服务咨询
全天高效服务
- Tel:13533491614
PF_RING™
高速数据包捕获、过滤和分析
PF_RING™是一种新型的网络套接字,可显着提高数据包捕获速度,并且具有以下特性:
Vanilla PF_RING™
PF_RING™正在通过Linux NAPI轮询来自NIC的数据包。这意味着NAPI将数据包从NIC复制到PF_RING™循环缓冲区,然后userland应用程序从环读取数据包。在这种情况下,有两个轮询程序,即应用程序和NAPI,这会导致用于此轮询的CPU周期。优点是PF_RING™可以将传入的数据包同时分发到多个环(因此有多个应用程序)。
PF_RING™模块
PF_RING™具有模块化架构,可以使用除标准PF_RING™内核模块以外的其他组件。当前,其他模块集包括:
谁需要PF_RING™?
基本上每个人都必须每秒处理许多数据包。这里的“许多”根据您用于流量分析的硬件而变化。它的范围可以从1.2GHz ARM上的80k pkt / sec 到低端2.5GHz Xeon上的14M pkt / sec ,甚至更高。PF_RING™不仅使您可以更快地捕获数据包,还可以更有效地捕获数据包,从而节省CPU周期。这里列了一些数据,您可以看到nProbe(NetFlow v5 / v9探针)可以使用PF_RING™运行多快,或者看看下面的表格。
ixgbe | ||
---|---|---|
应用 | 驱动 | 速率 |
pfcount(RX) | PF_RING™ZC | 14.8 Mpps |
pfsend(TX) | PF_RING™ZC | 14.8 Mpps |
使用Core2Duo 1.86 GHz,Ubuntu Server 9.10(内核2.6.31-14)和IXIA 400流量生成器以线速(64字节数据包,1.48 Mpps)注入流量进行的1Gbit测试:
igb | ||
---|---|---|
应用 | 驱动 | 速率 |
pcount – vanilla libpcap | 标准 | 544 Kpps |
pcount – PF_RING™-aware libpcap | 标准 | 613 Kpps |
pfcount | 标准 | 650 Kpps |
pfcount | PF_RING™ ZC | 1’488 Kpps |
e1000e | ||
---|---|---|
应用 | 驱动 | 速率 |
pcount – vanilla libpcap | 标准 | 544 Kpps |
pcount – PF_RING™-aware libpcap | 标准 | 730 Kpps |
pfcount | 标准 | 757 Kpps |
pfcount | PF_RING™ Z | 1’170 Kpps |
注意
操作系统
License
PF_RING™内核模块和驱动程序在GNU GPLv2许可下分发,LGPLv2.1在用户空间PF_RING库中分发,并以源代码格式提供。