Sudah bertahun-tahun pegang Cisco — tapi tetap saja ada command yang kadang lupa syntax-nya, terutama yang jarang dipakai tapi krusial saat troubleshooting darurat jam 2 pagi. Artikel ini dikompilasi khusus sebagai referensi lapangan yang paling lengkap dalam Bahasa Indonesia: command penting per kategori, contoh output nyata dari production, dan cara membaca hasilnya. Scope mencakup IOS Router (ISR/ASR), Catalyst Switch, ASA Firewall, dan NX-OS Nexus.
Navigasi cepat — klik section yang kamu butuhkan:
→ Konfigurasi Dasar (Setup Awal)
→ IOS Router (interface, routing, BGP, OSPF, NAT, ACL, QoS)
→ Catalyst Switch (VLAN, trunk, STP, MAC table, CDP, port security, EtherChannel)
→ ASA Firewall (interface, connection, ACL, packet-tracer, NAT, VPN)
→ NX-OS Nexus (interface, VPC, BGP, VXLAN, EVPN)
→ Troubleshooting Skenario (link down, route hilang, CPU tinggi, broadcast storm)
→ Command Universal (cheatsheet semua platform)
→ Konfigurasi Dasar (Setup Awal)
→ IOS Router (interface, routing, BGP, OSPF, NAT, ACL, QoS)
→ Catalyst Switch (VLAN, trunk, STP, MAC table, CDP, port security, EtherChannel)
→ ASA Firewall (interface, connection, ACL, packet-tracer, NAT, VPN)
→ NX-OS Nexus (interface, VPC, BGP, VXLAN, EVPN)
→ Troubleshooting Skenario (link down, route hilang, CPU tinggi, broadcast storm)
→ Command Universal (cheatsheet semua platform)
Konfigurasi Dasar — Setup Awal Router dan Switch Cisco
Inilah command yang justru paling sering lupa — bukan karena sulit, tapi karena jarang diulang dari awal. Setup dilakukan sekali saat perangkat baru, lalu bertahun-tahun tidak disentuh lagi. Bagian ini merangkum konfigurasi dasar yang berlaku sama di router maupun switch Cisco IOS: memberi nama perangkat, mengamankan akses, membuat user lokal, dan mengaktifkan remote login lewat SSH.
Mode CLI, Hostname, dan Password Enable
CISCO IOS — Masuk mode config, hostname, enable secret
! Navigasi mode CLI
Switch> enable ! user EXEC -> privileged EXEC
Switch# configure terminal ! masuk global configuration
Switch(config)#
! Beri nama perangkat — memudahkan identifikasi
Switch(config)# hostname SW-LANTAI1
! Password untuk masuk privileged mode
SW-LANTAI1(config)# enable secret KataSandiKuat
! WAJIB pakai 'enable secret' (di-hash) — BUKAN 'enable password' (polos)enable secret dan enable password berbeda: secret di-hash dan aman, password tersimpan polos di config. Selalu pakai secret.
Password Console, Akses VTY, dan User Lokal
CISCO IOS — Password console, user lokal, akses VTY
! Password akses lewat kabel console
SW-LANTAI1(config)# line console 0
SW-LANTAI1(config-line)# password KonsolKu
SW-LANTAI1(config-line)# login
SW-LANTAI1(config-line)# exit
! Buat user lokal — login pakai username + password
SW-LANTAI1(config)# username admin privilege 15 secret AdminKuat
SW-LANTAI1(config)# username teknisi privilege 1 secret TeknisiKuat
! privilege 15 = akses penuh privilege 1 = terbatas
! Akses remote (Telnet/SSH) lewat jalur VTY
SW-LANTAI1(config)# line vty 0 4
SW-LANTAI1(config-line)# login local ! verifikasi pakai username di atas
SW-LANTAI1(config-line)# transport input telnet sshlogin local membuat VTY meminta username dan password dari daftar user lokal — lebih aman daripada satu password VTY yang dipakai beramai-ramai.
Mengaktifkan SSH dan Mematikan Telnet
CISCO IOS — Aktifkan SSH, kunci VTY ke SSH-only
! SSH butuh: hostname (bukan default) + domain-name + RSA key
SW-LANTAI1(config)# ip domain-name kantor.local
SW-LANTAI1(config)# crypto key generate rsa modulus 2048
SW-LANTAI1(config)# ip ssh version 2
! Arahkan VTY hanya ke SSH — Telnet dimatikan
SW-LANTAI1(config)# line vty 0 4
SW-LANTAI1(config-line)# transport input ssh
SW-LANTAI1(config-line)# login local
SW-LANTAI1(config-line)# exitcrypto key generate rsa akan gagal kalau hostname masih default (Switch atau Router) atau domain-name belum diset — itu sebabnya keduanya dikonfigurasi lebih dulu.
Telnet mengirim username dan password dalam bentuk teks polos — siapa pun yang menyadap jaringan bisa membacanya. Untuk perangkat produksi, gunakan
transport input ssh saja. Telnet hanya layak dipakai di lab tertutup.Simpan Konfigurasi dan Verifikasi
CISCO IOS — Simpan config dan verifikasi setup
! Kembali ke privileged mode
SW-LANTAI1(config)# end
! SIMPAN — tanpa ini, semua config hilang saat perangkat reboot
SW-LANTAI1# copy running-config startup-config
SW-LANTAI1# write memory ! cara singkat, sama saja (atau cukup: wr)
! Verifikasi hasil setup
SW-LANTAI1# show running-config
SW-LANTAI1# show ip ssh ! status dan versi SSH
SW-LANTAI1# show users ! sesi yang sedang terhubungKesalahan paling klasik: konfigurasi selesai tapi lupa save — perangkat reboot, semua hilang. Biasakan copy running-config startup-config setiap selesai perubahan.
