关于conntrack机制的优化，请教

altery

我在防火墙和核心交换机处卡一桥设备，2.6内核，双1000M网卡，XEON3.2单cpu

在加载ip_conntrack模块时（无任何规则），网络上行30M，下行130M左右（通过ACL做了端口的严格控制）时，网卡上就出现大量包的堆聚现象（表现为ksoftirqd0/1狂高，接近100%，这两个进程是用来调度堆聚包的），系统反应极慢；

而在不加载ip_conntrack模块时，我把相应acl放开，系统上行100M，下行240M时，系统负载仅为30%左右，数据包转发非常通畅。

大致现象就是如此，在旁路试用pcap写程序，判断网络中也无大量syn包等，还是比较正常的应用，前端防火墙上看，系统会话数在8w左右，早就听说conntrack机制效率很低下，但没想过有这么低下，请问各位，conntrack有无可能优化下，提高到一定的转发能力？

请各位高人能参与这个话题的讨论，谢谢~