Network Troubleshooting Methodology - The Systematic Approach

Også tilgjengelig på:

Nettverksfeilsøkingsmetode: Den systematiske metoden

Hvorfor metodologi er viktig

Problemet:

Løsningen:

Kostnaden for feilsøking:

Innledning: Den vitenskapelige metoden som brukes på nettverk

Nettverksfeilsøking er i utgangspunktet en øvelse i den vitenskapelige metoden:

Legg merke til
Form en hypotese
Test hypotesen
Analyser resultater
Implementer en fix
Bekreft

Denne artikkelen gir en strukturert ramme for nettverksfeilsøking som hindrer vanlige fallgruber som:

Bekreftelse bias (kun ser etter bevis som støtter din første gjetting)
Tilfeldige endringer uten diagnose (be og be" tilnærming)
Faste symptomer i stedet for rotårsaker
Cirkulær feilsøking uten å dokumentere det som har blitt prøvd

De fem viktige spørsmålene

Før du dykker i teknisk diagnostikk, svare på disse fem kritiske spørsmålene for å begrense etterforskningsområdet ditt:

Spørsmål 1: Hva endret seg nylig?

Sjekk endringshåndteringslogger
Gjennomgang nylig forplikter seg i konfigurasjonsstyringssystemer
Spør: "Svarer det i går?"

↓

Spørsmål 2: Hvem påvirkes?

En enhet: Sannsynligvis et lokalt problem (NIC, kabel, konfigurasjon)
Ett undernett: Gateway, DHCP eller bytte problem
Alle: Hovedinfrastruktur, ISP eller utbredt problem
Spesifikk app: Programserver, brannmurregel eller DNS

↓

Spørsmål 3: Er det konstant eller innbydende?

Konstant: Hard feil (kabel kutt, feilkonfigurasjon, ned service)
Tidsbasert: Overgrep i arbeidstid, planlagte prosesser
Intermittent/tilfeldig: Duplex feil, sviktende maskinvare, intermitterende link

↓

Spørsmål 4: Kan du reprodusere det?

Ja: Mye lettere å diagnostisere (kan test hypoteser)
Nei: Sett opp overvåkning/logging og vent på gjentaking

↓

Spørsmål 5: Hva ser den andre siden?

Kundeperspektiv vs serverperspektiv
Pakkeopptak ved kilde vs. destinasjon
Asymmetrisk rute? Forskjellige veier for å sende vs. motta?

OSI-modellbasert diagnostisk tilnærming

OSI-modellen gir et strukturert rammeverk for feilsøking. Arbeid fra lag 1 (fysisk) oppover, eller fra lag 7 (Applicasjon) nedover, avhengig av symptomer.

Bottom-up tilnærming (lag 1 → lag 7)

Når du skal bruke:

Lag 1: Fysisk

↓

Lag 2: Datalenke

↓

Lag 3: Nettverk

↓

Lag 4: Transport

↓

Lag 5-7: Sesjon/Presentasjon/Applicasjon

Topp ned tilnærming (lag 7 → lag 1)

Når du skal bruke:

Eksempel:

Start på Layer 7 (Er SharePoint-tjenesten i drift? DNS løsning for å rette IP?) og jobbe ned kun om nødvendig.

Avgjørelsestreet: Er det lag 1, 2 eller 3?

Bruk dette raske diagnostiske treet til å identifisere hvilket lag som mangler:

Kan du ping localhost (127.0.1)?

↓ NO

Problem: Operativsystem / programvareproblem

↓ YES

Kan du sende din egen IP-adresse?

↓ NO

Problem: Layer 1/2 - Lokalt nettverksgrensesnitt

↓ YES

Kan du ping standard gateway?

↓ NO

Problem: Layer 1/2 - Lokalt nettverk

↓ YES

Kan du ping ekstern vert via IP-adresse?

↓ NO

Problem: Lag 3 - Ruting

↓ YES

Kan du løse DNS (nlookup hosting)?

↓ NO

Problem: DNS Configuration

↓ YES

Kan du nå applikasjon port (telnet host port)?

