Mạng, Bảo mật & An ninh mạng

Mô Hình TCP/IP Là Gì? Cấu Trúc 4 Tầng & Chức Năng Chi Tiết 2026

Đăng vào bởi Mỹ Y

NỘI DUNG

Khách hàng truy cập website của bạn và bấm tải lại trang vì dữ liệu phản hồi quá chậm. Khi vận hành ứng dụng trên các gói shared hosting truyền thống, bạn không có quyền can thiệp sâu vào tầng mạng để xử lý tình trạng nghẽn cổ chai hay ngăn chặn các đợt quét cổng độc hại từ “hàng xóm” cùng server. Để làm chủ tốc độ truyền tải và bảo mật hệ thống, việc hiểu rõ bộ giao thức tcp/ip là kiến thức bắt buộc đối với mọi quản trị viên. Bài viết này phân tích chi tiết kiến trúc 4 tầng, cơ chế đóng gói dữ liệu và hướng dẫn bạn cách tối ưu tham số hạt nhân Linux trên các hạ tầng máy chủ ảo độc lập tại InterData.

1. Bản chất cốt lõi của bộ giao thức TCP/IP là gì?

Mạng internet toàn cầu không thể vận hành nếu thiếu một ngôn ngữ giao tiếp chung giữa các thiết bị phần cứng khác biệt. Bạn cắm cáp mạng vào máy chủ hay kết nối Wi-Fi trên điện thoại, dữ liệu đều phải tuân theo các quy chuẩn nghiêm ngặt để đi đến đúng đích.

Mô hình TCP/IP (Transmission Control Protocol / Internet Protocol) là tập hợp các giao thức thông tin liên lạc xác định cách dữ liệu được chia nhỏ, định tuyến và truyền tải qua các hệ thống mạng. Mô hình này đóng vai trò là nền tảng kiến trúc lõi giúp kết nối hàng tỷ máy tính và máy chủ trên toàn mạng Internet hiện nay.

Sự ra đời của mô hình này bắt nguồn từ dự án ARPANET của Bộ Quốc phòng Mỹ vào thập niên 1970. Mục tiêu ban đầu rất rõ ràng: tạo ra một mạng lưới có khả năng chịu lỗi cao, tự động tìm đường đi thay thế khi một vài nút mạng bị đứt gãy. Tên gọi TCP/IP được ghép từ hai giao thức quan trọng nhất:

  • Giao thức kiểm soát truyền vận (TCP – Transmission Control Protocol): Chịu trách nhiệm thiết lập kết nối tin cậy, cắt nhỏ tập tin lớn thành các phân đoạn (segment) đánh số thứ tự, kiểm tra lỗi và yêu cầu gửi lại nếu có phân đoạn bị thất lạc trên đường đi.
  • Giao thức liên mạng (IP – Internet Protocol): Chịu trách nhiệm gắn địa chỉ IP nguồn và IP đích vào từng gói tin (packet), sau đó định tuyến chúng qua các router để đi từ mạng này sang mạng khác cho tới khi chạm đích.

2. Cấu trúc 4 tầng chuẩn trong mô hình TCP/IP và nhiệm vụ thực tế

Thay vì gộp chung mọi xử lý phức tạp vào một chương trình duy nhất, các nhà thiết kế mạng đã chia kiến trúc TCP/IP thành 4 tầng riêng biệt xếp chồng lên nhau. Mỗi tầng chỉ thực hiện một nhóm việc cố định và giao tiếp với tầng liền kề thông qua các giao diện chuẩn.

TCP/IP

2.1. Tầng Truy nhập Mạng (Network Access Layer)

Đây là tầng thấp nhất trong mô hình, trực tiếp tiếp xúc với các hạ tầng vật lý như cáp quang, cáp đồng Ethernet, card mạng (NIC) và sóng Wi-Fi. Nhiệm vụ chính của tầng này là chuyển đổi các gói dữ liệu logic thành các tín hiệu điện, tín hiệu quang hoặc sóng vô tuyến để phát đi trên môi trường truyền dẫn.

