TCP/UDP TLS HTTP/DNS 5-Layer-Modell

Netzwerkprotokolle im Überblick: Vom OSI- zum 5-Layer-Modell

Netzwerke funktionieren nur, weil viele Protokolle sauber ineinandergreifen. Ethernet liefert den Frame, ARP löst Adressen auf, IP routet logisch durch Netze, TCP und UDP transportieren Daten Ende zu Ende und Anwendungsprotokolle wie HTTP oder DNS erledigen die eigentliche Fachaufgabe. Diese Seite ordnet die wichtigsten Protokolle im OSI-Modell ein und zeigt, wie Layer 5 bis 7 im hybriden 5-Layer-Modell meist zur Anwendungsschicht zusammengefasst werden.

ARP sitzt zwischen lokaler Layer-2-Zustellung und Layer-3-Adressierung und nimmt damit eine Sonderrolle ein.

ICMP transportiert keine Anwendung per Port, sondern meldet direkt auf Layer 3 Diagnosen und Fehler.

Ports werden erst ab Layer 4 relevant. Erst dort trennen TCP und UDP verschiedene Anwendungen auf einem Host.

Im hybriden 5-Layer-Modell werden OSI-Layer 5 bis 7 meist zur Anwendungsschicht zusammengefasst.

Die Grenzen sind im Alltag wichtig: Ein Paket kann Layer-3-seitig korrekt sein und trotzdem auf Layer 2, Layer 4 oder in der Anwendung scheitern.

Wichtige Einordnung

Layer 2 regelt die lokale Zustellung im gleichen Segment, Layer 3 die logische Weiterleitung über mehrere Netze.

ARP ist für IPv4 oft der Schlüssel, damit ein Host überhaupt die passende Ziel-MAC zum IP-Ziel finden kann.

TCP und UDP bilden die Transportebene, auf der Ports und Ende-zu-Ende-Kommunikation sichtbar werden.

Im hybriden 5-Layer-Modell werden Sitzung, Darstellung und Anwendung meist zu einer gemeinsamen Anwendungsschicht zusammengefasst.

Kurzfassung

Ethernet, VLAN und LLDP sind typische Layer-2-Themen.

IP, ICMP und Routing-Protokolle leben logisch oberhalb davon auf Layer 3.

TCP und UDP sitzen auf Layer 4 und stellen Anwendungen Ports und Transportmechanismen bereit.

HTTP, DNS, SMTP oder SSH liegen im hybriden Modell gemeinsam auf Layer 5, auch wenn das OSI-Modell dafür Layer 5 bis 7 trennt.

Praxisablauf

Wie die Protokolle zusammenarbeiten

Ein Host will zum Beispiel ein Ping-Paket an ein Ziel schicken. Dann greifen mehrere Protokolle direkt nacheinander ineinander.

Wenn ein Schritt ausfällt, scheitert oft die komplette Kommunikation. Deshalb ist die Trennung in Layer 2 und Layer 3 für Analyse und Fehlersuche so wertvoll.

IP bestimmt das Ziel

Der Host kennt die Ziel-IP und entscheidet, ob das Ziel im gleichen Netz liegt oder über ein Gateway erreichbar sein muss.

ARP sucht die MAC

Bevor ein Ethernet Frame gebaut werden kann, braucht der Host die Ziel-MAC des Nachbarn oder Gateways.

Ethernet kapselt

Das IP-Paket wird in einen Ethernet Frame verpackt und lokal über den Switch transportiert.

ICMP liefert Diagnose

Beim Ping steckt im IP-Paket ein ICMP Echo Request. Antworten oder Fehler kommen ebenfalls per ICMP zurück.

Lokales Netz

Wichtige Protokolle auf Layer 2

Layer 2 ist für die direkte Zustellung in einem Ethernet-Segment zuständig. Hier finden sich Frames, MAC-Adressen, VLANs und Discovery-Mechanismen.

STP oder RSTP gehören ebenfalls in den Layer-2-Kontext und verhindern Schleifen in redundanten Switch-Topologien.
MAC-Adressen haben nur innerhalb des aktuellen Layer-2-Segments Bedeutung.
ARP arbeitet technisch in Ethernet-Frames, beantwortet aber eine Layer-3-Frage nach der nächsten Ziel-MAC für eine IP-Adresse.

Ethernet

Frame-basierte LAN-Kommunikation

Ethernet definiert Aufbau und Transport lokaler Frames inklusive Ziel-MAC, Quell-MAC, EtherType und FCS.

Ethernet Frame lesen

ARP

Adressauflösung für IPv4

ARP fragt per Broadcast nach der MAC-Adresse zu einer bekannten IPv4-Adresse und ist damit die Brücke zwischen Layer 2 und Layer 3.

802.1Q VLAN

Segmentierung auf Layer 2

VLAN-Tags trennen Broadcast-Domains logisch voneinander und tragen zusätzlich Prioritätsinformationen.

LLDP

Nachbarschaftserkennung

LLDP hilft Switches, Access Points oder Servern dabei, direkte Layer-2-Nachbarn und deren Eigenschaften zu erkennen.

Logische Weiterleitung

Wichtige Protokolle auf Layer 3

Layer 3 macht aus lokalen Segmenten ein zusammenhängendes Netzwerk. Hier geht es um IP-Adressen, Routing und Fehlermeldungen entlang des Pfades.

IPv4 und IPv6

Adressierung und Routing

IP übernimmt die logische Ende-zu-Ende-Kommunikation über mehrere Netze hinweg.

IP Header lesen

ICMP

Fehler und Diagnose

ICMP meldet zum Beispiel Echo Reply, Time Exceeded oder Destination Unreachable und ist damit zentral für Ping und Traceroute.

ICMPv6

IPv6-Nachbarschaft und Meldungen

Im IPv6-Umfeld übernimmt ICMPv6 noch mehr Aufgaben, etwa Router Solicitation, Router Advertisement oder Neighbor Discovery.

Routing-Protokolle

OSPF, BGP und mehr

Routing-Protokolle verteilen Wegeinformationen zwischen Routern und bauen daraus Routing-Tabellen auf.

Protokoll	Typische Aufgabe	Praxisbezug
IP	Adressierung und Weiterleitung	Grundlage für fast jede Kommunikation im Netz
ICMP	Fehler- und Diagnosenachrichten	Ping, Traceroute, PMTUD
ICMPv6	Diagnose und Nachbarschaft im IPv6-Netz	Neighbor Discovery statt klassischem ARP
OSPF oder BGP	Austausch von Routen	Wichtig auf Routern und in größeren Netzen

Oberer Stack

Wie das hybride 5-Layer-Modell die oberen Schichten bündelt

Ab Layer 4 geht es nicht mehr nur um Frames und Routing, sondern um Ende-zu-Ende-Transport und konkrete Anwendungsdienste. Das hybride 5-Layer-Modell fasst dabei die OSI-Layer 5 bis 7 zu einer gemeinsamen Anwendungsschicht zusammen.

In realen TCP/IP-Netzen verschwimmen OSI-Layer 5 und 6 fast immer mit Layer 7. Deshalb ist das hybride 5-Layer-Modell für die Praxis oft leichter: TCP oder UDP liefern den Transport, und oberhalb davon liegt eine gemeinsame Anwendungsschicht mit Protokollen wie HTTP, DNS oder SMTP.

Layer 4: Transport

TCP und UDP

Layer 4 transportiert Daten zwischen zwei Endpunkten. Hier entstehen Ports, Verbindungen, Segmentierung, Flusskontrolle und je nach Protokoll auch Zuverlässigkeit.

TCP ist verbindungsorientiert, bestätigt Daten und sorgt für Reihenfolge.
UDP ist verbindungslos, einfacher und oft schneller für DNS, VoIP oder Streaming.

Layer 5: Anwendung

Hybridmodell

Im hybriden Modell liegen hier die eigentlichen Dienste wie HTTP, DNS, SMTP oder SSH. Auch Sitzungen, Formate und Verschlüsselung werden in der Praxis oft gemeinsam mit der Anwendung betrachtet.

Die Anwendungsschicht definiert Befehle, Antworten, Inhalte und typische Standardports.
TLS, Cookies, Sessions oder Datenformate wie JSON werden im Alltag meist mit dieser Ebene zusammengedacht.

OSI zu Hybrid

Einordnung

Das OSI-Modell trennt Sitzung, Darstellung und Anwendung in Layer 5 bis 7. Das hybride 5-Layer-Modell bündelt diese Aufgaben meist in einer gemeinsamen Anwendungsschicht.

Für die Praxis ist das oft übersichtlicher, weil viele Protokolle diese Aufgaben ohnehin miteinander verzahnen.
Für Analyse und Lehre bleibt die OSI-Sicht trotzdem nützlich, wenn du Probleme genauer einordnen willst.

Transport

Layer 4 im Detail: TCP, UDP und Ports

Layer 4 ist die Ebene, auf der ein Host mehrere parallele Anwendungen unterscheiden kann. Das geschieht über Portnummern.

Ein Socket besteht praktisch aus IP-Adresse, Transportprotokoll und Port.
Ohne Layer 4 gäbe es keine saubere Zuordnung zwischen einem eingehenden Paket und dem passenden Dienst.
Die Portnummer identifiziert die Anwendung, nicht den einzelnen Benutzer oder die Datei.

TCP

Zuverlässig und zustandsbehaftet

TCP baut eine Verbindung auf, nummeriert Segmente, bestätigt empfangene Daten und wiederholt verlorene Pakete.

UDP

Schlank und direkt

UDP kennt keine klassische Verbindung und keine eingebaute Wiederholung. Dadurch ist es leichtgewichtig und für kurze Anfragen oder Echtzeitdaten beliebt.

Ports

Dienstzuordnung auf dem Zielhost

Ein Port zeigt dem Betriebssystem, welche Anwendung die Daten erhalten soll, zum Beispiel 443 für HTTPS oder 53 für DNS.

Anwendungsschicht

Layer 5 im hybriden Modell: Anwendungen, Formate und typische Ports

Im hybriden 5-Layer-Modell fasst Layer 5 die Aufgaben zusammen, die im OSI-Modell auf Sitzung, Darstellung und Anwendung verteilt sind. Deshalb landen hier sowohl sichtbare Dienste als auch Dinge wie TLS, Sitzungen oder Datenformate.

Die Portnummer gehört technisch zu Layer 4, wird aber meist zusammen mit dem Anwendungsprotokoll genannt, weil sich Dienste in der Praxis über Standardports identifizieren lassen.

TLS lässt sich im OSI-Modell gut als Darstellungsschicht beschreiben, wird im hybriden Modell aber meist gemeinsam mit HTTPS und anderen Anwendungen betrachtet. Ähnlich verhält es sich mit Sitzungen, Cookies oder Datenformaten wie JSON.

Viele Protokolle können auf alternativen Ports betrieben werden. Die Tabelle zeigt deshalb die üblichen Standardports, nicht jede mögliche Sonderkonfiguration.

Protokoll	Was es macht	Typischer Port
HTTP	Überträgt Webseiten und API-Anfragen im Klartext	TCP 80
HTTPS	HTTP über TLS für verschlüsselte Webseiten und APIs	TCP 443
DNS	Löst Namen wie example.com in IP-Adressen auf	UDP 53, TCP 53
DHCP	Vergibt automatisch IP-Konfigurationen an Clients	UDP 67/68
SSH	Ermöglicht sichere Remote-Administration und Tunneling	TCP 22
FTP	Überträgt Dateien zwischen Client und Server	TCP 21
SMTP	Versendet E-Mails zwischen Clients und Mailservern oder Servern untereinander	TCP 25, 587
IMAP	Greift auf E-Mails direkt auf dem Mailserver zu und synchronisiert Ordner	TCP 143, 993
POP3	Lädt E-Mails vom Server zum Client herunter	TCP 110, 995
NTP	Synchronisiert die Uhrzeit von Geräten im Netzwerk	UDP 123
SNMP	Überwacht und verwaltet Netzwerkgeräte	UDP 161, 162
SMB	Bietet Datei- und Druckerfreigaben in lokalen Netzen	TCP 445
LDAP	Liefert Verzeichnisdienste für Benutzer, Gruppen und Richtlinien	TCP/UDP 389, TCP 636
RDP	Ermöglicht grafischen Fernzugriff auf Windows-Systeme	TCP/UDP 3389
SIP	Signalisiert den Aufbau von VoIP- und Videotelefonie-Sitzungen	UDP/TCP 5060, TLS 5061

Schichtenmodell

Warum die Layer-Trennung wichtig ist

Viele Fehlerbilder wirken oberflächlich gleich, sitzen aber auf unterschiedlichen Ebenen. Ohne Layer-Trennung verwechselst du schnell Adressierungs-, Routing-, Transport- und Anwendungsprobleme.

Wenn ARP scheitert

Dann kennt der Host die Ziel-MAC nicht. Das IP-Paket kann logisch korrekt sein und trotzdem nicht losgeschickt werden.

Wenn Routing scheitert

Der Frame wird lokal korrekt zugestellt, aber das nächste Netz oder Gateway ist falsch oder nicht erreichbar.

Wenn TCP oder UDP blockiert wird

IP-Konnektivität kann vorhanden sein, aber der benötigte Port ist durch Firewall-Regeln oder fehlende Listener trotzdem nicht nutzbar.

Wenn ICMP blockiert wird

Die eigentliche Kommunikation kann trotzdem funktionieren, aber Diagnose und Fehlermeldungen werden deutlich schwieriger.

OSI-Modell ansehen

Häufige Fragen

Ist ARP ein Layer-2- oder Layer-3-Protokoll?

ARP bewegt sich praktisch dazwischen. Es wird in Ethernet-Frames transportiert, löst aber IPv4-Adressen in MAC-Adressen auf und verbindet damit Layer 2 und Layer 3.

Wofür wird ICMP verwendet?

ICMP transportiert Fehler- und Diagnoseinformationen, zum Beispiel bei Ping, Traceroute, Time Exceeded oder Destination Unreachable.

Warum ist Ethernet kein Layer-3-Protokoll?

Ethernet regelt die lokale Frame-Zustellung per MAC-Adresse in einem Segment. Routing über mehrere Netze hinweg ist Aufgabe von IP auf Layer 3.

Welche Protokolle sollte man als Einsteiger zuerst verstehen?

Ein guter Start sind Ethernet, ARP, IPv4, TCP, UDP, DNS und HTTP beziehungsweise HTTPS. Damit verstehst du bereits einen großen Teil typischer Netzwerkanalyse im Alltag.

Warum werden Layer 5 bis 7 oft zusammengefasst?

Weil ihre Aufgaben in modernen TCP/IP-Netzen oft eng miteinander verzahnt sind. Das hybride 5-Layer-Modell bündelt sie deshalb meist zu einer gemeinsamen Anwendungsschicht, während das OSI-Modell sie getrennt betrachtet.

Liegt der Port auf Layer 5?

Nein. Portnummern gehören zu TCP oder UDP auf Layer 4. In der Praxis werden sie aber oft zusammen mit Anwendungsprotokollen genannt, weil Dienste über ihre Standardports leicht erkennbar sind.