Ein guter Cisco Troubleshooting Guide ist im Alltag oft wertvoller als jede theoretische Zertifizierungsfolie. In produktiven Netzwerken zählt nicht, ob ein Thema „eigentlich klar“ ist, sondern ob Sie in wenigen Minuten die Ursache finden und eine schnelle, saubere Lösung umsetzen können. Die meisten Cisco-Störungen folgen dabei wiederkehrenden Mustern: Ein Port ist down oder in errdisable, ein VLAN ist nicht über den Trunk erlaubt, ein Gateway-Failover greift nicht, DHCP wird durch Security-Features blockiert oder ein Routing-Nachbar kommt wegen MTU/Auth nicht hoch. Wer diese Klassiker kennt, spart Zeit, reduziert Ausfallzeiten und arbeitet ruhiger – besonders in stressigen Situationen. Dieser Leitfaden zeigt die Top 25 Fehler und schnelle Lösungen, die in Cisco Switch- und Router-Umgebungen am häufigsten auftreten. Zu jedem Problem erhalten Sie typische Symptome, die wichtigsten Prüfkommandos und eine praxistaugliche Fix-Strategie. Ziel ist nicht, jedes Spezialfeature auszureizen, sondern eine robuste Routine zu entwickeln: Erst Zustand prüfen, dann Pfad prüfen, dann Policies und Security prüfen. Viele Punkte gelten für Cisco IOS/IOS XE (und mit Abweichungen auch für NX-OS). Für plattformgenaue Syntax lohnt sich bei Bedarf ein Blick in die Cisco Command Reference, damit Sie die exakten Parameter Ihrer Version verwenden.
Grundregel im Troubleshooting: Struktur statt Aktionismus
- Layerweise denken: Physisch (Link) → VLAN/Trunk → IP/Routing → Security/Policy → Anwendung.
- Erst beobachten, dann ändern: Vor jeder Änderung den Status sichern (z. B. relevante
show-Outputs). - Ein Change pro Schritt: Sonst wissen Sie nicht, was wirklich geholfen hat.
- Logs und Zeit:
show loggingund NTP-Zeit helfen, Ereignisse korrekt zuzuordnen.
Top 25 Fehler und schnelle Lösungen
- Port ist down (kein Link)
Typisch: Gerät offline, kein Ping im gleichen VLAN, LED aus.
Checks:show interfaces status,show interfaces Gi1/0/x,show logging
Schnelllösung: Kabel/SFP tauschen, richtige Portnummer prüfen,no shutdownsicherstellen, Speed/Duplex ggf. auf Auto oder passend setzen. - Port ist administrativ down
Typisch: Status „administratively down“.
Checks:show run interface Gi1/0/x,show interfaces Gi1/0/x
Schnelllösung:interface Gi1/0/x→no shutdown; danach Port-Description und VLAN-Zuordnung prüfen. - Errdisable durch BPDU Guard
Typisch: Port schaltet ab, Logs zeigen BPDU Guard, Endgerät/kleiner Switch wurde angeschlossen.
Checks:show interface status err-disabled,show logging,show spanning-tree interface Gi1/0/x detail
Schnelllösung: Rogue Switch entfernen; Port prüfen; anschließendshutdown/no shutdown. BPDU Guard nur auf echten Access-Ports nutzen. - Errdisable durch Port-Security (MAC Limit/Sticky MAC)
Typisch: Port down, Security Violation, neue MACs oder Docking-Station.
Checks:show port-security interface Gi1/0/x,show logging
Schnelllösung: MAC-Limit anpassen, Sticky MAC bereinigen (je nach Policy), Port resetten. Ursachen klären: Switch hinter Endgerät? IP-Telefon + PC? - Falsches VLAN am Access-Port
Typisch: Client bekommt falsche IP oder keine; Gateway nicht erreichbar.
Checks:show vlan brief,show run interface Gi1/0/x
Schnelllösung:switchport mode accessundswitchport access vlan Xkorrekt setzen; PortFast/BPDU Guard für Endgeräte aktiv halten. - Trunk ist kein Trunk (DTP/Mode-Mismatch)
Typisch: VLANs kommen nicht über Uplink; nur Native VLAN funktioniert.
Checks:show interfaces trunk,show interfaces Gi1/0/x switchport
Schnelllösung: Trunk explizit konfigurieren:switchport mode trunkund ggf.switchport nonegotiate; auf beiden Seiten identisch. - Allowed VLANs auf dem Trunk falsch
Typisch: Einzelne VLANs „fehlen“; SVI bleibt down; Clients in VLAN X ohne Connectivity.