Tại đây, dữ liệu được đóng gói thành các khung (Frame). Tầng này sử dụng địa chỉ vật lý (MAC Address) định danh cố định cho từng card mạng nhằm xác định thiết bị nhận trong cùng một mạng cục bộ (LAN). Các giao thức phổ biến hoạt động ở tầng này bao gồm Ethernet (IEEE 802.3), Wi-Fi (IEEE 802.11) và ARP (Address Resolution Protocol – dùng để ánh xạ địa chỉ IP sang địa chỉ MAC).

2.2. Tầng Liên mạng (Internet Layer)

Tầng liên mạng tương đương với tầng Network trong mô hình OSI. Nó giải quyết bài toán cốt lõi: làm sao để gửi một gói tin từ máy chủ ở Việt Nam tới một máy chủ đặt tại datacenter ở Mỹ qua hàng chục hệ thống mạng trung gian khác nhau.

Giao thức chủ đạo ở đây là IP (IPv4 và IPv6). Mỗi gói tin khi đi qua tầng này sẽ được gắn một phần header chứa địa chỉ IP nguồn và IP đích cùng chỉ số TTL (Time to Live). Chỉ số TTL sẽ giảm đi 1 mỗi khi gói tin đi qua một router; nếu TTL chạm mức 0, gói tin sẽ bị hủy để tránh tình trạng lặp vô tận trên mạng. Ngoài IP, tầng này còn có ICMP (Internet Control Message Protocol – dùng cho lệnh ping chẩn đoán lỗi) và IGMP.

2.3. Tầng Giao vận (Transport Layer)

Nếu tầng liên mạng chịu trách nhiệm đưa gói tin tới đúng máy chủ đích, thì tầng giao vận chịu trách nhiệm đưa gói tin đó vào đúng tiến trình (process) đang chạy trên máy chủ. Ví dụ: trên cùng một VPS đang chạy Nginx (port 80) và MySQL (port 3306), tầng giao vận dùng số cổng (Port Number) để phân loại luồng dữ liệu.

Hai giao thức thống trị tầng này là TCP và UDP. Tầng giao vận còn quản lý kiểm soát luồng (flow control) bằng cơ chế cửa sổ trượt (sliding window), đảm bảo máy gửi không phát dữ liệu quá nhanh khiến máy nhận bị tràn bộ đệm.

2.4. Tầng Ứng dụng (Application Layer)

Tầng cao nhất là nơi các phần mềm ứng dụng tương tác trực tiếp với mạng. Nó gộp cả chức năng của ba tầng Application, Presentation và Session trong mô hình OSI cũ.

Mọi dữ liệu từ trình duyệt web, ứng dụng chat hay chương trình FTP đều khởi nguồn từ đây. Các giao thức tiêu biểu bao gồm:

  • HTTP/HTTPS: Truyền tải nội dung trang web bảo mật qua TLS.
  • SSH (Port 22): Điều khiển máy chủ từ xa bằng dòng lệnh mã hóa.
  • DNS (Port 53): Phân giải tên miền dễ nhớ (như interdata.vn) thành chuỗi số IP.
  • SMTP / IMAP / POP3: Hệ thống gửi và nhận email.

3. Cơ chế đóng gói (Encapsulation) và phân giải (Decapsulation) gói tin

Để hiểu vì sao card mạng trên máy chủ đôi khi bị nghẽn tải, bạn cần nắm rõ hành trình biến đổi hình dạng của một tập tin khi truyền qua môi trường TCP/IP. Quá trình này diễn ra liên tục mỗi khi có một byte dữ liệu rời khỏi hoặc đi vào hệ thống.

Khi bạn gõ lệnh tải một file ảnh từ VPS về máy tính cá nhân, quá trình đóng gói (Encapsulation) đi từ trên xuống dưới diễn ra như sau:

  1. Bước 1 (Tầng Ứng dụng): Phần mềm web server tạo ra luồng dữ liệu gốc (Data) chứa nội dung file ảnh.
  2. Bước 2 (Tầng Giao vận): Dữ liệu đẩy xuống tầng TCP. Kernel cắt nhỏ chuỗi dữ liệu này thành các đoạn vừa phải, gắn thêm TCP Header (chứa Source Port, Destination Port, Sequence Number). Đơn vị lúc này gọi là Segment.
  3. Bước 3 (Tầng Liên mạng): Các Segment tiếp tục được chuyển xuống tầng IP. Hệ thống đính kèm IP Header (chứa Source IP của VPS, Destination IP của máy bạn). Đơn vị chuyển thành Packet.
  4. Bước 4 (Tầng Truy nhập Mạng): Packet tiếp nhận thêm Frame Header (MAC nguồn, MAC đích) và Frame Trailer (FCS – chuỗi kiểm tra lỗi CRC). Đơn vị cuối cùng gọi là Frame. Card mạng chuyển đổi Frame thành tín hiệu nhị phân (0 và 1) đẩy vào cáp mạng.

