ファイアウォールフィルターの理解高速検索フィルター
特定のファイアウォールフィルターの処理速度を上げるために、特定のモジュラーポートコンセントレータ(MPC)で利用可能なフィルターブロックハードウェアを使用できます。詳細については、 MXシリーズインターフェイスモジュールリファレンスマニュアル を参照してください。このハードウェアでは、1秒あたりのファイアウォールフィルター操作数を増やすことができます。
フィルターごとに数百または数千の項がある環境でオプションを使用すると、フィルターブロックハードウェアを利用してこれらのフィルターのパフォーマンスを向上させることができます。fast-lookup-filter
MPC ごとに 4096 個のハードウェア フィルターを使用できます。ハードウェアにインストールできるファイアウォールフィルターの数は、各フィルターの項数によって異なります。ファイアウォールフィルターの255条件のグループごとに1つのハードウェアフィルターが必要です。ファイアウォールフィルターごとにサポートされる条件の総数は8000です。ただし、256条件未満の特定のファイアウォールフィルターを複数のインターフェイスにアタッチしても、そのファイアウォールフィルターの1つのインスタンスがフィルターブロックにインストールされるだけです。これは、インターフェイス固有のフィルタおよびフィルタ リストに当てはまります。
ファイアウォールの設定時に オプションを含める ことで、フィルターブロックハードウェアで処理する特定のファイアウォールフィルターを指定します。fast-lookup-filter
このオプションを使用すると、ファイアウォール パラメーターがフィルター ブロック ハードウェアに保存され、検索プロセスが高速化されます。 は、inet および inet6 プロトコルファミリーでのみ使用できます。fast-lookup-filter
一致条件は 5 タプルに制限されています。protocol
、 source-address
、 destination-address
、 source-port
、 および destination-port
。
このオプションを使用すると、範囲、プレフィックスリスト、および except キーワードがファイアウォールフィルターと条件内でサポートされます。
オプションを使用して 設定されたファイアウォールフィルターは、ファイアウォールコンパイラによって最適化されません。fast-lookup-filter