↓ NO

Problem: Firewall / Portblokkering

↓ YES

Network is OK - Søknadssøknadsproblem

Isolasjonsteknikker

Når du har en hypotese om roten årsak, bruk disse isolasjonsteknikkene til å bekrefte eller avvise det:

1. Erstatt komponenter Systematisk

Tips:

Bytt patchkabel med kjent god kabel
Test på forskjellig bryterport
Prøv forskjellige NIC (eller USB-nettverksadapter)
Test fra forskjellig klientenhet
Flytt til forskjellige VLAN/subnet

2. Pakke fangster på flere punkter

Fang trafikken ved kilden, mellompunktene og bestemmelsesstedet for å identifisere hvor pakkene slippes eller endres:

# Capture on client
tcpdump -i eth0 -w client.pcap host server.example.com

# Capture on server
tcpdump -i eth0 -w server.pcap host client.example.com

# Compare:
# - Do packets leave client? (check client.pcap)
# - Do packets arrive at server? (check server.pcap)
# - If yes/no: problem is in the path between
# - If yes/yes but server doesn't respond: server-side issue

3. Loopback Testing

Eliminer eksterne variabler ved å teste tilkobling i en enkelt enhet:

# Test TCP stack without network
ping 127.0.0.1

# Test application listening locally
telnet localhost 80

# Test loopback on network interface (if supported)
# Some NICs support physical loopback for Layer 1 testing

4. Kjent-god baseline sammenligninger

Sammenlign konfigurasjon og oppførsel mot et arbeidssystem:

# Compare interface settings
diff <(ssh working-switch "show run int gi1/0/1") \
     <(ssh broken-switch "show run int gi1/0/1")

# Compare routing tables
diff <(ssh router1 "show ip route") \
     <(ssh router2 "show ip route")

Dokumentasjon under feilsøking

Korrekt dokumentasjon hindrer sirkulær feilsøking der du prøver det samme flere ganger uten å innse det.

Feilsøkingsmal

Issue ID: TICKET-12345
Date/Time: 2026-02-02 14:30 UTC
Reported By: Jane Smith (jane.smith@company.com)
Affected Users: ~50 users in Building A, 3rd floor
Symptom: Cannot access file server \\fileserver01

Initial Observations:
- Issue started around 14:00 UTC
- Only affects Building A, 3rd floor
- Other buildings can access fileserver01
- Ping to fileserver01 (10.1.50.10) times out from affected users
- Ping to default gateway (10.1.30.1) succeeds

Tests Performed:
1. [14:35] Checked switch port status: gi1/0/15 is UP/UP
2. [14:38] Checked VLAN assignment: Port is in VLAN 30 (correct)
3. [14:42] Checked interface errors: 1,234 CRC errors on gi1/0/15
4. [14:45] Replaced patch cable - still seeing CRC errors
5. [14:50] Moved uplink to different port (gi1/0/16) - errors persist
6. [14:55] Checked fiber cleanliness - dirty connector found

Root Cause:
Dirty fiber connector on uplink between Building A floor switch
and distribution switch causing CRC errors and packet loss

Resolution:
Cleaned fiber connector with proper cleaning kit. CRC errors
dropped to zero. File server access restored.

Verification:
Users confirmed file server accessible. Monitored for 15 minutes
with no errors.

Time to Resolution: 25 minutes

Hvorfor dokumentering:

Real-World Case Studies

Case Study 1: - Nettverket er sakte - (aktuelt: TCP Vindu utmattelse)

Symptom

Databaseprogramresponstider degradert fra <100ms til 5+ sekunder. Applikasjon team skyldt "network latency."

Innledende forbruk (Wrong)

Nettverksbelastning
WAN link mettet
Firewall flaskehals

Diagnostisk prosess

Ping test:
Bandbreddetest (iperf):
Pakkefangst:
Serverkontroll:

Root Cause

Databaseserver OS-buffere var for små for høybåndsbredde × forsinkelsesprodukt. TCP vindu vil fylle, tvinge avsender til å vente.

Oppløsning

# Increased TCP receive buffers on Linux database server
sysctl -w net.ipv4.tcp_rmem="4096 87380 16777216"
sysctl -w net.core.rmem_max=16777216

Leksjon Lært

Ikke anta:

Case Studie 2: Intermittent Connectivity (Aktuelt: Duplex Mismatch)

Symptom

Serverforbindelsen vil slippe tilfeldig, spesielt under belastning. Noen ganger fungerte bra, noen ganger helt uresponsivt.

