mạng máy tính

Phân tích 7 Lớp Trong Mạng Máy Tính Theo Chuẩn OSI Và TCP/IP

Đã đăng trên bởi Hiếu IT

Việc nắm vững các lớp trong mạng máy tính là yêu cầu bắt buộc đối với mọi kỹ sư hệ thống nhằm đảm bảo tính ổn định và bảo mật thông tin. Hiểu rõ cách thức phân tầng giúp quản trị viên tối ưu hóa kiến trúc mạng, cô lập sự cố hiệu quả và triển khai các chính sách bảo mật hạ tầng chính xác. Bài viết này sẽ phân tích chi tiết từ mô hình lý thuyết OSI đến thực tế triển khai TCP/IP trong môi trường doanh nghiệp.

Phân tầng chức năng trong mô hình mạng máy tínhPhân tầng chức năng trong mô hình mạng máy tính

Nguyên lý phân tầng và tầm quan trọng của mô hình tham chiếu

Trong kỹ thuật viễn thông, việc chia nhỏ quá trình giao tiếp phức tạp thành các lớp trong mạng máy tính giúp tiêu chuẩn hóa các giao thức (protocols) và thiết bị từ nhiều nhà sản xuất khác nhau. Theo RFC 1122, việc phân tầng cho phép các lớp cấp cao tập trung vào dịch vụ người dùng mà không cần quan tâm đến cách thức truyền dẫn vật lý ở lớp dưới.

Mô hình OSI (Open Systems Interconnection), được công bố qua tiêu chuẩn ISO/IEC 7498-1, cung cấp một khung tham chiếu gồm 7 tầng. Mỗi tầng thực hiện một tập hợp các chức năng cụ thể và trao đổi với tầng đối diện thông qua đơn vị dữ liệu giao thức (PDU). Việc thiết kế này đảm bảo tính module: bạn có thể thay đổi cáp đồng bằng cáp quang (Lớp 1) mà không cần cấu hình lại trình duyệt web (Lớp 7).

Đối với chuyên gia bảo mật, các lớp trong mạng máy tính chính là bản đồ để xác định bề mặt tấn công. Mỗi lớp đều có những lỗ hổng đặc thù, từ giả mạo địa chỉ MAC ở Lớp 2 đến tấn công SQL Injection ở Lớp 7. Do đó, tư duy bảo mật theo chiều sâu (Defense in Depth) luôn bắt đầu bằng việc kiểm soát chặt chẽ từng tầng chức năng này.

Lớp 1: Tầng vật lý (Physical Layer) – Nền tảng bit cơ bản

Đây là tầng thấp nhất trong các lớp trong mạng máy tính, chịu trách nhiệm truyền tải dòng bit không cấu trúc qua môi trường truyền dẫn hóa lý. Nhiệm vụ của nó bao gồm định nghĩa các đặc tính điện (điện áp), cơ (đầu nối RJ45, cáp quang), và quang học của tín hiệu.

Tại Lớp 1, chúng ta không nói về địa chỉ IP hay dữ liệu; chúng ta nói về xung điện, cường độ ánh sáng và tần số sóng vô tuyến. Các thiết bị hoạt động ở đây bao gồm Hub, Repeater và các loại cáp (Cat5e, Cat6, Single-mode fiber). Một kỹ sư mạng thực thụ luôn kiểm tra Lớp 1 đầu tiên khi có sự cố mất kết nối bằng các công cụ đo kiểm tín hiệu hoặc đơn giản là quan sát trạng thái đèn của card mạng (NIC).

⚠️ Cảnh báo: Các lỗi ở tầng vật lý thường gây ra tình trạng chập chờn (intermittent) rất khó chẩn đoán. Cáp mạng bị nhiễu điện (EMI) có thể gây sai lệch bit dữ liệu nghiêm trọng trước khi chúng được xử lý ở các lớp cao hơn.

Lớp 2: Tầng liên kết dữ liệu (Data Link Layer) và địa chỉ MAC

Lớp thứ hai trong các lớp trong mạng máy tính chuyển đổi dòng bit thuần túy từ Lớp 1 thành các khung (Frames) dữ liệu có cấu trúc. Tại đây, cơ chế kiểm soát truy cập môi trường truyền dẫn (Media Access Control – MAC) được thiết lập. Mỗi thiết bị mạng đều sở hữu một địa chỉ MAC duy nhất dài 48-bit được ghi vào phần cứng.