IOS Router — Command Lengkap (ISR, ASR)
Interface — Status, Counter, dan Error
CISCO IOS — Ringkasan semua interface
show ip interface brief
! Output:
Interface IP-Address OK? Method Status Protocol
GigE0/0/0 203.0.113.1 YES NVRAM up up
GigE0/0/1 192.168.1.1 YES NVRAM up up
GigE0/0/2 unassigned YES NVRAM admin down down
! up/up = sehat
! up/down = Layer 2 masalah (encap, keepalive, duplex)
! admin down = di-shutdown manualCek detail + error counter: show interface GigabitEthernet0/0/0
CISCO IOS — Detail interface + error counter
show interface GigabitEthernet0/0/0
! Output penting:
GigabitEthernet0/0/0 is up, line protocol is up
MTU 1500 bytes, BW 1000000 Kbit/sec
5 minute input rate 45000000 bits/sec, 3200 packets/sec
5 minute output rate 12000000 bits/sec, 1100 packets/sec
0 input errors, 0 CRC, 0 frame, 0 overrun
0 output errors, 0 collisions, 0 interface resets
! CRC > 0 = masalah fisik (kabel, SFP, noise EMI)
! Input drops = interface overloaded / buffer penuh
! Resets > 0 = keepalive failure atau duplex mismatch
! Output drops = queue penuh, QoS policy terlalu ketatReset counter: clear counters GigabitEthernet0/0/0
Routing Table — Verifikasi dan Debug Route
CISCO IOS — Routing table lengkap
! Semua route
show ip route
! Filter prefix spesifik
show ip route 10.0.0.0
! Output:
Codes: C-connected, S-static, R-RIP, O-OSPF, B-BGP, * candidate default
Gateway of last resort is 203.0.113.2 to network 0.0.0.0
B* 0.0.0.0/0 [20/0] via 203.0.113.2, 2d04h
C 192.168.1.0/24 is directly connected, GigE0/0/1
O 10.10.0.0/16 [110/20] via 192.168.1.2, 00:45:12, GigE0/0/1
S 198.51.100.0/24 [1/0] via 203.0.113.2
! [20/0] = [administrative distance / metric]
! AD: Connected=0, Static=1, OSPF=110, BGP=20(eBGP)/200(iBGP)
! Cek CEF (Cisco Express Forwarding) entry
show ip cef 10.10.0.0/16 detail
! Cek route lewat interface apa
show ip route | include viaRoute ada di table tapi traffic tidak jalan = CEF mungkin tidak sync. Fix: clear ip cef
BGP — Neighbor, Prefix, dan Debug
CISCO IOS — BGP summary dan neighbor status
! Status semua BGP neighbor
show bgp summary
! Output:
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
203.0.113.2 4 65000 84521 12340 150234 0 0 2d04h 824531
192.168.1.2 4 65001 234 198 150234 0 0 00:45:12 12
! Angka di State/PfxRcd = jumlah prefix diterima (established)
! "Active" = mencoba connect, belum berhasil
! "Idle" = tidak mencoba (cek neighbor config atau routing ke peer)
! "OpenSent"= SYN terkirim, tunggu reply
! Detail prefix dari neighbor
show bgp neighbors 203.0.113.2 received-routes
show bgp neighbors 203.0.113.2 advertised-routes
! Cek route spesifik di BGP table
show bgp ipv4 unicast 10.0.0.0/8
! Reset BGP session (soft = tanpa putus sesi)
clear ip bgp 203.0.113.2 soft
clear ip bgp 203.0.113.2 soft in ! hanya refresh inbound
clear ip bgp 203.0.113.2 soft out ! hanya re-advertise outboundJangan clear ip bgp * di production tanpa siap dengan downtime — akan putus semua session sekaligus.
OSPF — Neighbor, Database, dan LSA
CISCO IOS — OSPF neighbor dan database
! Status OSPF neighbor
show ip ospf neighbor
! Output:
Neighbor ID Pri State Dead Time Address Interface
10.0.0.2 1 FULL/DR 00:00:35 192.168.1.2 GigE0/0/1
10.0.0.3 1 FULL/BDR 00:00:38 192.168.1.3 GigE0/0/1
! FULL/DR = adjacency ok, neighbor adalah DR
! FULL/BDR = adjacency ok, neighbor adalah BDR
! FULL/- = adjacency ok, point-to-point link
! 2WAY = neighbor terlihat, tapi tidak akan full (non DR/BDR di broadcast)
! EXSTART = adjacency sedang dibentuk, cek MTU mismatch
! OSPF database
show ip ospf database summary
show ip ospf database router 10.0.0.2
! Cek kenapa neighbor tidak muncul
show ip ospf interface GigabitEthernet0/0/1
! Cek: hello/dead interval, area ID, auth, network type, MTUMTU mismatch adalah penyebab OSPF stuck di EXSTART/EXCHANGE yang paling umum. Fix: ip ospf mtu-ignore di interface.
NAT — Translation Table dan Statistik
CISCO IOS — NAT translation aktif
! Lihat semua NAT translation aktif
show ip nat translations
! Output:
Pro Inside global Inside local Outside local Outside global
tcp 203.0.113.1:45231 192.168.1.10:45231 8.8.8.8:443 8.8.8.8:443
tcp 203.0.113.1:45232 192.168.1.11:52100 1.1.1.1:80 1.1.1.1:80
! Inside global = IP publik yang terlihat dari internet
! Inside local = IP private sumber dari dalam
! Statistik NAT (hit count, miss, dll)
show ip nat statistics
! Filter translation dari host tertentu
show ip nat translations | include 192.168.1.10
! Clear NAT table — HATI-HATI, putus semua session
clear ip nat translation *
! Clear satu entry saja (lebih aman)
clear ip nat translation inside 192.168.1.10 outside 8.8.8.8NAT tidak jalan: cek (1) ip nat inside/outside di interface, (2) ACL permit yang dipakai, (3) route ke inside global ada di table.
ACL — Verifikasi dan Hit Count
CISCO IOS — Cek ACL dan hit counter
! List semua ACL yang ada
show access-lists
! Detail ACL spesifik dengan hit count
show access-lists BLOCK_SMTP
! Output:
Extended IP access list BLOCK_SMTP
10 deny tcp any any eq smtp (8924 matches)
20 deny tcp any any eq 465 (234 matches)
30 permit ip any any (1823456 matches)
! matches = berapa kali rule tersebut di-match traffic
! matches=0 di rule penting = rule tidak pernah match (mungkin salah urutan)
! Cek ACL yang applied di interface
show ip interface GigabitEthernet0/0/0 | include access list
! Reset hit counter
clear ip access-list counters BLOCK_SMTPACL diproses dari atas ke bawah — urutan rule sangat penting. Rule yang lebih spesifik harus di atas rule yang lebih umum.
