IPv4パケットのフラグメント化を防止または許可するファイアウォールフィルターの設定
このトピックでは、イングレスファイアウォールフィルターで dont-fragment (set | clear) アクションを使用して、IPv4パケットヘッダーのDon't Fragmentフラグを変更する方法について説明します。これらのアクションは、MX シリーズ ルーターの MPC でのみサポートされます。
イングレスインターフェイスでファイアウォールフィルターを使用して、Don't Fragmentフラグが1に設定されている、または0にクリアされているIPv4パケットを照合できます。パケット ヘッダーにこのフラグを設定すると、フラグメント化が防止されます。フラグが設定されていない場合は、フラグメント化が許可されます。
IPv4 パケットがフラグメント化されないようにするには:
Don't Fragment フラグを 1 に変更するフィルター条件を設定します。
[edit firewall family inet filter dfSet] user@host# set term t1 then dont-fragment set
IPv4 パケットのフラグメント化を許可するには:
Don't Fragment フラグをゼロに変更するフィルター条件を構成します。
[edit firewall family inet filter dfClear] user@host# set term t1 then dont-fragment clear
次の例では、dfSet ファイアウォール フィルターはフラグメント化されたパケットを照合し、フラグメント化を防ぐために Don't Fragment フラグを変更します。dfClearファイアウォールフィルターは、フラグメント化されていないパケットを照合し、フラグメント化を許可するようにDon't Fragmentフラグを変更します。
[edit firewall family inet] user@host# edit filter dfSet user@host# set term t1 from fragment-flags is-fragment user@host# set term t1 then dont-fragment set user@host# up user@host# edit filter dfClear user@host# set term t1 from fragment-flags dont-fragment user@host# set term t1 then dont-fragment clear