Kilka dni temu jaWydano deweloperów OpenVPN wiadomości, że wprowadzili moduł jądra o nazwie „ovpn-dco” którego głównym zadaniem jest znaczne przyspieszenie wydajności VPN.
Chociaż moduł wciąż się rozwija w gałęzi linux-next i ma status eksperymentalnej, osiągnął już poziom stabilności, który umożliwił wykorzystanie go do zapewnienia działania OpenVPN.
W porównaniu z konfiguracją opartą na interfejsie tunzastosowanie modułu po stronie klienta i serwera z wykorzystaniem szyfrowania AES-256-GCM pozwoliło na 8-krotny wzrost wydajności (z 370 Mbit/s do 2950 Mbit s).
W przypadku korzystania z modułu tylko po stronie klienta wydajność potraja się dla ruchu wychodzącego i nie zmienia się dla ruchu przychodzącego. W przypadku korzystania z modułu tylko po stronie serwera przepustowość jest mnożona przez 4 dla ruchu przychodzącego i 35% dla ruchu wychodzącego.
Bezpieczeństwo to jedna z najważniejszych rzeczy do rozważenia w trybie online. Im bezpieczniejsza jest Twoja komunikacja online dzięki szyfrowaniu, tym lepiej. Szyfrowanie danych spowolniło w przeszłości prędkość obliczeniową, co poprawiło się w przypadku nowoczesnych procesorów. Ale możemy zrobić więcej. OpenVPN właśnie wprowadził nowe rozwiązanie, które zwiększy szybkość dla użytkowników, gdy zabraknie miejsca na jądro: OpenVPN Odciążanie kanału danych (DCO).
Przyspieszenie osiąga się poprzez przeniesienie wszystkich operacji kryptograficznych, przetwarzanie pakietów i zarządzanie kanałami do jądra Linux, eliminując związane z tym obciążenie Przełączanie kontekstu umożliwia optymalizację pracy poprzez bezpośredni dostęp do wewnętrznych interfejsów API jądra i eliminuje powolny transfer danych między jądrem a przestrzenią użytkownika. (Moduł wykonuje szyfrowanie, deszyfrowanie i routing bez wysyłania ruchu do kontrolera w przestrzeni użytkownika).
Należy zauważyć, że negatywny wpływ w wydajności VPN wynika to głównie z operacji szyfrowania, które pochłaniają dużo zasobów oraz opóźnienia spowodowane zmianą kontekstu. Rozszerzenia procesora, takie jak Intel AES-NI, były używane do przyspieszenia szyfrowania, ale przełączniki kontekstu nadal były wąskim gardłem przed ovpn-dco.
Oprócz wykorzystania instrukcji dostarczonych przez procesor w celu przyspieszenia szyfrowania, moduł ovpn-dco umożliwia również podział operacji szyfrowania na oddzielne segmenty i ich przetwarzanie w trybie wielowątkowym, dzięki czemu możliwe jest wykorzystanie wszystkich dostępnych rdzeni procesora.
W przypadku sieci VPN w przestrzeni użytkownika, takiej jak OpenVPN, narzuty na szyfrowanie i przełączniki kontekstowe ograniczają prędkości. Dzięki nowoczesnym procesorom narzut szyfrowania został poprawiony dzięki rozszerzeniom takim jak Intel AES-NI, co z kolei poprawia prędkość dla użytkowników OpenVPN.
Jednak przeciążenie przełącznikami kontekstu nadal wymaga rozwiązania. Wraz ze wzrostem prędkości Internetu osobistego i biznesowego, a aplikacje zużywają więcej przepustowości, użytkownicy oczekują większej szybkości komunikacji online. Dlatego wpływ tych kosztów ogólnych stał się bardziej zauważalny.
O aktualnych ograniczeniach które są wymienione w implementacji i które również zostaną wyeliminowane w przyszłości, tylko te Tryby AEAD i „brak” (bez uwierzytelniania) oraz szyfry AES-GCM i CHACHA20POLY1305.
Wspomina się również o tym Planuje się, że wsparcie DCO zostanie uwzględnione w wydaniu wersja OtwórzVPN 2.6, zaplanowany na IV kwartał br. Obecnie moduł obsługuje klienta OpenVPN3 Open beta Linux oraz eksperymentalne kompilacje serwerów OpenVPN dla systemu Linux. Podobny moduł ovpn-dco-win jest również opracowywany dla jądra Windows.
W końcu jeśli chcesz dowiedzieć się więcej na ten temat o notatce możesz sprawdzić szczegóły W poniższym linku.