Преди няколко дни лРазработчиците на OpenVPN бяха пуснати новината, че те въведоха модул на ядрото, наречен "ovpn-dco" чиято основна задача е значително да ускори работата на VPN.
Въпреки че модулът все още се развива в клон linux-next и има статут на експериментален, той вече е достигнал ниво на стабилност, което направи възможно използването му за осигуряване на работата на OpenVPN.
В сравнение с конфигурацията, базирана на интерфейса tun, използването на модула от страна на клиента и сървъра с използването на AES-256-GCM криптиране позволи 8-кратно увеличение на производителността (от 370 Mbit / s до 2950 Mbit s).
Когато използвате модула само от страна на клиента, производителността се утроява за изходящ трафик и не се променя за входящ трафик. Когато използвате модула само от страна на сървъра, производителността се умножава по 4 за входящ трафик и с 35% за изходящ трафик.
Сигурността е едно от най -важните неща, които трябва да имате предвид, когато сте онлайн. Колкото по -сигурни са вашите онлайн комуникации с криптиране, толкова по -добре. Криптирането на данни е забавяло скоростта на изчисленията в миналото, което се е подобрило с модерните процесори. Но можем да направим повече. OpenVPN току -що представи нова разработка, която ще увеличи скоростта за потребителите при изчерпване на ядрото: OpenVPN Data Channel Offload (DCO).
Ускорението се постига чрез преместване на всички крипто операции, обработка на пакети и управление на канали към ядрото на Linux, премахвайки свързаните с него режийни разходи С превключването на контекста, това прави възможно рационализирането на работата чрез директен достъп до вътрешните API на ядрото и елиминира бавното предаване на данни между ядрото и потребителското пространство. (Модулът извършва криптиране, декриптиране и маршрутизиране, без да изпраща трафик към контролер в потребителското пространство.)
Трябва да се отбележи това отрицателното въздействие относно производителността на VPN това се дължи главно на операции за криптиране, които консумират много ресурси и забавянията, причинени от промяната на контекста. Разширенията на процесора като Intel AES-NI бяха използвани за ускоряване на криптирането, но превключвателите на контекста все още бяха тясно място преди ovpn-dco.
В допълнение към използването на инструкциите, предоставени от процесора за ускоряване на криптирането, модулът ovpn-dco също така предвижда разделянето на операциите за шифроване на отделни сегменти и тяхната обработка в многонишков режим, което прави възможно използването на всички налични ядра на процесора.
За VPN в потребителско пространство, като OpenVPN, режийните режими на шифроване и контекстните превключватели ограничават скоростите. С модерните процесори, разходите за криптиране се подобриха чрез разширения като Intel AES-NI, което от своя страна подобрява скоростта за потребителите на OpenVPN.
Но претоварването с превключватели на контекст все още трябва да се реши. Тъй като скоростта на личния и бизнес интернет се увеличава и приложенията използват по -голяма честотна лента, потребителите очакват по -бързи скорости с онлайн комуникациите. Следователно въздействието на тези режийни разходи стана по -забележимо.
От сегашните ограничения които са споменати от внедряването и които също ще бъдат елиминирани в бъдеще, само Режимите AEAD и „няма“ (без удостоверяване) и AES-GCM и CHACHA20POLY1305 шифри.
Също така се споменава, че Поддръжката на DCO се планира да бъде включена в изданието на версията на OpenVPN 2.6, планирано за четвъртото тримесечие на тази година. Понастоящем модулът поддържа OpenVPN3 отворен бета Linux клиент и експерименталните версии на OpenVPN сървъра за Linux. Подобен модул ovpn-dco-win също се разработва за ядрото на Windows.
Накрая ако се интересувате да научите повече за това относно бележката, можете да проверите подробностите В следващия линк.