Checks:show interfaces trunk,show vlan brief
Schnelllösung:switchport trunk allowed vlankorrigieren; konsistente VLAN-Liste auf beiden Seiten; Änderungen dokumentieren. - Native VLAN Mismatch
Typisch: STP- oder CDP-Fehlermeldungen, unerwartete Drops, Security-Risiko.
Checks:show interfaces trunk,show logging
Schnelllösung: Native VLAN auf beiden Seiten identisch setzen; idealerweise Native VLAN als „Blackhole“-VLAN nutzen und nicht produktiv verwenden. - SVI ist down/down oder down/up
Typisch: Inter-VLAN Routing funktioniert nicht; Gateway-IP nicht pingbar.
Checks:show ip interface brief,show vlan brief,show interfaces trunk
Schnelllösung: VLAN existiert? VLAN über Trunks erlaubt? Gibt es mindestens einen aktiven Port im VLAN? SVIno shutdown? - ip routing fehlt auf dem L3-Switch
Typisch: SVIs existieren, aber VLANs routen nicht miteinander.
Checks:show running-config | include ip routing,show ip route
Schnelllösung:configure terminal→ip routing; danach Routing-Tabelle und ACLs prüfen. - Default Route fehlt oder zeigt auf falschen Next-Hop
Typisch: Inter-VLAN geht, aber Internet/andere Sites nicht.
Checks:show ip route,traceroute
Schnelllösung: Default Route korrekt setzen (ip route 0.0.0.0 0.0.0.0 X.X.X.X) oder dynamisches Routing prüfen. - OSPF Nachbarschaft kommt nicht hoch
Typisch: Neighbor stuck in INIT/EXSTART/EXCHANGE, keine Routen.
Checks:show ip ospf neighbor,show ip ospf interface,show logging
Schnelllösung: Area-ID, Auth, Timer, MTU prüfen; bei EXSTART/EXCHANGE oft MTU-Mismatch. Passive-Interface und Netzmaske prüfen. - EIGRP Nachbarschaft fehlt
Typisch: Keine Neighbors, keine EIGRP-Routen.
Checks:show ip eigrp neighbors,show ip protocols
Schnelllösung: AS-Nummer, K-Values, Auth, Interface-Teilnahme (network statements) prüfen; ACLs und passive-interface beachten. - BGP Session bleibt idle/active
Typisch: Peering kommt nicht hoch; Routen fehlen.
Checks:show ip bgp summary,show ip bgp neighbors,ping/traceroutezur Peer-IP
Schnelllösung: TCP/179 erreichbar? Source-Interface/Update-Source korrekt? AS-Nummern stimmen? Route zum Peer vorhanden? ACL/Firewall blockt? - HSRP/VRRP Failover funktioniert nicht
Typisch: Gateway-Ausfall führt zu Client-Ausfall; Rollen wechseln nicht wie erwartet.
Checks:show standby briefodershow vrrp brief,show ip route
Schnelllösung: Prioritäten/Preempt prüfen; Tracking einrichten (Uplink/Route), damit „Upstream weg“ einen Rollenwechsel auslöst. - GLBP verteilt nicht oder wirkt instabil
Typisch: Nur ein Forwarder aktiv; ARP/MAC-Zuordnung seltsam; unerwartete Trunk-Last.
Checks:show glbp brief,show glbp, Trunk/STP-Status
Schnelllösung: Load-Balancing-Methode prüfen; Weighting/Tracking sauber setzen; STP/Uplink-Design auf Umwege (Hairpinning) prüfen. - DHCP funktioniert nicht (Client bekommt keine IP)
Typisch: APIPA/169.254, oder keine Adresse, obwohl Link up.
Checks:show ip dhcp snooping,show ip dhcp snooping binding,show run interface VlanX(Relay),show logging
Schnelllösung: DHCP-Relay (ip helper-address) korrekt? DHCP Snooping VLAN/Trusted Ports korrekt? Rogue DHCP blockiert oder legitimer Server untrusted? - DHCP Snooping blockt legitimen Traffic
Typisch: DHCP-Angebote kommen nicht an, obwohl Server erreichbar.
Checks:show ip dhcp snooping,show ip dhcp snooping statistics
Schnelllösung: Uplink/Port zum DHCP-Server als trusted setzen; VLANs für Snooping aktivieren; Rate-Limits prüfen. - Dynamic ARP Inspection blockt Clients (DAI)
Typisch: Clients haben IP, aber ARP wird gedroppt; sporadische Verbindungsabbrüche.
Checks:show ip arp inspection statistics,show ip dhcp snooping binding
Schnelllösung: DAI benötigt Snooping-Bindings; trusted Ports korrekt setzen; in statischen Szenarien ARP ACL/Bindings ergänzen. - ACL blockt unerwartet Traffic
Typisch: Ping/HTTPS geht nicht, aber „irgendwas“ schon; Zähler steigen auf deny-Regeln.
