了解防火墙过滤器快速查找过滤器
为了提高处理特定防火墙过滤器的速度,您可以使用某些模块化端口集中器 (MPC) 上提供的过滤器阻止硬件。有关详细信息,请参阅 MX 系列接口模块参考手册 。此硬件允许增加每秒可以完成的防火墙过滤器操作数。
fast-lookup-filter在每个筛选器具有数百或数千个项的环境中使用该选项可以通过利用筛选器块硬件来提高这些筛选器的性能。
每个 MPC 有 4096 个硬件筛选器可用。可以在硬件中安装的防火墙过滤器数量取决于每个过滤器中的术语数。防火墙过滤器中的每组 255 个术语需要一个硬件过滤器。每个防火墙过滤器支持的术语总数为 8000。但是,将少于 256 个术语的给定防火墙过滤器连接到多个接口只会导致在过滤器块中安装该防火墙过滤器的一个实例。对于特定于接口的过滤器以及过滤器列表都是如此。
通过在配置防火墙时包括该 fast-lookup-filter 选项,指定要在过滤器阻止硬件中处理的特定防火墙过滤器。
使用此选项时,防火墙参数存储在过滤器块硬件中,从而加快查找过程。 fast-lookup-filter 仅适用于 INET 和 INET6 协议家族。匹配条件限制为 5 元组:protocol、 source-address、 destination-addresssource-port、 和 destination-port。
使用此选项时,防火墙过滤器和术语中支持范围、前缀列表和 except 关键字。
注:
防火墙编译器不会优化使用该选项配置 fast-lookup-filter 的防火墙过滤器。