Programistoj de la Netfilter-filtrado kaj modifa subsistemo por retpakoj aro de flikoj kiuj signife akcelas la prilaboradon de grandaj matĉolistoj (nftables-aro), kiuj postulas kontroli kombinaĵon de subretoj, retaj havenoj, protokolo kaj MAC-adresoj. Flikiloj jam estis akceptitaj en la branĉo , kiu estos proponita por inkluzivi en la Linukso 5.7 kerno. La plej rimarkinda akcelo estis atingita danke al AVX2-instrukcioj (en la estonteco estas planite publikigi similajn optimumigojn bazitajn sur NEON-instrukcioj por ARM).
Optimumigoj inkluzivitaj en la modulo (PIle PAcket POlicies), kiu solvas la problemon de kongruo de la enhavo de pakaĵeto kun arbitraj kampŝtatintervaloj uzitaj en filtraj reguloj, kiel ekzemple IP kaj retaj havenintervaloj (nft_set_rbtree kaj nft_set_hash manipulas intervalkongruadon kaj rektan reflektadon de valoroj). La versio de pipapo vektorigita uzante 256-bitajn AVX2-instrukciojn sur sistemo kun AMD Epyc 7402-procesoro montris 420%-pliiĝon de rendimento dum analizado de 30 mil rekordoj inkluzive de port-protokolaj kombinaĵoj. La pliiĝo kiam oni komparas kombinaĵon de subreto kaj havena nombro dum analizado de 1000 rekordoj estis 87% por IPv4 kaj 128% por IPv6.
Alia optimumigo, permesanta la uzon de 8-bit-matĉaj grupoj anstataŭ 4-bitaj, ankaŭ montris signifajn rendimentajn gajnojn: 66% dum analizado de 30 mil haveno-protokolo-enskriboj, 43% por subnet_IPv4-port, kaj 61% por subnet_IPv6-port. Entute, konsiderante AVX2-optimumigojn, la rendimento de pipapo pliiĝis en ĉi tiuj provoj je 766%, 168% kaj 269% respektive. La karakterizaĵoj akiritaj por kompleksaj komparoj estas antaŭ unuopaj kontroloj (krom la port+protokolo-testo), sed ĝis nun ili postrestas malantaŭ rektaj kontroloj uzante kaj gutiloj bazitaj sur netdev.
fonto: opennet.ru