For noen dager siden lOpenVPN -utviklere lansert nyheten som de har introdusert en kjernemodul kalt "ovpn-dco" hvis hovedoppgave er å akselerere ytelsen til VPN betydelig.
Selv om modulen er fremdeles under utvikling i linux-next branch og har status som en eksperimentell, har den allerede nådd et stabilitetsnivå som gjorde det mulig å bruke den for å sikre driften av OpenVPN.
Sammenlignet med tungrensesnittbasert konfigurasjon, bruk av modulen på klient- og serversiden med bruk av AES-256-GCM-kryptering tillot en 8-dobling av ytelsen (fra 370 Mbit / s til 2950 Mbit s).
Når du bare bruker modulen på klientsiden, tredobles ytelsen for utgående trafikk og endres ikke for innkommende trafikk. Når du bare bruker modulen på serversiden, blir gjennomstrømningen multiplisert med 4 for innkommende trafikk og med 35% for utgående trafikk.
Sikkerhet er en av de viktigste tingene å tenke på når du er online. Jo sikrere din online kommunikasjon er med kryptering, jo bedre. Datakryptering har senket databehandlingshastigheten tidligere, noe som har blitt bedre med moderne CPUer. Men vi kan gjøre mer. OpenVPN har nettopp introdusert en ny utvikling som vil øke hastigheten for brukerne når den går tom for kjerneplass: OpenVPN Data Channel Offload (DCO).
Akselerasjon oppnås ved å flytte alle kryptooperasjoner, pakkebehandling og kanalbehandling til Linux -kjernen, og eliminerer den tilhørende overheaden Med kontekstbytte gjør det det mulig å effektivisere arbeidet ved direkte tilgang til kjernens interne API -er og eliminerer treg dataoverføring mellom kjernen og brukerområdet. (Modulen utfører kryptering, dekryptering og ruting uten å sende trafikk til en kontroller i brukerområdet.)
Vær oppmerksom på at den negative virkningen på VPN -ytelse Det skyldes hovedsakelig krypteringsoperasjoner som bruker mye ressurser og forsinkelsene forårsaket av kontekstendringen. Prosessorutvidelser som Intel AES-NI ble brukt for å øke hastigheten på kryptering, men kontekstbrytere var fortsatt en flaskehals før ovpn-dco.
I tillegg til å bruke instruksjonene fra prosessoren for å øke hastigheten på kryptering, sørger ovpn-dco-modulen også for oppdeling av krypteringsoperasjoner i separate segmenter og behandling av dem i multitrådsmodus, noe som gjør det mulig å bruke alle tilgjengelige CPU-kjerner.
For en brukerplass-VPN, som OpenVPN, begrenser krypteringskostnader og kontekstbrytere hastigheter. Med moderne CPUer har krypteringskostnader blitt bedre gjennom utvidelser som Intel AES-NI, noe som igjen forbedrer hastighetene for OpenVPN-brukere.
Men overbelastning med kontekstbrytere må fortsatt løses. Etter hvert som personlige og forretningsmessige internetthastigheter øker og applikasjoner bruker mer båndbredde, forventer brukerne raskere hastigheter med online kommunikasjon. Derfor har virkningen av disse omkostningene blitt mer merkbar.
Av dagens begrensninger som er nevnt fra implementeringen, og som også vil bli eliminert i fremtiden, bare AEAD og "ingen" moduser (uten autentisering) og AES-GCM og CHACHA20POLY1305 chiffer.
Det nevnes også at DCO -støtte er planlagt inkludert i utgivelsen av versjonen av OpenVPN2.6, planlagt for fjerde kvartal i år. Modulen støtter for tiden OpenVPN3 open beta Linux -klienten og de eksperimentelle byggene til OpenVPN -serveren for Linux. En lignende ovpn-dco-win-modul utvikles også for Windows-kjernen.
Endelig hvis du er interessert i å vite mer om det om notatet, kan du sjekke detaljene I den følgende lenken.