De manera predeterminada, las zonas no pueden enviar paquetes a ninguna otra zona ni recibir paquetes de ninguna otra zona. Los puertos de varios niveles activan servicios concretos en un puerto para aceptar solicitudes dentro de un rango de etiquetas o de un conjunto de etiquetas. Estos servicios con privilegios pueden responder en la etiqueta de la solicitud. Por ejemplo, quizás desee crear un puerto de explorador web con privilegios que pueda recibir todas las etiquetas, pero cuyas respuestas estén restringidas por etiqueta. De manera predeterminada, las zonas con etiquetas no tienen puertos de varios niveles.
El rango o el conjunto de etiquetas que restringe los paquetes que el puerto de varios niveles puede aceptar se basan en la dirección IP de la zona. Se asigna una plantilla de seguridad a la dirección IP mediante la comunicación de los sistemas Trusted Extensions. El rango o el conjunto de etiquetas de la plantilla de seguridad restringe los paquetes que el puerto de varios niveles puede aceptar.
Las restricciones en los puertos de varios niveles para las configuraciones de direcciones IP diferentes son las siguientes:
En los sistemas en que la zona global tiene una dirección IP y cada zona con etiquetas tiene una sola dirección IP, se puede agregar un puerto de varios niveles para un servicio en particular a cada zona. Por ejemplo, el sistema podría configurarse para que el servicio ssh, mediante el puerto TCP 22, sea un puerto de varios niveles en la zona global y en cada zona con etiquetas.
En una configuración típica, a la zona global se le asigna una dirección IP, y las zonas con etiquetas comparten una segunda dirección IP con la zona global. Cuando se agrega un puerto de varios niveles a una interfaz compartida, el paquete de servicio se enruta hacia la zona con etiquetas donde se define el puerto de varios niveles. El paquete se acepta únicamente si el rango de etiquetas de la plantilla de host remoto para la zona con etiquetas incluye la etiqueta del paquete. Si el rango es ADMIN_LOW a ADMIN_HIGH, se aceptan todos los paquetes. Si el rango fuera menor, se descartarían los paquetes que no estén dentro del rango.
En la mayoría de los casos, una zona puede definir un puerto determinado para que actúe como puerto de varios niveles en una interfaz compartida. En la situación anterior, donde el puerto ssh está configurado como puerto de varios niveles compartido en una zona no global, ninguna otra zona puede recibir conexiones ssh en la dirección compartida. Sin embargo, la zona global podría definir el puerto ssh como puerto de varios niveles privado para la recepción de conexiones en su dirección específica de la zona.
En la configuración predeterminada, en donde la zona global y las zonas con etiquetas comparten una dirección IP, se puede agregar un puerto de varios niveles para el servicio ssh en una zona. Si el puerto de varios niveles para ssh se agrega a la zona global, ninguna zona con etiquetas puede agregar un puerto de varios niveles para el servicio ssh. De manera similar, si el puerto de varios niveles para el servicio ssh se agrega a una zona con etiquetas, la zona global no se puede configurar con un puerto de varios niveles ssh.
Para ver un ejemplo, consulte Cómo crear un puerto de varios niveles para una zona.