March 5, 2026

BGP Troubleshooting Runbook: Idle/Active/Established – aber keine Routes

BGP-Sessions können zwar den Status „Idle“, „Active“ oder sogar „Established“ anzeigen, trotzdem werden manchmal keine Routen empfangen. Dieses Szenario ist in der Praxis häufig und kann durch diverse Faktoren verursacht werden. Ein strukturiertes Troubleshooting-Runbook hilft dabei, die Ursachen systematisch zu identifizieren und gezielt zu beheben.

Verstehen der BGP-Session States

Bevor Fehler analysiert werden, ist es wichtig, die Bedeutung der BGP-Session States zu kennen:

  • Idle: BGP startet, wartet aber noch auf die Initialisierung der TCP-Verbindung.
  • Connect/Active: TCP-Verbindung wird aktiv aufgebaut, Peer antwortet noch nicht.
  • Established: BGP-Nachbarschaft ist aufgebaut, Keepalives werden ausgetauscht, Routen sollten übertragen werden.

Wenn die Session „Established“ ist, aber keine Routen empfangen werden, liegt das Problem in der Routenverarbeitung, Filterung oder Peer-Konfiguration.

Checkliste Schritt 1: TCP-Connectivity prüfen

BGP läuft über TCP (Port 179). Fehlerhafte TCP-Verbindungen führen zu Idle/Active-Status oder verhindern den Empfang von Updates.

  • Ping zwischen den Peers testen
  • Traceroute auf die Peer-IP durchführen
  • Überprüfen, ob Firewalls oder ACLs den TCP-Port 179 blockieren
ping 
traceroute 
show access-lists

Checkliste Schritt 2: BGP-Konfiguration validieren

Die korrekte Konfiguration von AS-Nummern, Peer-IP und Optional Parameters ist entscheidend.

  • AS-Nummern auf beiden Seiten müssen korrekt sein (eBGP vs. iBGP)
  • Peer-IP muss auf der richtigen Schnittstelle konfiguriert sein
  • Optional: MD5-Authentifizierung oder TTL-Security prüfen
show running-config | section bgp
show bgp neighbors

Checkliste Schritt 3: Filter und Policies analysieren

Oft verhindern Prefix-Listen, Route-Maps oder BGP-Policy, dass Routen angenommen werden.

  • Überprüfen der inbound/outbound-Filter
  • Route-Maps auf permit/deny Bedingungen prüfen
  • Communities prüfen, die Filter auslösen können
show ip bgp neighbors  received-routes
show route-map
show ip prefix-list

Checkliste Schritt 4: Route Limits und Max-Prefix

Ein Peer kann Routen ablehnen, wenn Max-Prefix-Werte erreicht sind.

  • Max-Prefix konfigurierte Werte prüfen
  • Flaps und Dampening prüfen, die Routen suppressen
  • Alarme im NOC-Dashboard für überschrittene Limits
show ip bgp neighbors  advertised-routes
show ip bgp neighbors  received-routes

Checkliste Schritt 5: AS-Path und Next-Hop Validierung

Falsche AS-Path Präferenzen oder nicht erreichbare Next-Hops verhindern die Installation der Routen.

  • Next-Hop auf dem lokalen Router erreichbar?
  • AS-Path korrekt für eBGP/iBGP?
  • Update-Reflektoren prüfen, wenn iBGP genutzt wird
show ip bgp
ping 
show ip bgp neighbors  routes

Checkliste Schritt 6: Debug und Logging

Debug-Ausgaben helfen, die Ursache direkt zu erkennen, sollten aber in Production vorsichtig eingesetzt werden.

  • BGP-Update-Logs auf Session starten
  • Eventuell temporäres Debug für eingehende Updates
  • Syslog prüfen für Fehlercodes
debug ip bgp updates
show logging | include BGP

Checkliste Schritt 7: Temporäre Maßnahmen

Wenn Ursache unklar, können temporäre Workarounds helfen, Service zu sichern:

  • Session reset, um Filter erneut anzuwenden
  • Temporary removal von restriktiven Route-Maps/Prefix-Listen
  • Redundanten Peer aktivieren, falls vorhanden
clear ip bgp 
no ip prefix-list  deny

Fazit Operational Runbook

Das strukturierte Runbook folgt einer logischen Abfolge: Connectivity → Konfiguration → Policy → Limits → AS-Path/Next-Hop → Debug → temporäre Maßnahmen. So wird sichergestellt, dass BGP-Sessions zwar etabliert sind, Routen aber dennoch zuverlässig ausgetauscht und installiert werden.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Hardening für Dual-ISP-Edge: Failover-Risiken in Policies verhindern

Hardening für VPN IPsec: Crypto Baseline, DPD, Rekey und Stabilität

Hardening DMVPN: Control-Plane-Security, NHRP Hygiene und Segmentierung

Hardening für Remote-Access-VPN: User-Segmentierung, Split Tunnel und Logging

Hardening für Multi-Tenant/Partner Links: VRF & sichere Policy Boundaries

Hardening für Remote Branches: OOB-Herausforderungen und operative Guardrails

Case Study: Management Exposure am Edge-Router schließen (Before/After Evidence)

Case Study: Audit findet Route-Leak-Risiko am Cisco-Router (strukturierte Remediation)

Case Study: SNMPv3 + Syslog-SIEM-Migration für Auditability

Cisco Router Security Hardening Service: Scope, Deliverables und Enterprise-Timeline

Exposure Management: „Open Management Ports“ aus dem Internet auditieren

Cisco-Router-Forensik Basics: Evidenzen, die bei Incidents Pflicht sind