配置防火墙过滤器以防止或允许 IPv4 数据包分段
本主题说明如何使用入口防火墙过滤器中的操作来 修改 IPv4 数据包标头中的不分段标志。dont-fragment (set | clear) 这些操作仅在 MX 系列路由器中的 MPC 上受支持。
您可以在入口接口上使用防火墙过滤器来匹配将不分段标志设置为 1 或清除为零的 IPv4 数据包。在数据包标头中设置此标志时,可防止分段。如果未设置标志,则允许分段。
要防止 IPv4 数据包分段,请执行以下操作:
配置一个筛选器术语,用于将“不分段”标志修改为一个。
[edit firewall family inet filter dfSet] user@host# set term t1 then dont-fragment set
要允许对 IPv4 数据包进行分段,请执行以下操作:
配置将“不分段”标志修改为零的筛选器术语。
[edit firewall family inet filter dfClear] user@host# set term t1 then dont-fragment clear
在以下示例中,dfSet 防火墙过滤器匹配分段的数据包,并更改“不分段”标志以防止分段。dfClear 防火墙过滤器匹配未分段的数据包,并将“不分段”标志更改为允许分段。
[edit firewall family inet] user@host# edit filter dfSet user@host# set term t1 from fragment-flags is-fragment user@host# set term t1 then dont-fragment set user@host# up user@host# edit filter dfClear user@host# set term t1 from fragment-flags dont-fragment user@host# set term t1 then dont-fragment clear