Network Layer là gì? Chức năng và giao thức tầng 3 OSI

Bạn đã bao giờ tự hỏi làm thế nào một gói dữ liệu từ máy tính ở Hà Nội lại tìm được đường đến máy chủ đặt tại châu Âu, đi qua hàng chục bộ định tuyến khác nhau mà vẫn đến đúng đích? Đây chính là nhiệm vụ của Network Layer, lớp thứ ba trong mô hình OSI. Bài viết này phân tích toàn diện Network Layer là gì, tầng mạng thực hiện những chức năng cốt lõi nào, giao thức nào hoạt động tại đây, và tầng mạng liên quan thế nào đến bảo mật hạ tầng của doanh nghiệp.

1. Network Layer là gì?

Network Layer, hay tầng mạng, là lớp thứ ba trong mô hình OSI (Open Systems Interconnection) gồm bảy lớp. Network Layer chịu trách nhiệm định địa chỉ logic, định tuyến và chuyển tiếp các gói tin giữa các mạng khác nhau, đảm bảo dữ liệu được truyền từ thiết bị nguồn đến thiết bị đích dù hai thiết bị nằm ở các mạng hoàn toàn riêng biệt.

Trong kiến trúc phân lớp của mô hình OSI, Network Layer nằm giữa Transport Layer (lớp 4) phía trên và Data Link Layer (lớp 2) phía dưới. Network Layer nhận yêu cầu từ Transport Layer, xử lý định tuyến và địa chỉ, rồi chuyển gói tin xuống Data Link Layer để truyền đi trên đường truyền vật lý.

Điểm phân biệt then chốt: Data Link Layer chỉ xử lý truyền dữ liệu giữa hai nút kề nhau trong cùng phân đoạn mạng, sử dụng địa chỉ MAC. Network Layer giải quyết bài toán giao tiếp đầu cuối đến đầu cuối trên toàn liên mạng, sử dụng địa chỉ IP để định danh thiết bị trên phạm vi toàn cầu.

Minh họa mô hình OSI (Network Layer nằm ở lớp thứ ba)

2. Các chức năng chính của Network Layer:

Chức năng chính của Network Layer gồm:

Logical Addressing (Định địa chỉ logic): Gán địa chỉ IP (IPv4/IPv6) duy nhất cho từng thiết bị trên mạng. Cơ chế này cho phép định danh chính xác và thực hiện giao tiếp giữa các thiết bị thuộc nhiều mạng khác nhau.
Packetization (Đóng gói gói tin): Nhận các segment từ Transport Layer, sau đó đóng gói (encapsulation) chúng thành các packet bằng cách thêm IP Header chứa thông tin nguồn, đích, TTL và các trường kiểm soát khác.
Host-to-Host Delivery (Chuyển phát từ Host đến Host): Cung cấp cơ chế chuyển phát gói tin từ thiết bị nguồn đến thiết bị đích qua nhiều mạng trung gian khác nhau (best-effort delivery).
Forwarding (Chuyển tiếp gói tin): Di chuyển gói tin từ giao diện đầu vào (input interface) sang giao diện đầu ra (output interface) phù hợp trên router, dựa trên địa chỉ IP đích trong header của gói tin.
Routing (Định tuyến): Sử dụng các thuật toán và giao thức định tuyến (như OSPF, BGP, RIP…) để xác định đường đi tối ưu nhất cho các gói tin đi qua nhiều mạng trung gian.
Fragmentation and Reassembly (Phân mảnh và Tái hợp): Khi kích thước gói tin vượt quá MTU của đường truyền, tầng mạng sẽ phân mảnh gói tin thành các fragment nhỏ hơn để truyền đi. Tại thiết bị đích, các fragment này sẽ được tái hợp lại thành gói tin gốc.
Subnetting (Phân chia mạng con): Chia một mạng lớn thành nhiều mạng con nhỏ hơn nhằm quản lý địa chỉ IP hiệu quả, giảm kích thước broadcast domain và tối ưu hóa lưu lượng mạng.
Network Address Translation - NAT (Dịch địa chỉ mạng): Thực hiện ánh xạ địa chỉ IP private (nội bộ) sang địa chỉ IP public (công cộng) khi giao tiếp với Internet. Chức năng này giúp tiết kiệm địa chỉ IPv4 và tăng cường bảo mật cho mạng nội bộ.

