Кілька днів тому лРозроблено розробниками OpenVPN новина, яка вони ввели модуль ядра під назвою "ovpn-dco" основне завдання якого - значно прискорити роботу VPN.
Хоча модуль все ще розвивається у гілці-next-next і має статус експериментальної, вона вже досягла такого рівня стабільності, що дозволило використовувати її для забезпечення роботи OpenVPN.
Порівняно з конфігурацією на основі інтерфейсу tun, використання модуля на стороні клієнта та сервера з використанням шифрування AES-256-GCM дозволило збільшити продуктивність у 8 разів (з 370 Мбіт / с до 2950 Мбіт / с).
При використанні модуля тільки на стороні клієнта продуктивність потроюється для вихідного трафіку і не змінюється для вхідного трафіку. При використанні модуля тільки на стороні сервера пропускна здатність множиться на 4 для вхідного трафіку та на 35% для вихідного трафіку.
Безпека - одна з найважливіших речей, які слід враховувати в Інтернеті. Чим безпечніше ваше онлайн спілкування за допомогою шифрування, тим краще. Шифрування даних у минулому сповільнювало швидкість обчислень, що покращилось із сучасними процесорами. Але ми можемо більше. OpenVPN щойно представив нову розробку, яка збільшить швидкість для її користувачів при вичерпанні місця в ядрі: OpenVPN Data Channel Offload (DCO).
Прискорення досягається переміщенням усіх операцій крипто, обробка пакетів та управління каналами до ядра Linux, усуваючи відповідні накладні витрати Завдяки комутації контексту, це дозволяє спростити роботу, безпосередньо отримуючи доступ до внутрішніх API ядра та усуває повільну передачу даних між ядром та простором користувача. (Модуль виконує шифрування, дешифрування та маршрутизацію без надсилання трафіку на контролер у просторі користувача.)
Слід зазначити, що негативний вплив про продуктивність VPN це головним чином через операції шифрування, які споживають багато ресурсів та затримки, викликані зміною контексту. Розширення процесора, такі як Intel AES-NI, використовувалися для прискорення шифрування, але перемикачі контексту були ще вузьким місцем до ovpn-dco.
Окрім використання інструкцій, наданих процесором для прискорення шифрування, модуль ovpn-dco також передбачає поділ операцій шифрування на окремі сегменти та їх обробку у багатопотоковому режимі, що дає можливість використовувати всі доступні ядра процесора.
Для VPN простору користувача, наприклад OpenVPN, накладні витрати на шифрування та перемикачі контексту обмежують швидкість. За допомогою сучасних процесорів накладні витрати на шифрування були покращені за допомогою таких розширень, як Intel AES-NI, що, у свою чергу, покращує швидкість для користувачів OpenVPN.
Але перевантаження контекстними перемикачами ще потрібно усунути. Оскільки швидкість особистого та ділового Інтернету зростає, а програми використовують більшу пропускну здатність, користувачі очікують більшої швидкості за допомогою онлайн -спілкування. Тому вплив цих накладних витрат став більш помітним.
З поточних обмежень які згадуються в реалізації і які також будуть усунені в майбутньому, лише Режими AEAD та "немає" (без автентифікації) та шифри AES-GCM та CHACHA20POLY1305.
Також згадується, що Підтримка DCO планується включити до випуску версія OpenVPN 2.6, запланований на четвертий квартал цього року. В даний час модуль підтримує клієнт OpenVPN3 з відкритою бета -версією Linux та експериментальні збірки сервера OpenVPN для Linux. Подібний модуль ovpn-dco-win також розробляється для ядра Windows.
В кінці кінців якщо вам цікаво дізнатись більше про це щодо примітки, ви можете перевірити деталі У наступному посиланні.