WireGuard 在 ARM 平台到底有多快？实测性能与关键优化策略

• 在 ARM 设备上衡量实际吞吐：先把问题说清楚
• 性能的三大瓶颈（以及为什么要关心它们）
• 1. 加密/解密的 CPU 开销
• 2. 内核实现 vs 用户态实现
• 3. 单线程限制与多核利用
• 常见 ARM 平台的参考实测（可复现的数量级）
• 如何做出可复现的基准（测量建议）
• 关键优化策略（逐项可操作）
• 启用并利用硬件加速
• 优先使用内核模块
• 调整 MTU 与分片策略
• 网络缓冲与 socket 参数
• 减少内核态的额外检查
• 流量分摊与中断亲和性
• 权衡与现实建议
• 未来趋势与技术演进的影响

在 ARM 设备上衡量实际吞吐：先把问题说清楚

很多人关心一个实际问题：把 WireGuard 部署在树莓派、ARM 路由器或 ARM 服务器上，能跑多快？答案并不是一个固定数字，而是受芯片架构、内核实现、加密指令集和网络栈调优等多个因素共同决定。本文通过原理剖析、常见平台实测数据与关键优化策略，帮你把预期变成可复现的性能目标。

性能的三大瓶颈（以及为什么要关心它们）

1. 加密/解密的 CPU 开销

WireGuard 使用现代对称加密与认证（例如 ChaCha20-Poly1305 或 AES-GCM）。在 ARM 平台上，是否存在 ARMv8 Crypto Extensions（AES/SHA 指令集）直接影响单核吞吐。没有硬件加速时，ChaCha20 在很多 ARM 核心上反而更快；有加速时，AES-GCM 会胜出。

2. 内核实现 vs 用户态实现

WireGuard 提供了内核模块和用户态实现（如 boringtun）。内核模块路径因少一次用户/内核切换、与网络栈整合更紧密，通常提供更高的吞吐和更低的延迟。用户态实现便于跨平台，但在高吞吐场景下更容易受 CPU 上下文切换影响。

3. 单线程限制与多核利用

WireGuard 对单个连接的处理在短时间内是单线程的（受 CPU 缓存与中断处理影响）。所以单会话最大带宽受单核性能限制。通过多对等端、多会话或者把流量分散到不同线程/CPU，可以更好地利用多核。

常见 ARM 平台的参考实测（可复现的数量级）

以下是基于公开社区测试和常见场景的归纳，真实结果会因内核版本、网络环境和测试方法不同而波动：

• Raspberry Pi 3B+（ARMv8 Cortex-A53 四核）：在默认内核模块下，单会话常见 150–300 Mbps；多会话或多核并发时可接近 300–400 Mbps。
• Raspberry Pi 4（Cortex-A72 四核/1.5GHz）：得益于更强单核，单会话可达 400–700 Mbps；多会话并发下常见 700–900 Mbps。
• 更高端 ARMv8 服务器平台（如 A72/A75 多核）：单会话能达到数 Gbps（取决于 CPU 频率与内存带宽），多核并发可以线性扩展到多 Gbps。

注意：以上数字是假设使用内核模块、开启合适网络缓冲并在本地 L2/L3 环境下测得；跨大陆、经过多跳的真实网络一般会更低。

如何做出可复现的基准（测量建议）

要让测试有参考价值，推荐遵循这些原则：

• 使用 iperf3 或类似工具做 UDP/TCP 测试，分别测量不同包大小的吞吐与延迟。
• 对比内核模块与用户态实现，在同一台机器上只切换实现，其他配置保持一致。
• 测试时关闭不必要的中间件（如复杂的防火墙规则、连接跟踪），以观察纯粹的 WireGuard 性能。
• 记录 CPU 利用率、单核负载与中断分布，判断是否受单核瓶颈限制。

关键优化策略（逐项可操作）

启用并利用硬件加速

如果 SOC 支持 ARMv8 Crypto Extensions，应确保内核开启相关支持并使用启用硬件加速的 crypto 后端。这样 AES-GCM 性能会显著提升；在没有加速的设备上，优先使用 ChaCha20-Poly1305。

优先使用内核模块

将 WireGuard 运行在内核态通常能获得更低延迟和更高吞吐。对追求极致性能的场景，尽量避免用户态实现的额外开销。

调整 MTU 与分片策略

合理的 MTU（常见 1420–1426 范围）有助于减少分片导致的额外开销。测试不同 MTU 对大包 TCP/UDP 的影响，选择对你的链路最友好的值。

网络缓冲与 socket 参数

增大 UDP/TCP 的发送/接收缓冲（SO_SNDBUF/SO_RCVBUF）能在高带宽低延迟链路上提升稳定性，避免因短时间突发导致丢包和重传。

减少内核态的额外检查

复杂的 iptables 规则、conntrack、额外的 NAT 处理都会消耗 CPU。对性能敏感的场景可采用 nftables 的快速路径或直接在表层做最小化规则集合。

流量分摊与中断亲和性

在多核设备上，确保网卡中断、WireGuard 处理与流量所属 CPU 亲和，能减少跨核迁移带来的性能损失；使用多对等端并发可以把处理分散到多核上。

权衡与现实建议

优化往往伴随复杂性成本。举例来说，启用特定的内核补丁或手动调整中断亲和性能提升性能，但会增加维护负担与升级风险。实际部署时，应根据目标吞吐和可维护性选择平衡点：家庭或轻量级 VPN 服务，Raspberry Pi 4 + 内核模块 + 合理 MTU 通常就够用；面向数 Gbps 的流量，则应考虑更高端 ARM 服务器平台并做系统级调优。

未来趋势与技术演进的影响

随着更多 ARM SoC 原生支持加密指令、以及内核对 WireGuard 的持续优化，ARM 平台在 VPN 性能方面的劣势在缩小。未来还可能看到更成熟的 offload 方案（如 NIC 与加密协同）以及更智能的多核调度策略，使得在低功耗环境下也能处理更高的 VPN 吞吐。

总体来说，在 ARM 平台上使用 WireGuard，可以实现从数百 Mbps 到多 Gbps 不等的性能。关键在于理解平台特性、选择合适的加密方案、优先使用内核实现并做针对性的网络栈与系统调优。这样你就能把“理论速度”变成“真实可用”的传输能力。