Ngược lại, khi tín hiệu chạm tới card mạng trên máy tính của bạn, quá trình phân giải (Decapsulation) diễn ra theo chiều từ dưới lên. Tầng vật lý bóc tách Frame Header để kiểm tra địa chỉ MAC. Tầng IP bóc tách IP Header xác nhận đúng đích đến. Tầng TCP bóc tách TCP Header, sắp xếp các Segment theo đúng thứ tự Sequence Number rồi ráp lại thành dữ liệu hoàn chỉnh trả về cho trình duyệt hiển thị bức ảnh.

Thuê VPS

SSD NVMe U.2 · CPU đời mới · hỗ trợ 24/7

Chủ động tinh chỉnh Kernel TCP/IP hiệu năng cao

Shared hosting khóa cứng quyền truy cập hệ thống khiến bạn bất lực khi muốn mở rộng giới hạn kết nối socket. Dịch vụ Thuê VPS tại InterData cung cấp quyền quản trị cao nhất (root/Administrator), giúp bạn tự do cấu hình bảng định tuyến, tường lửa iptables và tối ưu bộ đệm giao thức mạng theo đúng nhu cầu riêng.

XEM BẢNG GIÁ VPS ⟶

4. Bắt tay 3 bước (3-Way Handshake) và sự khác biệt giữa TCP với UDP

Tại tầng giao vận, việc lựa chọn giữa TCP và UDP quyết định trực tiếp đến hành vi ứng dụng. TCP đặt tính toàn vẹn dữ liệu lên hàng đầu, trong khi UDP chấp nhận mất mát nhỏ để đổi lấy tốc độ phản hồi tức thì.

4.1. Cơ chế bắt tay 3 bước của TCP

Trước khi bất kỳ dữ liệu nào được gửi đi qua giao thức TCP, máy khách (Client) và máy chủ (Server) bắt buộc phải trải qua một phiên thỏa thuận trạng thái gọi là 3-Way Handshake. Cơ chế này ngăn chặn việc gửi nhầm dữ liệu tới các cổng đã đóng.

  • Bước 1 (SYN): Máy khách gửi một gói tin có cờ SYN (Synchronize) kèm một số thứ tự ngẫu nhiên ban đầu (Sequence Number = X) tới máy chủ yêu cầu mở kết nối.
  • Bước 2 (SYN-ACK): Máy chủ nhận gói tin, phản hồi lại một gói tin bật cả hai cờ SYN và ACK (Acknowledgment). Số xác nhận ACK = X + 1, đồng thời máy chủ gửi kèm số thứ tự ngẫu nhiên của riêng nó (Sequence Number = Y).
  • Bước 3 (ACK): Máy khách gửi lại gói tin cờ ACK = Y + 1 tới máy chủ. Trạng thái kết nối chuyển sang ESTABLISHED. Quá trình truyền tải tập tin chính thức bắt đầu.

4.2. Bảng so sánh kỹ thuật TCP và UDP

Mỗi giao thức sở hữu ưu và nhược điểm riêng phù hợp cho từng kiến trúc hệ thống phân tán:

Tiêu chí Giao thức TCP Giao thức UDP
Tính kết nối Hướng kết nối (Connection-oriented). Phải bắt tay 3 bước. Không hướng kết nối (Connectionless). Gửi dữ liệu ngay lập tức.
Độ tin cậy Tuyệt đối. Có phát hiện lỗi, sắp xếp thứ tự và tự gửi lại gói tin mất. Thấp. Không theo dõi gói tin lạc, không sắp xếp lại thứ tự.
Kích thước Header Nặng (từ 20 đến 60 bytes). Rất nhẹ (cố định 8 bytes).
Tốc độ truyền Chậm hơn do mất độ trễ xác nhận ACK và kiểm soát nghẽn. Rất nhanh, tận dụng tối đa băng thông vật lý.
Ứng dụng thực tế Web (HTTP), Email, SSH, tải file FTP, truy vấn Database. DNS, gọi thoại VoIP, phát trực tiếp video, Game Online.

