Configuración de un filtro de firewall para prevenir o permitir la fragmentación de paquetes IPv4
En este tema se explica cómo usar las dont-fragment (set | clear) acciones en un filtro de firewall de entrada para modificar el indicador Don't Fragment en los encabezados de paquete IPv4. Estas acciones solo se admiten en MPC de enrutadores serie MX.
Puede usar un filtro de firewall en una interfaz de entrada para que coincida con paquetes IPv4 que tengan el indicador Don't Fragment establecido en uno o despejado en cero. La fragmentación se impide cuando este indicador se establece en el encabezado del paquete. La fragmentación se permite cuando el indicador no está establecido.
Para evitar que se fragmente un paquete IPv4:
Configure un término de filtro que modifique el indicador No fragmentar a uno.
[edit firewall family inet filter dfSet] user@host# set term t1 then dont-fragment set
Para permitir que se fragmente un paquete IPv4:
Configure un término de filtro que modifique el indicador No fragmentar a cero.
[edit firewall family inet filter dfClear] user@host# set term t1 then dont-fragment clear
En el ejemplo siguiente, el filtro de firewall dfSet coincide con los paquetes fragmentados y cambia el indicador Don't Fragment para evitar la fragmentación. El filtro de firewall dfClear coincide con los paquetes que no están fragmentados y cambia el indicador Don't Fragment para permitir la fragmentación.
[edit firewall family inet] user@host# edit filter dfSet user@host# set term t1 from fragment-flags is-fragment user@host# set term t1 then dont-fragment set user@host# up user@host# edit filter dfClear user@host# set term t1 from fragment-flags dont-fragment user@host# set term t1 then dont-fragment clear