ファイアウォールフィルターの理解高速検索フィルター
特定のファイアウォールフィルターの処理速度を上げるために、特定のモジュラーポートコンセントレータ(MPC)で利用可能なフィルターブロックハードウェアを使用できます。詳細については、 MXシリーズインターフェイスモジュールリファレンスマニュアル を参照してください。このハードウェアでは、1秒あたりのファイアウォールフィルター操作数を増やすことができます。
フィルターごとに数百または数千の項がある環境で fast-lookup-filter
オプションを使用すると、フィルター ブロック ハードウェアを利用してこれらのフィルターのパフォーマンスを向上させることができます。
MPC ごとに 4096 個のハードウェア フィルターを使用できます。ハードウェアにインストールできるファイアウォールフィルターの数は、各フィルターの項数によって異なります。ファイアウォールフィルターの255条件のグループごとに1つのハードウェアフィルターが必要です。ファイアウォールフィルターごとにサポートされる条件の総数は8000です。ただし、256条件未満の特定のファイアウォールフィルターを複数のインターフェイスにアタッチしても、そのファイアウォールフィルターの1つのインスタンスがフィルターブロックにインストールされるだけです。これは、インターフェイス固有のフィルタおよびフィルタ リストに当てはまります。
ファイアウォールを構成する際に fast-lookup-filter
オプションを含めることで、フィルターブロックハードウェアで処理する特定のファイアウォールフィルターを指定します。
このオプションを使用すると、ファイアウォール パラメーターがフィルター ブロック ハードウェアに保存され、検索プロセスが高速化されます。 fast-lookup-filter
は、inet および inet6 プロトコルファミリーでのみ使用できます。一致条件は 5 タプルに制限されています。protocol
、 source-address
、 destination-address
、 source-port
、 および destination-port
。
このオプションを使用すると、範囲、プレフィックスリスト、および except キーワードがファイアウォールフィルターと条件内でサポートされます。
fast-lookup-filter
オプションを使用して構成されたファイアウォールフィルターは、ファイアウォールコンパイラによって最適化されません。