Initial Assumptions (Wrong)

Mislykkes NIC
Dårlig kabel
Bytt maskinvareproblem

Diagnostic Process

Grensesnittkontroll:
Feilteller:
Sene kollisjoner:

Root Cause

Autoforhandling mislyktes. Server forhandlet full duplex, bryter falt tilbake til halvduplex. Kollisjoner skjedde kun under belastning når begge sider prøvde å overføre samtidig.

Resolution

! Cisco switch - force full duplex
interface GigabitEthernet1/0/10
 speed 1000
 duplex full

Lesson Learned

Sjekk begge endene:

Saksstudie 3: "Kan ikke nå visse nettsteder" (Aktuelt: MTU/PMTUD Black Hole)

Symptom

Brukere kan bla gjennom noen nettsteder (Google, Yahoo) men ikke andre (banknettsted, selskapsportal). Små HTTP-forespørsler fungerte, store sider avslappet.

Initial Assumptions (Wrong)

DNS-problem
Firewall blokkerer bestemte nettsteder
ISP routing problem

Diagnostic Process

DNS-oppløsning:
Ping test:
Liten HTTP-forespørsel (curl):
Stor nedlasting:
MTU-test:ping -M do -s 1472ping -M do -s 1473
ICMP-overvåkning:

Root Cause

VPN-tunnelen reduserte MTU til 1400, men brannmuren blokkerte ICMP-Fragmentation Needed" meldinger. Path MTU Discovery (PMTUD) kan ikke fungere, og skaper et MTU svart hull. Små pakker passform, store pakker med DF bit sett ble stille droppet.

Resolution

! Implemented TCP MSS clamping on router
interface Tunnel0
 ip tcp adjust-mss 1360

! Alternative: Allow ICMP Type 3 Code 4 through firewall
access-list 101 permit icmp any any packet-too-big

Lesson Learned

Størrelsesspørsmål:

Case Study 4: VoIP Kvalitetsproblemer (Aktuelt: QoS Miskonfigurasjon)

Symptom

Stemmesamtaler hadde kuttet lyd, periodiske dropouts. Bare skjedde i løpet av virketiden (9am-5pm).

Initial Assumptions (Wrong)

Utilstrekkelig båndbredde
VoIP server overbelastet
ISP-tilkoblingskvalitet

Diagnostic Process

Bandbreddetest:
QoS-kontroll:
Køyekontroll:
Pakkefangst:

Root Cause

QoS-politikken eksisterte, men båndbreddetildelingen var bakover: best-effort fikk 60%, stemme fikk 5%. I løpet av virketiden da datatrafikken økte, ble stemmepakker falt på grunn av køoverflod.

Resolution

! Corrected QoS policy
policy-map WAN-QOS
 class VOICE
  priority percent 33
 class VIDEO
  bandwidth percent 25
 class CRITICAL-DATA
  bandwidth percent 20
 class class-default
  bandwidth percent 22

Lesson Learned

Tidsbaserte problemer = kapasitet:

Kommandoreferanse fra Symptom

Symptom	Lag	Kommandoer å kjøre	Hva å se etter
Ingen link lys	Lag 1	`show interfaces ethtool eth0`	Status: ned, ingen bærer, kabel avkoblet
Pakketap	Lag 1/2	`show interfaces show interfaces counters errors`	CRC feil, runts, kjemper, kollisjoner, sen kollisjoner
Kan ikke ping gateway	Lag 2	`arp -a show mac address-table show spanning-tree`	Ingen ARP-oppføring, MAC ikke lært, STP blokkering
Kan ikke nå fjernt undernett	Lag 3	`traceroute show ip route show ip route summary`	Manglende rute, feil neste-hop, ruteløyfe
Tilkobling nektet	Lag 4	`telnet host port netstat -an tcpdump`	Tjeneste ikke lytte, brannmur blokk, TCP RST
Langsom ytelse	Lag 4+	`ping (RTT) iperf3 tcpdump show interfaces`	Høy latens, båndbreddegrense, TCP-overføringer, nullvinduer
Kan ikke løse vertsnavn	Lag 7	`nslookup dig cat /etc/resolv.conf`	DNS-server som ikke kan nås, feil DNS-oppsett, NXDOMAIN
Intermitterende dråper	Layer 1/2	`ping -f (flood) show logging show interfaces`	Duplex feil, sviktende kabel, STP rekonvergens
Fungerer noen ganger, ikke andre	Flere	`Extended ping Packet capture Interface statistics`	Lastebalanseringsproblem, ECMP asymmetri, tilstandstabelloverflyt

