[发明专利]不重新组装的情况下的IPV6中IPV4片段的防假冒检查

说明书

本公开的实施例涉及不重新组装的情况下的IPV6中IPV4片段的防假冒检查。网络设备可以从第一网络接收第一网络分组类型的第一网络分组的一个或多个片段，其中第一网络分组包封第二网络分组类型的第二网络分组。网络设备可以在其中缓冲一个或多个片段。网络设备可以在接收到第一网络分组的包括针对第二网络分组的源网络地址和源端口的指示的片段时，在不组装第一网络分组的情况下执行片段流的防假冒检查。网络设备可以基于片段流通过防假冒检查，响应于接收到第一网络分组的所有片段：组装第一网络分组，从经组装的第一网络分组解包封第二网络分组，以及将第二网络分组转发给第二网络。

技术领域

本公开涉及基于分组的计算机网络，并且更特别地涉及处理网络设备内的分组。

背景技术

互联网协议版本6(IPv6)是互联网协议版本4(IPv4)的后继版本，IPv4和IPv6都是用于经由诸如互联网的网络发送和接收数据的互联网协议的版本。IPv6解决了IPv4的潜在问题，诸如地址耗尽。网络已开始从IPv4转换到IPv6，并且IPv6网络与IPv4网络一起被部署。有利于从IPv4转换到IPv6的一种示例机制是具有包封的地址和端口映射(MAP-E)。MAP-E是用于使用互联网协议(IP)包封在IPv6网络分组内包封IPv4网络分组来跨IPv6网络传输IPv4网络分组的机制。

发明内容

本公开描述了用于网络设备的技术，以接收包封IPv4网络分组的IPv6网络分组的片段，并且在不从其片段重新组装IPv6网络分组的情况下执行IPv6网络分组的防假冒检查。网络设备可以通过确定由IPv6网络分组内包封的IPv4网络分组所指定的源网络地址和源端口是否落入值的可接受范围内，来执行这样的防假冒检查。

然而，因为IPv6网络分组的每个片段包括IPv4网络分组的不同的非重叠部分，所以仅IPv6网络分组的单个片段可以包括IPv4网络分组的指定针对IPv4网络分组的源网络地址和源端口的部分，并且因为网络设备可能无序地接收IPv6网络分组的片段，所以可能的是，在网络设备接收到包含IPv4网络分组的指定针对IPv4网络分组的源网络地址和源端口的部分的IPv6网络分组片段之前，网络设备可能接收到IPv6网络分组的一个或多个片段，该一个或多个片段不包含IPv4网络分组的指定针对IPv4网络分组的源网络地址和源端口的部分。

根据本公开的各方面，网络设备可以接收IPv6网络分组的片段，每个片段携载IPv4网络分组的不同的非重叠部分，并且缓冲IPv6网络分组片段，直到网络设备接收到携载IPv4网络分组的指定针对IPv4网络分组的源网络地址和源端口的部分的IPv6网络分组片段。当网络设备接收到携载IPv4网络分组的指定针对IPv4网络分组的源网络地址和源端口的部分的IPv6网络分组片段时，网络设备可以在不从其片段组装IPv4网络分组的情况下，对IPv6网络分组执行防假冒检查。

如果IPv6网络分组通过防假冒检查，则网络设备可以继续接收IPv6网络分组的片段，直到它已接收到IPv6网络分组的所有片段，重新组装IPv6网络分组，从IPv6网络分组解包封IPv4网络分组，以及将经重新组装的IPv6网络分组中包含的IPv4网络分组转发给IPv4网络。相反，如果IPv6网络分组未通过防假冒检查，则网络设备可以在不组装IPv6网络分组的情况下，丢弃所接收的IPv6网络分组的片段中的每个，并且还可以丢弃任何随后接收的IPv6网络分组的片段。

本文描述的技术可以提供某些优点。本文描述的技术允许网络设备避免从IPv6网络分组的片段中重新组装整个IPv6网络分组来对IPv6网络分组执行防假冒检查。由于执行IPv6网络分组的重新组装使用处理器和存储器资源，因此制止从IPv6网络分组的片段中重新组装IPv6网络分组来执行防假冒检查可以使得网络设备能够以使用较少的处理器和存储器资源的方式对IPv6网络分组执行防假冒检查。通过使得网络设备能够提高其对IPv6网络分组执行防假冒检查的速度，同时花费较少的处理功率并使用更少的存储器资源来执行这样的防假冒检查，这提高了网络设备对IPv6网络分组执行防假冒检查的性能。