Şəbəkə paketləri üçün Netfilter filtrləmə və modifikasiya alt sisteminin tərtibatçıları alt şəbəkələrin, şəbəkə portlarının, protokolun və MAC ünvanlarının birləşməsini yoxlamağı tələb edən böyük uyğunluq siyahılarının (nftables dəsti) işlənməsini əhəmiyyətli dərəcədə sürətləndirən yamaqlar dəsti. Artıq filiala yamalar qəbul edilib , Linux 5.7 nüvəsinə daxil edilməsi təklif olunacaq. Ən nəzərə çarpan sürətlənmə sayəsində əldə edildi AVX2 təlimatları (gələcəkdə ARM üçün NEON təlimatları əsasında oxşar optimallaşdırmaların dərc edilməsi planlaşdırılır).
Optimallaşdırmalar modula daxildir IP və şəbəkə port diapazonları (nft_set_rbtree və nft_set_hash interval uyğunluğu və dəyərlərin birbaşa əksini manipulyasiya edir) kimi filtrləmə qaydalarında istifadə olunan ixtiyari sahə vəziyyəti diapazonları ilə paketin məzmununun uyğunlaşdırılması problemini həll edən (PIle PAcket Policy). AMD Epyc 256 prosessoru olan sistemdə 2-bit AVX7402 təlimatları ilə vektorlaşdırılmış pipapo versiyası port-protokol kombinasiyaları da daxil olmaqla 420 min qeydi təhlil edərkən 30% performans artımı göstərdi. 1000 qeydi təhlil edərkən alt şəbəkə və port nömrəsinin birləşməsini müqayisə edərkən artım IPv87 üçün 4% və IPv128 üçün 6% təşkil edib.
8-bit əvəzinə 4-bit uyğunluq qruplarının istifadəsinə imkan verən başqa bir optimallaşdırma da əhəmiyyətli performans artımı göstərdi: 66 min port-protokol girişini təhlil edərkən 30%, subnet_IPv43-port üçün 4% və subnet_IPv61-port üçün 6%. Ümumilikdə, AVX2 optimallaşdırmalarını nəzərə alaraq, bu testlərdə pipaponun performansı müvafiq olaraq 766%, 168% və 269% artıb. Mürəkkəb müqayisələr üçün əldə edilən xüsusiyyətlər tək sahə yoxlamalarından əvvəldir (port+protokol testi istisna olmaqla), lakin indiyə qədər istifadə edərək birbaşa yoxlamalardan geri qalırlar və netdev əsasında açılan işləyicilər.
Mənbə: opennet.ru