giải pháp bảo mật ở các tầng khác nhau
10.2 Cấu trúc, dịch vụ và giao thức an toàn tầng mạng
Tầng mạng trong mô hình OSI thích nghi với sự đa dạng của các công nghệ mạng con và các chiến l−ợc kết nối, khiến cho nó là một tầng phức tạp nhất trong bảy tầng của mô hình. Tầng mạng phải đ−a ra giao diện dịch vụ chung với tầng
1
Network Layer Security, Steven F. Blanding, Chapter 8, Information Security Management Hanbook, 4th
giao vận và điều phối giữa các mạng con có các công nghệ khác nhau. Góp phần đáng kể vào độ phức tạp này là hai kiểu hoạt động, có liên kết và không liên kết.
Có ba chuẩn OSI mô tả các dịch vụ tầng mạng, gồm: ISO/IEC 8648, ISO/IEC 8880 và ISO/IEC 8348. Tổ chức bên trong của tầng mạng đ−ợc diễn giải bằng chuẩn ISO/IEC 8648. Các nguyên tắc chung, sự chuẩn bị và hỗ trợ các dịch vụ mạng theo kiểu liên kết và không liên kết đ−ợc diễn giải bằng chuẩn ISO/IEC 8880. Định nghĩa dịch vụ mạng bao gồm phụ ch−ơng về kiểu liên kết và không liên kết, phụ ch−ơng về đánh địa chỉ đ−ợc trình bày bằng chuẩn ISO/IEC 8348. Chuẩn này cũng mô tả các khái niệm về hệ thống cuối và hệ thống trung gian. Một hệ thống cuối mô hình hoá phần cứng thoả mãn mô hình kết nối bảy tầng OSI hoàn chỉnh, trong khi hệ thống trung gian đ−ợc đặt ở tầng mạng chỉ có các chức năng thoả mãn ba tầng OSI thấp nhất. Các kết nối một hệ thống cuối với hệ thống cuối khác có thể thực hiện trực tiếp hoặc thông qua một vài hệ thống trung gian.
Các hệ thống trung gian cũng có thể bao hàm hoặc quy vào một mạng con thực sự, một đơn vị liên kết mạng kết nối hai hay nhiều mạng con thực sự, hoặc pha trộn cả hai một mạng con thực sự và một đơn vị liên kết mạng. Một tập hợp phần cứng và các liên kết vật lý kết nối các hệ thống thực sự đ−ợc gọi là mạng con thực sự. Những ví dụ về các mạng con thực sự gồm các mạng cục bộ hoặc các mạng chuyển mạch gói công cộng. Trên cơ sở này có thể thiết lập nhiều giao thức tầng mạng khác nhau. Vì giao thức có thể tồn tại ở mức mạng con trong tầng mạng, nên không cần thiết kế chúng để hỗ trợ riêng chuẩn OSI. Nh− vậy, việc đáp ứng tất cả các chức năng mà dịch vụ tầng mạng yêu cầu không cần giao thức cơ sở của mạng con cung cấp. Để đạt đ−ợc chức năng chuẩn OSI, có thể đ−a ra các lớp giao thức nhỏ hơn nữa trên giao thức mạng con.
Bỏ qua kiểu liên kết thiết kế, giao thức tầng mạng thực thi một trong ba vai trò. Các vai trò này là giao thức hội tụ mạng con độc lập (SNICP- subnetwork- independent convergence protocol), giao thức hội tụ mạng con phụ thuộc (SNDCP- subnetwork-dependent convergence protocol) và giao thức truy nhập mạng con (SNAcP-subnetwork-access protocol). Vai trò SNICP đảm bảo các chức năng đáp ứng dịch vụ mạng OSI nhờ các khả năng cơ sở hoàn toàn xác định mà không dựa hẳn vào bất kỳ mạng con cụ thể nào. Nhiệm vụ là áp tải thông tin đánh địa chỉ và định tuyến qua các mạng đa liên kết và thông th−ờng ghép vào giao thức liên kết đ−ợc sử dụng. Vai trò SNDCP hoạt động nhờ một giao thức đáp ứng vai trò SNAcP nhằm bổ sung các khả năng mà giao thức SNICP yêu cầu hoặc cần thiết để cung cấp dịch vụ mạng OSI hoàn chỉnh. Vai trò SNAcP đảm bảo dịch vụ mạng con tại những điểm cuối của nó, đó là dịch vụ có thể hoặc không thể t−ơng đ−ơng với dịch vụ mạng OSI. Giao thức này là một bộ phận vốn gắn liền với một kiểu mạng con cụ thể.
ISO/IEC 8473 xác định một giao thức khác rất quan trọng đối với tầng mạng - giao thức mạng không liên kết (CLNP-connectionless network protocol). Giao thức này cung cấp dịch vụ mạng kiểu không liên kết trong phạm vi vai trò SNICP.
Định nghĩa về hoạt động của giao thức này trên các mạng con chuyển mạch gói hoặc các mạng con LAN đ−ợc bao hàm trong chuẩn ISO/IEC 8473.