Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren eines Firewall-Filters zur Verhinderung oder Verhütung von IPv4-Paketfragmentierung

In diesem Thema wird erläutert, wie Die dont-fragment (set | clear) Aktionen in einem Eingangs-Firewall-Filter verwendet werden, um das "Don't Fragment"-Flag in IPv4-Paket-Headern zu ändern. Diese Aktionen werden nur auf MPCs in Routern der MX-Serie unterstützt.

Sie können einen Firewall-Filter auf einer Eingangsschnittstelle verwenden, um mit IPv4-Paketen zusammenzupassen, bei denen das Flag "Don't Fragment" auf eins festgelegt oder auf Null gelöscht wurde. Eine Fragmentierung wird verhindert, wenn dieses Flag im Paket-Header festgelegt wird. Fragmentierung ist zulässig, wenn das Flag nicht festgelegt ist.

Um zu verhindern, dass ein IPv4-Paket fragmentiert wird:

  • Konfigurieren Sie einen Filterbegriff, der das Flag "Don't Fragment" an eins ändert.

So können IPv4-Pakete fragmentiert werden:

  • Konfigurieren Sie einen Filterbegriff, der das Flag "Don't Fragment" auf Null ändert.

Im folgenden Beispiel gleicht der dfSet-Firewall-Filter fragmentierte Pakete ab und ändert das "Don't Fragment"-Flag, um eine Fragmentierung zu verhindern. Der dfClear Firewall-Filter gleicht Pakete ab, die nicht fragmentiert sind, und ändert das Flag "Don't Fragment", um die Fragmentierung zu ermöglichen.