Beberapa hari yang lalu lPembangun OpenVPN dikeluarkan berita bahawa mereka telah memperkenalkan modul kernel yang disebut "ovpn-dco" tugas utamanya adalah untuk mempercepat prestasi VPN dengan ketara.
Walaupun modul masih berkembang di cawangan linux-next dan mempunyai status eksperimen, ia sudah mencapai tahap kestabilan yang memungkinkan untuk menggunakannya untuk memastikan operasi OpenVPN.
Berbanding dengan konfigurasi berasaskan antara muka tun, penggunaan modul di sisi klien dan pelayan dengan penggunaan enkripsi AES-256-GCM memungkinkan peningkatan prestasi 8 kali ganda (dari 370 Mbit / s menjadi 2950 Mbit s).
Apabila menggunakan modul hanya di sisi pelanggan, prestasi meningkat tiga kali ganda untuk lalu lintas keluar dan tidak berubah untuk lalu lintas masuk. Apabila menggunakan modul hanya di sisi pelayan, throughput dikalikan dengan 4 untuk lalu lintas masuk dan 35% untuk lalu lintas keluar.
Keselamatan adalah salah satu perkara yang paling penting untuk dipertimbangkan semasa anda berada dalam talian. Semakin selamat komunikasi dalam talian anda dengan penyulitan, semakin baik. Penyulitan data telah melambatkan kelajuan pengkomputeran pada masa lalu, yang telah bertambah baik dengan CPU moden. Tetapi kita boleh melakukan lebih banyak perkara. OpenVPN baru saja memperkenalkan pengembangan baru yang akan meningkatkan kecepatan bagi penggunanya ketika kehabisan ruang kernel: OpenVPN Data Channel Offload (DCO).
Pecutan dicapai dengan memindahkan semua operasi crypto, pemprosesan pakej dan pengurusan saluran ke kernel Linux, menghilangkan overhead yang berkaitan Dengan peralihan konteks, memungkinkan untuk menyederhanakan pekerjaan dengan langsung mengakses API dalaman kernel dan menghilangkan pemindahan data yang lambat antara kernel dan ruang pengguna. (Modul melakukan enkripsi, penyahsulitan, dan perutean tanpa mengirim lalu lintas ke pengawal di ruang pengguna.)
Perlu diingatkan bahawa kesan negatifnya pada prestasi VPN ini terutama disebabkan oleh operasi penyulitan yang memakan banyak sumber dan kelewatan yang disebabkan oleh perubahan konteks. Sambungan pemproses seperti Intel AES-NI digunakan untuk mempercepat penyulitan, tetapi pertukaran konteks masih menjadi hambatan sebelum ovpn-dco.
Selain menggunakan petunjuk yang diberikan oleh pemproses untuk mempercepat enkripsi, modul ovpn-dco juga menyediakan pembagian operasi penyulitan menjadi segmen yang terpisah dan pemprosesannya dalam mod multithreaded, yang memungkinkan untuk menggunakan semua inti CPU yang tersedia.
Untuk VPN ruang pengguna, seperti OpenVPN, overhead penyulitan dan suis konteks menghadkan kelajuan. Dengan CPU moden, overhead enkripsi telah bertambah baik melalui sambungan seperti Intel AES-NI, yang seterusnya meningkatkan kelajuan untuk pengguna OpenVPN.
Tetapi terlalu banyak dengan pertukaran konteks masih perlu ditangani. Apabila kelajuan Internet peribadi dan perniagaan meningkat dan aplikasi menggunakan lebar jalur lebih banyak, pengguna mengharapkan kelajuan yang lebih cepat dengan komunikasi dalam talian. Oleh itu, kesan overhed ini menjadi lebih ketara.
Dari had semasa yang disebutkan dari pelaksanaan dan yang juga akan dihapuskan di masa depan, hanya yang Mod AEAD dan 'tiada' (tanpa pengesahan) dan cipher AES-GCM dan CHACHA20POLY1305.
Juga disebutkan bahawa Sokongan DCO dirancang untuk dimasukkan dalam pelepasan versi OpenVPN2.6, dijadualkan pada suku keempat tahun ini. Modul ini menyokong klien OpenVPN3 open beta Linux dan membina eksperimen pelayan OpenVPN untuk Linux. Modul ovpn-dco-win yang serupa juga sedang dikembangkan untuk kernel Windows.
Akhirnya sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya mengenai nota itu, anda boleh menyemak butirannya Dalam pautan berikut.