QoS — Policy Map dan Drop Counter
CISCO IOS — Cek QoS policy dan statistik
! Lihat policy map yang applied di interface
show policy-map interface GigabitEthernet0/0/0
! Output:
GigabitEthernet0/0/0
Service-policy output: WAN-QOS
Class-map: VOICE (match-all)
5 minute offered rate 2000000 bps
Match: dscp ef (46)
Priority: 2000 kbps, burst bytes 50000, b/w exceed drops: 0
Class-map: DATA (match-all)
5 minute offered rate 45000000 bps
Queueing: queue limit 64 packets
(total drops) 12453
(bytes output) 9823456123
! total drops tinggi = queue penuh, bandwidth tidak cukup
! b/w exceed drops = traffic melebihi bandwidth yang dialokasikan
! Cek class map
show class-map VOICE
show policy-map WAN-QOSReset QoS counter: clear counters GigabitEthernet0/0/0 — akan reset juga QoS drop counter.
VPN / IPsec — Status Tunnel dan SA
CISCO IOS — Cek IPsec VPN status
! Status IKE Phase 1 (ISAKMP SA)
show crypto isakmp sa
! Output:
dst src state conn-id status
203.0.113.2 198.51.100.1 QM_IDLE 1 ACTIVE
! QM_IDLE = Phase 1 up dan idle (normal)
! MM_NO_STATE = Phase 1 gagal, cek pre-shared key dan proposal
! Status IKE Phase 2 (IPsec SA)
show crypto ipsec sa
! Output penting:
local addr 192.168.1.0/24
remote addr 10.10.0.0/24
#pkts encaps: 45231, #pkts encrypt: 45231, #pkts digest: 45231
#pkts decaps: 38912, #pkts decrypt: 38912, #pkts verify: 38912
#pkts errors 0, #recv errors 0
! pkts encaps vs decrypt tidak match jauh = traffic satu arah saja
! recv errors > 0 = integrity check failure (key mismatch atau replay)
! Clear IPsec SA (force renegotiate)
clear crypto ipsec sa peer 203.0.113.2Tunnel up tapi traffic tidak lewat: cek crypto ACL (interesting traffic definition) dan routing ke VPN peer.
Debug — Cara Aman Pakai Debug di Production
CISCO IOS — Debug dengan conditional (aman untuk production)
! WAJIB: set terminal monitor dulu kalau SSH/Telnet
terminal monitor
! Debug OSPF event (lebih ringan dari debug ospf adj)
debug ip ospf events
! Debug BGP update dari neighbor tertentu saja (conditional debug)
debug ip bgp 203.0.113.2 updates
! Debug packet ke/dari IP tertentu (conditional — lebih aman)
debug ip packet 192.168.1.10 detail
! SELALU matikan debug setelah selesai!
undebug all
! atau shortcut:
u all
! Lihat debug apa yang aktif
show debuggingPERINGATAN: debug ip packet tanpa conditional filter bisa CPU spike dan crash router di production. Selalu gunakan conditional debug atau access-list filter.
Catalyst Switch — Command Lengkap
VLAN — Database, Port Assignment, dan Troubleshooting
CISCO IOS — VLAN database dan port assignment
! Semua VLAN dan port yang belong
show vlan brief
! Output:
VLAN Name Status Ports
1 default active Gi0/1, Gi0/2
10 VLAN_USERS active Gi0/3, Gi0/4, Gi0/5
20 VLAN_SERVERS active Gi0/6
99 VLAN_MGMT active Gi0/8
! Detail port tertentu (trunk/access info)
show interfaces GigabitEthernet0/3 switchport
! Output:
Administrative Mode: static access
Operational Mode: static access
Access Mode VLAN: 10 (VLAN_USERS)
Voice VLAN: none
! VLAN ID not found = VLAN belum dibuat di database
! Port tidak muncul di VLAN = belum di-assignBuat VLAN: vlan 10 → name VLAN_USERS. Assign port: switchport mode access → switchport access vlan 10
Trunk Port — Allowed VLAN dan Native VLAN
CISCO IOS — Trunk status dan allowed VLAN
! Semua trunk port
show interfaces trunk
! Output:
Port Mode Encapsulation Status Native vlan
Gi0/1 on 802.1q trunking 1
Port Vlans allowed on trunk
Gi0/1 1-4094
Port Vlans allowed and active in management domain
Gi0/1 1,10,20,99
Port Vlans in spanning tree forwarding state and not pruned
Gi0/1 1,10,20,99
! VLAN tidak di baris terakhir = STP blocking atau VLAN tidak aktif
! Tambah VLAN ke trunk (tanpa hapus VLAN lain)
switchport trunk allowed vlan add 30
! Cek native VLAN mismatch (penyebab CDP warning)
show interfaces trunk | include NativeNative VLAN mismatch antara dua ujung trunk = traffic native VLAN bisa bocor ke VLAN lain (security issue). Selalu samakan native VLAN atau gunakan VLAN ID yang tidak dipakai.
Spanning Tree — Root Bridge, Port State, dan Convergence
CISCO IOS — STP status per VLAN
! STP summary semua VLAN
show spanning-tree summary
! STP detail per VLAN
show spanning-tree vlan 10
! Output:
VLAN0010
Spanning tree enabled protocol ieee
Root ID Priority 24586
Address aabb.cc00.0100
This bridge is the root
Interface Role Sts Cost Prio.Nbr Type
Gi0/1 Desg FWD 4 128.1 P2p
Gi0/2 Desg FWD 4 128.2 P2p
Gi0/3 Altn BLK 4 128.3 P2p
! Desg/FWD = Designated, Forwarding (normal)
! Altn/BLK = Alternate, Blocking (backup path, normal di RSTP)
! Root/FWD = Root port (path ke root bridge)
! Lihat STP topology change history
show spanning-tree detail | include topology
! Cek port yang jadi root bridge
show spanning-tree vlan 10 rootSTP topology change sering = broadcast storm atau link flapping. Aktifkan PortFast di access port: spanning-tree portfast
MAC Address Table — Trace Device ke Port Fisik
CISCO IOS — MAC address table lookup
! Semua MAC yang dipelajari switch
show mac address-table
! Cari MAC tertentu
show mac address-table address aabb.cc00.0200
! Cari MAC di VLAN tertentu
show mac address-table vlan 10
! Output:
Vlan Mac Address Type Ports
10 aabb.cc00.0200 DYNAMIC Gi0/3
10 aabb.cc00.0300 DYNAMIC Gi0/3
99 aabb.cc00.0100 STATIC Gi0/8
! Banyak MAC di satu port = port ke switch lain atau hub
! MAC tidak muncul = device belum kirim traffic atau salah VLAN
! Hitung jumlah MAC per port (deteksi hub/switch downstream)
show mac address-table countWorkflow trace device: (1) ping device, (2) show arp | include IP → dapat MAC, (3) show mac address-table address MAC → dapat port.
