【技术实现步骤摘要】
不重新组装的情况下的IPV6中IPV4片段的防假冒检查
[0001]本公开涉及基于分组的计算机网络,并且更特别地涉及处理网络设备内的分组。
技术介绍
[0002]互联网协议版本6(IPv6)是互联网协议版本4(IPv4)的后继版本,IPv4和IPv6都是用于经由诸如互联网的网络发送和接收数据的互联网协议的版本。IPv6解决了IPv4的潜在问题,诸如地址耗尽。网络已开始从IPv4转换到IPv6,并且IPv6网络与IPv4网络一起被部署。有利于从IPv4转换到IPv6的一种示例机制是具有包封的地址和端口映射(MAP-E)。MAP-E是用于使用互联网协议(IP)包封在IPv6网络分组内包封IPv4网络分组来跨IPv6网络传输IPv4网络分组的机制。
技术实现思路
[0003]本公开描述了用于网络设备的技术,以接收包封IPv4网络分组的IPv6网络分组的片段,并且在不从其片段重新组装IPv6网络分组的情况下执行IPv6网络分组的防假冒检查。网络设备可以通过确定由IPv6网络分组内包封的IPv4网络分组所指定的源网络地址和源端口是否落入值的可接受范围内,来执行这样的防假冒检查。
[0004]然而,因为IPv6网络分组的每个片段包括IPv4网络分组的不同的非重叠部分,所以仅IPv6网络分组的单个片段可以包括IPv4网络分组的指定针对IPv4网络分组的源网络地址和源端口的部分,并且因为网络设备可能无序地接收IPv6网络分组的片段,所以可能的是,在网络设备接收到包含IPv4网络分组的指定针对IPv4网络分组的 ...
【技术保护点】
【技术特征摘要】
1.一种方法,包括:由网络设备从第一网络接收第一网络分组类型的第一网络分组的一个或多个片段,其中所述第一网络分组的所述一个或多个片段是片段流的一部分,并且其中所述第一网络分组包封第二网络分组类型的第二网络分组;响应于确定所述网络设备尚未接收到所述第一网络分组的、包括针对所述第二网络分组的源网络地址和源端口的指示的片段,由所述网络设备缓冲所述一个或多个片段;响应于接收到所述第一网络分组的、包括针对所述第二网络分组的所述源网络地址和所述源端口的所述指示的所述片段,由所述网络设备在不组装所述第一网络分组的情况下,至少部分地基于针对所述第二网络分组的所述源网络地址和所述源端口,执行所述片段流的防假冒检查;以及基于所述片段流通过所述防假冒检查,响应于接收到所述第一网络分组的所有片段:由所述网络设备组装所述第一网络分组,由所述网络设备从经组装的所述第一网络分组解包封所述第二网络分组,以及由所述网络设备将所述第二网络分组转发给第二网络。2.根据权利要求1所述的方法,还包括:在对所述片段流执行所述防假冒检查之后,由所述网络设备接收所述第一网络分组的第二组一个或多个片段;基于所述片段流通过所述防假冒检查,在不对所述第一网络分组的所述第二组一个或多个片段中的任一片段执行所述防假冒检查的情况下,由所述网络设备将所述第一网络分组的所述第二组一个或多个片段缓冲在所述片段缓冲器中。3.根据权利要求1所述的方法,还包括:由所述网络设备从所述第一网络接收所述第一网络分组类型的第三网络分组的一个或多个片段,其中所述第三网络分组的所述一个或多个片段是第二片段流的一部分,并且其中所述第三网络分组包封所述第二网络分组类型的第四网络分组;响应于确定所述网络设备尚未接收到所述第三网络分组的、包括针对所述第四网络分组的源网络地址和源端口的指示的片段,由所述网络设备缓冲所述第二片段流的所述一个或多个片段;响应于接收到所述第三网络分组的、包括针对所述第四网络分组的所述源网络地址和所述源端口的所述指示的所述片段,由所述网络设备在不组装所述第三网络分组的情况下,至少部分地基于针对所述第四网络分组的所述源网络地址和所述源端口,执行所述第二片段流的防假冒检查;以及基于所述第二片段流未通过所述防假冒检查,在不组装所述第三网络分组的情况下,丢弃所述第二片段流的所有片段。4.根据权利要求1所述的方法,还包括:响应于接收到所述第一网络分组的初始片段,由所述网络设备在流表中创建与所述片段流相关联的条目;响应于确定所述第一网络分组的所述一个或多个片段不包括所述片段流的、包括所述第二网络分组类型的所述网络分组的所述源端口的所述指示的所述片段,由所述网络设备通过更新所述流表中针对所述片段流的条目以指示所述片段流处于缓冲状态,来将所述片
段流转换到所述缓冲状态,其中所述缓冲状态指示所述网络设备尚未接收到所述第一网络分组的、包括针对所述第二网络分组的所述源网络地址和所述源端口的所述指示的所述片段;以及响应于接收到所述第一网络分组的、包括针对所述第二网络分组的所述源网络地址和所述源端口的所述指示的所述片段,由所述网络设备通过更新所述流表中针对所述片段流的所述条目以指示所述片段流处于假冒状态可用状态,来将所述片段流从所述缓冲状态转换为所述假冒状态可用状态,其中所述假冒状态可用状态指示所述网络设备能够对所述第一网络分组的、包括针对所述第二网络分组的源网络地址和源端口的所述指示的所述片段执行所述防假冒检查,以确定所述片段流是否通过所述防假冒检查。5.根据权利要求1至4中任一项所述的方法,还包括:由所述网络设备至少部分地基于所述片段的片段报头中的片段偏移字段的值,确定所述第一网络分组的所述片段包括针对所述第二网络分组的所述源网络地址和所述源端口的所述指示。6.根据权利要求1至4中任一项所述的方法,还包括:由所述网络设备至少部分地基于所述第一网络分组的网络地址,确定针对所述源网络地址和所述源端口的值的可接受范围,其中至少部分地基于针对所述第二网络分组的所述源网络地址和所述源端口来执行所述片段流的所述防假冒检查包括:由所述网络设备确定针对所述第二网络分组的所述源网络地址和所述源端口是否在所述值的可接受范围内。7.根据权利要求1至4中任一项所述的方法,其中:所述第一网络分组类型的所述第一网络分组为互联网协议版本6(IPv6)网络分组;所述第二网络分组类型的所述第二网络分组为互联网协议版本4(IPv4)网络分组;所述第一网络是IPv6网络;并且所述第二网络是IPv4网络。8.一种网络设备,包括:一个或多个网络接口,被配置为从第一网络接收第一网络分组类型的第一网络分组的一个或多个片段,其中所述第一网络分组的所述一个或多个片段是片段流的一部分,并且其中所述...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。