Cuando conectas un equipo a una red, lo primero que hace es buscar cómo conseguir su dirección IP para poder comunicarse. En Windows, los métodos más habituales son DHCP, configuración manual (IP estática), APIPA y, en IPv6, SLAAC. Cada enfoque tiene ventajas, limitaciones y escenarios de uso muy concretos que conviene entender para evitar dolores de cabeza.
Vamos a recorrer, paso a paso, cómo funciona cada método, qué mensajes intercambia el cliente con el servidor, cómo diagnosticar problemas típicos como el famoso DHCP Lookup, qué alternativas existen (BOOTP, Zeroconf, DHCPv6/SLAAC), y qué medidas de seguridad debes activar para proteger tu red frente a servidores no autorizados o ataques de agotamiento de concesiones.
Qué es DHCP y qué parámetros entrega
El protocolo DHCP asigna direcciones IP de forma automática a los clientes y, además, distribuye parámetros esenciales como máscara, puerta de enlace y DNS. Está definido por la RFC 2131 y permite tres modalidades de asignación: manual (reservas), automática y dinámica.
Aunque solemos pensar en IP, máscara y gateway, los servidores pueden enviar más opciones: DNS primario/secundario, nombre de dominio, MTU, NTP, WINS, TFTP, LDAP, NIS y otras avanzadas. Esto hace que la administración sea centralizada y coherente, evitando errores de configuración manual en cada equipo.
Modos de asignación habituales en servidores y routers:
- Manual o estática (reservas): vínculo IP–MAC o por Client Identifier para que un equipo reciba siempre la misma IP.
- Automática: se entrega una IP que queda asignada indefinidamente hasta que se libere; algunos firmwares usan algoritmos no secuenciales basados en la MAC.
- Dinámica: el método más flexible, con reutilización de direcciones y control de tiempos de concesión (lease).
El servidor mantiene un registro con IPs entregadas y las MAC correspondientes, lo que evita duplicidades y permite reutilizar direcciones una vez caducan. Así, la red se mantiene ordenada y escalable.
Ciclo DORA y puertos implicados
Cuando un equipo se conecta por primera vez y aún no tiene IP, lanza un paquete DHCP DISCOVER desde 0.0.0.0 a 255.255.255.255 para localizar servidores. Se usa UDP, con origen 68 (cliente) y destino 67 (servidor). Si hay un firewall bloqueando estos puertos en cliente o servidor, no habrá concesiones.
El servidor que escuche responde con DHCP OFFER indicando una IP candidata y opciones. El cliente contesta con DHCP REQUEST confirmando su elección y el servidor zanja con DHCP ACK. Este ciclo DORA puede mezclar broadcast y unicast según la configuración, y tras completarse, el cliente pobla su caché ARP, comprueba conflictos y, si detecta IP en uso, envía DHCPDECLINE.
Además de los puertos UDP 67/68, conviene vigilar que otros servicios como PXE/WDS no colisionen. Un simple netstat -anb ayuda a detectar procesos enganchados a esos puertos y a despejar dudas.
APIPA en Windows: link-local 169.254/16
Si el equipo no logra contactar con un servidor DHCP, Windows activa APIPA y se autoconfigura una IPv4 169.254.0.0/16 con máscara 255.255.0.0. Es una dirección link-local pensada para redes sin servidor o para diagnósticos, y cada pocos minutos el sistema vuelve a intentar obtener una concesión válida.
Una duda recurrente: ¿se puede forzar que, al desconectarse del DHCP, la NIC use 192.168.0.x en lugar de 169.254.x.x? En Windows no se cambia el rango APIPA, pero sí puedes usar la pestaña de Configuración alternativa en IPv4: dejas el adaptador en Obtener IP automáticamente y, en la configuración alternativa, defines una IP estática de respaldo (por ejemplo 192.168.0.10/24 con su gateway). Así, si no hay DHCP, usará esa estática; si aparece un servidor, volverá a DHCP sin que tengas que tocar nada.
Si necesitas alternar perfiles más complejos, puedes tirar de PowerShell o netsh para cambiar entre perfiles, o incluso crear scripts que activen/desactiven direcciones secundarias según ubicación. Lo que no es viable es tener DHCP y una IP fija simultáneamente en el mismo interfaz sin control, porque puedes provocar conflictos o rutas ambiguas.
IPv6, SLAAC y DHCPv6: autoconfiguración sin estado
En redes IPv6, los dispositivos pueden autoconfigurarse mediante SLAAC usando los Router Advertisements, lo que elimina la necesidad de un servidor para generar la dirección. Aun así, en muchos entornos se combina con DHCPv6 para distribuir DNS u otros parámetros, ya que SLAAC por sí solo puede quedarse corto en control.
Recuerda que en IPv6 siempre existe una link-local FE80::/64 por interfaz, útil para gestión y diagnósticos. Alternativas como Zeroconf simplifican redes pequeñas, pero a nivel empresarial se quedan limitadas en escalabilidad y gobierno.