EtherChannel — Status Port Channel dan Load Balance
CISCO IOS — EtherChannel status
! Ringkasan semua port channel
show etherchannel summary
! Output:
Flags: D-down P-bundled s-suspended I-stand-alone r-hot-standby
U-in use f-failed to allocate aggregator
Number of channel-groups in use: 1
Group Port-channel Protocol Ports
1 Po1(SU) LACP Gi0/1(P) Gi0/2(P) Gi0/3(P) Gi0/4(P)
! SU = port channel up dan in use (normal)
! P = port bundled ke channel (normal)
! D = port down
! s = port suspended (LACP mismatch dengan peer)
! Detail load balancing
show etherchannel load-balance
! Detail per port channel
show etherchannel 1 detailPort suspended di EtherChannel: cek speed/duplex match, VLAN match, dan mode LACP/PAgP harus sama di kedua ujung.
CDP dan LLDP — Mapping Topologi Tanpa Diagram
CISCO IOS — CDP dan LLDP neighbor discovery
! CDP neighbor ringkasan
show cdp neighbors
! CDP neighbor detail (termasuk IP address!)
show cdp neighbors detail
! Output detail:
Device ID: SW-CORE-01
Entry address(es):
IP address: 192.168.99.2
Platform: cisco WS-C3750X-48P, Capabilities: Switch IGMP
Interface: GigabitEthernet0/1, Port ID: GigabitEthernet1/0/24
Holdtime: 144 sec, Version: IOS 15.2(4)E7
! LLDP (cross-vendor, untuk non-Cisco juga)
show lldp neighbors
show lldp neighbors detail
! CDP per interface
show cdp neighbors GigabitEthernet0/1 detailCDP hanya bekerja antar perangkat Cisco. LLDP adalah standar IEEE 802.1AB yang bekerja lintas vendor. Aktifkan LLDP dengan: lldp run (global config).
Port Security — Violation dan Recovery
CISCO IOS — Port security status dan err-disable recovery
! Status port security semua interface
show port-security
! Detail per interface
show port-security interface GigabitEthernet0/5
! Output:
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Maximum MAC Addresses : 1
Security Violation Count : 3
! Secure-shutdown = port kena violation, masuk err-disable
! Recovery manual (shutdown → no shutdown)
interface GigabitEthernet0/5
shutdown
no shutdown
! Auto recovery (tanpa manual intervention)
errdisable recovery cause psecure-violation
errdisable recovery interval 300
! Lihat semua interface yang err-disabled
show interfaces status err-disabledCek semua penyebab err-disable aktif: show errdisable recovery. Penyebab umum: BPDU guard, port security, UDLD.
ASA Firewall — Command Lengkap
ASA menggunakan privilege mode berbeda dari IOS. Login →
enable → privileged EXEC. Untuk config: configure terminal. Command show bisa dijalankan dari semua mode. ASA 9.x ke atas menggunakan show running-config per-section lebih mudah dari full output.Interface dan Security Level
CISCO ASA — Interface dan security level
! Ringkasan interface
show interface ip brief
! Nama interface dan security level
show nameif
! Output:
Interface Name Security
GigabitEthernet0/0 outside 0
GigabitEthernet0/1 inside 100
GigabitEthernet0/2 dmz 50
! Security level 0 = paling tidak trusted (internet)
! Security level 100 = paling trusted (LAN)
! High → Low = allowed by default
! Low → High = butuh ACL explicit
! Detail interface dengan error counter
show interface GigabitEthernet0/0 detailTraffic DMZ (50) ke inside (100) = butuh ACL eksplisit. Traffic inside (100) ke DMZ (50) = allowed by default.
Connection Table — Session Aktif dan Statistik
CISCO ASA — Connection table dan statistik
! Jumlah total connection aktif
show conn count
! Output: 14231 in use, 24891 most used
! Lihat connection dari/ke IP tertentu
show conn address 192.168.1.10
! Output:
TCP outside 203.0.113.50:443 inside 192.168.1.10:52341, idle 0:00:02, bytes 12453, flags UIO
! flags: U=up, I=inbound data, O=outbound data
! flags SaA = TCP SYN sent, SYN-ACK received, ACK sent
! Filter berdasarkan port
show conn port 443
! Lihat conn limit per host (untuk detect connection flood)
show conn | include 192.168.1.10 | count
! Statistik resource usage
show resource usageConnection mendekati limit = performa ASA drop drastis. Cek limit dengan show resource usage dan show resource usage detail.
Packet Tracer — Diagnosa Policy Tanpa Traffic Nyata
CISCO ASA — Packet tracer simulasi traffic
! Simulasi: apakah traffic dari outside ke inside port 443 diizinkan?
packet-tracer input outside tcp 198.51.100.1 12345 192.168.1.10 443
! Output (allowed):
Phase 1: ROUTE-LOOKUP Result: ALLOW
Phase 2: ACCESS-LIST Result: ALLOW
Config: access-group OUTSIDE_IN in interface outside
Phase 3: NAT Result: ALLOW
Phase 4: IP-OPTIONS Result: ALLOW
Result: input-interface: outside
output-interface: inside
Action: allow
! Kalau Action: drop — lihat phase mana yang menunjukkan BLOCK
! dan "Config:" di phase tersebut = rule yang menyebabkan drop
! Packet tracer untuk UDP
packet-tracer input outside udp 198.51.100.1 12345 192.168.1.10 53
! Packet tracer detail (lebih verbose)
packet-tracer input outside tcp 198.51.100.1 12345 192.168.1.10 443 detailPacket-tracer adalah tool paling powerful di ASA untuk debug policy — tidak mengganggu traffic production sama sekali.
ACL — Hit Count dan Troubleshooting
CISCO ASA — ACL detail dengan hit count
! Semua ACL dengan hit count
show access-list
! ACL spesifik
show access-list OUTSIDE_IN
! Output:
access-list OUTSIDE_IN; 3 elements; name hash: 0x12345678
access-list OUTSIDE_IN line 1 extended permit tcp any host 203.0.113.10 eq 443 (hitcnt=45231)
access-list OUTSIDE_IN line 2 extended permit tcp any host 203.0.113.10 eq 80 (hitcnt=12453)
access-list OUTSIDE_IN line 3 extended deny ip any any log (hitcnt=892)
! hitcnt=0 di rule penting = rule tidak pernah match (urutan salah / misconfiguration)
! hitcnt tinggi di deny = ada scan/attack atau whitelist kurang
! Cek ACL yang applied di interface mana
show running-config access-group
! Reset hit count
clear access-list OUTSIDE_IN countersASA ACL harus diapply ke interface dengan: access-group OUTSIDE_IN in interface outside. ACL yang ada tapi tidak di-apply tidak akan memfilter traffic apapun.
Packet Capture — Tangkap Traffic Nyata di ASA
CISCO ASA — Packet capture di interface
! Buat capture di interface inside, filter ke host tertentu
capture CAP interface inside match ip host 192.168.1.10 any
! Lihat hasil capture (ringkasan)
show capture CAP
! Lihat detail setiap packet
show capture CAP detail
! Output contoh:
1: 10:23:45.123456 192.168.1.10:52341 > 8.8.8.8:443 S seq 1234567
2: 10:23:45.234567 8.8.8.8:443 > 192.168.1.10:52341 S seq 9876543 ack 1234568
! Export capture ke TFTP server
copy capture:CAP tftp://192.168.99.10/capture.pcap
! Hapus capture setelah selesai
no capture CAPCapture di ASA tersimpan di RAM — jangan biarkan capture jalan terus tanpa buffer limit karena bisa habiskan RAM. Set buffer: capture CAP interface inside buffer 1000000
ASA VPN — Status Tunnel dan Session
CISCO ASA — Status VPN (Site-to-Site dan Remote Access)
! Status IKEv1/IKEv2 SA (Phase 1)
show crypto ikev1 sa
show crypto ikev2 sa
! Status IPsec SA (Phase 2)
show crypto ipsec sa
! AnyConnect (Remote Access VPN) — active session
show vpn-sessiondb anyconnect
! Output AnyConnect:
Session Type: AnyConnect
Username : user01 Index : 1
Assigned IP : 10.100.1.2 Public IP : 203.0.113.50
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
Duration : 0h:45m:12s Bytes Tx : 12453321
! Jumlah VPN session aktif
show vpn-sessiondb summary
! Logout user VPN tertentu
vpn-sessiondb logoff name user01AnyConnect session limit tergantung lisensi ASA. Cek limit dengan: show version | include session
NX-OS Nexus — Command Lengkap (Datacenter)
NX-OS syntax mirip IOS tapi ada perbedaan penting: interface naming pakai
Ethernet1/1 (bukan GigabitEthernet). NX-OS juga punya fitur datacenter-specific seperti VPC, FabricPath, dan VXLAN yang tidak ada di IOS. Gunakan show module untuk lihat hardware inventory.Interface — Status, Counter, dan Transceiver
CISCO NX-OS — Interface status dan counter
! Ringkasan semua interface
show interface status
! Output:
Port Name Status Vlan Duplex Speed Type
Eth1/1 UPLINK connected trunk full 10G 10Gbase-SR
Eth1/2 SERVER-01 connected 20 full 1000 1000base-T
Eth1/3 -- notconnect 1 auto auto 10Gbase-SR
! Error counter
show interface counters errors
! Cek transceiver / SFP info (penting untuk 10G/25G/40G)
show interface Ethernet1/1 transceiver
! Output transceiver:
Ethernet1/1
transceiver is present
type is 10Gbase-SR
Rx Power: -3.21 dBm (normal range: -11.0 to 0.0 dBm)
Tx Power: -2.45 dBm (normal range: -8.2 to 0.5 dBm)
! Rx Power mendekati -11 dBm = sinyal lemah, cek kabel fiberNX-OS mendukung show interface ethernet1/1-48 untuk melihat range interface sekaligus. Berguna untuk audit cepat.
VPC — Virtual Port Channel Status dan Consistency
CISCO NX-OS — VPC status lengkap
! Status VPC domain
show vpc
! Output penting:
vPC domain id : 1
Peer status : peer adjacency formed ok
vPC keep-alive status : peer is alive
Configuration consistency status : success
vPC role : primary
vPC Peer-link status
id Port Status Active vlans
1 Po1 up 1,10,20,99
! "peer adjacency formed ok" + "peer is alive" = VPC sehat
! "consistency status: failed" = config tidak match antar peer
! Cek apa yang tidak match
show vpc consistency-parameters global
! Status semua VPC member port
show vpc brief
! Cek orphan port (port yang hanya ada di satu Nexus)
show vpc orphan-portsVPC peer-link down = split-brain risk. Semua traffic bisa lewat keep-alive link yang tidak punya kapasitas cukup. Selalu pastikan peer-keepalive di dedicated OOB network.
VXLAN dan EVPN — Overlay Network Datacenter
CISCO NX-OS — VXLAN dan EVPN status
! Status NVE interface dan VTEP peer
show nve peers
! Output:
Interface Peer-IP State LearnType Uptime Router-Mac
nve1 10.0.0.2 Up CP 1d02h aabb.cc00.0200
nve1 10.0.0.3 Up CP 0d12h aabb.cc00.0300
! CP = Control Plane learning (via BGP EVPN) — recommended
! DP = Data Plane learning (flood and learn) — legacy
! VNI mapping
show nve vni
! EVPN BGP summary
show bgp l2vpn evpn summary
! EVPN route type 2 (MAC/IP advertisement)
show bgp l2vpn evpn | include "Route Distinguisher"
! Cek MAC learning via EVPN
show l2route evpn mac allVTEP state Down: cek underlay routing (ping antar loopback VTEP source). EVPN tidak up: cek BGP EVPN address family aktif dan neighbor activate.
NX-OS Useful Commands Lainnya
CISCO NX-OS — Command datacenter lainnya
! Hardware inventory
show module
show inventory
! Fabric health (Nexus 9000 ACI mode)
show system health
! Cek FEX (Fabric Extender) status
show fex
show fex 101 detail
! Port channel di NX-OS
show port-channel summary
! HSRP / VRRP status
show hsrp brief
show vrrp brief
! Cek NX-OS version dan hardware
show version
! Checkpoint dan rollback config
checkpoint BEFORE-MAINTENANCE
rollback running-config checkpoint BEFORE-MAINTENANCENX-OS mendukung checkpoint/rollback yang tidak ada di IOS — sangat berguna untuk maintenance dengan safety net. Buat checkpoint sebelum setiap perubahan besar.
Troubleshooting Skenario — Workflow Lengkap
Skenario 1 — Link Down Tiba-tiba
STEP 1
Identifikasi interface yang down —
Jalankan
show ip interface brief. Bedakan: "admin down" = di-shutdown manual (run no shutdown). "down/down" = masalah fisik atau Layer 2 (cek kabel, SFP, peer device).
STEP 2
Cek error counter —
show interface GigabitEthernet0/0/0 — perhatikan: CRC errors = masalah fisik/SFP. Input errors tanpa output errors = masalah di sisi remote. Interface resets sering = duplex mismatch atau keepalive failure.
STEP 3
Cek log untuk event history —
show log | include GigabitEthernet0/0/0 — lihat kapan link down, berapa kali flap, ada error apa sebelum down. Pattern link flap cepat (< 30 detik) = hardware atau kabel issue.
STEP 4
Verifikasi CDP/LLDP untuk koneksi fisik —
show cdp neighbors — kalau neighbor tidak muncul = koneksi fisik terputus. Kalau masih muncul tapi link down = Layer 2 negotiation gagal. Cek speed/duplex: show interface GigabitEthernet0/0/0 | include duplex.
STEP 5
Verifikasi dari luar jaringan —
Gunakan Traceroute CekIPSaya ke IP publik router — jika traceroute berhenti sebelum router, masalah ada di upstream atau ISP. Jika berhenti di router, masalah di internal routing atau interface downstream.
Skenario 2 — Route Hilang atau Traffic Tidak Sampai Tujuan
CISCO IOS — Debug workflow route hilang
! Step 1: Apakah route ada di table?
show ip route 10.10.10.0
! Step 2: Trace path paket dengan source spesifik
traceroute 10.10.10.1 source GigabitEthernet0/0/1
! Step 3: Cek CEF entry
show ip cef 10.10.10.0/24 detail
! Step 4: Kalau OSPF, apakah LSA ada di database?
show ip ospf database | include 10.10.10
! Step 5: Kalau BGP, cek prefix dari neighbor
show bgp ipv4 unicast 10.10.10.0/24
! Step 6: Apakah route di-filter prefix-list/route-map?
show ip bgp neighbors 203.0.113.2 received-routes | include 10.10.10
! Step 7: Cek policy routing yang mungkin redirect traffic
show route-map
show ip policyRoute ada di table tapi tidak di CEF = jalankan: clear ip cef. Route ada di BGP tapi tidak di routing table = administrative distance conflict (cek apakah ada static route yang lebih prefer).
Skenario 3 — CPU Tinggi di Router atau Switch
CISCO IOS — Diagnosa CPU tinggi
! Cek CPU usage per process
show processes cpu sorted
! Output:
CPU utilization: 89%/12% (5sec); 78% (1min); 65% (5min)
PID 5Sec 1Min 5Min Process
88 45% 38% 32% IP Input
45 8% 6% 5% BGP Router
12 3% 2% 2% OSPF Hello
! "IP Input" tinggi = process switching (bukan CEF):
! - ACL/NAT kompleks yang force software switching
! - Paket TTL expired flooding ke CPU (routing loop)
! - Broadcast/multicast storm
! - Fragmentation besar
! Cek broadcast rate per interface
show interface | include broadcast|input rate
! Cek apakah ada routing loop (TTL expired)
show ip traffic | include unroutable
! CoPP drop (traffic yang di-police ke CPU)
show policy-map control-planeCPU tinggi karena "IP Input": aktifkan CEF jika belum (ip cef), cek ACL yang force process switching, dan identifikasi sumber broadcast storm dengan show interface.
Skenario 4 — Broadcast Storm di Switch
CISCO IOS — Identifikasi dan isolasi broadcast storm
! Cek broadcast rate per interface
show interface | include broadcast
! Cek interface dengan input rate tertinggi (kemungkinan sumber)
show interface | include "input rate|line protocol"
! Cek STP topology change (storm sering dari TC)
show spanning-tree detail | include "topology change|from"
! Identifikasi port yang kirim broadcast paling banyak
show interface counters | include broadcast
! Tindakan darurat: storm control di port yang dicurigai
interface GigabitEthernet0/5
storm-control broadcast level 20.00
storm-control action shutdown
! Kalau sudah pasti sumbernya, shutdown port tersebut
interface GigabitEthernet0/5
shutdownBroadcast storm sering dari port ke hub, device dengan NIC rusak, atau STP loop. Aktifkan storm-control di semua access port sebagai preventif.
Command Universal — Berlaku di Semua Platform Cisco
| Command | Platform | Fungsi | Tips |
|---|---|---|---|
| show version | IOS/NX-OS/ASA | Versi OS, uptime, hardware info | Pertama kali login — lihat versi dan kapasitas |
| show running-config | IOS/NX-OS/ASA | Config aktif di RAM | Tambah "| begin interface" untuk lompat ke section |
| show startup-config | IOS/ASA | Config di NVRAM (akan load saat reboot) | Bandingkan dengan running-config sebelum reboot |
| copy run start | IOS | Save config (wr memory) | SELALU jalankan setelah perubahan config |
| show log | IOS/NX-OS/ASA | System log buffer | Filter: show log | include ERROR|WARN|interface |
| show clock | IOS/NX-OS/ASA | Waktu device saat ini | Pastikan NTP sync sebelum troubleshoot via log |
| terminal length 0 | IOS/NX-OS | Disable paging output | Wajib sebelum copy-paste output panjang |
| ping X.X.X.X repeat 1000 | IOS | Extended ping untuk test stabilitas | Tambah size 1472 untuk test MTU tanpa fragment |
| traceroute X.X.X.X source Lo0 | IOS | Trace dengan source interface spesifik | Penting untuk debug asymmetric routing |
| show tech-support | IOS/ASA | Full diagnostic dump untuk TAC | Output besar — redirect ke file: logging file flash:tech |
| show environment | IOS/NX-OS | Suhu, fan, power supply status | Wajib cek setelah hardware issue atau outage |
| show ip traffic | IOS | Statistik traffic per protokol | Investigasi protokol apa yang dominant di router |
| show system resources | NX-OS | CPU, RAM, process usage | Equivalent dari show processes cpu di IOS |
Cheatsheet Filter Output — Bekerja Lebih Cepat di CLI
| Filter | Syntax | Contoh | Fungsi |
|---|---|---|---|
| include | show X | include KATA | show ip route | include 10.10 | Tampilkan baris yang mengandung kata |
| exclude | show X | exclude KATA | show interface | exclude down | Sembunyikan baris yang mengandung kata |
| begin | show X | begin KATA | show run | begin interface GigE0/0 | Tampilkan dari baris yang mengandung kata |
| section | show run | section SECTION | show run | section bgp | Tampilkan section config spesifik (NX-OS juga) |
| count | show X | count | show mac address-table | count | Hitung jumlah baris output |
| redirect | show X | redirect flash:FILE | show tech | redirect flash:tech.txt | Simpan output ke flash (IOS) |
| grep -i | show X | grep -i KATA | show interface | grep -i "is up" | NX-OS: case-insensitive search |
| last | show X | last N | show log | last 50 | Tampilkan N baris terakhir (NX-OS) |
Studi Kasus: Kasus Nyata: Core Switch Kampus CPU 100% — Solved dalam 15 Menit
Core switch Catalyst 3850 di kampus negeri di Sumatera tiba-tiba CPU 100%, seluruh jaringan melambat parah. IT admin langsung SSH ke switch dan jalankan
Core switch Catalyst 3850 di kampus negeri di Sumatera tiba-tiba CPU 100%, seluruh jaringan melambat parah. IT admin langsung SSH ke switch dan jalankan
show processes cpu sorted — proses "ARP Input" 78% dan "IP Input" 15%. Lanjut show interface | include broadcast — satu port (GigabitEthernet1/0/12) menunjukkan broadcast rate 450.000 pps (normal < 1.000 pps). Port itu terhubung ke lab komputer. Jalankan show mac address-table interface GigabitEthernet1/0/12 | count — 847 MAC address di satu port, padahal harusnya < 30 (satu PC lab). Ternyata: port ke hub unmanaged yang terhubung ke komputer dengan NIC rusak yang terus broadcast ARP storm. Solusi: shutdown port tersebut, jaringan langsung normal dalam 30 detik. Fix permanen: aktifkan storm-control di semua port lab.Kesalahan Umum Teknisi Cisco Indonesia — dan Cara Menghindarinya
Setelah bertahun-tahun di lapangan, ada pola kesalahan yang berulang — dari teknisi junior sampai senior. Bukan untuk menghakimi, tapi supaya tidak jatuh ke lubang yang sama. Berikut kesalahan paling umum yang ditemui di jaringan kampus, kantor, dan ISP Indonesia.
Lupa save config setelah konfigurasi
Ini yang paling klasik. Konfigurasi sudah jalan, teknisi happy, device reboot karena PLN mati — semua config hilang. Biasakan copy run start atau wr setiap selesai perubahan. Di switch/router kritis, pertimbangkan script yang auto-save config setiap malam via archive feature.
Debug tanpa conditional filter di production
Menjalankan debug ip packet atau debug ip ospf adj tanpa filter di router production bisa menyebabkan CPU spike 100% dan crash. Selalu gunakan conditional debug: debug ip packet 192.168.1.10 detail hanya untuk IP yang diinvestigasi. Dan SELALU siapkan undebug all di clipboard sebelum debug dijalankan.
Native VLAN mismatch di trunk port
Konfigurasi trunk tapi lupa samakan native VLAN di kedua ujung. Hasilnya: CDP warning "Native VLAN mismatch", traffic VLAN 1 bisa bocor ke VLAN lain, dan beberapa traffic tidak lewat. Cek dengan show interfaces trunk | include Native — harus sama di kedua switch. Best practice: gunakan VLAN dedicated yang tidak dipakai untuk native.
ACL terlalu permissive atau urutan salah
Dua kesalahan ACL yang paling umum: (1) menulis permit ip any any di akhir tapi ada implicit deny yang sudah block traffic lebih dulu, dan (2) urutan rule terbalik — rule general di atas rule spesifik. ACL diproses top-down dan berhenti di rule pertama yang match. Selalu cek hit count dengan show access-lists untuk verifikasi rule yang aktif.
Upgrade IOS tanpa backup config dan image
Upgrade IOS langsung ke versi baru tanpa: (1) backup running-config ke TFTP, (2) verifikasi MD5 checksum image, (3) pastikan flash cukup untuk dua image sekaligus (untuk rollback). Kalau upgrade gagal di tengah jalan dan tidak ada backup image = router jadi paperweight. Prosedur: backup → verify → copy image → reload dengan image baru.
Mengandalkan ping saja untuk troubleshooting
Ping hanya test ICMP reachability — bukan representasi traffic nyata. Server bisa ping tapi HTTP/HTTPS tidak jalan (firewall block port 80/443 tapi allow ICMP). Router bisa ping tapi BGP tidak establish (ACL block port 179). Selalu lanjutkan troubleshooting ke Layer 4: telnet IP PORT untuk test koneksi TCP ke port spesifik, atau gunakan Port Checker CekIPSaya dari luar.
Tidak cek MTU saat OSPF atau VPN bermasalah
OSPF stuck di EXSTART/EXCHANGE dan VPN tunnel terbentuk tapi traffic tidak lewat — dua gejala ini sering penyebabnya sama: MTU mismatch. Interface default MTU 1500, tapi beberapa link (PPPoE, GRE tunnel, provider tertentu) punya MTU lebih kecil. Cek: ping 203.0.113.2 size 1472 df-bit — kalau timeout, ada fragmentation issue. Fix OSPF: ip ospf mtu-ignore.
Password enable tidak diset atau terlalu mudah
Masih sering ditemui router/switch kampus dan kantor kecil Indonesia dengan password "cisco", "admin", atau bahkan tanpa password enable. Ini risiko keamanan besar — siapapun yang bisa akses console atau Telnet bisa ambil alih perangkat. Minimal: enable secret STRONGPASSWORD (bukan enable password — harus secret agar di-hash MD5), dan blokir Telnet pakai transport input ssh.
