Konfigurieren eines Firewallfilters zum Verhindern oder Zulassen der IPv4-Paketfragmentierung
In diesem Thema wird erläutert, wie Sie die dont-fragment (set | clear) Aktionen in einem Eingangsfirewallfilter verwenden, um das Flag "Nicht fragmentieren" in IPv4-Paketheadern zu ändern. Diese Aktionen werden nur auf MPCs in Routern der MX-Serie unterstützt.
Sie können einen Firewallfilter auf einer Eingangsschnittstelle verwenden, um IPv4-Pakete abzugleichen, bei denen das Flag "Nicht fragmentieren" auf eins gesetzt oder auf Null gelöscht wurde. Die Fragmentierung wird verhindert, wenn dieses Flag im Paket-Header gesetzt ist. Die Fragmentierung ist zulässig, wenn das Flag nicht gesetzt ist.
So verhindern Sie, dass ein IPv4-Paket fragmentiert wird:
Konfigurieren Sie einen Filterbegriff, der das Flag Nicht fragmentieren in eins ändert.
[edit firewall family inet filter dfSet] user@host# set term t1 then dont-fragment set
So lassen Sie die Fragmentierung eines IPv4-Pakets zu:
Konfigurieren Sie einen Filterbegriff, der das Flag Nicht fragmentieren auf Null ändert.
[edit firewall family inet filter dfClear] user@host# set term t1 then dont-fragment clear
Im folgenden Beispiel stimmt der dfSet-Firewallfilter mit fragmentierten Paketen überein und ändert das Don't Fragment-Flag, um eine Fragmentierung zu verhindern. Der dfClear-Firewallfilter gleicht Pakete ab, die nicht fragmentiert sind, und ändert das Flag Don't Fragment, um eine Fragmentierung zuzulassen.
[edit firewall family inet] user@host# edit filter dfSet user@host# set term t1 from fragment-flags is-fragment user@host# set term t1 then dont-fragment set user@host# up user@host# edit filter dfClear user@host# set term t1 from fragment-flags dont-fragment user@host# set term t1 then dont-fragment clear