Pred nekaj dnevi sem lRazviti razvijalci OpenVPN novice, ki predstavili so jedrni modul z imenom "ovpn-dco" katerega glavna naloga je znatno pospešiti delovanje VPN.
Čeprav modul se še razvija v veji linux-next in ima status eksperimentalne, je že dosegla raven stabilnosti, ki je omogočila njeno uporabo za zagotovitev delovanja OpenVPN.
V primerjavi s konfiguracijo, ki temelji na vmesniku tun, uporaba modula na strani odjemalca in strežnika z uporabo šifriranja AES-256-GCM je omogočila 8-kratno povečanje zmogljivosti (s 370 Mbit / s na 2950 Mbit s).
Ko uporabljate modul samo na strani odjemalca, se zmogljivost potroji za odhodni promet in se ne spremeni za vhodni promet. Pri uporabi modula samo na strani strežnika se pretok pomnoži s 4 za vhodni promet in s 35% za odhodni promet.
Varnost je ena najpomembnejših stvari, ki jih morate upoštevati, ko ste na spletu. Bolj varna je vaša spletna komunikacija s šifriranjem, tem bolje. Šifriranje podatkov je v preteklosti upočasnilo računalniško hitrost, kar se je izboljšalo s sodobnimi procesorji. Lahko pa naredimo več. OpenVPN je pravkar predstavil nov razvoj, ki bo uporabnikom povečal hitrost, ko zmanjka prostora v jedru: OpenVPN Data Channel Offload (DCO).
Pospešek dosežemo s premikanjem vseh kripto operacij, obdelava paketov in upravljanje kanalov v jedro Linuxa, s čimer se odpravijo povezani stroški S preklopom konteksta omogoča racionalizacijo dela z neposrednim dostopom do notranjih API -jev jedra in odpravlja počasen prenos podatkov med jedrom in uporabniškim prostorom. (Modul izvaja šifriranje, dešifriranje in usmerjanje brez pošiljanja prometa krmilniku v uporabniškem prostoru.)
Treba je opozoriti, da negativni vpliv o zmogljivosti VPN to je predvsem posledica operacij šifriranja, ki porabijo veliko virov in zamude, ki jih povzroči sprememba konteksta. Za pospešitev šifriranja so bile uporabljene razširitve procesorjev, kot je Intel AES-NI, vendar so bila kontekstna stikala pred ovpn-dco še vedno ozko grlo.
Modul ovpn-dco poleg uporabe navodil procesorja za pospešitev šifriranja omogoča tudi delitev šifrirnih operacij na ločene segmente in njihovo obdelavo v večnitnem načinu, kar omogoča uporabo vseh razpoložljivih jeder CPU-ja.
Za VPN v uporabniškem prostoru, kot je OpenVPN, stroški šifriranja in stikala konteksta omejujejo hitrosti. S sodobnimi procesorji so se stroški šifriranja izboljšali z razširitvami, kot je Intel AES-NI, kar posledično izboljša hitrost za uporabnike OpenVPN.
Toda preobremenitev s stikali za kontekst je treba še odpraviti. Ker se hitrosti osebnega in poslovnega interneta povečujejo in aplikacije uporabljajo več pasovne širine, uporabniki pričakujejo hitrejše hitrosti s spletno komunikacijo. Zato je vpliv teh režijskih stroškov postal opaznejši.
Od sedanjih omejitev ki so omenjene pri izvajanju in ki bodo v prihodnosti tudi odpravljene, le Načini AEAD in „brez“ (brez preverjanja pristnosti) ter šifre AES-GCM in CHACHA20POLY1305.
Omenjeno je tudi, da Podpora DCO naj bi bila vključena v izdajo različico OpenVPN 2.6, načrtovano za četrto letošnje četrtletje. Modul trenutno podpira odjemalca OpenVPN3 open beta Linux in eksperimentalne gradnje strežnika OpenVPN za Linux. Podoben modul ovpn-dco-win se razvija tudi za jedro Windows.
Končno če vas zanima več o tem o opombi lahko preverite podrobnosti V naslednji povezavi.