Konfigurieren eines Firewall-Filters zur Verhinderung oder Verhütung von IPv4-Paketfragmentierung
In diesem Thema wird erläutert, wie Die dont-fragment (set | clear) Aktionen in einem Eingangs-Firewall-Filter verwendet werden, um das "Don't Fragment"-Flag in IPv4-Paket-Headern zu ändern. Diese Aktionen werden nur auf MPCs in Routern der MX-Serie unterstützt.
Sie können einen Firewall-Filter auf einer Eingangsschnittstelle verwenden, um mit IPv4-Paketen zusammenzupassen, bei denen das Flag "Don't Fragment" auf eins festgelegt oder auf Null gelöscht wurde. Eine Fragmentierung wird verhindert, wenn dieses Flag im Paket-Header festgelegt wird. Fragmentierung ist zulässig, wenn das Flag nicht festgelegt ist.
Um zu verhindern, dass ein IPv4-Paket fragmentiert wird:
Konfigurieren Sie einen Filterbegriff, der das Flag "Don't Fragment" an eins ändert.
[edit firewall family inet filter dfSet] user@host# set term t1 then dont-fragment set
So können IPv4-Pakete fragmentiert werden:
Konfigurieren Sie einen Filterbegriff, der das Flag "Don't Fragment" auf Null ändert.
[edit firewall family inet filter dfClear] user@host# set term t1 then dont-fragment clear
Im folgenden Beispiel gleicht der dfSet-Firewall-Filter fragmentierte Pakete ab und ändert das "Don't Fragment"-Flag, um eine Fragmentierung zu verhindern. Der dfClear Firewall-Filter gleicht Pakete ab, die nicht fragmentiert sind, und ändert das Flag "Don't Fragment", um die Fragmentierung zu ermöglichen.
[edit firewall family inet] user@host# edit filter dfSet user@host# set term t1 from fragment-flags is-fragment user@host# set term t1 then dont-fragment set user@host# up user@host# edit filter dfClear user@host# set term t1 from fragment-flags dont-fragment user@host# set term t1 then dont-fragment clear