기본적으로 영역 간에는 패킷을 보내고 받을 수 없습니다. 포트의 특정 서비스에서 MLP(다중 레벨 포트)를 사용하여 레이블 범위나 레이블 세트에서 요청을 받을 수 있습니다. 이 권한 있는 서비스에서는 요청 레이블에 응답할 수 있습니다. 예를 들어, 모든 레이블을 수신할 수 있지만 레이블에 의해 응답이 제한되는 권한 있는 웹 브라우저 포트를 만들 수 있습니다. 기본적으로 레이블이 있는 영역에는 MLP가 없습니다.
MLP가 받을 수 있는 패킷을 제한하는 레이블 범위나 레이블 세트는 영역의 IP 주소를 기반으로 합니다. IP 주소는 Trusted Extensions 시스템과 통신하여 보안 템플리트에 지정됩니다. 보안 템플리트의 레이블 범위나 레이블 세트는 MLP가 받을 수 있는 패킷을 제한합니다.
다른 IP 주소 구성에 대한 MLP 제약 조건은 다음과 같습니다.
전역 영역에 IP 주소가 하나 있고 레이블이 있는 영역마다 고유한 IP 주소가 있는 시스템의 경우 특정 서비스에 대한 MLP를 모든 영역에 추가할 수 있습니다. 예를 들어, TCP 포트 22를 통한 ssh 서비스를 전역 영역과 레이블이 있는 모든 영역의 MLP로 사용하도록 시스템을 구성할 수 있습니다.
일반적인 구성에서는 전역 영역에 하나의 IP 주소가 지정되고 레이블이 있는 영역에서 두번째 IP 주소를 전역 영역과 공유합니다. MLP를 공유 인터페이스에 추가하면 MLP가 정의된 레이블이 있는 영역으로 서비스 패킷이 경로 지정됩니다. 레이블이 있는 영역에 대한 원격 호스트 템플리트의 레이블 범위에 패킷 레이블이 포함되어 있는 경우에만 패킷이 수락됩니다. 범위가 ADMIN_LOW ~ ADMIN_HIGH이면 모든 패킷이 수락됩니다. 보다 좁은 범위를 사용하면 범위에 포함되지 않는 패킷은 무시됩니다.
일반적으로 한 영역에서 특정 포트를 공유 인터페이스에 대한 MLP로 정의할 수 있습니다. ssh 포트가 비전역 영역의 공유 MLP로 구성된 앞의 시나리오에서 다른 영역은 공유 주소에 대한 ssh 연결을 수신할 수 없습니다. 그러나 전역 영역에서는 ssh 포트를 영역별 주소에 대한 연결을 수신할 수 있는 개인 MLP로 정의할 수 있습니다.
전역 영역과 레이블이 있는 영역이 IP 주소를 공유하는 기본 구성에서는 ssh 서비스에 대한 MLP를 한 영역에 추가할 수 있습니다. ssh에 대한 MLP를 전역 영역에 추가하면 레이블이 있는 영역에서는 ssh 서비스에 대한 MLP를 추가할 수 없습니다. 마찬가지로 ssh 서비스에 대한 MLP를 레이블이 있는 영역에 추가하면 ssh MLP로 전역 영역을 구성할 수 없습니다.
예는 영역에 대한 다중 레벨 포트를 만드는 방법을 참조하십시오.