Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

了解防火墙过滤器快速查找过滤器

 

为了提高处理特定防火墙过滤器的速度,您可以使用某些模块化端口集中器(Mpc)上可用的过滤器块硬件。有关详细信息,请参阅MX 系列接口模块参考手册  。此硬件支持每秒可完成的防火墙过滤器操作数量的增加。

在每fast-lookup-filter个过滤器具有数百个或数千个搜索条件的环境中使用该选项可利用过滤器块硬件提高这些过滤器的性能。

每个 MPC 有4096个硬件过滤器可用。可安装在硬件中的防火墙过滤器数量取决于每个过滤器中的条款数量。防火墙过滤器中的每个255术语组都需要一个硬件过滤器。每个防火墙过滤器支持的总条款数为8000。但是,如果将不到256术语的给定防火墙过滤器连接到多个接口,则仅会导致在过滤器块中安装该防火墙过滤器的一个实例。接口特定过滤器和过滤器列表都是如此。

您可通过在配置防火墙时包括fast-lookup-filter选项,指定要在过滤器阻止硬件中处理的特定防火墙过滤器。

使用此选项时,防火墙参数存储在过滤器块硬件中,以加速查找流程。fast-lookup-filter仅适用于 inet 和 inet6 协议系列。匹配条件限制为5元组:protocolsource-addressdestination-addresssource-port、和destination-port

使用此选项时,防火墙过滤器和条款中支持范围、前缀列表和 except 关键字。

注意

使用该fast-lookup-filter选项配置的防火墙过滤器不会通过防火墙编译器进行优化。