Understanding Firewall Filter Fast Lookup Filter

Die Verwendung der fast-lookup-filter Option in Umgebungen mit Hunderten oder Tausenden von Bedingungen pro Filter kann die Leistung dieser Filter erhöhen, indem die Filterblockhardware verwendet wird.

Pro MPC sind 4096 Hardwarefilter verfügbar. Die Anzahl der Firewall-Filter, die in Hardware installiert werden können, hängt von der Anzahl der Begriffe in jedem Filter ab. In einem Firewall-Filter wird für jede Gruppe von 255 Begriffen ein Hardwarefilter benötigt. Die Gesamtzahl der pro Firewall-Filter unterstützten Begriffe beträgt 8000. Wenn sie jedoch einen bestimmten Firewall-Filter mit weniger als 256 Bedingungen an mehrere Schnittstellen anbringen, wird nur eine Instanz dieses Firewallfilters im Filterblock installiert. Dies gilt sowohl für schnittstellenspezifische Filter als auch für Filterlisten.

Sie bezeichnen bestimmte Firewall-Filter, die im Filterblock-Hardware verarbeitet werden sollen, indem Sie die Option bei der fast-lookup-filter Konfiguration der Firewall einbinden.

Wenn diese Option verwendet wird, werden Firewall-Parameter in der Filterblockhardware gespeichert, wodurch der Nachschlagevorgang beschleunigt wird. fast-lookup-filter ist nur für die Protokollfamilien inet und inet6 verfügbar. Die Übereinstimmungsbedingungen sind auf 5 Tupel beschränkt: protocol, source-address, destination-address, source-portund destination-port.

Bereiche, Präfixlisten und das Schlüsselwort außer werden in den Firewall-Filtern und -Begriffen unterstützt, wenn diese Option verwendet wird.