Network Layer có chức năng định tuyến và chuyển tiếp gói tin

3. Cách hoạt động của Network Layer

Quá trình xử lý và vận chuyển dữ liệu tại tầng mạng được thực hiện tuần tự theo các bước sau:

Gán địa chỉ: Mỗi thiết bị trên mạng được gán một địa chỉ logic duy nhất gọi là địa chỉ IP (IPv4 hoặc IPv6).
Đóng gói dữ liệu: Dữ liệu chuyển xuống từ tầng Transport Layer sẽ được đóng gói (encapsulation) thành các gói tin (packets), đồng thời đính kèm thêm IP Header chứa địa chỉ IP nguồn, địa chỉ IP đích, TTL và các thông tin kiểm soát khác.
Phân tích và Định tuyến: Các bộ định tuyến (Routers) tiến hành phân tích địa chỉ IP đích của gói tin để xác định con đường tốt nhất hiện có dựa trên bảng định tuyến (routing table).
Di chuyển chặng-qua-chặng (Hop-by-hop): Các gói tin di chuyển xuyên qua mạng theo từng chặng (hop), được chuyển tiếp liên tục qua các router cho đến khi đến được thiết bị đích.
Phân mảnh gói tin: Trong trường hợp kích thước gói tin vượt quá giới hạn MTU (Maximum Transmission Unit) của đường truyền, tầng mạng sẽ phân tách gói tin thành các mảnh nhỏ hơn gọi là fragments.
Tái hợp tại đích: Khi đã đến được hệ thống đích, các mảnh (fragments) sẽ được tập hợp và tái hợp (reassembled) thành gói tin nguyên bản trước khi chuyển lên tầng trên.

4. Các giao thức của Network Layer:

Để đảm bảo các bước vận hành trên diễn ra trơn tru, tầng mạng sử dụng tập hợp các giao thức và cơ chế sau:

IP (Internet Protocol - IPv4/IPv6): Giao thức cốt lõi của tầng mạng, chịu trách nhiệm cung cấp địa chỉ logic và chuyển phát gói tin theo cơ chế best-effort qua nhiều mạng khác nhau.
ICMP (Internet Control Message Protocol): Giao thức chuyên trách gửi báo cáo lỗi và thông điệp chẩn đoán mạng (Ping, Traceroute, Destination Unreachable…).
ARP (Address Resolution Protocol): Giao thức ánh xạ địa chỉ IP logic sang địa chỉ MAC vật lý trong cùng một mạng LAN (thường được coi là giao thức hỗ trợ giữa Layer 2 và Layer 3).
RARP (Reverse Address Resolution Protocol): Giao thức đảo ngược của ARP, giúp thiết bị tìm địa chỉ IP từ địa chỉ MAC của chính nó (hiện nay đã lỗi thời và được thay thế bởi BOOTP/DHCP).
NAT (Network Address Translation): Cơ chế dịch chuyển đổi địa chỉ IP private (riêng) thành địa chỉ IP public (công cộng), giúp tiết kiệm địa chỉ IPv4 và tăng cường bảo mật cho mạng nội bộ.
IPSec (Internet Protocol Security): Bộ giao thức cung cấp bảo mật cho kết nối IP thông qua mã hóa, xác thực và toàn vẹn dữ liệu.
MPLS (Multiprotocol Label Switching): Kỹ thuật chuyển tiếp gói tin dựa trên nhãn (label) thay vì tra bảng định tuyến IP, giúp tăng tốc độ và hỗ trợ QoS tốt hơn.

