Configuration d’un filtre de pare-feu pour empêcher ou autoriser la fragmentation des paquets IPv4
Cette rubrique explique comment utiliser les dont-fragment (set | clear) actions d’un filtre de pare-feu d’entrée pour modifier l’indicateur Ne pas fragmenter dans les en-têtes de paquets IPv4. Ces actions sont prises en charge uniquement sur les MPC des routeurs MX Series.
Vous pouvez utiliser un filtre de pare-feu sur une interface d’entrée pour faire correspondre les paquets IPv4 pour lesquels l’indicateur Ne pas fragmenter est défini sur un ou effacé sur zéro. La fragmentation est empêchée lorsque cet indicateur est défini dans l’en-tête du paquet. La fragmentation est autorisée lorsque l’indicateur n’est pas défini.
Pour éviter la fragmentation d’un paquet IPv4 :
Configurez un terme de filtre qui modifie l’indicateur Ne pas fragmenter en un terme.
[edit firewall family inet filter dfSet] user@host# set term t1 then dont-fragment set
Pour autoriser la fragmentation d’un paquet IPv4 :
Configurez un terme de filtre qui modifie l’indicateur Ne pas fragmenter à zéro.
[edit firewall family inet filter dfClear] user@host# set term t1 then dont-fragment clear
Dans l’exemple suivant, le filtre de pare-feu dfSet met en correspondance les paquets fragmentés et modifie l’indicateur Ne pas fragmenter pour éviter la fragmentation. Le filtre de pare-feu dfClear met en correspondance les paquets qui ne sont pas fragmentés et modifie l’indicateur Ne pas fragmenter pour autoriser la fragmentation.
[edit firewall family inet] user@host# edit filter dfSet user@host# set term t1 from fragment-flags is-fragment user@host# set term t1 then dont-fragment set user@host# up user@host# edit filter dfClear user@host# set term t1 from fragment-flags dont-fragment user@host# set term t1 then dont-fragment clear