för några dagar sedanOpenVPN-utvecklarna släpptes nyheterna som har introducerat en kärnmodul som heter "ovpn-dco" vars huvudsakliga uppgift är att avsevärt snabba upp VPN:ns prestanda.
Även om modulen fortfarande utvecklas i linux-next-grenen och har status som en experimentell, har den redan nått en nivå av stabilitet som gjorde det möjligt att använda den för att säkerställa driften av OpenVPN.
Jämfört med konfigurationen baserad på tun-gränssnittet, användandet av modulen på klient- och serversidan med användning av AES-256-GCM-kryptering möjliggjorde en 8-faldig ökning av prestanda (från 370 Mbit/s till 2950 Mbit s).
När modulen endast används på klientsidan tredubblas prestandan för utgående trafik och oförändrad för inkommande trafik. När modulen endast används på serversidan multipliceras prestandan med 4 för inkommande trafik och 35% för utgående trafik.
Säkerhet är en av de viktigaste sakerna att tänka på när du är online. Ju säkrare din onlinekommunikation är med kryptering, desto bättre. Datakryptering har saktat ner beräkningshastigheterna tidigare, vilket har förbättrats med moderna processorer. Men vi kan göra mer. OpenVPN har precis introducerat en ny utveckling som kommer att öka hastigheten för sina användare när det tar slut på kärnutrymme: OpenVPN Data Channel Offload (DCO).
Acceleration uppnås genom att flytta alla krypteringsoperationer, paketbearbetning och kanalhantering till Linux-kärnan, vilket eliminerar tillhörande overhead med kontextväxling gör det möjligt att optimera arbetet genom att direkt komma åt interna kärn-API:er och eliminerar långsam dataöverföring mellan kärnan och användarutrymmet. (Modulen utför kryptering, dekryptering och routing utan att skicka trafik till en kontrollenhet för användarutrymme.)
Det bör noteras att den negativa effekten på VPN-prestanda beror främst på resurskrävande krypteringsverksamhet och de förseningar som orsakas av bytet av sammanhang. Processortillägg som Intel AES-NI användes för att påskynda kryptering, men kontextbyte var fortfarande en flaskhals innan ovpn-dco.
Förutom att använda instruktioner som tillhandahålls av processorn för att påskynda kryptering, ger ovpn-dco-modulen också möjlighet att dela upp krypteringsoperationer i separata segment och bearbeta dem i flertrådsläge, vilket gör det möjligt att använda alla tillgängliga CPU-kärnor.
För ett användarutrymme VPN, som OpenVPN, begränsar krypteringsoverhead och kontextväxling hastigheter. Med moderna processorer har krypteringskostnaderna förbättrats genom tillägg som Intel AES-NI, vilket i sin tur förbättrar hastigheterna för OpenVPN-användare.
Men omkostnader med kontextväxlingar måste fortfarande åtgärdas. Eftersom privata och affärsmässiga internethastigheter ökar och applikationer använder mer bandbredd, förväntar sig användare högre hastigheter med onlinekommunikation. Därför har effekterna av dessa omkostnader blivit mer märkbara.
Från nuvarande begränsningar som nämns från implementeringen och som också kommer att tas bort i framtiden, endast de AEAD och 'ingen' lägen (ingen autentisering) och AES-GCM och CHACHA20POLY1305 chiffer.
Det nämns också att DCO-stöd planeras att ingå i releasen av versionen av OpenVPN 2.6, planeras till fjärde kvartalet i år. Modulen stöder för närvarande den öppna beta Linux-klienten OpenVPN3 och experimentella versioner av OpenVPN-servern för Linux. En liknande modul ovpn-dco-win utvecklas också för Windows-kärnan.
Slutligen om du är intresserad av att veta mer om det om anteckningen kan du kontrollera detaljerna I följande länk.