不重新组装的情况下的IPV6中IPV4片段的防假冒检查制造技术

本公开的实施例涉及不重新组装的情况下的IPV6中IPV4片段的防假冒检查。网络设备可以从第一网络接收第一网络分组类型的第一网络分组的一个或多个片段，其中第一网络分组包封第二网络分组类型的第二网络分组。网络设备可以在其中缓冲一个或多个片段。网络设备可以在接收到第一网络分组的包括针对第二网络分组的源网络地址和源端口的指示的片段时，在不组装第一网络分组的情况下执行片段流的防假冒检查。网络设备可以基于片段流通过防假冒检查，响应于接收到第一网络分组的所有片段：组装第一网络分组，从经组装的第一网络分组解包封第二网络分组，以及将第二网络分组转发给第二网络。二网络。二网络。

【技术实现步骤摘要】
不重新组装的情况下的IPV6中IPV4片段的防假冒检查


[0001]本公开涉及基于分组的计算机网络，并且更特别地涉及处理网络设备内的分组。

技术介绍

[0002]互联网协议版本6(IPv6)是互联网协议版本4(IPv4)的后继版本，IPv4和IPv6都是用于经由诸如互联网的网络发送和接收数据的互联网协议的版本。IPv6解决了IPv4的潜在问题，诸如地址耗尽。网络已开始从IPv4转换到IPv6，并且IPv6网络与IPv4网络一起被部署。有利于从IPv4转换到IPv6的一种示例机制是具有包封的地址和端口映射(MAP-E)。MAP-E是用于使用互联网协议(IP)包封在IPv6网络分组内包封IPv4网络分组来跨IPv6网络传输IPv4网络分组的机制。