Tầng liên kết dữ liệu chia làm hai lớp con: LLC (Logical Link Control) để quản lý đồng bộ hóa và MAC để quản lý địa chỉ vật lý. Các thiết bị chuyển mạch (Switch Layer 2) hoạt động tại đây, sử dụng bảng MAC (CAM Table) để chuyển tiếp khung dữ liệu đến đúng cổng đích. Đây là nơi triển khai các kỹ thuật quan trọng như VLAN (Virtual LAN) để phân đoạn mạng nội bộ, giúp giảm bớt miền xung đột (collision domain) và miền quảng bá (broadcast domain).

Cấu trúc Frame dữ liệu tại lớp liên kếtCấu trúc Frame dữ liệu tại lớp liên kết

Lớp 3: Tầng mạng (Network Layer) và giao thức IP thực thụ

Tầng mạng chịu trách nhiệm định tuyến (routing) các gói tin (packets) giữa các mạng khác nhau. Nếu Lớp 2 giúp các máy tính trong cùng một văn phòng giao tiếp, thì Lớp 3 trong các lớp trong mạng máy tính chính là “người dẫn đường” giữa Việt Nam và Hoa Kỳ qua môi trường Internet.

Giao thức quan trọng nhất ở đây là IP (Internet Protocol), bao gồm cả IPv4 và IPv6. Router là thiết bị trung tâm của tầng này, nó duy trì bảng định tuyến (routing table) để quyết định đường đi ngắn nhất hoặc tối ưu nhất cho gói tin dựa trên các giao thức định tuyến như OSPF, BGP hoặc định tuyến tĩnh (static route).

Ví dụ cấu hình kiểm tra Layer 3 trên thiết bị Cisco (IOS XE 17.x):

# Kiểm tra trạng thái các interface và địa chỉ IP gắn kèm Router# show ip interface brief # Kết quả mẫu: Interface IP-Address OK? Method Status Protocol GigabitEthernet0/0/0 192.168.1.1 YES NVRAM up up GigabitEthernet0/0/1 10.0.0.1 YES manual up up # Kiểm tra bảng định tuyến để xác định Next-hop Router# show ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area Gateway of last resort is 192.168.1.254 to network 0.0.0.0

Lớp 4: Tầng vận chuyển (Transport Layer) – TCP vs UDP

Lớp 4 đảm bảo dữ liệu được truyền đi một cách tin cậy và chính xác giữa các tiến trình của máy gửi và máy nhận. Hai giao thức cốt lõi tại phân tầng này của các lớp trong mạng máy tính là TCP (RFC 793) và UDP (RFC 768).

TCP (Transmission Control Protocol) là giao thức hướng kết nối, thực hiện bắt tay ba bước (3-way handshake: SYN, SYN-ACK, ACK) để đảm bảo dữ liệu đến đích nguyên vẹn và đúng thứ tự. Ngược lại, UDP là giao thức phi kết nối, ưu tiên tốc độ hơn độ tin cậy, thường dùng cho VoIP hoặc Streaming Video. Quản trị viên hệ thống cần hiểu rõ khái niệm Cổng (Port) tại lớp này để cấu hình Firewall chính xác.

Đặc điểm TCP UDP
Tính kết nối Hướng kết nối (Connection-oriented) Phi kết nối (Connectionless)
Độ tin cậy Có kiểm soát lỗi và truyền lại Không đảm bảo, có thể mất gói
Thứ tự dữ liệu Đảm bảo đúng thứ tự Không đảm bảo
Ứng dụng Web (HTTP), Email (SMTP), File (FTP) DNS, DHCP, VoIP, Game online

Lớp 5, 6 và 7: Nhóm tầng ứng dụng và giao diện người dùng

Trong mô hình thực tế TCP/IP, ba lớp này thường được gộp chung lại, nhưng trong mô hình OSI, chúng có chức năng riêng biệt nhằm hỗ trợ ứng dụng phần mềm.

