Eine systematische Troubleshooting-Checkliste verhindert „Ratearbeit“: Du prüfst Schicht für Schicht (Layer 1 bis 7), bestätigst Fakten mit Show-Befehlen und grenzt die Fehlerdomäne schnell ein. Auf Cisco Routern bedeutet das: zuerst physische/Interface-Basics, dann IP/ARP/Routing, danach Policies (ACL/NAT/VPN/QoS) und erst zuletzt Applikationsdetails. Diese Master-Checkliste ist als praxisorientierter Ablauf gedacht, den du in Tickets, Runbooks oder Prüfungen (CCNA/CCNP) direkt nutzen kannst.
Vorbereitung: Problem sauber eingrenzen (30 Sekunden)
Bevor du Kommandos ausführst, kläre die Mindestinfos: Welche Quelle, welches Ziel, welches Protokoll, seit wann, und ist es reproduzierbar? Danach startest du mit der OSI-Reihenfolge.
- Quelle/Ziel-IP, VLAN/Interface, Port/Protokoll
- Scope: ein Host, ein Subnetz, ein Standort, alle?
- Seit wann: Change, Wartung, Provider-Event?
- Symptom: „kein Ping“, „DNS geht nicht“, „nur HTTPS hängt“
Layer 1: Physik, Link, Medien
Layer-1-Probleme sind oft banal, aber häufig. Prüfe Link-Status, Speed/Duplex, CRC/Errors und ob das Interface administrativ down ist.
- Interface up/down, line protocol up/down
- Speed/Duplex (Auto vs. Fix), CRC/Collisions
- Kabel/Transceiver/Modem/ONT (bei WAN)
show ip interface brief
show interfaces gigabitEthernet0/1
show interfaces gigabitEthernet0/1 | include line protocol|duplex|speed|CRC|error|dropLayer 2: VLAN, ARP, L2-Adjacencies
Auf Routern zeigt sich Layer 2 meist über Subinterfaces/SVIs, ARP und Encapsulation (802.1Q). Wenn ARP nicht stimmt, wird Layer 3 nie funktionieren.
- VLAN/Encapsulation korrekt (Subinterface dot1Q)
- ARP-Entries vorhanden und plausibel
- Proxy ARP/Redirects als mögliche Nebenwirkungen
show arp
show ip arp
show running-config interface gigabitEthernet0/0.10
show interfaces gigabitEthernet0/0.10ARP-Schnellcheck
ping <next-hop-ip>
show arp | include <next-hop-ip>Layer 3: IP, Routing, Default Route
Layer 3 ist der häufigste Fehlerbereich: falsche IP/Mask, fehlende Routen, falsche Default Route oder asymmetrisches Routing. Prüfe Interface-IP, Routing-Tabelle und Next-Hop-Erreichbarkeit.
- IP-Adresse/Subnetmask korrekt
- Default Route vorhanden (Internet/WAN)
- Routen zu Zielnetzen, keine Overlaps
- Routing-Protokolle: Neighbors up, Routen installiert
show ip interface brief
show ip route
show ip route | include Gateway|0.0.0.0
show ip cef <destination-ip>Ping/Traceroute mit Source (für saubere Tests)
ping <destination-ip> source <source-interface-or-ip>
traceroute <destination-ip> source <source-interface-or-ip>Layer 4: TCP/UDP, Ports, Statefulness
Wenn IP-Routing ok ist, kann Layer 4 durch ACLs, Firewalls, NAT oder MTU/MSS-Probleme scheitern. Prüfe, ob Ports erreichbar sind und ob Rückverkehr plausibel ist.
