问题不是来自netfilter,是内核管理中断的方式.
默认情况下,旧版本的APIC会将所有中断传递给CPU0.
你可以检查这是否是你的问题:
cat /proc/interrupts
您可以查看NIC的中断(并记住netfilter挂钩是通过RX或TX SoftIRQ执行)是由单个Core处理的.
在较新版本的内核中,有一个编译选项(CONFIG_HOTPLUG_CPU),它可以在现有内核之间平衡IRQ.
或者,如果您无法更新版本或重新编译内核,则可以更新SMP关联(使用可处理CPUid的更多掩码)以尝试在不同的Core之间进行平衡.或者进入ACPI并进行适当的配置(这里我无能为力).
在这里你可以找到所有这些东西(SMP affininty和正确的IRQ处理)
问题可能是您的NIC只有一个中断.一些较新的NICS有几个中断(所谓的多队列NIC),允许负载在许多线程中传播.
对于单队列NIC,可以在较新的内核中使用一些软件功能,您可以配置这些功能以分散负载.有关可用内容的概述,请参见http://www.spinics.net/lists/linux-doc/msg02975.html.