Når å eskalere

Vet når du skal eskalere til leverandøren TAC eller senior ingeniører. Escalate når:

Du har utmattet alle feilsøkingstrinn i kunnskapsbasen din
Problem krever tilgang/utleveringer du ikke har
Problem involverer leverandørens programvarefeil eller maskinvarefeil
Virksomheten er kritisk og tidsfølsom
Flere lag må samarbeide (applikasjon + nettverk + server)

Før eskalering:

Fullstendig symptombeskrivelse
Tidslinje for når problemet startet
Diagnostiske kommandoer kjører og deres utgang
Konfigurasjonskopier
Pakkefangster (hvis relevant)
Det du allerede har prøvd

Bygg din personlige kunnskapsbase

Hver feilsøkingsøkt er en læringsmulighet. Bygg en personlig kunnskapsbase:

1. Opprett en feilsøking Journal

# Example structure
~/troubleshooting-journal/
├── 2026-01-15-duplex-mismatch.md
├── 2026-01-22-mtu-black-hole.md
├── 2026-02-02-tcp-window-exhaustion.md
└── README.md  # Index of all issues

# Each file contains:
# - Symptom
# - Diagnostic steps
# - Root cause
# - Resolution
# - Lessons learned
# - Related tickets/documentation

2. Bygg et kommando Cheat ark

Organiser ofte brukte kommandoer av scenario for rask referanse under feilsøking.

3. Dokumenter ditt nettverk

Topologidiagrammer (lag 2 og lag 3)
IP-adresseskjemadokumentasjon
VLAN oppgaver
Standard konfigurasjoner (maler)
Kjend-god baselines (interface statistikk før problemer)

Vanlige anti-Mønster å unngå

❌ DON'T: Gjør tilfeldige endringer uten diagnose

Å endre konfigurasjoner uten å forstå problemet gjør ofte ting verre eller maskerer det virkelige problemet.

❌ DON'T: Anta at nettverket alltid er på feil

Ofte " nettverksproblemer" er applikasjon, server eller klientside problemer. Samle bevis før du tar imot skylden.

❌ DON'T: Hopp over å dokumentere feilsøkingstrinnene dine

Du vil kaste bort tiden med å gjenta tester du allerede har gjort, eller være ute av stand til å forklare for kolleger hva du har prøvd.

❌ DON'T: Ignorer intermitterende problemer

Intermittente problemer er ofte tidlige advarsel tegn på forestående svikt. Undersøk dem før de blir kritiske.

❌ DON'T: Fix symptomer i stedet for rotårsaker

Omstarting av en enhet kan gjenopprette tjenesten, men hvis du ikke finner ut hvorfor den trengte omstart, vil problemet gjenta.

Oversikt: Den systematiske feilsøkingslisten

✓ Før du begynner

Svar på de fem viktige spørsmålene (Hva endret seg? Hvem er berørt? Konstant eller intermitterende? Reproduserbar? Hva ser andre sider?)
Samle initiale symptomer og brukerrapporter
Sjekk for nylige endringer eller vedlikehold

✓ Under feilsøking

Arbeide metodisk gjennom OSI lag (nederst eller topp ned)
Endre en variabel om gangen når testing
Dokumenter hver test og dets resultat
Bruk pakkeopptak for å se faktiske trafikkadferd
Sammenligne med kjente gode baselineer

✓ Etter resolusjon

Kontroller at løsningen faktisk løste problemet
Dokumentgrunnsak og oppløsning
Oppdater din kunnskapsbase
Hvis konfigurasjonen endres, oppdater dokumentasjon
Tenk på: Kan overvåking ha tatt dette tidligere?

Konklusjon

Nettverksfeilsøking er både vitenskap og kunst. Vitenskapen følger en systematisk metodikk, bruker diagnostiske verktøy riktig og forstår protokoller. Kunsten er å vite hvilke tester å kjøre først basert på symptomer, gjenkjenne mønstre fra erfaring, og vite når å eskalere.

Ved å følge den systematiske tilnærmingen som er skissert i denne artikkelen - spør riktige spørsmål, jobbe metodisk gjennom OSI-modellen, dokumentere dine skritt og lære fra hvert problem - vil du bli mer effektiv på feilsøking og unngå de vanlige fallgruber som fører til bortkastet tid og feil rettelser.

Husk:

Sist oppdatert: 2. februar 2026 中 Forfatter: Baud9600 Tekniske team