GaMe - stock.adobe.com

Wie funktionieren die Ports 67 und 68 bei DHCP

DHCP sorgt für die IP-Konfiguration im Netzwerk. Lesen Sie, wie die Ports 67/UDP und 68/UDP funktionieren und worauf bei Einrichtung, Fehlerbehebung und Sicherheit zu achten ist.

Das Dynamic Host Configuration Protocol (DHCP) spielt im Netzwerk eine wichtige Rolle. Es ermöglicht Client-Geräten wie Workstations, Tablets und Smartphones, IP-Adresskonfigurationen zu leasen. DHCP befreit Administratoren somit von dieser mühsamen und fehleranfälligen Aufgabe.

Der Prozess der DHCP-Lease-Generierung besteht aus vier Schritten und wird vom Client-System initiiert.

  1. Discover: Der DHCP-Client sendet eine Broadcast-Nachricht, um einen DHCP-Server zu finden.
  2. Offer. Der DHCP-Server antwortet mit der Übertragung eines IP-Adressangebots.
  3. Request: Der DHCP-Client sendet eine formelle Anfrage zur Verwendung der angebotenen IP-Adresse.
  4. Acknowledge: Der DHCP-Server schließt die Zuweisung ab, indem er die Anfrage des Clients bestätigt.

Die Clients erneuern die Konfiguration regelmäßig, indem sie die Schritte drei und vier vor Ablauf der Zuweisung ausführen.

Wie andere Netzwerkdienste auch benötigt DHCP nummerierte Ports der Anwendungsschicht, um Konnektivität bereitzustellen. Während Secure Shell (SSH) Port 22/tcp, HTTP Port 80/tcp und HTTPS Port 443/tcp verwendet, benötigt DHCP die Ports 67/udp und 68/udp.

Viele Administratoren verlassen sich auch auf die PXE-Kommunikation (Preboot Execution Environment), um Boot-Informationen im Rahmen der Remote-Betriebssysteminstallation oder der Thin-Client-Konfiguration an Geräte zu übermitteln. PXE beginnt diesen Prozess mit DHCP, bevor es auf Trivial FTP und andere Dienste zurückgreift.

Die Verwaltung der DHCP-Ports 67 und 68 ist für grundlegende Clientkonfigurationen in Ihrer Netzwerkumgebung von entscheidender Bedeutung. In diesem Artikel werden diese beiden Ports näher erläutert und Tipps zur effektiven Fehlerbehebung bei ihrer Verwaltung gegeben.

Abbildung 1: Der vierstufige Prozess zur Generierung von DHCP-Leases
Abbildung 1: Der vierstufige Prozess zur Generierung von DHCP-Leases

Was sind DHCP-Ports?

Im ersten Schritt des DHCP-Lease-Generierungsprozesses senden Client-Geräte eine Discover-Nachricht an Port 67, auf die der DHCP-Server an diesem Port wartet.

Die Antworten des Servers werden an den Client-Port 68 gesendet. Client-Geräte haben selten einen bekannten, zugewiesenen Port, aber in diesem Fall ist dies unerlässlich, da die Clients noch keine eindeutige IP-Adresse haben.

Der DHCP-Dienst verwendet die folgenden Ports:

  • Die Kommunikation vom Client zum Server erfolgt über den Server-Port 67.
  • Die Kommunikation vom Server zum Client erfolgt über den Client-Port 68.

Was ist der DHCP-Port 67?

Jeder Dienst lauscht auf einer bekannten und eindeutigen Portnummer, um Kommunikationskonflikte und Verwirrung zu vermeiden. Die DHCP-Dienstsoftware auf Ihrem Server oder Router wartet auf eingehenden DHCP-Datenverkehr auf Port 67/udp, genauso wie ein HTTP-Dienst auf Port 80/txp oder SSH auf Port 22/tcp.

Ein Windows-Server lauscht auf Port 67.
Abbildung 2: Dieser Windows-Server lauscht auf Port 67, was darauf hinweist, dass es sich um einen DHCP-Server handelt.

Die Schritte DHCPDiscover und DHCPRequest des Lease-Generierungsprozesses zielen auf Port 67/udp des empfangsbereiten Servers ab. Der TCP/IP-Stack sendet DHCP-Kommunikationen basierend auf dieser Portnummer an die DHCP-Dienstsoftware.

Was ist der DHCP-Port 68?

Der TCP/IP-Stack des Clients leitet eingehende DHCP-Offer- und DHCP-Acknowledge-Kommunikationen, die über Port 68/udp eingehen, an die DHCP-Client-Software weiter.

DHCP-Clients verfügen noch nicht über eine eindeutige IP-Adresskonfiguration. Das ist schließlich der Zweck dieser DHCP-Kommunikation. Die gesamte Konnektivität während des vierstufigen Prozesses zur Generierung von Leases basiert auf Broadcast. Durch die Zuweisung des bekannten Ports 68 an Client-Systeme wird sichergestellt, dass die DHCP-Antwort die DHCP-Client-Software erreicht. Würde ein zufälliger Port verwendet, wie es bei den meisten anderen Client-Anwendungen der Fall ist, wäre das Risiko von Konflikten oder Versuchen anderer Anwendungen, die nicht DHCP nutzen, deutlich höher.

