[问题求助]关于conntrack机制的优化，请教 [复制链接]

我在防火墙和核.心交换机处卡一桥设备，2.6内核，双1000M网.卡，XEON3.2单cpu健康

在加载ip_conntrack模块时（无任何规则），网络上行30M，下行130M左右（通过ACL做了端口的严格控制）时，.网卡上就出现大量包的堆聚现象（表现为ksoftirqd.0/1狂高，接近100%，这两个进程是用来调度堆聚包的.），系统反应极慢；          婚庆

而在不加载ip_conntrack模块时，我把相应ac.l放开，系统上行100M，下行240M时，系统负载仅为30%左右.，数据包转发非常通畅。              乙肝

大致现象就.是如此，在旁路试用pcap写程序，判断网络中也.无大量syn包等，还是比较正常的应用，前端防火墙上看，系.统会话数在8w左右，早就听说conntrack机制效率很.低下，但没想过有这么低下，请问各位，conntrack有无可能优化下，提高到一定的转发能力？.

请各位高人能参与这个话题.的讨论，谢谢~            杀毒

期待中....

不过研究了很久IP_CONNTRACK代码, 发现其实现效率的确不高, 特别是对多处理器的利用方面及其低效, 整个ip_conntract就一个锁, 而且修改的难度极大, 期待高人进来指点指点啊.....

如题, 这个问题已超出了网络问题的范围, 更近于是内核问题.

在内核学习版思一克写过一个针对 SMP 对称多处理内核的 module，可以把 conntrack 的负载分担到多个内核逻辑 CPU 上
不过很遗憾的是，我没有测试成功，编译出的模块无法加载

反正有那5个hook点，就算完全不用IP_CONNTRACK自己重写都可以，干嘛非要改呢

貌似有人写过改进程序

给个连接看下。。