- Port erreicht? (TCP-SYN/UDP)
- ACLs zustandslos: Rückverkehr/ephemeral ports beachten
- MTU/MSS: wenn „nur bestimmte Webseiten“ hängen
show ip access-lists
show ip interface <interface>
show interfaces <interface> | include MTU|drops|errorMTU/PMTUD Schnelltest (IPv4)
ping <destination-ip> df-bit size 1400
ping <destination-ip> df-bit size 1472Layer 5: Sessions, VPN, Authentication
Hier landen typische „Connectivity ist da, aber Zugriff nicht“-Fälle: VPN-Session steht nicht, AAA blockt, SSH geht nicht, oder Policies greifen auf Management-Ebene.
- SSH/VTY: access-class, AAA, timeouts
- VPN: IKE Phase 1/2, SAs, Counters
- Brute-Force-Block/Lockout-Schutz
show users
show ip ssh
show running-config | section line vty
show logging | include AAA|SSH|LOGINIPsec Schnellchecks
show crypto isakmp sa
show crypto ipsec saLayer 6: „Presentation“-Probleme in der Praxis (TLS, MTU, Encoding)
Im Router-Kontext ist Layer 6 selten „Encoding“, aber häufig TLS-/HTTPS-Symptome, die in Wahrheit MTU/MSS oder Proxy/Inspection-Policies sind. Wenn HTTPS hängt, prüfe MTU/MSS und Firewall-Policies.
- HTTPS/TLS hängt: oft MTU/MSS/PMTUD
- Proxy/SSL-Inspection (außerhalb Router) als Ursache möglich
- Fragmentierung/Drops auf WAN/VPNS
show interfaces <outside-or-tunnel> | include MTU|drops|error
show ip nat translationsLayer 7: Applikation (DNS, HTTP, DHCP, NTP)
Wenn Layer 3/4 ok sind, bleiben häufig Services: DNS falsch, DHCP-Optionen fehlen, NTP driftet, oder Applikations-ACLs blocken. Prüfe mit zielgerichteten Show-Befehlen und einfachen Tests.
- DNS: Resolver erreichbar, Antworten korrekt
- DHCP: Leases, Pools, Relay (
ip helper-address) - NTP/Syslog: Zeit korrekt für Logs/Forensik
- HTTP/Proxy: externe Abhängigkeiten
show ip dhcp binding
show ip dhcp pool
show running-config | include ip helper-address
show ntp status
show loggingPolicy-Check: ACL, NAT, QoS, CoPP (häufigste Router-Ursachen)
Viele Probleme sind „Policy-bedingt“: Ein Change an ACL/NAT/QoS/CoPP wirkt wie ein Netzfehler. Prüfe deshalb immer, ob Policies kürzlich geändert wurden und ob Counter matchen/droppen.
- ACL: Reihenfolge, Richtung, implicit deny, Hit-Counter
- NAT: inside/outside markiert, Exemption für VPN, Translations
- QoS: Policy am WAN-Egress, Drops in Klassen
- CoPP: Drops auf Control Plane bei Management/Routing
show ip access-lists
show ip nat translations
show ip nat statistics
show policy-map interface gigabitEthernet0/1
show policy-map control-plane„Golden Commands“: die wichtigsten Befehle als Kurzliste
Diese Befehle decken 80% der Router-Tickets ab, wenn du sie in der richtigen Reihenfolge nutzt.
show ip interface brief
show interfaces <int>
show arp
show ip route
show ip cef <dest>
ping <dest> source <src>
traceroute <dest> source <src>
show ip access-lists
show ip nat translations
show crypto isakmp sa
show crypto ipsec sa
show policy-map interface <wan>
show loggingDokumentation: Ergebnisse festhalten (für sauberes Handover)
Im Betrieb ist die Dokumentation Teil des Troubleshootings. Notiere: was war down, welche Counter waren auffällig, welche Änderung hat es gefixt. So werden Wiederholungsfehler seltener.
- Interface/Route/Policy-Zustand vor und nach dem Fix
- Reproduzierbarer Test (Ping/Traceroute/Porttest) mit Source
- Betroffene Subnetze und genaue Zeitpunkte (NTP)
Konfiguration speichern
Router# copy running-config startup-configKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.