Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターの理解高速検索フィルター

特定のファイアウォールフィルターの処理速度を上げるために、特定のモジュラーポートコンセントレータ(MPC)で利用可能なフィルターブロックハードウェアを使用できます。詳細については、 MXシリーズインターフェイスモジュールリファレンスマニュアル を参照してください。このハードウェアでは、1秒あたりのファイアウォールフィルター操作数を増やすことができます。

フィルターごとに数百または数千の項がある環境で fast-lookup-filter オプションを使用すると、フィルター ブロック ハードウェアを利用してこれらのフィルターのパフォーマンスを向上させることができます。

MPC ごとに 4096 個のハードウェア フィルターを使用できます。ハードウェアにインストールできるファイアウォールフィルターの数は、各フィルターの項数によって異なります。ファイアウォールフィルターの255条件のグループごとに1つのハードウェアフィルターが必要です。ファイアウォールフィルターごとにサポートされる条件の総数は8000です。ただし、256条件未満の特定のファイアウォールフィルターを複数のインターフェイスにアタッチしても、そのファイアウォールフィルターの1つのインスタンスがフィルターブロックにインストールされるだけです。これは、インターフェイス固有のフィルタおよびフィルタ リストに当てはまります。

ファイアウォールを構成する際に fast-lookup-filter オプションを含めることで、フィルターブロックハードウェアで処理する特定のファイアウォールフィルターを指定します。

このオプションを使用すると、ファイアウォール パラメーターがフィルター ブロック ハードウェアに保存され、検索プロセスが高速化されます。 fast-lookup-filter は、inet および inet6 プロトコルファミリーでのみ使用できます。一致条件は 5 タプルに制限されています。protocolsource-addressdestination-addresssource-port、 および destination-port

このオプションを使用すると、範囲、プレフィックスリスト、および except キーワードがファイアウォールフィルターと条件内でサポートされます。

注:

fast-lookup-filter オプションを使用して構成されたファイアウォールフィルターは、ファイアウォールコンパイラによって最適化されません。

関連項目