ovpn-dco, модуль ядра для повышения производительности OpenVPN

Несколько дней назад яРазработчики OpenVPN выпущены новости, которые они представили модуль ядра под названием "ovpn-dco" основная задача которого - значительно ускорить работу VPN.

Хотя модуль все еще развивается в ветке linux-next и имеет статус экспериментальной, она уже достигла уровня стабильности, позволяющего использовать ее для обеспечения работы OpenVPN.

По сравнению с конфигурацией на основе интерфейса tun, использование модуля на стороне клиента и сервера с использованием шифрования AES-256-GCM позволило увеличить производительность в 8 раз (с 370 Мбит / с до 2950 Мбит / с).

При использовании модуля только на стороне клиента производительность для исходящего трафика утроится и не меняется для входящего. При использовании модуля только на стороне сервера пропускная способность умножается на 4 для входящего трафика и на 35% для исходящего трафика.

Безопасность - одна из самых важных вещей, о которых нужно помнить, когда вы находитесь в сети. Чем безопаснее будет ваше онлайн-общение с помощью шифрования, тем лучше. В прошлом шифрование данных замедляло скорость вычислений, которая улучшилась с современными процессорами. Но мы можем сделать больше. OpenVPN только что представил новую разработку, которая увеличит скорость для пользователей при исчерпании свободного места в ядре: OpenVPN Data Channel Offload (DCO).

Ускорение достигается за счет переноса всех криптографических операций, обработка пакетов и управление каналами к ядру Linux, устраняя связанные накладные расходы Благодаря переключению контекста это позволяет упростить работу путем прямого доступа к внутренним API ядра и устраняет медленную передачу данных между ядром и пользовательским пространством. (Модуль выполняет шифрование, дешифрование и маршрутизацию, не отправляя трафик на контроллер в пользовательском пространстве.)

Обратите внимание, что негативное влияние в производительности VPN в основном это связано с операциями шифрования, которые потребляют много ресурсов и задержки, вызванные изменением контекста. Расширения процессоров, такие как Intel AES-NI, использовались для ускорения шифрования, но переключение контекста все еще было узким местом до ovpn-dco.

Помимо использования инструкций, предоставляемых процессором для ускорения шифрования, модуль ovpn-dco также обеспечивает разделение операций шифрования на отдельные сегменты и их обработку в многопоточном режиме, что позволяет использовать все доступные ядра процессора.

Для VPN в пространстве пользователя, такой как OpenVPN, накладные расходы на шифрование и переключение контекста ограничивают скорость. В современных процессорах накладные расходы на шифрование были улучшены за счет таких расширений, как Intel AES-NI, что, в свою очередь, увеличивает скорость для пользователей OpenVPN.

Но перегрузка с переключением контекста все еще требует решения. По мере того, как скорость личного и делового Интернета увеличивается, а приложения используют большую полосу пропускания, пользователи ожидают более высоких скоростей при онлайн-общении. Таким образом, влияние этих накладных расходов стало более заметным.

О текущих ограничениях которые упоминаются в реализации и также будут удалены в будущем, только AEAD и режимы none (без аутентификации) и шифров AES-GCM и CHACHA20POLY1305.

Также упоминается, что Поддержка DCO планируется включить в выпуск версия ОпенВПН 2.6, запланировано на четвертый квартал этого года. В настоящее время модуль поддерживает открытую бета-версию клиента Linux OpenVPN3 и экспериментальные сборки сервера OpenVPN для Linux. Аналогичный модуль ovpn-dco-win также разрабатывается для ядра Windows.

В конце концов если вам интересно узнать об этом больше о заметке, вы можете проверить детали По следующей ссылке.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.