Checks:show ip access-lists,show ip interface(ACL in/out),show running-config | section access-list
Schnelllösung: Reihenfolge prüfen; explizite Allows für DNS/NTP/ICMP (nach Bedarf) ergänzen; Binding-Richtung (in/out) korrekt setzen. - NAT greift nicht (kein Internet trotz Routing)
Typisch: Interne Netze routen, aber keine Übersetzung; nur ein Segment betroffen.
Checks:show ip nat translations,show ip nat statistics,show run | include ip nat
Schnelllösung: Inside/Outside-Interfaces korrekt? ACL/Route-Map für NAT passt? Default Route vorhanden? Overlaps und No-NAT-Regeln prüfen. - MTU Black Hole (große Pakete gehen nicht durch)
Typisch: Webseiten laden teilweise, VPN/Downloads brechen ab, Ping klein ok, groß nicht.
Checks:show interfaces(MTU), Ping mit DF-Bit (z. B.ping X size 1472 df-bit), ACL/Firewall ICMP
Schnelllösung: MTU konsistent machen oder MSS-Clamping einsetzen; ICMP „Fragmentation Needed“ (IPv4) bzw. „Packet Too Big“ (IPv6) nicht blocken. Hintergrund: RFC 1191. - DNS-Probleme wirken wie Netzwerkproblem
Typisch: Ping per IP geht, aber Namen nicht; einzelne Anwendungen „tot“.
Checks: Client DNS-Server erreichbar? ACL erlaubt UDP/TCP 53?traceroutezum DNS-Server
Schnelllösung: DNS als Betriebsschnittstelle explizit erlauben (ACLs), DHCP Optionen prüfen, ggf. redundante DNS-Server einsetzen. - NTP nicht synchron (Logs unbrauchbar)
Typisch: Zeit driftet, Zertifikate/AAA machen Probleme, Logs schwer korrelierbar.
Checks:show ntp status,show ntp associations,show clock
Schnelllösung: NTP-Server erreichbar? ACLs erlauben UDP/123? Richtige Source-Interface/VRF? NTP-Authentifizierung (falls genutzt) korrekt? - Syslog fehlt oder zeigt nichts
Typisch: Störung passiert, aber keine zentralen Logs; nur lokaler Buffer.
Checks:show logging,show run | include logging
Schnelllösung: Syslog-Server konfigurieren, passende Severity setzen, Source-Interface definieren; Routing/ACLs zu Syslog-Server prüfen. - Hohe CPU/Control-Plane Überlast
Typisch: Gerät reagiert langsam, Routing instabil, CLI hängt.
Checks:show processes cpu sorted,show processes memory sorted,show logging
Schnelllösung: Ursache identifizieren (Broadcast-Sturm, SNMP Polling, STP-Flaps, Routing Instabilität); Traffic/Storm-Control prüfen; fehlerhafte Ports isolieren. - Loop/Broadcast-Sturm im Layer 2
Typisch: Netzwerk „steht“, MAC-Flapping, hohe CPU, viele STP Topology Changes.
Checks:show spanning-tree,show mac address-table,show logging, Interface Counters
Schnelllösung: Verdächtige Ports isolieren (shutdown), Root-Design prüfen, BPDU Guard/Root Guard/Storm-Control konsequent einsetzen. STP-Grundlagen: Cisco STP.
Standard-Checkliste für schnelle Eingrenzung
- Basis:
show version,show clock,show logging - Interfaces:
show interfaces status,show interfaces Gi… - Switching:
show vlan brief,show interfaces trunk,show spanning-tree,show mac address-table - Routing:
show ip interface brief,show ip route,show ip protocols - Security/Policy:
show ip access-lists,show port-security interface,show ip dhcp snooping binding
Outbound-Links zur Vertiefung
Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte
Cisco Networking • CCNA • Packet Tracer • Network Configuration
Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.
Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.
Leistungsumfang:
-
Netzwerkdesign & Topologie-Planung
-
Router- & Switch-Konfiguration (Cisco IOS)
-
VLAN, Inter-VLAN Routing
-
OSPF, RIP, EIGRP (Grundlagen & Implementierung)
-
NAT, ACL, DHCP, DNS-Konfiguration
-
Troubleshooting & Netzwerkoptimierung
-
Packet Tracer Projektentwicklung & Dokumentation
-
CCNA Lern- & Praxisunterstützung
Lieferumfang:
-
Konfigurationsdateien
-
Packet-Tracer-Dateien (.pkt)
-
Netzwerkdokumentation
-
Schritt-für-Schritt-Erklärungen (auf Wunsch)
Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert
CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.
