Configuración de un filtro de firewall para impedir o permitir la fragmentación de paquetes IPv4
En este tema se explica cómo usar las acciones de un filtro de firewall de entrada para modificar el indicador No fragmentar en los encabezados de paquete IPv4.dont-fragment (set | clear) Estas acciones solo se admiten en MPC de enrutadores de la serie MX.
Puede usar un filtro de firewall en una interfaz de entrada para hacer coincidir los paquetes IPv4 que tienen la marca No fragmentar establecida en uno o desactivada en cero. La fragmentación se impide cuando este indicador se establece en el encabezado del paquete. La fragmentación está permitida cuando el indicador no está establecido.
Para evitar que un paquete IPv4 se fragmente:
Configure un término de filtro que modifique la marca No fragmentar a uno.
[edit firewall family inet filter dfSet] user@host# set term t1 then dont-fragment set
Para permitir que un paquete IPv4 se fragmente:
Configure un término de filtro que modifique la marca No fragmentar a cero.
[edit firewall family inet filter dfClear] user@host# set term t1 then dont-fragment clear
En el ejemplo siguiente, el filtro de firewall dfSet hace coincidir los paquetes fragmentados y cambia el indicador No fragmentar para evitar la fragmentación. El filtro de firewall dfClear hace coincidir los paquetes que no están fragmentados y cambia el indicador No fragmentar para permitir la fragmentación.
[edit firewall family inet] user@host# edit filter dfSet user@host# set term t1 from fragment-flags is-fragment user@host# set term t1 then dont-fragment set user@host# up user@host# edit filter dfClear user@host# set term t1 from fragment-flags dont-fragment user@host# set term t1 then dont-fragment clear