缺省情况下,区域之间不能相互发送或接收包。多级别端口 (Multilevel Port, MLP) 可以启用端口上的特定服务,用以接受一定标签范围内的请求,或来自一个标签集合的请求。这些特权服务可以以请求的标签进行回复。例如,您可能想要创建一个可以在所有标签进行侦听的特权 Web 浏览器端口,但是它的回复受标签限制。缺省情况下,有标签区域没有 MLP。
对 MLP 可以接受的包进行限制的标签范围或标签集合基于区域的 IP 地址。正在进行通信的 Trusted Extensions 系统会为该 IP 地址指定一个安全模板。安全模板中的标签范围或标签集合对 MLP 可以接受的包进行限制。
针对不同 IP 地址配置,对 MLP 的限制如下:
在全局区域具有一个 IP 地址并且每个有标签区域都有一个唯一 IP 地址的系统上,可以向每个区域添加用于特定服务的 MLP。例如,可以对系统进行配置,从而通过 TCP 端口 22 的 ssh 服务是全局区域中和每个有标签区域中的 MLP。
在典型配置中,为全局区域指定一个 IP 地址,有标签区域与全局区域共享另一个 IP 地址。MLP 添加到一个共享接口后,服务包会路由至定义了 MLP 的有标签区域。仅当有标签区域的远程主机模板的标签范围包含包的标签时,才会接受该包。如果范围是 ADMIN_LOW 到 ADMIN_HIGH,将接受所有包。范围较窄会丢弃不在范围内的包。
一个区域至多可以将一个特定端口定义为共享接口上的 MLP。在前面的方案中,ssh 端口配置为非全局区域上的共享 MLP,其他区域都不能接收共享地址上的 ssh 连接。但是,全局区域可以定义 ssh 端口为专用 MLP,用于接收其区域特定的地址上的连接。
在全局区域和有标签区域共享一个 IP 地址的缺省配置中,用于 ssh 服务的 MLP 可以添加到一个区域。如果将用于 ssh 的 MLP 添加到全局区域,没有任何有标签区域可以添加用于 ssh 服务的 MLP。同样,如果将用于 ssh 服务的 MLP 添加到有标签区域,全局区域也无法配置有 ssh MLP。
有关示例,请参见如何为区域创建多级别端口。