关于conntrack机制的优化，请教

altery

我在防火墙和核心交换机处卡一桥设备，2.6内核，双1000M网卡，XEON3.2单cpu

在加载ip_conntrack模块时（无任何规则），网络上行30M，下行130M左右（通过ACL做了端口的严格控制）时，网卡上就出现大量包的堆聚现象（表现为ksoftirqd0/1狂高，接近100%，这两个进程是用来调度堆聚包的），系统反应极慢；

而在不加载ip_conntrack模块时，我把相应acl放开，系统上行100M，下行240M时，系统负载仅为30%左右，数据包转发非常通畅。

大致现象就是如此，在旁路试用pcap写程序，判断网络中也无大量syn包等，还是比较正常的应用，前端防火墙上看，系统会话数在8w左右，早就听说conntrack机制效率很低下，但没想过有这么低下，请问各位，conntrack有无可能优化下，提高到一定的转发能力？

请各位高人能参与这个话题的讨论，谢谢~

fengmushu

期待中....

不过研究了很久IP_CONNTRACK代码, 发现其实现效率的确不高, 特别是对多处理器的利用方面及其低效, 整个ip_conntract就一个锁, 而且修改的难度极大, 期待高人进来指点指点啊.....

fengmushu

如题, 这个问题已超出了网络问题的范围, 更近于是内核问题.

platinum

在内核学习版思一克写过一个针对 SMP 对称多处理内核的 module，可以把 conntrack 的负载分担到多个内核逻辑 CPU 上
不过很遗憾的是，我没有测试成功，编译出的模块无法加载

hlidea

反正有那5个hook点，就算完全不用IP_CONNTRACK自己重写都可以，干嘛非要改呢

~wind~

貌似有人写过改进程序

wheel

给个连接看下。。