... Hat jemand so ein Konstrukt am laufen?

Hi Rolf, hilfreich bei der Fehlersuche ist es, im Hinterkopf zu haben, worum es sich bei discarded pakets eigentlich handelt - wir hatten auch mal bei einem Kunden eine große Zahl an discards (received). Gleichzeitig waren aber keinerlei signifikante FCS, CRC oder andere Fehler auf den Interfaces zu erkennen. Grundsätzlich sind Discards Pakete, die nicht an eine höhere Schicht weitergegeben werden konnten, Ursache meist Überlastung oder eine hohe Fehlerrate. Im Gegensatz zu reinen lost pakets waren discards aber bereits "auf der Leitung" brauchten aber zu lange zum Ziel (oder zur höheren Schicht), so dass sie -weil inzwischen nutzlos- verworfen wurden. In unserem Fall lag das Problem nicht in erster Linie am Netzwerk, sondern an falschen TTLs einer Anwendung, die regelmäßig dafür sorgten, dass Pakete verworfen wurden. Hier auch nochmal eine gute Erklärung zum Thema: Packet Loss and Discards Zur Fehlersuche in Deinem Fall würde ich auch erstmal alle anderen Fehler (CRCs usw.) eliminieren und (wenn dann noch vorhanden) die Clients und Applikationen an den betroffenen Ports untersuchen. Und die Speed/Duplex-Einstellungen an Switchports und Clients sorgen erfahrungsgemäß immer wieder für interessante Fehlerbilder, inbesondere seit Gigabit. Wenn Auto/Auto und 100FD/100FD nicht sauber laufen, liegts oftmals noch am Treiber der Netzwerkkarte. Ich hatte auch schon den Fall, dass eine (Broadcom) GBit-NIC unter Linux bei jeglicher Speed-Duplex Konfiguration mit Gigabit empfing, aber nur mit gefühlt 1 MBit sendete - ein anderer Treiber löste das Problem... Kannst dann ja mal berichten, ob nach Umstellung auf Auto/Auto alles schick war... :)