5. Các mối đe dọa phổ biến đến Network Layer:

Network Layer tiếp xúc trực tiếp với Internet nên là mục tiêu của nhiều loại tấn công mạng. Hiểu rõ các mối đe dọa tại Layer 3 là bước đầu tiên để xây dựng chiến lược phòng thủ hiệu quả. Cụ thể như sau:

IP Spoofing (Giả mạo IP): Kẻ tấn công thay đổi thông tin địa chỉ IP nguồn trong IP Header để ẩn danh hoặc mạo danh một thiết bị tin cậy trong mạng nội bộ. Đây là kỹ thuật nền tảng để kích hoạt các cuộc tấn công DDoS phản chiếu (Reflection) và khuếch đại (Amplification).
DDoS tầng mạng (Network/Volumetric DDoS): Gội một lượng lưu lượng khổng lồ (bằng các gói tin rác) nhắm thẳng vào các node định tuyến (Router, Gateway) hoặc máy chủ. Mục tiêu là làm cạn kiệt băng thông đường truyền và năng lực xử lý của thiết bị. Các loại tấn công DDoS điển hình gồm: ICMP Flood, UDP Flood, và các cuộc tấn công phân mảnh gói tin (IP Fragmentation). Lưu ý: SYN Flood cũng thường được kết hợp trong nhóm này dù về bản chất nó khai thác lỗ hổng giao thức TCP ở Layer 4.
Route Hijacking (BGP Hijacking): Kẻ tấn công cố tình quảng bá các dải IP (Prefixes) giả mạo lên hệ thống định tuyến toàn cầu BGP. Điều này khiến lưu lượng Internet bị dẫn dụ đi sai hướng, chảy qua hệ thống của kẻ tấn công, dẫn đến nguy cơ chặn đứng dịch vụ (DoS) hoặc triển khai tấn công nghe lén, giả mạo (Man-in-the-Middle).

6. Các biện pháp bảo vệ hiệu quả tại Network Layer:

Để bảo vệ Network Layer, có thể sử dụng những biện pháp sau:

Firewall Layer 3 và Access Control List (ACL): Sử dụng tường lửa và các tập luật ACL tĩnh trên Router/Switch L3 để chặn lọc các luồng dữ liệu dựa trên địa chỉ IP nguồn/đích và loại giao thức ngay tại cửa ngõ mạng.
Unicast Reverse Path Forwarding (uRPF): Cơ chế chống giả mạo IP bằng cách đối chiếu địa chỉ IP nguồn của gói tin nhận được xem nó có thực sự hợp lệ với bảng định tuyến (Routing Table) hiện tại hay không. Nếu đi vào từ một cổng không hợp lý, gói tin sẽ bị hủy ngay lập tức.
BGP Security (RPKI & BGPsec): Triển khai hạ tầng mã hóa khóa công khai để xác thực quyền sở hữu các vùng địa chỉ IP (Route Origin Authorization), ngăn chặn hiệu quả các tuyến đường BGP giả mạo.
DDoS Mitigation & Scrubbing Center: Sử dụng dịch vụ của các nhà cung cấp chuyên dụng để đóng vai trò làm màng lọc. Lưu lượng tấn công sẽ bị hấp thụ và làm sạch (scrubbed) trước khi các gói tin hợp lệ được chuyển tiếp đến hạ tầng thật.
Kiến trúc Zero Trust (Network Segmentation): Phân rã mạng thành các vùng nhỏ cách ly (Micro-segmentation) bằng các công nghệ như VLAN hoặc VXLAN ở Layer 3, thực hiện nguyên tắc luôn luôn xác thực, không bao giờ mặc định tin tưởng đối với mọi gói tin luân chuyển kể cả từ mạng nội bộ.

Bảo mật tại Network Layer và những điều người dùng cần chú ý

7. VNIS: Giải pháp bảo mật và tăng tốc Web/App/API toàn diện cho doanh nghiệp

VNIS (VNETWORK Internet Security) là nền tảng bảo mật và tăng tốc Web/App/API của VNETWORK, được thiết kế để giúp doanh nghiệp chủ động đối phó với các mối đe dọa an ninh mạng. VNIS bảo vệ hệ thống theo thời gian thực trước tấn công DDoS đa tầng (Layer 3/4/7), bot độc hại, và các lỗ hổng khai thác phổ biến. VNIS ứng dụng AI để phát hiện và ngăn chặn hành vi bất thường từ sớm, trong khi vẫn đảm bảo hiệu suất và trải nghiệm người dùng cuối.