技术实现思路

[0003]本公开描述了用于网络设备的技术，以接收包封IPv4网络分组的IPv6网络分组的片段，并且在不从其片段重新组装IPv6网络分组的情况下执行IPv6网络分组的防假冒检查。网络设备可以通过确定由IPv6网络分组内包封的IPv4网络分组所指定的源网络地址和源端口是否落入值的可接受范围内，来执行这样的防假冒检查。
[0004]然而，因为IPv6网络分组的每个片段包括IPv4网络分组的不同的非重叠部分，所以仅IPv6网络分组的单个片段可以包括IPv4网络分组的指定针对IPv4网络分组的源网络地址和源端口的部分，并且因为网络设备可能无序地接收IPv6网络分组的片段，所以可能的是，在网络设备接收到包含IPv4网络分组的指定针对IPv4网络分组的源网络地址和源端口的部分的IPv6网络分组片段之前，网络设备可能接收到IPv6网络分组的一个或多个片段，该一个或多个片段不包含IPv4网络分组的指定针对IPv4网络分组的源网络地址和源端口的部分。
[0005]根据本公开的各方面，网络设备可以接收IPv6网络分组的片段，每个片段携载IPv4网络分组的不同的非重叠部分，并且缓冲IPv6网络分组片段，直到网络设备接收到携载IPv4网络分组的指定针对IPv4网络分组的源网络地址和源端口的部分的IPv6网络分组片段。当网络设备接收到携载IPv4网络分组的指定针对IPv4网络分组的源网络地址和源端口的部分的IPv6网络分组片段时，网络设备可以在不从其片段组装IPv4网络分组的情况下，对IPv6网络分组执行防假冒检查。
[0006]如果IPv6网络分组通过防假冒检查，则网络设备可以继续接收IPv6网络分组的片段，直到它已接收到IPv6网络分组的所有片段，重新组装IPv6网络分组，从IPv6网络分组解包封IPv4网络分组，以及将经重新组装的IPv6网络分组中包含的IPv4网络分组转发给IPv4网络。相反，如果IPv6网络分组未通过防假冒检查，则网络设备可以在不组装IPv6网络分组的情况下，丢弃所接收的IPv6网络分组的片段中的每个，并且还可以丢弃任何随后接收的IPv6网络分组的片段。
[0007]本文描述的技术可以提供某些优点。本文描述的技术允许网络设备避免从IPv6网
络分组的片段中重新组装整个IPv6网络分组来对IPv6网络分组执行防假冒检查。由于执行IPv6网络分组的重新组装使用处理器和存储器资源，因此制止从IPv6网络分组的片段中重新组装IPv6网络分组来执行防假冒检查可以使得网络设备能够以使用较少的处理器和存储器资源的方式对IPv6网络分组执行防假冒检查。通过使得网络设备能够提高其对IPv6网络分组执行防假冒检查的速度，同时花费较少的处理功率并使用更少的存储器资源来执行这样的防假冒检查，这提高了网络设备对IPv6网络分组执行防假冒检查的性能。
[0008]在一个示例中，本公开涉及一种方法。方法包括由网络设备从第一网络接收第一网络分组类型的第一网络分组的一个或多个片段，其中第一网络分组的一个或多个片段是片段流的一部分，并且其中第一网络分组包封第二网络分组类型的第二网络分组。方法还包括：响应于确定网络设备尚未接收到第一网络分组的、包括针对第二网络分组的源网络地址和源端口的指示的片段，由网络设备将一个或多个片段缓冲在片段缓冲器中。方法还包括：响应于接收到第一网络分组的、包括针对第二网络分组的源网络地址和源端口的指示的片段，由网络设备在不组装第一网络分组的情况下，至少部分地基于针对第二网络分组的源网络地址和源端口，执行片段流的防假冒检查。方法还包括：基于片段流通过防假冒检查，响应于接收到第一网络分组的所有片段：由网络设备组装第一网络分组，由网络设备从经组装的第一网络分组解包封第二网络分组，以及由网络设备将第二网络分组分发给第二网络。
[0009]在另一示例中，本公开涉及一种网络设备。网络设备包括一个或多个网络接口，被配置为从第一网络接收第一网络分组类型的第一网络分组的一个或多个片段，其中第一网络分组的一个或多个片段是片段流的一部分，并且其中第一网络分组包封第二网络分组类型的第二网络分组。网络设备还包括一个或多个处理器，一个或多个处理器被配置为：响应于确定一个或多个网络接口尚未接收到第一网络分组的、包括针对第二网络分组的源网络地址和源端口的指示的片段，将一个或多个片段缓冲在片段缓冲器中；响应于一个或多个网络接口接收到第一网络分组的、包括针对第二网络分组的源网络地址和源端口的指示的片段，在不组装第一网络分组的情况下，至少部分地基于针对第二网络分组的源网络地址和源端口，执行片段流的防假冒检查：以及基于片段流通过防假冒检查，响应于接收到第一网络分组的所有片段：组装第一网络分组，以及从经组装的第一网络分组解包封第二网络分组；其中一个或多个网络接口还被配置为将第二网络分组分发给第二网络。
[0010]在另一示例中，本公开涉及一种计算机可读介质，计算机可读介质包括指令，该指令用于使可编程处理器：从第一网络接收第一网络分组类型的第一网络分组的一个或多个片段，其中第一网络分组的一个或多个片段是片段流的一部分，并且其中第一网络分组包封第二网络分组类型的第二网络分组；响应于确定尚未接收到第一网络分组的、包括针对第二网络分组的源网络地址和源端口的指示的片段，将一个或多个片段缓冲在片段缓冲器中；响应于接收到第一网络分组的、包括针对第二网络分组的源网络地址和源端口的指示的片段，在不组装第一网络分组的情况下，至少部分地基于针对第二网络分组的源网络地址和源端口，执行片段流的防假冒检查；以及基于片段流通过防假冒检查，响应于接收到第一网络分组的所有片段：组装第一网络分组，从经组装的第一网络分组解包封第二网络分组，以及将第二网络分组分发给第二网络。
