IPv4 パケットの断片化を防止または許可するファイアウォールフィルターの構成
このトピックでは、イングレス ファイアウォール フィルターのアクションを使用して、IPv4 パケット ヘッダーのフラグメント化しないフラグを dont-fragment (set | clear) 変更する方法について説明します。これらのアクションは、MX シリーズルーターの MPCs でのみサポートされています。
イングレス インターフェイスでファイアウォール フィルタを使用して、フラグメント化しないフラグが 1 に設定されている IPv4 パケットまたはゼロにクリアされた IPv4 パケットを一致できます。このフラグがパケットヘッダーに設定されている場合、断片化は発生しません。フラグが設定されていない場合は、フラグメンテーションが許可されます。
IPv4 パケットが断片化されないようにするには、次のようにします。
フラグメント化しないフラグを 1 つの条件に変更するフィルタ条件を設定します。
[edit firewall family inet filter dfSet] user@host# set term t1 then dont-fragment set
IPv4 パケットが断片化されるようにするには、次のようにします。
フラグメント化しないフラグをゼロに変更するフィルタ条件を設定します。
[edit firewall family inet filter dfClear] user@host# set term t1 then dont-fragment clear
次の例で、dfSet ファイアウォール フィルタは、フラグメント化されたパケットを一致し、フラグメント化を防止するためにフラグメント化しないフラグを変更します。dfClear ファイアウォール フィルタは、フラグメント化されていないパケットを一致させて、フラグメント化を許可するためにフラグメント化しないフラグを変更します。
[edit firewall family inet] user@host# edit filter dfSet user@host# set term t1 from fragment-flags is-fragment user@host# set term t1 then dont-fragment set user@host# up user@host# edit filter dfClear user@host# set term t1 from fragment-flags dont-fragment user@host# set term t1 then dont-fragment clear