  • Lớp 5 (Session Layer): Thiết lập, duy trì và đồng bộ hóa các phiên làm việc giữa các ứng dụng. Khi bạn thực hiện một cuộc gọi video, lớp này đảm bảo luồng hình ảnh và âm thanh không bị lệch pha.
  • Lớp 6 (Presentation Layer): Đóng vai trò “phiên dịch”. Nó thực hiện mã hóa dữ liệu (như SSL/TLS), nén dữ liệu và chuyển đổi định dạng (EBCDIC sang ASCII, JPEG, MPEG) để đảm bảo bên nhận có thể đọc được.
  • Lớp 7 (Application Layer): Là lớp cao nhất trong các lớp trong mạng máy tính, nơi người dùng tương tác trực tiếp qua các giao thức như HTTP/HTTPS, FTP, SMTP. Đây là nơi các phần mềm như Chrome, Outlook hay FileZilla vận hành.

Mô hình thực tế của các lớp truyền thôngMô hình thực tế của các lớp truyền thông

Quy trình đóng gói (Encapsulation) và Mở gói (Decapsulation)

Để hiểu cách các lớp trong mạng máy tính phối hợp, hãy tưởng tượng quá trình gửi một email. Dữ liệu từ Lớp 7 sẽ đi ngược xuống Lớp 1. Tại mỗi lớp, một phần thông tin điều khiển (Header) sẽ được thêm vào. Quá trình này gọi là đóng gói (Encapsulation).

  1. Dữ liệu (Lớp 7, 6, 5) trở thành Data.
  2. Lớp 4 thêm Header TCP/UDP tạo thành Segment.
  3. Lớp 3 thêm Header IP tạo thành Packet.
  4. Lớp 2 thêm Header/Trailer MAC tạo thành Frame.
  5. Lớp 1 biến đổi Frame thành các đơn vị Bit để truyền đi.

Khi đến máy nhận, quá trình ngược lại (Decapsulation) diễn ra. Mỗi lớp sẽ gỡ bỏ Header tương ứng của mình và chuyển dữ liệu sạch lên lớp trên. Nếu Header ở Lớp 3 (IP) bị sai, gói tin sẽ bị hủy ngay lập tức mà không cần chuyển lên Lớp 4, giúp tối ưu tài nguyên hệ thống.

Troubleshooting: Phương pháp tiếp cận theo tầng mạng

Là một Sysadmin dày dạn, kinh nghiệm xương máu là hãy luôn xử lý lỗi theo phương pháp “Bottom-up” (từ dưới lên trên) khi đối mặt với sự cố liên quan đến các lớp trong mạng máy tính.

  1. Kiểm tra Layer 1: Cáp có bị rút không? Đèn cổng Switch có sáng không? Dùng lệnh show interface để xem lỗi Input/Output.
  2. Kiểm tra Layer 2: Server có nhận được địa chỉ MAC của Gateway không? Dùng lệnh arp -a (Windows/Linux) để kiểm tra bảng ARP.
  3. Kiểm tra Layer 3: Có ping thấy IP đích không? Đường đi của gói tin có bị chặn ở đâu không? Dùng lệnh traceroute (hoặc tracert trên Windows).
  4. Kiểm tra Layer 4: Port ứng dụng (như 80, 443) có đang mở không? Dùng lệnh telnet [IP] [Port] hoặc nc -zv [IP] [Port].

Mẹo xử lý nhanh trên Linux (Ubuntu 22.04 LTS):

# Kiểm tra kết nối mức Lớp 4 (Port listening) ss -tulnp | grep :80 # Theo dõi trực tiếp gói tin đi qua các lớp (Layer 2 & 3 focus) sudo tcpdump -i eth0 icmp # Kiểm tra cấu hình IP và trạng thái link (Layer 1 & 3) ip a

Quy trình chẩn đoán sự cố mạng phân tầngQuy trình chẩn đoán sự cố mạng phân tầng

Bảo mật hạ tầng dựa trên mô hình phân lớp

Bảo mật mạng không thể chỉ dừng lại ở việc cài đặt một phần mềm diệt virus. Bạn phải triển khai các chốt chặn tại tất cả các lớp trong mạng máy tính:

  • Bảo mật Lớp 2: Triển khai Port Security trên Switch để ngăn chặn tấn công MAC Flooding. Cấu hình DHCP Snooping để chặn các máy chủ DHCP giả mạo.
  • Bảo mật Lớp 3: Sử dụng Access Control Lists (ACL) để lọc traffic theo địa chỉ IP nguồn/đích. Áp dụng IPsec cho các đường truyền VPN nhằm bảo mật gói tin.
  • Bảo mật Lớp 4-7: Triển khai Firewall thế hệ mới (NGFW) có khả năng soi chiếu gói tin sâu (Deep Packet Inspection). Sử dụng Web Application Firewall (WAF) để chống lại các cuộc tấn công Layer 7 như DDoS hoặc Injection.

