Linux 커널 5.7은 NetFilter에서 복잡한 목록 일치 속도를 높입니다.

네트워크 패킷용 Netfilter 필터링 및 수정 하위 시스템 개발자 출판하다 서브넷, 네트워크 포트, 프로토콜 및 MAC 주소의 조합을 확인해야 하는 대규모 일치 목록(nftables 세트)의 처리 속도를 크게 높이는 패치 세트입니다. 패치가 이미 브랜치에 승인되었습니다. nf-다음, Linux 5.7 커널에 포함되도록 제안될 예정입니다. 가장 눈에 띄는 가속은 다음 덕분에 달성되었습니다. 매력적인 AVX2 명령어(향후 ARM용 NEON 명령어를 기반으로 유사한 최적화를 게시할 계획입니다).

모듈에 포함된 최적화 nft_set_pipapo (PIle PAcket POlicies)는 패킷의 내용을 IP 및 네트워크 포트 범위와 같은 필터링 규칙에 사용되는 임의의 필드 상태 범위와 일치시키는 문제를 해결합니다(nft_set_rbtree 및 nft_set_hash는 간격 일치 및 값의 직접 반영을 조작합니다). AMD Epyc 256 프로세서가 장착된 시스템에서 2비트 AVX7402 명령을 사용하여 벡터화된 pipapo 버전은 포트 프로토콜 조합을 포함하여 420개의 레코드를 구문 분석할 때 30%의 성능 향상을 보여주었습니다. 1000개의 레코드를 분석할 때 서브넷과 포트 번호의 조합을 비교했을 때 증가율은 IPv87의 경우 4%, IPv128의 경우 6%였습니다.

8비트 대신 4비트 일치 그룹을 사용하도록 허용하는 또 다른 최적화에서도 상당한 성능 향상이 나타났습니다. 즉, 66만 개의 포트 프로토콜 항목을 구문 분석할 때 30%, subnet_IPv43-port의 경우 4%, subnet_IPv61-port의 경우 6%입니다. 전체적으로 AVX2 최적화를 고려하면 이 테스트에서 pipapo의 성능이 각각 766%, 168%, 269% 증가했습니다. 복잡한 비교를 위해 얻은 특성은 단일 필드 검사보다 앞서 있습니다. rbtree (포트+프로토콜 테스트 제외) 그러나 지금까지는 다음을 사용한 직접 확인보다 뒤처져 있습니다. 해시 netdev를 기반으로 한 드롭 핸들러.

출처 : opennet.ru