Watengenezaji wa mfumo mdogo wa kuchuja na urekebishaji wa Netfilter kwa pakiti za mtandao seti ya viraka ambavyo vinaharakisha kwa kiasi kikubwa usindikaji wa orodha kubwa za mechi (seti za nfttables), ambazo zinahitaji kuangalia mchanganyiko wa subnets, bandari za mtandao, itifaki na anwani za MAC. Viraka tayari vimekubaliwa kwenye tawi , ambayo itapendekezwa kujumuishwa kwenye kernel ya Linux 5.7. Kuongeza kasi iliyoonekana zaidi ilipatikana shukrani kwa Maagizo ya AVX2 (katika siku zijazo imepangwa kuchapisha uboreshaji sawa kulingana na maagizo ya NEON ya ARM).
Uboreshaji pamoja na katika moduli (Sera za PILE Packet), ambayo hutatua tatizo la kulinganisha maudhui ya pakiti na safu za hali za uga zisizo na mpangilio zinazotumika katika sheria za kuchuja, kama vile safu za IP na lango la mtandao (nft_set_rbtree na nft_set_hash hudhibiti ulinganishaji wa muda na uakisi wa moja kwa moja wa thamani). Toleo la pipapo lililowekwa vekta kwa kutumia maagizo ya AVX256 ya 2-bit kwenye mfumo ulio na kichakataji cha AMD Epyc 7402 lilionyesha ongezeko la utendaji la 420% wakati wa kuchanganua rekodi elfu 30 ikijumuisha michanganyiko ya itifaki ya bandari. Ongezeko wakati wa kulinganisha mchanganyiko wa subnet na nambari ya bandari wakati wa kuchanganua rekodi 1000 ilikuwa 87% kwa IPv4 na 128% kwa IPv6.
Uboreshaji mwingine, unaoruhusu matumizi ya vikundi vya mechi 8 badala ya 4-bit, pia ulionyesha mafanikio makubwa ya utendaji: 66% wakati wa kuchanganua maingizo elfu 30 ya itifaki ya bandari, 43% kwa subnet_IPv4-port, na 61% kwa subnet_IPv6-port. Kwa jumla, kwa kuzingatia uboreshaji wa AVX2, utendaji wa pipapo uliongezeka katika majaribio haya kwa 766%, 168% na 269%, mtawaliwa. Sifa zinazopatikana kwa ulinganishaji changamano ziko mbele ya ukaguzi wa sehemu moja (isipokuwa mtihani wa itifaki ya bandari +), lakini hadi sasa wanabaki nyuma ya ukaguzi wa moja kwa moja kwa kutumia na washughulikiaji wa kuacha kulingana na netdev.
Chanzo: opennet.ru