🛡️ Nguyên tắc YMYL: Mọi hướng dẫn cấu hình bảo mật trên website Thư Viện CNTT chỉ mang tính tham khảo kỹ thuật. Trước khi thực thi lệnh trên hệ thống thật (Production), hãy đảm bảo bạn đã sao lưu cấu hình và có phương án rollback. Cấu hình sai ACL có thể gây mất kết nối toàn bộ hạ tầng doanh nghiệp.

Sự khác biệt giữa mô hình OSI và mô hình TCP/IP

Dù OSI là mô hình tham chiếu giảng dạy phổ biến nhất, nhưng TCP/IP mới là mô hình thực tế vận hành Internet. Trong khi OSI có 7 lớp, TCP/IP (theo mẫu cập nhật) gồm 5 lớp hoặc 4 lớp. Sự khác biệt lớn nhất là TCP/IP gộp các tầng Application, Presentation và Session thành một tầng Application duy nhất.

Lý do của sự khác biệt này nằm ở thực tế triển khai: các nhà phát triển phần mềm thường tự quản lý việc mã hóa và phiên làm việc ngay trong ứng dụng của họ thay vì dựa vào một lớp mạng trung gian. Tuy nhiên, việc hiểu 7 lớp của OSI vẫn giúp kỹ sư có tư duy phân tích sâu sắc hơn khi giải quyết các vấn đề tương thích phức tạp.

Lớp OSI Lớp TCP/IP tương ứng Đơn vị dữ liệu (PDU)
Lớp 7, 6, 5 Application (Ứng dụng) Data/Message
Lớp 4 Transport (Vận chuyển) Segment (TCP) / Datagram (UDP)
Lớp 3 Internet / Network Packet
Lớp 2 Data Link (Liên kết dữ liệu) Frame
Lớp 1 Physical (Vật lý) Bits

So sánh trực quan OSI và TCP/IPSo sánh trực quan OSI và TCP/IP

Tương lai của cấu trúc mạng phân tầng

Với sự trỗi dậy của công nghệ SDN (Software-Defined Networking) và ảo hóa mạng (NFV), ranh giới giữa các lớp trong mạng máy tính đang dần trở nên linh hoạt hơn. Các thiết bị mạng hiện đại (Switch Layer 3) có khả năng định tuyến gói tin với tốc độ phần cứng, xóa nhòa khoảng cách giữa Lớp 2 và Lớp 3. Tuy nhiên, nguyên lý đóng gói cốt lõi vẫn không thay đổi.

Việc nắm vững kiến thức về các lớp trong mạng máy tính cung cấp cho bạn nền tảng vững chắc để tiếp cận các chứng chỉ quốc tế như CCNA, CCNP hay CompTIA Network+. Đây không chỉ là lý thuyết suông mà là bộ công cụ tư duy giúp bạn trở thành một chuyên gia hạ tầng mạng thực thụ trong kỷ nguyên chuyển đổi số.

Để nâng cao kỹ năng thực hành, bước tiếp theo bạn nên tìm hiểu sâu về cách cấu hình Router và Switch cụ thể cho từng lớp mạng đã phân tích ở trên.

Kiến trúc mạng hiện đại dựa trên mô hình phân lớpKiến trúc mạng hiện đại dựa trên mô hình phân lớp

Cập nhật lần cuối 03/03/2026 by Hiếu IT

Avatar photo
Hiếu IT

Đỗ Ngọc Hiếu – Người sáng lập & vận hành Thư Viện CNTT. Nơi kết nối và chia sẻ kho tàng tài liệu, Ebook, Video bài giảng chất lượng cao dành cho cộng đồng yêu công nghệ.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *