Pamekar subsistem nyaring sareng modifikasi Netfilter pikeun pakét jaringan sakumpulan patches nu nyata nyepetkeun ngolah daptar cocok badag (nftables set), nu merlukeun mariksa kombinasi subnets, palabuhan jaringan, protokol jeung alamat MAC. Patch parantos ditampi kana cabang , anu bakal diusulkeun pikeun dilebetkeun kana kernel Linux 5.7. Akselerasi paling noticeable kahontal berkat AVX2 parentah (dina mangsa nu bakal datang ieu rencanana nyebarkeun optimizations sarupa dumasar kana parentah NEON pikeun ARM).
Optimizations kaasup dina modul (Pile PAcket POlicies), anu ngarengsekeun masalah anu cocog sareng eusi pakét sareng rentang kaayaan lapangan sawenang anu dianggo dina aturan nyaring, sapertos IP sareng rentang port jaringan (nft_set_rbtree sareng nft_set_hash ngamanipulasi cocog interval sareng cerminan langsung tina nilai). Versi pipapo vectorized maké parentah 256-bit AVX2 dina sistem kalawan prosésor AMD Epyc 7402 némbongkeun paningkatan 420% kinerja nalika parsing 30 sarébu rékaman kaasup kombinasi port-protokol. Paningkatan nalika ngabandingkeun kombinasi subnet sareng nomer port nalika nga-parsing 1000 rékaman éta 87% pikeun IPv4 sareng 128% pikeun IPv6.
optimasi sejen, ngamungkinkeun pamakéan grup cocok 8-bit tinimbang 4-bit, ogé némbongkeun gains kinerja signifikan: 66% lamun parsing 30 sarébu éntri port-protokol, 43% pikeun subnet_IPv4-port, jeung 61% pikeun subnet_IPv6-port. Dina total, kalayan ngitung optimasi AVX2, kinerja pipapo ningkat dina tés ieu masing-masing ku 766%, 168% sareng 269%. Karakteristik anu diala pikeun ngabandingkeun kompleks sateuacanna tina pamariksaan lapangan tunggal (iwal ti port + test protokol), tapi jadi jauh maranéhanana katinggaleun balik cék langsung maké sareng serelek panangan dumasar kana netdev.
sumber: opennet.ru