Dónde desplegar el servidor DHCP
Puedes instalarlo en un servidor físico o virtual. En virtualización con Hyper‑V, si el DHCP debe servir a la red física, el vSwitch ha de ser externo. Consulta nuestra guía de redes de hipervisores. Evita dependencias de hardware como GPU en esa VM y valora el impacto de la virtualización sobre latencias si el host ejecuta apps sensibles.
En Windows Server hay funciones avanzadas interesantes (conmutación por error, migración en vivo, SR-IOV, VHDX compartido), mientras que Windows 10/11 ofrece opciones más básicas como NAT por defecto y plantillas rápidas. Elige plataforma en función de tu disponibilidad y necesidades de HA.
Implementación práctica y ajustes clave
En Windows Server, instala el rol DHCP, autoriza el servidor en Active Directory y define ámbitos con su rango, máscara, exclusiones y tiempo de concesión. Configura credenciales para actualizaciones dinámicas de DNS (registros A/PTR) y, si tienes varias tarjetas, limita el binding a la interfaz adecuada.
En redes con VLAN, no necesitas un servidor por VLAN: usa agentes de retransmisión (IP Helper) en los routers o SVIs para reenviar peticiones al servidor central. Ajusta el lease: en redes estables puedes dejar días; en redes de alta rotación (visitas, Wi‑Fi de invitados) baja a pocas horas para reciclar IPs más rápido.
En soluciones como pfSense puedes crear pools por subred, activar opciones avanzadas (NTP, TFTP, LDAP) y definir listas de control de acceso. En routers domésticos (ASUS o AVM FRITZ!Box) las opciones son más limitadas, pero permiten cambiar DNS, rango y habilitar mapeos estáticos.
Static DHCP (reservas) en routers y firewalls
El denominado Static DHCP, Static Mapping o reservas consiste en vincular una MAC con una IP para que el equipo reciba siempre la misma dirección. Es ideal para impresoras, cámaras, NAS o servidores de casa/pyme sin tener que configurar cada cliente manualmente.
En pfSense se introducen MAC/Client Identifier y parámetros como hostname, DNS, WINS o NTP a medida. En ASUS se hace desde LAN ⇢ Servidor DHCP, añadiendo MAC e IP, y en los FRITZ!Box desde Red, editando el dispositivo y marcando que siempre use la misma IPv4 (cambiando el último octeto dentro del rango).
Seguridad: Rogue DHCP, Snooping e IP Source Guard
DHCP carece de autenticación nativa, así que es vulnerable. Un atacante puede levantar un Rogue DHCP para dar puertas de enlace o DNS maliciosos, ejecutar Man in the Middle o provocar una denegación de servicio.
La defensa más efectiva en switches gestionables es DHCP Snooping: marcas como confiables solo los puertos hacia el servidor legítimo y bloqueas OFFER/ACK en puertos no autorizados. Complementa con IP Source Guard, que usa la base de Snooping para filtrar IPs suplantadas en el acceso.
Otro ataque común es el DHCP Starvation (solicitudes masivas con MAC falsas para agotar el pool). Mitiga limitando tasas por puerto, usando 802.1X en acceso cableado y, en redes de operadores, etiquetas de relay (RFC3046) o autenticación de mensajes (RFC3118, poco desplegada). La monitorización de logs y alertas es clave.
Ventajas y desventajas de usar DHCP
Entre sus puntos fuertes: configuración centralizada, menos errores humanos, control de cambios y rapidez al propagar ajustes en toda la red. Además, evita conflictos de IP duplicada y permite automatizar parámetros críticos como DNS.
Entre sus pegas: si solo hay un servidor y cae, los clientes no podrán renovar su concesión. También, una opción mal definida se propaga a todos, y en redes grandes sin buen diseño podrías agotar el rango. Por eso conviene planificar bien ámbitos, exclusiones y HA.
Cuándo activarlo y cuándo no
Actívalo siempre que quieras procesos automatizados y consistentes: oficinas, campus, viviendas con múltiples dispositivos, redes de invitados o entornos con movilidad.
Evítalo o combínalo con IPs fijas cuando se trate de servidores críticos, dispositivos de seguridad, routers, firewalls o escenarios con requisitos de control detallado. Para redes pequeñas y estáticas, una numeración fija simple puede ser suficiente.
Error DHCP Lookup en Windows: soluciones rápidas
Si al iniciar tu PC aparece un fallo del estilo DHCP Lookup y te quedas sin IP, prueba: ipconfig /renew en CMD (forzará nueva concesión) y, si hace falta, ipconfig /release seguido de /renew para reiniciar el ciclo.
Actualiza los drivers del adaptador de red (Windows Update, Administrador de dispositivos o web del fabricante), reinicia el router de forma correcta (apagado 30 segundos) y usa el solucionador de problemas de Red e Internet.
Si persiste, en Configuración ⇢ Red e Internet ⇢ Estado, usa Restablecimiento de red (reinstala controladores y revierte ajustes). En redes con cientos de equipos, revisa si necesitas cambiar la máscara de subred a algo tipo /16 o /8; en hogares no suele ser necesario.
