Grundlegendes zum Firewall-Filter Schneller Lookup-Filter
Um die Geschwindigkeit zu erhöhen, mit der bestimmte Firewall-Filter verarbeitet werden, können Sie die Filterblock-Hardware verwenden, die auf bestimmten modularen Portkonzentratoren (MPCs) verfügbar ist. Weitere Informationen finden Sie im Referenzhandbuch zum Schnittstellenmodul der MX-Serie . Diese Hardware ermöglicht es, die Anzahl der Firewall-Filtervorgänge pro Sekunde zu erhöhen.
Wenn Sie diese Option in Umgebungen mit Hunderten oder Tausenden von Begriffen pro Filter verwenden, kann die fast-lookup-filter
Leistung dieser Filter durch die Verwendung der Filterblockhardware gesteigert werden.
Pro MPC stehen 4096 Hardwarefilter zur Verfügung. Die Anzahl der Firewallfilter, die in Hardware installiert werden können, hängt von der Anzahl der Begriffe in jedem Filter ab. Für jede Gruppe von 255 Begriffen in einem Firewallfilter wird ein Hardwarefilter benötigt. Die Gesamtzahl der Begriffe, die pro Firewallfilter unterstützt werden, beträgt 8000. Das Anfügen eines bestimmten Firewallfilters mit weniger als 256 Begriffen an mehrere Schnittstellen führt jedoch nur dazu, dass eine Instanz dieses Firewallfilters im Filterblock installiert wird. Dies gilt sowohl für schnittstellenspezifische Filter als auch für Filterlisten.
Sie legen bestimmte Firewall-Filter fest, die in der Filterblockhardware verarbeitet werden sollen, indem Sie die Option bei der fast-lookup-filter
Konfiguration der Firewall einbeziehen.
Wenn diese Option verwendet wird, werden Firewall-Parameter in der Filterblock-Hardware gespeichert, was den Suchvorgang beschleunigt. fast-lookup-filter
ist nur für die Protokollfamilien inet und inet6 verfügbar. Die Übereinstimmungsbedingungen sind auf 5-Tupel beschränkt: protocol
, source-address
, destination-address
, source-port
und destination-port
.
Bereiche, Präfixlisten und das Schlüsselwort except werden bei Verwendung dieser Option in den Firewallfiltern und -begriffen unterstützt.
Firewallfilter, die mit dieser fast-lookup-filter
Option konfiguriert werden, werden vom Firewallcompiler nicht optimiert.