Các hệ thống hiện đại đang có xu hướng kết hợp ưu điểm của cả hai. Ví dụ: giao thức HTTP/3 không dùng TCP nữa mà chuyển sang chạy trên nền QUIC (một giao thức xây dựng trên tầng UDP), vừa giảm thiểu độ trễ của quá trình bắt tay 3 bước, vừa tích hợp cơ chế khôi phục lỗi ngay ở tầng ứng dụng.

5. So sánh thực chiến: Tại sao TCP/IP đè bẹp OSI trong môi trường sản xuất?

Trong các trường đại học, sinh viên thường tiếp cận mô hình OSI 7 tầng trước tiên. Tuy nhiên khi bước vào vận hành datacenter thực tế, TCP/IP mới là vua. Sự khác biệt này không đến từ lý thuyết, mà đến từ lịch sử phát triển phần mềm.

Mô hình OSI (Open Systems Interconnection) do Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) phát triển theo cách tiếp cận hoàn hảo hóa lý thuyết: xác định rõ ràng vai trò từng tầng trước khi viết mã. Ngược lại, TCP/IP phát triển theo hướng thực dụng: Bộ Quốc phòng Mỹ tạo ra các giao thức chạy ổn định trên thực tế trước, sau đó mới chuẩn hóa chúng thành mô hình 4 tầng.

Sự ánh xạ tương đương giữa hai kiến trúc được thể hiện qua bảng dưới đây:

Mô hình OSI (7 tầng) Mô hình TCP/IP (4 tầng)
7. Application Layer
6. Presentation Layer
5. Session Layer		 Tầng Ứng dụng (Application)
4. Transport Layer Tầng Giao vận (Transport)
3. Network Layer Tầng Liên mạng (Internet)
2. Data Link Layer
1. Physical Layer		 Tầng Truy nhập Mạng (Network Access)

Trong lập trình mạng thực tế (như viết socket bằng C, Golang hay Python), các kỹ sư hiếm khi tách biệt tầng Presentation (mã hóa dữ liệu) và tầng Session (quản lý phiên) ra khỏi ứng dụng chính. Việc gộp chung chúng vào tầng Application của TCP/IP giúp mã nguồn ngắn gọn, xử lý nhanh hơn và loại bỏ các chi phí giao tiếp IPC nội bộ không cần thiết trong nhân hệ điều hành.

6. Tối ưu hóa tham số Kernel TCP/IP trên Linux VPS chịu tải cao

Cài đặt máy chủ xong mà giữ nguyên các tham số kernel mặc định của bản phân phối Ubuntu hay CentOS là sai lầm nguy hiểm. Mặc định của nhân Linux được thiết kế cho các máy trạm văn phòng tải nhẹ. Khi VPS nhận khoảng 5.000 kết nối đồng thời từ các chiến dịch marketing, hệ thống sẽ lập tức từ chối kết nối mới vì hết hàng đợi.

Để giải quyết triệt để nút thắt cổ chai ở tầng giao vận, bạn hãy SSH với quyền root vào máy chủ và mở tập tin cấu hình hệ thống bằng trình soạn thảo:

nano /etc/sysctl.conf

Dán khối tham số tối ưu dưới đây vào cuối tập tin. Cấu hình này đã được kiểm chứng trên các máy chủ Nginx và Proxy chịu tải lớn:

# Tăng giới hạn số lượng kết nối đang chờ xử lý trong hàng đợi socket

Sau khi lưu tập tin, bạn lập tức chạy lệnh sau để buộc hạt nhân Linux đọc lại và áp dụng các thông số mới mà không cần khởi động lại VPS:

sysctl -p

Lưu ý kỹ thuật quan trọng: Khi bật cờ tcp_tw_reuse = 1, bạn tuyệt đối phải đảm bảo các thiết bị định tuyến phía trước máy chủ hỗ trợ timestamps. Việc lạm dụng tham số này trên hạ tầng mạng không chuẩn có thể dẫn đến hiện tượng trộn lẫn gói tin cũ vào phiên kết nối mới gây hỏng dữ liệu truyền tải.