Checklist de diagnóstico: servidor y clientes
En el servidor verifica: servicio DHCP iniciado, servidor autorizado, concesiones libres, ausencia de BAD_ADDRESS, que el binding de la NIC esté en la subred correcta (Get-DhcpServerv4Binding/ v6) y que solo el servicio DHCP escuche en UDP 67/68 (netstat -anb).
Si usas IPsec, añade la exención para DHCP. Comprueba reachability hacia los agentes de retransmisión y revisa filtros/directivas. En el lado del cliente: cableado, filtrado MAC en switches, adaptador habilitado, servicio Cliente DHCP levantado y firewall sin bloquear UDP 67/68.
Analizar DORA con Wireshark
Captura en cliente y servidor, reproduce el problema (por ejemplo, ipconfig /renew) y filtra por dhcp. Busca los cuatro mensajes (DISCOVER, OFFER, REQUEST, ACK). Si falta alguno, tienes una caída en el camino.
Indicadores típicos: el cliente muestra DISCOVER pero el servidor no lo ve (bloqueo hacia el servidor), o el servidor envía OFFER y el cliente no lo recibe (bloqueo de vuelta). Cuando confirmes la pérdida, involucra al equipo de red para revisar ACLs, VLANs, snooping, DAI o firewalls.
Registros y recolección de datos
Consulta los registros del servicio DHCP y del sistema (Registros de aplicaciones y servicios ⇢ Microsoft ⇢ Windows ⇢ Servidor DHCP). Usa el Visor de eventos de Windows. Los logs de depuración viven en %windir%\System32\Dhcp y detallan concesiones y actualizaciones DNS.
Si vas a abrir ticket, puedes recoger trazas con herramientas de soporte (TSS) ejecutadas con privilegios de administrador, aceptando el CLUF y reproduciendo el problema para empaquetar la evidencia en C:\MS_DATA.
Ámbitos: tipos, opciones y planificación
Un ámbito es el bloque de direcciones que el servidor puede asignar en una subred. Los más comunes son el ámbito único (un rango contiguo), el de multidifusión (MADCAP, RFC 2730) y los superámbitos (agrupan varios ámbitos para gestión y redes con múltiples subredes en el mismo medio físico).
Al diseñarlos, define el rango completo, luego crea exclusiones para IPs estáticas (routers, servidores, impresoras), y prepara reservas para clientes que deban conservar su IP. Ajusta también opciones de ámbito: gateway, DNS y, si usas WINS o clases específicas de proveedor/usuario, aplícalas donde proceda.
Las reservas asignan siempre la misma IP a una NIC (por MAC). Son muy útiles para mover direcciones sin entrar en cada dispositivo. Recuerda que si el DHCP cae, esos dispositivos también dependerán del servidor para renovar.
Los intervalos de exclusión evitan conflictos cuando pones IPs fijas dentro del rango. No olvides dejar hueco para crecimiento futuro y documentar bien qué estático ocupa cada IP.
Escenario EAP y redes Wi‑Fi: quién da las IP
En despliegues con puntos de acceso empresariales (EAP), estos no actúan como servidor DHCP. El router suele ser el que reparte IPs y el switch PoE alimenta a los AP. Asegúrate de que el servidor DHCP esté activo en la VLAN adecuada y que la interfaz de los EAP tenga alcance al servicio.
En el cliente Windows, en Propiedades de IPv4, deja activado Obtener una dirección IP automáticamente y, si lo necesitas, configura DNS también en automático. Si no hay DHCP en esa VLAN, usa la alternativa estática comentada antes.
Alternativas y tecnologías relacionadas
Antes de DHCP existía BOOTP, aún útil para arranques sin disco, pero demasiado limitado en redes modernas. Zeroconf simplifica entornos pequeños sin servidor central, aunque no escala ni ofrece gobierno fino.
En IPv6, SLAAC y DHCPv6 se complementan para mejorar control y distribución de opciones. Y para redes grandes, las soluciones de gestión de direcciones IP (IPAM) aportan visibilidad, automatización y auditoría, sin sustituir al DHCP pero integrándose con él.
Alta disponibilidad y consideraciones de red
Valora la conmutación por error (failover) entre servidores DHCP o el split scope para reducir el impacto de caídas. En la red, si usas VRRP/HSRP, DHCP Snooping y DAI deben estar bien alineados para no bloquear las respuestas legítimas.
Por último, comprueba que ningún dispositivo con IP fija invada el rango del ámbito y provoca BAD_ADDRESS, y que los agentes de retransmisión estén configurados en todas las VLAN necesarias. Con esto, las concesiones deberían fluir sin sorpresas.
Dominar cómo Windows obtiene su IP, desde DHCP y las reservas hasta APIPA o SLAAC, te permite diseñar redes limpias y seguras: configura bien los ámbitos, automatiza parámetros críticos, refuerza con Snooping/IPSG, documenta exclusiones y reservas, y apóyate en logs y capturas cuando algo no cuadre; con esos mimbres, la red respira y tú también.
