Cisco Router Troubleshooting Master-Checkliste: Layer 1 bis Layer 7

Eine systematische Troubleshooting-Checkliste verhindert „Ratearbeit“: Du prüfst Schicht für Schicht (Layer 1 bis 7), bestätigst Fakten mit Show-Befehlen und grenzt die Fehlerdomäne schnell ein. Auf Cisco Routern bedeutet das: zuerst physische/Interface-Basics, dann IP/ARP/Routing, danach Policies (ACL/NAT/VPN/QoS) und erst zuletzt Applikationsdetails. Diese Master-Checkliste ist als praxisorientierter Ablauf gedacht, den du in Tickets, Runbooks oder Prüfungen (CCNA/CCNP) direkt nutzen kannst.

Vorbereitung: Problem sauber eingrenzen (30 Sekunden)

Bevor du Kommandos ausführst, kläre die Mindestinfos: Welche Quelle, welches Ziel, welches Protokoll, seit wann, und ist es reproduzierbar? Danach startest du mit der OSI-Reihenfolge.

• Quelle/Ziel-IP, VLAN/Interface, Port/Protokoll
• Scope: ein Host, ein Subnetz, ein Standort, alle?
• Seit wann: Change, Wartung, Provider-Event?
• Symptom: „kein Ping“, „DNS geht nicht“, „nur HTTPS hängt“

Layer 1: Physik, Link, Medien

Layer-1-Probleme sind oft banal, aber häufig. Prüfe Link-Status, Speed/Duplex, CRC/Errors und ob das Interface administrativ down ist.

• Interface up/down, line protocol up/down
• Speed/Duplex (Auto vs. Fix), CRC/Collisions
• Kabel/Transceiver/Modem/ONT (bei WAN)

show ip interface brief
show interfaces gigabitEthernet0/1
show interfaces gigabitEthernet0/1 | include line protocol|duplex|speed|CRC|error|drop

Layer 2: VLAN, ARP, L2-Adjacencies

Auf Routern zeigt sich Layer 2 meist über Subinterfaces/SVIs, ARP und Encapsulation (802.1Q). Wenn ARP nicht stimmt, wird Layer 3 nie funktionieren.

• VLAN/Encapsulation korrekt (Subinterface dot1Q)
• ARP-Entries vorhanden und plausibel
• Proxy ARP/Redirects als mögliche Nebenwirkungen

show arp
show ip arp
show running-config interface gigabitEthernet0/0.10
show interfaces gigabitEthernet0/0.10

ARP-Schnellcheck

ping <next-hop-ip>
show arp | include <next-hop-ip>

Layer 3: IP, Routing, Default Route

Layer 3 ist der häufigste Fehlerbereich: falsche IP/Mask, fehlende Routen, falsche Default Route oder asymmetrisches Routing. Prüfe Interface-IP, Routing-Tabelle und Next-Hop-Erreichbarkeit.

• IP-Adresse/Subnetmask korrekt
• Default Route vorhanden (Internet/WAN)
• Routen zu Zielnetzen, keine Overlaps
• Routing-Protokolle: Neighbors up, Routen installiert

show ip interface brief
show ip route
show ip route | include Gateway|0.0.0.0
show ip cef <destination-ip>

Ping/Traceroute mit Source (für saubere Tests)

ping <destination-ip> source <source-interface-or-ip>
traceroute <destination-ip> source <source-interface-or-ip>

Layer 4: TCP/UDP, Ports, Statefulness

Wenn IP-Routing ok ist, kann Layer 4 durch ACLs, Firewalls, NAT oder MTU/MSS-Probleme scheitern. Prüfe, ob Ports erreichbar sind und ob Rückverkehr plausibel ist.

• Port erreicht? (TCP-SYN/UDP)
• ACLs zustandslos: Rückverkehr/ephemeral ports beachten
• MTU/MSS: wenn „nur bestimmte Webseiten“ hängen

show ip access-lists
show ip interface <interface>
show interfaces <interface> | include MTU|drops|error

MTU/PMTUD Schnelltest (IPv4)

ping <destination-ip> df-bit size 1400
ping <destination-ip> df-bit size 1472

Layer 5: Sessions, VPN, Authentication

Hier landen typische „Connectivity ist da, aber Zugriff nicht“-Fälle: VPN-Session steht nicht, AAA blockt, SSH geht nicht, oder Policies greifen auf Management-Ebene.

• SSH/VTY: access-class, AAA, timeouts
• VPN: IKE Phase 1/2, SAs, Counters
• Brute-Force-Block/Lockout-Schutz

show users
show ip ssh
show running-config | section line vty
show logging | include AAA|SSH|LOGIN

IPsec Schnellchecks

show crypto isakmp sa
show crypto ipsec sa

Layer 6: „Presentation“-Probleme in der Praxis (TLS, MTU, Encoding)

Im Router-Kontext ist Layer 6 selten „Encoding“, aber häufig TLS-/HTTPS-Symptome, die in Wahrheit MTU/MSS oder Proxy/Inspection-Policies sind. Wenn HTTPS hängt, prüfe MTU/MSS und Firewall-Policies.

• HTTPS/TLS hängt: oft MTU/MSS/PMTUD
• Proxy/SSL-Inspection (außerhalb Router) als Ursache möglich
• Fragmentierung/Drops auf WAN/VPNS

show interfaces <outside-or-tunnel> | include MTU|drops|error
show ip nat translations

Layer 7: Applikation (DNS, HTTP, DHCP, NTP)

Wenn Layer 3/4 ok sind, bleiben häufig Services: DNS falsch, DHCP-Optionen fehlen, NTP driftet, oder Applikations-ACLs blocken. Prüfe mit zielgerichteten Show-Befehlen und einfachen Tests.

• DNS: Resolver erreichbar, Antworten korrekt
• DHCP: Leases, Pools, Relay (ip helper-address)
• NTP/Syslog: Zeit korrekt für Logs/Forensik
• HTTP/Proxy: externe Abhängigkeiten

show ip dhcp binding
show ip dhcp pool
show running-config | include ip helper-address
show ntp status
show logging

Policy-Check: ACL, NAT, QoS, CoPP (häufigste Router-Ursachen)

Viele Probleme sind „Policy-bedingt“: Ein Change an ACL/NAT/QoS/CoPP wirkt wie ein Netzfehler. Prüfe deshalb immer, ob Policies kürzlich geändert wurden und ob Counter matchen/droppen.

• ACL: Reihenfolge, Richtung, implicit deny, Hit-Counter
• NAT: inside/outside markiert, Exemption für VPN, Translations
• QoS: Policy am WAN-Egress, Drops in Klassen
• CoPP: Drops auf Control Plane bei Management/Routing

show ip access-lists
show ip nat translations
show ip nat statistics
show policy-map interface gigabitEthernet0/1
show policy-map control-plane

„Golden Commands“: die wichtigsten Befehle als Kurzliste

Diese Befehle decken 80% der Router-Tickets ab, wenn du sie in der richtigen Reihenfolge nutzt.

show ip interface brief
show interfaces <int>
show arp
show ip route
show ip cef <dest>
ping <dest> source <src>
traceroute <dest> source <src>
show ip access-lists
show ip nat translations
show crypto isakmp sa
show crypto ipsec sa
show policy-map interface <wan>
show logging

Dokumentation: Ergebnisse festhalten (für sauberes Handover)

Im Betrieb ist die Dokumentation Teil des Troubleshootings. Notiere: was war down, welche Counter waren auffällig, welche Änderung hat es gefixt. So werden Wiederholungsfehler seltener.

• Interface/Route/Policy-Zustand vor und nach dem Fix
• Reproduzierbarer Test (Ping/Traceroute/Porttest) mit Source
• Betroffene Subnetze und genaue Zeitpunkte (NTP)

Konfiguration speichern

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.