[0011]在附图和以下描述中阐述了本公开的一个或多个技术的细节。技术的其他特征、
目的和优点将从描述和附图以及从权利要求中显而易见。
附图说明
[0012]图1是图示根据本公开的各方面的其中网络设备可以将IPv4网络4连接到IPv6网络6的系统的框图。
[0013]图2是图示根据本公开的各方面的示例网络设备10的框图，示例网络设备10被配置为在不从其片段重新组装IPv6网络分组的情况下对IPv6本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种方法，包括：由网络设备从第一网络接收第一网络分组类型的第一网络分组的一个或多个片段，其中所述第一网络分组的所述一个或多个片段是片段流的一部分，并且其中所述第一网络分组包封第二网络分组类型的第二网络分组；响应于确定所述网络设备尚未接收到所述第一网络分组的、包括针对所述第二网络分组的源网络地址和源端口的指示的片段，由所述网络设备缓冲所述一个或多个片段；响应于接收到所述第一网络分组的、包括针对所述第二网络分组的所述源网络地址和所述源端口的所述指示的所述片段，由所述网络设备在不组装所述第一网络分组的情况下，至少部分地基于针对所述第二网络分组的所述源网络地址和所述源端口，执行所述片段流的防假冒检查；以及基于所述片段流通过所述防假冒检查，响应于接收到所述第一网络分组的所有片段：由所述网络设备组装所述第一网络分组，由所述网络设备从经组装的所述第一网络分组解包封所述第二网络分组，以及由所述网络设备将所述第二网络分组转发给第二网络。2.根据权利要求1所述的方法，还包括：在对所述片段流执行所述防假冒检查之后，由所述网络设备接收所述第一网络分组的第二组一个或多个片段；基于所述片段流通过所述防假冒检查，在不对所述第一网络分组的所述第二组一个或多个片段中的任一片段执行所述防假冒检查的情况下，由所述网络设备将所述第一网络分组的所述第二组一个或多个片段缓冲在所述片段缓冲器中。3.根据权利要求1所述的方法，还包括：由所述网络设备从所述第一网络接收所述第一网络分组类型的第三网络分组的一个或多个片段，其中所述第三网络分组的所述一个或多个片段是第二片段流的一部分，并且其中所述第三网络分组包封所述第二网络分组类型的第四网络分组；响应于确定所述网络设备尚未接收到所述第三网络分组的、包括针对所述第四网络分组的源网络地址和源端口的指示的片段，由所述网络设备缓冲所述第二片段流的所述一个或多个片段；响应于接收到所述第三网络分组的、包括针对所述第四网络分组的所述源网络地址和所述源端口的所述指示的所述片段，由所述网络设备在不组装所述第三网络分组的情况下，至少部分地基于针对所述第四网络分组的所述源网络地址和所述源端口，执行所述第二片段流的防假冒检查；以及基于所述第二片段流未通过所述防假冒检查，在不组装所述第三网络分组的情况下，丢弃所述第二片段流的所有片段。4.根据权利要求1所述的方法，还包括：响应于接收到所述第一网络分组的初始片段，由所述网络设备在流表中创建与所述片段流相关联的条目；响应于确定所述第一网络分组的所述一个或多个片段不包括所述片段流的、包括所述第二网络分组类型的所述网络分组的所述源端口的所述指示的所述片段，由所述网络设备通过更新所述流表中针对所述片段流的条目以指示所述片段流处于缓冲状态，来将所述片
段流转换到所述缓冲状态，其中所述缓冲状态指示所述网络设备尚未接收到所述第一网络分组的、包括针对所述第二网络分组的所述源网络地址和所述源端口的所述指示的所述片段；以及响应于接收到所述第一网络分组的、包括针对所述第二网络分组的所述源网络地址和所述源端口的所述指示的所述片段，由所述网络设备通过更新所述流表中针对所述片段流的所述条目以指示所述片段流处于假冒状态可用状态，来将所述片段流从所述缓冲状态转换为所述假冒状态可用状态，其中所述假冒状态可用状态指示所述网络设备能够对所述第一网络分组的、包括针对所述第二网络分组的源网络地址和源端口的所述指示的所述片段执行所述防假冒检查，以确定所述片段流是否通过所述防假冒检查。5.根据权利要求1至4中任一项所述的方法，还包括：由所述网络设备至少部分地基于所述片段的片段报头中的片段偏移字段的值，确定所述第一网络分组的所述片段包括针对所述第二网络分组的所述源网络地址和所述源端口的所述指示。6.根据权利要求1至4中任一项所述的方法，还包括：由所述网络设备至少部分地基于所述第一网络分组的网络地址，确定针对所述源网络地址和所述源端口的值的可接受范围，其中至少部分地基于针对所述第二网络分组的所述源网络地址和所述源端口来执行所述片段流的所述防假冒检查包括：由所述网络设备确定针对所述第二网络分组的所述源网络地址和所述源端口是否在所述值的可接受范围内。7.根据权利要求1至4中任一项所述的方法，其中：所述第一网络分组类型的所述第一网络分组为互联网协议版本6(IPv6)网络分组；所述第二网络分组类型的所述第二网络分组为互联网协议版本4(IPv4)网络分组；所述第一网络是IPv6网络；并且所述第二网络是IPv4网络。8.一种网络设备，包括：一个或多个网络接口，被配置为从第一网络接收第一网络分组类型的第一网络分组的一个或多个片段，其中所述第一网络分组的所述一个或多个片段是片段流的一部分，并且其中所述...

【专利技术属性】
技术研发人员：A，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：