Grundlegendes zum Firewall-Filter Schneller Lookup-Filter

Wenn Sie diese Option in Umgebungen mit Hunderten oder Tausenden von Begriffen pro Filter verwenden, kann die fast-lookup-filter Leistung dieser Filter durch die Verwendung der Filterblockhardware gesteigert werden.

Pro MPC stehen 4096 Hardwarefilter zur Verfügung. Die Anzahl der Firewallfilter, die in Hardware installiert werden können, hängt von der Anzahl der Begriffe in jedem Filter ab. Für jede Gruppe von 255 Begriffen in einem Firewallfilter wird ein Hardwarefilter benötigt. Die Gesamtzahl der Begriffe, die pro Firewallfilter unterstützt werden, beträgt 8000. Das Anfügen eines bestimmten Firewallfilters mit weniger als 256 Begriffen an mehrere Schnittstellen führt jedoch nur dazu, dass eine Instanz dieses Firewallfilters im Filterblock installiert wird. Dies gilt sowohl für schnittstellenspezifische Filter als auch für Filterlisten.

Sie legen bestimmte Firewall-Filter fest, die in der Filterblockhardware verarbeitet werden sollen, indem Sie die Option bei der fast-lookup-filter Konfiguration der Firewall einbeziehen.

Wenn diese Option verwendet wird, werden Firewall-Parameter in der Filterblock-Hardware gespeichert, was den Suchvorgang beschleunigt. fast-lookup-filter ist nur für die Protokollfamilien inet und inet6 verfügbar. Die Übereinstimmungsbedingungen sind auf 5-Tupel beschränkt: protocol, source-address, destination-address, source-portund destination-port.

Bereiche, Präfixlisten und das Schlüsselwort except werden bei Verwendung dieser Option in den Firewallfiltern und -begriffen unterstützt.