Thuê Cloud Server

mạng tốc độ cao · hệ thống chống DDoS · backup định kỳ

Hạ tầng mượt mà cho hệ thống traffic biến động mạnh

Khi lượng truy cập tăng đột biến gấp hàng chục lần vào khung giờ cao điểm, việc tối ưu tham số kernel là chưa đủ nếu đường truyền mạng vật lý bị nghẽn. Dịch vụ Thuê Cloud Server tại InterData sử dụng kiến trúc mạng phân tán tốc độ cao, kết hợp tường lửa Anti-DDoS chuyên dụng lọc sạch các gói tin SYN Flood ngay từ vòng ngoài trước khi chúng kịp chạm vào nhân máy chủ của bạn.

THUÊ CLOUD SERVER ⟶

7. Chẩn đoán nhanh các sự cố mạng thường gặp bằng dòng lệnh

Khi website báo lỗi 502 Bad Gateway hay kết nối SSH bị ngắt liên tục, một kỹ sư hệ thống thực chiến sẽ không đoán mò. Hãy áp dụng tư duy bốc tách tầng TCP/IP để khoanh vùng nguyên nhân theo các kịch bản sau:

7.1. Kiểm tra trạng thái Socket và số lượng kết nối

Lệnh netstat đã lỗi thời và chạy rất chậm khi số socket lên tới hàng ngàn. Hãy dùng công cụ ss (Socket Statistics) lấy trực tiếp dữ liệu từ không gian nhân Linux:

# Liệt kê tất cả các cổng TCP và UDP đang mở lắng nghe kèm tên tiến trình

Nếu kết quả từ lệnh ss -s cho thấy lượng socket trạng thái CLOSE-WAIT tăng vọt lên hàng ngàn, VPS không lỗi mạng. Lỗi nằm ở tầng ứng dụng: mã nguồn phần mềm backend (như Node.js hoặc Java) của bạn sau khi nhận xử lý xong đã quên gọi lệnh đóng kết nối socket.

7.2. Bắt gói tin trực tiếp trên giao diện mạng bằng tcpdump

Khi nghi ngờ hệ thống bị tấn công từ chối dịch vụ (DDoS) dạng flood gói tin hoặc cấu hình proxy Nginx không chuyển tiếp đúng cờ Host header, bạn hãy dùng lệnh sau để phân tích gói tin raw:

# Bắt 100 gói tin TCP lưu thông qua cổng 80 trên card mạng eth0 và hiển thị trực tiếp

Nếu màn hình liên tục cuộn nhanh với hàng chục ngàn dòng cờ Flags [S] xuất phát từ hàng ngàn IP lạ gửi tới cổng 80 mà không có phản hồi ACK tương ứng, VPS của bạn đang hứng chịu một đợt tấn công SYN Flood điển hình.

8. Câu hỏi thường gặp về mô hình TCP/IP (FAQ)

1. Tại sao mô hình TCP/IP chỉ có 4 tầng còn mô hình OSI có tới 7 tầng?

Mô hình OSI phân tách cực kỳ chi tiết các chức năng lý thuyết phục vụ cho mục đích nghiên cứu học thuật. Trong khi đó, TCP/IP ra đời từ thực tiễn vận hành mạng quân sự ARPANET; nó gộp các tầng có tính chất xử lý liên quan mật thiết với nhau lại để tối ưu tốc độ thực thi của mã nguồn.

2. Giao thức UDP không tin cậy, vậy tại sao các game online hay dùng?

Game online đòi hỏi độ trễ cực thấp tính bằng mili giây. Nếu dùng TCP, khi một gói tin tọa độ nhân vật bị mất, toàn bộ trò chơi sẽ khựng lại chờ gửi bù gói tin đó. UDP bỏ qua bước kiểm tra này, chấp nhận mất một vài khung hình nhưng giữ cho nhịp trò chơi liên tục không bị giật lag.

