1

TCP および UDP フィルタリングでの iptables のパフォーマンスについて質問するために書いています。多数の iptables ルールでテストしていました。FORWARD チェーンに 10,000 の混合 TCP ルールと UDP ルールがある場合、TCP スループットは 35.5 メガビット/秒、UDP スループットは 25.2 メガビット/秒になります。

TCP スループットが UDP よりも大きいのはなぜですか? ACK パケットのせいで TCP が遅くなると思っていました。私はすでに cisco ACL でテストしましたが、UDP の方が高速です。

PC ---- FW ----- PC トポロジー

4

1 に答える 1

1

ファイアウォールのオーバーヘッドは、バイトではなくパケットに関して最も重要です。そのため、平均 UDP パケットが平均 TCP パケットよりも小さかった場合、CPU は、TCP よりも UDP の方が小さい数のビット/秒で限界に達します。

逆に、UDP パケットが断片化を引き起こすほど大きく、ファイアウォールがフラグメントを検査する前に再構成するように構成されている場合、再構成によってかなりのオーバーヘッドが発生し、ビット/秒のスループットが低下します。

ファイアウォールの実装と構成に固有の要因は他にもあるかもしれませんが、私はこれら 2 つが第一次要因であると考えています。

于 2012-04-26T22:06:39.163 に答える