Cisco vs MikroTik — Perbandingan untuk Konteks Indonesia
Banyak teknisi Indonesia yang harus handle keduanya — Cisco di kampus atau kantor besar, MikroTik di WISP atau jaringan yang lebih kecil. Berikut perbandingan praktis untuk membantu transisi antar platform:
| Aspek | Cisco IOS | MikroTik RouterOS | Catatan |
|---|---|---|---|
| CLI syntax | Verbose, hierarchical mode | Flat path-based (/ip route add) | Cisco lebih verbose tapi lebih terstruktur |
| Save config | copy run start / wr | Otomatis tersimpan (no explicit save) | MikroTik auto-save, Cisco manual |
| VLAN config | switchport access vlan X | /interface bridge vlan add | Cisco lebih familiar untuk CCNA holders |
| Routing protocol | OSPF/BGP/EIGRP native | OSPF/BGP native, EIGRP tidak ada | EIGRP Cisco-proprietary, tidak ada di MikroTik |
| Firewall/ACL | ACL + ZBF (Zone-Based) | Filter rules + /ip firewall | MikroTik lebih granular untuk small-medium |
| Queue/BW mgmt | QoS + CBWFQ + WRED | HTB + PCQ + CAKE (v7) | MikroTik lebih mudah setup per-user queue |
| VPN | IPsec + DMVPN + AnyConnect | IPsec + WireGuard (v7) + OVPN | Cisco lebih enterprise, MikroTik lebih fleksibel |
| Harga lisensi | Berbayar (hardware bundled) | Gratis per perangkat (CHR berbayar) | MikroTik jauh lebih terjangkau untuk WISP |
| Certifikasi | CCNA/CCNP/CCIE (diakui global) | MTCNA/MTCRE (kurang diakui global) | Cisco cert lebih valuable di job market |
| Dokumentasi | Cisco docs, sangat lengkap | MikroTik wiki, lengkap tapi kurang | Cisco punya TAC support berbayar |
Untuk perbandingan mendalam MikroTik RouterOS v6 vs v7 dari perspektif WISP dan admin kampus, baca artikel MikroTik RouterOS v6 vs v7 di CekIPSaya — termasuk pembahasan CAKE queue, CGNAT, dan kapan upgrade ke v7.
FAQ — Pertanyaan yang Sering Ditanyakan
Urutan standar: (1) show version untuk verifikasi OS dan uptime, (2) show ip interface brief untuk status semua interface sekaligus, (3) show ip route untuk routing table, (4) show log untuk event history. Empat command ini memberikan gambaran 80% kondisi device dalam kurang dari 2 menit.
show running-config menampilkan konfigurasi aktif di RAM — yang berjalan sekarang. show startup-config menampilkan konfigurasi tersimpan di NVRAM — yang akan diload saat device reboot. Kalau ada perubahan config yang belum di-save, dua output ini akan berbeda. Simpan config dengan: copy running-config startup-config atau cukup ketik wr.
Gunakan conditional debug — hanya debug traffic dari IP tertentu, bukan semua traffic. Contoh: debug ip packet 192.168.1.10 detail. Untuk ASA, gunakan packet-tracer yang tidak mengganggu traffic production sama sekali. SELALU matikan debug setelah selesai dengan undebug all atau u all. Debug ip packet tanpa filter bisa crash router karena CPU spike.
Penyebab paling umum: (1) MTU mismatch antar interface — OSPF stuck di EXSTART/EXCHANGE, fix dengan ip ospf mtu-ignore. (2) Hello/dead interval tidak sama — harus identik di kedua ujung. (3) Area ID berbeda. (4) Authentication mismatch. (5) Network type berbeda (point-to-point vs broadcast). Cek dengan: show ip ospf interface untuk lihat semua parameter OSPF di interface.
Jalankan show etherchannel summary. Cari kolom status: SU = port channel up dan semua port bundled (normal). Jika ada port dengan flag s (suspended) = LACP mismatch dengan peer, cek speed/duplex/VLAN/mode harus sama di kedua ujung. Jika port channel down = semua member port down atau peer device tidak support protokol yang sama (LACP vs PAgP vs static).
Workflow tiga langkah: (1) ping IP device untuk pastikan ARP entry ada. (2) show ip arp | include IP-ADDRESS untuk dapat MAC address device. (3) show mac address-table address MAC-ADDRESS untuk lihat di port mana MAC tersebut dipelajari. Jika port ke switch downstream, ulangi langkah yang sama di switch tersebut. CDP/LLDP juga membantu untuk mapping antar switch.
Jalankan show crypto ipsec sa dan perhatikan dua angka: pkts encaps (traffic yang di-encrypt) dan pkts decaps (traffic yang di-decrypt). Kalau salah satu terus naik tapi yang lain tidak = traffic satu arah saja (asymmetric routing). Kalau keduanya 0 = interesting traffic tidak match crypto ACL atau Phase 1/2 belum establish. Cek Phase 1 dengan show crypto isakmp sa.
Cara paling cepat di CLI: copy running-config startup-config (atau singkatan wr). Untuk backup ke TFTP server: copy running-config tftp://192.168.99.10/router-backup-YYYYMMDD.cfg. Di NX-OS ada fitur checkpoint yang lebih powerful: checkpoint BEFORE-MAINTENANCE — bisa rollback config ke titik ini jika perubahan bermasalah dengan: rollback running-config checkpoint BEFORE-MAINTENANCE.
Kesimpulan
Artikel ini adalah referensi command Cisco paling lengkap dalam Bahasa Indonesia — mencakup IOS Router, Catalyst Switch, ASA Firewall, dan NX-OS Nexus dengan contoh output nyata dan cara membacanya. Bookmark halaman ini dan buka saat butuh di lapangan. Untuk verifikasi konektivitas end-to-end dari luar jaringan, gunakan Ping Test dan Traceroute CekIPSaya tanpa install apapun. Untuk konfirmasi IP publik dan ASN yang keluar dari router Cisco kamu setelah konfigurasi NAT atau BGP, gunakan Cek IP CekIPSaya — verifikasi instan dari perspektif internet.
COBA SEKARANG
Cek IP & Traceroute Jaringan Kamu