3. Có thể chạy giao thức TCP/IP mà không cần địa chỉ IP vật lý (MAC) không?

Không thể trong mạng Ethernet chuẩn. Địa chỉ IP chỉ định danh điểm đi và điểm đến trên quy mô liên mạng toàn cầu. Nhưng khi gói tin đi vào một mạng nội bộ cụ thể, router bắt buộc phải dùng giao thức ARP chuyển đổi IP sang địa chỉ MAC để truyền tín hiệu điện tới đúng card mạng vật lý.

4. MTU trong tầng Truy nhập Mạng là gì và cài đặt sai gây ra hậu quả gì?

MTU (Maximum Transmission Unit) là kích thước gói dữ liệu lớn nhất mà card mạng có thể truyền trong một khung (thường là 1500 bytes). Nếu bạn cấu hình MTU quá lớn khi đi qua đường truyền Internet truyền thống, gói tin sẽ bị các router trung gian chặt nhỏ lại hoặc loại bỏ hoàn toàn gây rớt mạng nghiêm trọng.

5. Làm thế nào để ngăn chặn tấn công từ chối dịch vụ SYN Flood vào VPS?

Bạn có thể bật tính năng cơ chế phòng thủ net.ipv4.tcp_syncookies = 1 trong file sysctl.conf của Linux để nhân hệ điều hành không cấp phát bộ nhớ cho các yêu cầu SYN giả mạo. Tuy nhiên với các cuộc tấn công lưu lượng lớn hàng chục Gbps, bạn bắt buộc phải dùng tường lửa cứng phần cứng phía trước Cloud Server.

Làm chủ hạ tầng mạng bắt đầu từ kiến thức chuẩn

Hiểu sâu về cấu trúc 4 tầng và cách phân giải gói tin của bộ giao thức tcp/ip giúp bạn tự tin chẩn đoán mọi lỗi kết nối phức tạp thay vì phụ thuộc hoàn toàn vào đội ngũ hỗ trợ. Khi hệ thống của bạn phát triển từ một blog cá nhân lên một sàn thương mại điện tử hàng ngàn người dùng, việc làm chủ các tham số kernel TCP chính là chìa khóa duy trì tốc độ tải trang dưới 1 giây.

Sẵn sàng triển khai ứng dụng trên máy chủ hiệu năng thực chiến?

Khởi tạo ngay VPS với toàn quyền quản trị root, lưu trữ SSD NVMe U.2 siêu tốc và hệ thống bảo mật hạ tầng vững chắc tại InterData.

KHỞI TẠO VPS NGAY ⟶

Các câu lệnh quản trị và cấu hình tham số nhân Linux trong bài viết này mang tính hướng dẫn kỹ thuật chuẩn; thông số thực tế có thể cần điều chỉnh nhỏ tùy thuộc vào phiên bản nhân hệ điều hành cụ thể (Ubuntu, Debian hay RedHat) và dung lượng RAM vật lý của bạn. InterData khuyến nghị bạn luôn tiến hành sao lưu snapshot hệ thống trước khi thay đổi các tập tin cấu hình cốt lõi trên môi trường máy chủ đang chạy dịch vụ trực tiếp.

Mỹ Y

Nguyễn Thị Mỹ Y tốt nghiệp chuyên ngành Marketing Thương mại với hơn 4 năm kinh nghiệm trong lĩnh vực Content về Công nghệ và Phần mềm. Hiện tôi đang đảm nhiệm vị trí Digital Marketing tại InterData – đơn vị cung cấp giải pháp công nghệ lưu trữ hàng đầu tại Việt Nam, nơi tôi có cơ hội làm việc cùng các chuyên gia trong ngành. Trong công việc, tôi tham gia phát triển nội dung về phần mềm mã nguồn mở, ứng dụng và các giải pháp công nghệ hữu ích. Đồng thời, tôi luôn chủ động tham gia workshop, khóa đào tạo và cập nhật xu hướng mới nhằm nâng cao chuyên môn, với mong muốn góp phần chia sẻ kiến thức và thúc đẩy sự phát triển của cộng đồng công nghệ tại Việt Nam. Các bài viết được đăng trên blog của InterData đã được các chuyên viên kỹ thuật kiểm duyệt trước khi đăng.