我正在写关于TCP和UDP过滤的iptables性能的问题。我用大量的iptables规则测试它。 当在FORWARD链中是10 000混合TCP和UDP规则时,我获得TCP吞吐量35.5 Mbits / sec和UDP吞吐量25.2 Mbits / sec
我很困惑为什么TCP吞吐量大于UDP?我认为TCP会因为ACK数据包而变慢。我已经用cisco ACL测试了它,UDP更快。
PC ---- FW ----- PC 拓扑
答案 0 :(得分:1)
防火墙开销对于数据包而言是最重要的,而不是字节。因此,如果平均UDP数据包小于平均TCP数据包,那么使用UDP的CPU将以比TCP少的每秒比特数最大化。
相反,如果UDP数据包足够大而导致碎片并且防火墙配置为在检查之前重新组合片段,则重组将导致大量开销,这将降低每秒的比特吞吐量。
防火墙的实施和配置可能还有其他因素,但我相信这两个因素是一阶的。