Troubleshooting „Nur bestimmte Branches down“: Routing+VPN Checkliste

In Multi-Branch-Netzwerken kommt es gelegentlich vor, dass nur bestimmte Niederlassungen keine Netzwerkverbindung haben, während andere Branches weiterhin problemlos kommunizieren. Solche selektiven Ausfälle deuten häufig auf Probleme im Routing, in VPN-Tunneln oder in der Kombination von beidem hin. Eine strukturierte Checkliste hilft Netzwerkingenieuren, die Ursachen systematisch einzugrenzen und Ausfallzeiten zu minimieren.

Symptome und erste Analyse

Bevor die tiefergehende Untersuchung beginnt, ist es wichtig, die Symptome genau zu erfassen:

• Nur bestimmte Branches sind nicht erreichbar, andere funktionieren normal.
• Ping zu lokalen Gateway-Adressen funktioniert, zu entfernten Sites jedoch nicht.
• VPN-Tunnel zu betroffenen Branches zeigen Down-Status oder Flaps.
• Routing-Tabellen auf Core- oder PE-Routern zeigen fehlende oder falsche Routen.

Routing-Check

Die erste Stufe der Analyse sollte sich auf die Routing-Tabellen konzentrieren:

• Überprüfen, ob die betroffenen Subnetze in den Routing-Tabellen von Core/PE/CE-Routern vorhanden sind:

show ip route <Branch-Subnet>
show bgp ipv4 unicast summary
show ospf neighbor

• Prüfen, ob spezifische Routen durch Summarization oder Redistribution verloren gehen.
• Next-Hop-Adressen kontrollieren, ob sie auf den korrekten Router zeigen.

Summarization und Route Leaks

Bei Multi-Branch-Designs werden oft Summary-Routen eingesetzt, um die Routing-Tabellen zu reduzieren. Fehlerhafte Summarization kann jedoch bestimmte Branches unsichtbar machen:

10.10.0.0/16 via 192.168.1.1
  beinhaltet 10.10.1.0/24, 10.10.2.0/24, ...

Fehlt ein Subnet in der Summary oder überschneidet sich mit anderen Routen, kann der Traffic nicht korrekt zugestellt werden.

VPN-Check

Viele Branches sind über VPNs angebunden, beispielsweise Site-to-Site IPSec oder VTI. Die folgenden Prüfungen sind relevant:

• Status der Tunnel auf Core/PE- und CE-Routern:

show crypto session
show crypto isakmp sa
show vpn-sessiondb detail

• Prüfen, ob Tunnel flappen oder Down-Status anzeigen.
• MTU-Probleme prüfen, die zu Fragmentierungsfehlern führen können.
• Firewall- oder ACL-Restriktionen auf Tunnelendpunkten kontrollieren.

Next-Hop und Routing über VPN

Selbst wenn der Tunnel Up ist, kann Routing fehlschlagen, wenn Next-Hops nicht korrekt propagiert werden. Beispiel:

ip route 10.10.2.0 255.255.255.0 192.168.2.1
! Next-Hop ist der Tunnelendpunkt CE

Redundanz- und Failover-Check

Falls Dual-Links oder redundante VPN-Tunnel bestehen, überprüfen Sie:

• HSRP/VRRP-Status auf den Gateways.
• Pfadpräferenzen bei ECMP oder BGP.
• Ob Failover korrekt funktioniert und keine asymmetrischen Routen entstehen.

ACLs und Firewall

Oft verhindern ACLs oder Firewalls die Erreichbarkeit bestimmter Branches, obwohl Routing korrekt ist:

• Auf den Core/PE/CE-Routern die ACLs prüfen:

show access-lists
show run | include access-group

• Firewall-Regeln kontrollieren, insbesondere wenn VPN-Tunnel auf externen Firewalls enden.
• Stateful Firewalls prüfen, ob Rückpakete erlaubt werden.

Systematische Troubleshooting-Checkliste

Für eine strukturierte Analyse empfiehlt sich folgende Reihenfolge:

• 1. Routing-Tabelle prüfen: Spezifische Routen, Next-Hop, Summarization.
• 2. VPN-Tunnelstatus kontrollieren: Up/Down, Flaps, MTU.
• 3. Redundanzmechanismen prüfen: HSRP/VRRP, ECMP-Pfade.
• 4. Firewall und ACLs auf allen relevanten Routern prüfen.
• 5. Traceroute und Ping vom Core/PE zu den Branch-Subnets.
• 6. Optional: Debug-Logs auf Routing- oder VPN-Prozessen aktivieren.

Praktische CLI-Befehle

show ip route
show bgp ipv4 unicast summary
show ospf neighbor
show crypto session
show crypto isakmp sa
show vpn-sessiondb detail
show access-lists
ping <Branch-IP>
traceroute <Branch-IP>
debug crypto isakmp
debug ip routing

Fazit für die Praxis

• Selektive Branch-Ausfälle sind oft auf Routing- oder VPN-Konfigurationen zurückzuführen.
• Eine strukturierte Checkliste hilft, Ursachen effizient zu identifizieren.
• Wichtige Fokusbereiche: Routing-Tables, Summarization, VPN-Tunnel, Next-Hop, ACLs und Firewall-Regeln.
• Durch systematisches Vorgehen lassen sich Ausfälle minimieren und die Verfügbarkeit der Branches wiederherstellen.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.