NetFilter კომპლექსური სიის შესაბამისობა დაჩქარდება Linux 5.7 ბირთვში

Netfilter ფილტრაციისა და მოდიფიკაციის ქვესისტემის დეველოპერები ქსელის პაკეტებისთვის გამოქვეყნდა პატჩების ნაკრები, რომელიც მნიშვნელოვნად აჩქარებს დიდი მატჩების სიების დამუშავებას (nftables ნაკრები), რომელიც მოითხოვს ქვექსელების, ქსელის პორტების, პროტოკოლის და MAC მისამართების კომბინაციის შემოწმებას. ფილიალში პატჩები უკვე მიღებულია nf- შემდეგი, რომელიც შემოთავაზებული იქნება Linux 5.7 ბირთვში ჩასართავად. ყველაზე შესამჩნევი აჩქარება მიღწეული იქნა წყალობით ჩართვა AVX2 ინსტრუქციები (მომავალში იგეგმება მსგავსი ოპტიმიზაციის გამოქვეყნება ARM-ისთვის NEON ინსტრუქციების საფუძველზე).

მოდულში ჩართული ოპტიმიზაცია nft_set_pipapo (PIle PAcket POlicies), რომელიც წყვეტს პაკეტის შიგთავსის შესაბამისობის პრობლემას ველის თვითნებური მდგომარეობის დიაპაზონებთან, რომლებიც გამოიყენება ფილტრაციის წესებში, როგორიცაა IP და ქსელის პორტის დიაპაზონები (nft_set_rbtree და nft_set_hash მანიპულირებენ ინტერვალის დამთხვევასა და მნიშვნელობების პირდაპირ ასახვას). პიპაპოს ვერსია, რომელიც ვექტორიზებულია 256-ბიტიანი AVX2 ინსტრუქციებით სისტემაზე AMD Epyc 7402 პროცესორით, აჩვენა მუშაობის 420%-იანი ზრდა 30 ათასი ჩანაწერის ანალიზისას, მათ შორის პორტ-პროტოკოლის კომბინაციების ჩათვლით. ზრდა ქვექსელისა და პორტის ნომრის კომბინაციის შედარებისას 1000 ჩანაწერის ანალიზისას იყო 87% IPv4-ისთვის და 128% IPv6-ისთვის.

სხვა ოპტიმიზაციამ, რომელიც 8-ბიტიან ნაცვლად 4-ბიტიანი შესატყვისი ჯგუფების გამოყენების საშუალებას იძლევა, ასევე აჩვენა მნიშვნელოვანი ეფექტურობა: 66% პორტ-პროტოკოლის 30 ათასი ჩანაწერის ანალიზის დროს, 43% subnet_IPv4-პორტისთვის და 61% subnet_IPv6-პორტისთვის. საერთო ჯამში, AVX2 ოპტიმიზაციის გათვალისწინებით, პიპაპოს შესრულება ამ ტესტებში გაიზარდა 766%, 168% და 269% შესაბამისად. რთული შედარებისთვის მიღებული მახასიათებლები წინ უსწრებს ერთ საველე შემოწმებას rbtree (პორტი+პროტოკოლის ტესტის გარდა), მაგრამ ჯერჯერობით ისინი ჩამორჩებიან პირდაპირ შემოწმებებს ჰეშები და ჩამოაგდეს დამმუშავებლები netdev-ზე დაფუძნებული.

წყარო: opennet.ru