Nach Abschluss des vierstufigen Lease-Generierungsprozesses verfügen die Client-Geräte über eine vollständige IP-Adresskonfiguration, sodass eine herkömmliche Netzwerk-Unicast-Verbindung mit anderen Diensten möglich ist.

Fehlerbehebung für die DHCP-Ports 67 und 68

Die meisten DHCP-Probleme hängen entweder mit der Firewall oder der Dienstkonfiguration zusammen. Insgesamt ist DHCP ein relativ problemloser Dienst. Er ist alt, zuverlässig und einfach. Dennoch treten manchmal Probleme auf.

Erstens basiert DHCP auf dem User Datagram Protocol (UDP) der Transportschicht. Viele andere wichtige Dienste verwenden stattdessen TCP. Da DHCP-Client-Geräte jedoch noch keine vollständige Identität haben, sind TCP-Handshakes und die Minderung von Paketverlusten nicht möglich.

Beginnen Sie die Fehlerbehebung, indem Sie die Firewall überprüfen.

  • Vermeiden Sie es, Port 68/udp auf Client-Systemen zu blockieren.
  • Vermeiden Sie es, Port 67/udp auf DHCP-Server-Systemen zu blockieren.
  • Vermeiden Sie es, die Ports 67/udp und 68/udp auf Firewalls oder anderen Sicherheitsgeräten zu blockieren.
  • Vermeiden Sie Fehlkonfigurationen der DHCP-Regeln, indem Sie TCP anstelle von UDP angeben.

Die meisten modernen Betriebssysteme verwalten diese Ports für Sie.

Linux-Firewall für DHCP konfigurieren.
Abbildung 3: Konfigurieren Sie die Linux-Firewall so, dass der DHCP-Dienst zugelassen wird.

Firewall-Konfigurationen können Probleme verursachen, aber auch der DHCP-Dienst selbst kann Schwierigkeiten bereiten. Überprüfen Sie die folgenden Möglichkeiten zur Fehlerbehebung:

  • Ist DHCP-Dienst ist gestartet?
  • Lauscht der DHCP-Dienst auf der richtigen Schnittstelle?
  • Ist der DHCP-Bereich aktiviert?
  • Verfügt der DHCP-Bereich über IP-Adressen, die vergeben werden können?
  • Überprüfen Sie die DHCP-Protokoll-Dateien.

Wenn DHCP ordnungsgemäß konfiguriert ist, suchen Sie nach anderen möglichen Problemen, darunter die folgenden:

  • - Benutzerdefinierte Anwendungen sind möglicherweise falsch konfiguriert, sodass sie die Ports 67/udp und 68/udp verwenden.
  • Stellen Sie außerdem sicher, dass sich der DHCP-Bereich nicht mit statischen IP-Adressen oder reservierten IP-Einstellungen überschneidet.

Möglicherweise sind auch Standardtools zur Netzwerkfehlerbehebung hilfreich, zum Beispiel die folgenden:

  • Nmap zum Scannen nach DHCP-Diensten und Port 67/udp.
  • Nmap zum Scannen nach DHCP-Clients auf Port 68/udp.
  • Wireshark oder tcpdump zum Abfangen der DHCP-Kommunikation.

Beachten Sie, dass viele Router die DHCP-Kommunikation zwischen Subnetzen blockieren, da zur Generierung von Leases Broadcasts verwendet werden. Mit anderen Worten: DHCP-Server und -Clients, die sich in separaten Netzwerken befinden, erfordern zusätzliche Konfigurationen, damit der Dienst ordnungsgemäß funktioniert. In der Regel umfasst dieser Ansatz die Verwendung von DHCP-Relay-Agenten oder bestimmte Router-Einstellungen.

Bewährte Verfahren für die Verwaltung der DHCP-Ports 67 und 68

DHCP ist in der Regel ein Dienst, der einmal eingerichtet wird und dann keine weitere Aufmerksamkeit erfordert. Client- und Servergeräte konfigurieren ihn normalerweise als Standarddienst. Es ist jedoch wichtig, sicherzustellen, dass die Ports 67/udp und 68/udp verfügbar sind und nicht durch eine Firewall oder andere Sicherheitseinstellungen blockiert werden.

Überprüfen Sie die folgenden Einstellungen, um sicherzustellen, dass der Dienst ordnungsgemäß funktioniert:

  • Firewall-Regeln.
  • Dienstkonfiguration und -verfügbarkeit.
  • Protokolldateien.
  • Einstellungen der Client-Geräte.

Mit diesen Vorgehensweisen stellen Sie Ihren Clients effiziente und zuverlässige DHCP-Dienste bereit.

Erfahren Sie mehr über LAN-Design und Netzwerkbetrieb