Par défaut, une zone ne peut pas envoyer ni recevoir des paquet vers ni depuis une autre zone. Les ports multiniveau (les MLP) permettent à certains services particuliers sur un port d'accepter des demandes correspondant à une plage d'étiquettes ou à un jeu d'étiquettes donné. Ces services privilégiés peuvent répondre sous l'étiquette de la demande. Vous pouvez par exemple souhaiter créer un port de navigateur Web privilégié capable d'écouter sur toutes les étiquettes, mais dont les réponses sont limitées en fonction de l'étiquette. Par défaut, les zones étiquetées n'ont pas de MLP.
La plage d'étiquettes ou l'ensemble d'étiquettes qui limite les paquets pouvant être acceptés par le MLP dépend de l'adresse IP de la zone. Un modèle de sécurité est affecté à l'adresse IP en communiquant des systèmes Trusted Extensions. La plage d'étiquettes ou l'ensemble d'étiquettes du modèle de sécurité limite les paquets que le MLP peut accepter.
Les contraintes qui s'appliquent aux MPL pour les différentes configurations d'adresse IP sont les suivantes :
Sur un système sur lequel la zone globale a une adresse IP et chacune des zones étiquetées une adresse IP unique, un MLP pour un service particulier peut être ajouté à chaque zone. Par exemple, le système peut être configuré de manière à ce que le service ssh soit, par le biais du port TCP 22, un MLP dans la zone globale et dans chaque zone étiquetée.
Dans une configuration standard, une adresse IP est attribuée à la zone globale et les zones étiquetées partagent une seconde adresse IP avec la zone globale. Lorsqu'un MLP est ajouté à une interface partagée, le paquet du service est acheminé vers la zone étiquetée où le MLP est défini. Le paquet n'est accepté que si la plage d'étiquettes du modèle d'hôte distant pour la zone étiquetée inclut l'étiquette du paquet. Lorsque la plage est comprise entre ADMIN_LOW et ADMIN_HIGH, tous les paquets sont acceptés. Lorsque la plage d'étiquettes est plus restreinte, les paquets dont l'étiquette n'est pas comprise dans la plage sont rejetés.
Au mieux, une zone peut définir un port particulier en tant que MLP sur une interface partagée. Dans le scénario précédent, où le port ssh était configuré en tant que MLP partagé dans une zone non globale, aucune autre zone ne peut recevoir de connexions ssh sur l'adresse partagée. Toutefois, la zone globale pourrait définir le port ssh en tant que MLP privé pour la réception de connexions sur son adresse spécifique de zone.
Dans une configuration par défaut, où la zone globale et les zones étiquetées partagent une adresse IP, un MLP pourrait être ajouté à une zone pour le service ssh. Si le programme MLP pour ssh est ajouté à la zone globale, aucune zone étiquetée ne peut ajouter de MLP pour le service ssh. De même, si le MLP du service ssh est ajouté à une zone étiquetée, la zone globale ne peut pas être configurée avec un MLP ssh.
Pour un exemple, reportez-vous à la section Création d'un port multiniveau pour une zone.