7.1 Mô hình hoạt động hai lớp bảo vệ

Lớp 1 — Bảo vệ tầng hạ tầng: VNIS kết hợp AI Smart Load Balancing và Multi-CDN để xử lý các cuộc tấn công DDoS ở tầng mạng. AI tự động phân tích hành vi truy cập, phân phối lưu lượng hợp lý và loại bỏ nguồn traffic bất thường trước khi gây quá tải hệ thống.

Lớp 2 — Bảo vệ tầng ứng dụng: VNIS triển khai WAAP (Web Application and API Protection) ứng dụng AI để ngăn chặn DDoS Layer 7, bot độc hại và các lỗ hổng bảo mật phổ biến theo danh sách OWASP Top 10. Lớp này bảo vệ trực tiếp logic xử lý của web/app/API, nơi thường bị khai thác sâu và khó phát hiện.

7.2 Tính năng nổi bật

Phát hiện và ngăn chặn DDoS đa tầng (Layer 3/4/7) theo thời gian thực
WAAP tích hợp AI với bộ quy tắc bảo mật liên tục cập nhật
Multi-CDN toàn cầu giúp duy trì tốc độ và độ ổn định kể cả khi bị tấn công
Bảo vệ hàng trăm nghìn website, ứng dụng và API trên toàn cầu
Đội ngũ SOC giám sát 24/7

8. Tổng kết

Network Layer (Tầng Mạng) là lớp thứ 3 trong mô hình OSI, đóng vai trò then chốt trong việc định địa chỉ logic, định tuyến và chuyển phát gói tin giữa các mạng khác nhau. Với cơ chế best-effort delivery và hop-by-hop forwarding, tầng mạng chính là bộ não giao thông giúp dữ liệu có thể truyền thông suốt từ Hà Nội đến bất kỳ đâu trên thế giới. Tuy nhiên, đây cũng là tầng dễ bị tấn công nhất với các mối đe dọa như IP Spoofing, DDoS và BGP Hijacking. Việc hiểu rõ Network Layer không chỉ giúp nắm vững kiến thức mạng mà còn là nền tảng quan trọng để xây dựng hạ tầng mạng an toàn và hiệu quả cho doanh nghiệp. Nếu tổ chức của bạn đang tìm kiếm giải pháp bảo vệ hạ tầng mạng trước các mối đe dọa Layer 3, hãy liên hệ VNETWORK để được tư vấn triển khai VNIS phù hợp với quy mô và yêu cầu thực tế.

FAQ về Network Layer

1. Network Layer là gì?

Network Layer (Tầng Mạng) là lớp thứ 3 trong mô hình OSI, chịu trách nhiệm định địa chỉ logic (IP), định tuyến và chuyển phát gói tin giữa các mạng khác nhau, giúp dữ liệu có thể truyền từ nguồn đến đích qua nhiều mạng trung gian.

2. Chức năng chính của Network Layer là gì?

Các chức năng chính bao gồm: định địa chỉ logic, đóng gói gói tin, định tuyến & chuyển tiếp (routing & forwarding), phân mảnh và tái hợp gói tin, NAT, và hỗ trợ best-effort delivery.

3. Sự khác biệt giữa Network Layer (Layer 3) và Data Link Layer (Layer 2) là gì?

Data Link Layer chỉ xử lý truyền dữ liệu trong cùng một mạng cục bộ bằng địa chỉ MAC, trong khi Network Layer chịu trách nhiệm giao tiếp giữa các mạng khác nhau bằng địa chỉ IP và thực hiện định tuyến qua router.

4. Các giao thức quan trọng hoạt động ở Network Layer là gì?

Các giao thức chính gồm IP (IPv4/IPv6), ICMP, IPSec, MPLS. Ngoài ra còn có các cơ chế hỗ trợ như NAT và ARP (hỗ trợ giữa Layer 2 và 3).

5. Tại sao Network Layer là mục tiêu tấn công phổ biến?

Vì Network Layer tiếp xúc trực tiếp với Internet và đảm nhận việc định tuyến gói tin, nên Network Layer dễ bị khai thác qua các hình thức như IP Spoofing, DDoS volumetric và BGP Hijacking.