Pred niekoľkými dňami lVydaní vývojári OpenVPN správa, že predstavili modul jadra s názvom „ovpn-dco“ ktorého hlavnou úlohou je výrazne urýchliť výkon VPN.
Hoci modul sa stále vyvíja vo vetve linux-next a má status experimentálnej, už dosiahol úroveň stability, ktorá umožnila jeho použitie na zabezpečenie prevádzky OpenVPN.
V porovnaní s konfiguráciou založenou na rozhraní tun, použitie modulu na strane klienta a servera s použitím šifrovania AES-256-GCM umožnilo 8-násobné zvýšenie výkonu (z 370 Mbit / s na 2950 Mbit s).
Pri použití modulu iba na strane klienta sa výkonnosť pri odchádzajúcej premávke strojnásobí a pri prichádzajúcej prevádzke sa nezmení. Pri použití modulu iba na strane servera sa priepustnosť vynásobí 4 pre prichádzajúcu komunikáciu a 35% pre odchádzajúcu komunikáciu.
Zabezpečenie je jednou z najdôležitejších vecí, ktoré je potrebné zvážiť, keď ste online. Čím bezpečnejšia bude vaša online komunikácia pomocou šifrovania, tým lepšie. Šifrovanie údajov v minulosti spomalilo výpočtovú rýchlosť, ktorá sa s modernými procesormi zlepšila. Ale dokážeme viac. OpenVPN práve predstavil nový vývoj, ktorý svojim používateľom zvýši rýchlosť pri nedostatku miesta v jadre: OpenVPN Data Channel Offload (DCO).
Zrýchlenie sa dosahuje presunom všetkých krypto operácií, spracovanie balíkov a správa kanálov do jadra Linuxu, čím sa eliminuje pridružená réžia Vďaka prepínaniu kontextu umožňuje zefektívniť prácu priamym prístupom k vnútorným rozhraniam API jadra a eliminuje pomalý prenos dát medzi jadrom a užívateľským priestorom. (Modul vykonáva šifrovanie, dešifrovanie a smerovanie bez odosielania prevádzky na ovládač v užívateľskom priestore.)
Treba poznamenať, že negatívny dopad o výkone VPN je to hlavne kvôli šifrovacím operáciám, ktoré spotrebúvajú veľa zdrojov a oneskorenia spôsobené zmenou kontextu. Na urýchlenie šifrovania boli použité rozšírenia procesora, ako napríklad Intel AES-NI, ale kontextové prepínače boli pred ovpn-dco stále prekážkou.
Modul ovpn-dco okrem použitia pokynov poskytnutých procesorom na urýchlenie šifrovania umožňuje aj rozdelenie šifrovacích operácií na samostatné segmenty a ich spracovanie vo viacvláknovom režime, čo umožňuje využiť všetky dostupné jadrá procesora.
V prípade siete VPN v používateľskom priestore, ako je OpenVPN, obmedzujú rýchlosti réžia šifrovania a kontextové prepínače. Vďaka moderným procesorom sa réžia šifrovania zlepšila prostredníctvom rozšírení, ako je Intel AES-NI, čo zase zvyšuje rýchlosť pre používateľov OpenVPN.
Ale preťaženie kontextovými prepínačmi je stále potrebné vyriešiť. Keďže osobné a firemné rýchlosti internetu rastú a aplikácie využívajú väčšiu šírku pásma, používatelia očakávajú vyššie rýchlosti pri online komunikácii. Vplyv týchto režijných nákladov je preto ešte výraznejší.
Zo súčasných obmedzení ktoré sú uvedené v implementácii a ktoré budú v budúcnosti tiež odstránené, iba Režimy AEAD a „žiadny“ (bez autentifikácie) a šifry AES-GCM a CHACHA20POLY1305.
Tiež sa o tom hovorí Podpora DCO sa plánuje zahrnúť do vydania verzia OpenVPN 2.6, naplánované na štvrtý štvrťrok tohto roka. V súčasnej dobe modul podporuje OpenVPN3 open beta Linux klient a experimentálne zostavy servera OpenVPN pre Linux. Podobný modul ovpn-dco-win sa vyvíja aj pre jadro Windows.
Konečne ak máte záujem dozvedieť sa o tom viac o poznámke môžete skontrolovať podrobnosti Na nasledujúcom odkaze.