ovpn-DCO, un mòdul de Kernel per accelerar el rendiment d'OpenVPN

Fa alguns dies lus desenvolupadors d'OpenVPN van donar a conèixer la notícia que han introduït un mòdul de nucli anomenat «ovpn-DCO» el qual té com a principal tasca el accelerar significativament el rendiment de la VPN.

Tot i que el mòdul encara s'està desenvolupant en la branca linux-next i té l'estat d'una experimental, ja ha arribat a un nivell d'estabilitat que va fer possible el seu ús per assegurar el funcionament d'OpenVPN.

En comparació amb la configuració basada en la interfície tun, L'ús de la lliçó al costat de el client i de servidor amb l'ús de l'xifrat AES-256-GCM va permetre un augment de 8 vegades en el rendiment (de 370 Mbit / sa 2950 Mbit s).

Quan s'usa el mòdul sol al costat de el client, el rendiment es triplica per al trànsit sortint i no canvia per al trànsit entrant. Quan s'usa el mòdul sol al costat de servidor, el rendiment es multiplica per 4 per al trànsit entrant i en un 35% per al trànsit sortint.

La seguretat és una de les coses més importants a considerar quan està en línia. Com més segures estiguin seves comunicacions en línia amb xifrat, millor. El xifrat de dades ha alentit la velocitat de la computació en el passat, el que ha millorat amb les CPU modernes. Però podem fer més. OpenVPN acaba d'introduir un nou desenvolupament que augmentarà la velocitat per als seus usuaris a l'quedar-se sense espai de l'nucli: OpenVPN Data Channel Offload (DCO).

L'acceleració s'aconsegueix movent totes les operacions de xifrat, Processament de paquets i administració de canals a el nucli de Linux, el que elimina la sobrecàrrega associada amb el canvi de context, fa possible optimitzar el treball a l'accedir directament a les API internes de l'nucli i elimina la transferència lenta de dades entre el nucli i l'espai d'usuari. (El mòdul realitza el xifrat, el desxifrat i el enrutament sense enviar trànsit a un controlador en l'espai d'usuari).

Cal assenyalar que l'impacte negatiu en el rendiment de la VPN es deu principalment a operacions de xifrat que consumeixen molts recursos i als retards provocats pel canvi de context. Es van utilitzar extensions de processador com Intel AES-NI per accelerar el xifrat, però els canvis de context seguien sent un coll d'ampolla abans de ovpn-DCO.

A més d'utilitzar les instruccions proporcionades pel processador per accelerar el xifrat, el mòdul ovpn-DCO també proporciona la divisió de les operacions de xifrat en segments separats i el seu processament en mode multi-procés, el que fa possible utilitzar tots els nuclis de CPU disponibles.

Per a una VPN d'espai d'usuari, com OpenVPN, la sobrecàrrega de xifrat i els canvis de context limiten les velocitats. Amb les CPU modernes, la sobrecàrrega de xifrat ha millorat a través d'extensions com Intel AES-NI, que al seu torn millora les velocitats per als usuaris d'OpenVPN.

Però la sobrecàrrega amb canvis de context encara necessita ser abordada. A mesura que augmenten les velocitats d'Internet personal i comercial i les aplicacions utilitzen més ample de banda, els usuaris esperen velocitats més ràpides amb les comunicacions en línia. Per tant, l'impacte d'aquestes despeses generals s'ha tornat més notable.

De les limitacions actuals que s'esmenten de la implementació i que a més s'eliminaran en el futur, només es destaquen els maneres AEAD i 'none' (Sense autenticació) i els xifrats AES-GCM i CHACHA20POLY1305.

També s'esmenta que està previst que el suport de DCO s'inclogui en el llançament de la versió de OpenVPN 2.6, previst per al quart trimestre d'aquest any. Actualment, el mòdul és compatible amb el client Linux beta obert OpenVPN3 i les compilacions experimentals de servidor OpenVPN per a Linux. També s'està desenvolupant un mòdul similar ovpn-DCO-win per al nucli de Windows.

Finalment si estàs interessat en conèixer més a l'respecte sobre la nota, pots consultar els detalls en el següent enllaç.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.