Компания RedHat ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π»Π° Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹ тСстирования ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ IPsec

Компания Red Hat ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π»Π° Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹ ΠΎΡ†Π΅Π½ΠΊΠΈ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½Ρ‹Ρ… ΠΊΠ°Π½Π°Π»ΠΎΠ² связи, ΠΎΡ€Π³Π°Π½ΠΈΠ·ΠΎΠ²Π°Π½Π½Ρ‹Ρ… с использованиСм ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° IPsec, Π½Π° соврСмСнном ΠΎΠ±ΠΎΡ€ΡƒΠ΄ΠΎΠ²Π°Π½ΠΈΠΈ, Π° Ρ‚Π°ΠΊΠΆΠ΅ сравнила ΠΏΡ€ΠΎΠΏΡƒΡΠΊΠ½ΡƒΡŽ ΡΠΏΠΎΡΠΎΠ±Π½ΠΎΡΡ‚ΡŒ IPsec Π½Π° Π±Π°Π·Π΅ Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠΎΠ² Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠ³ΠΎ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ AES-GCM ΠΈ AES-SHA1.

ВСстированиС ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΠ»ΠΎΡΡŒ Π² дистрибутивС RHEL 9.4 Π½Π° сСрвСрС с двумя процСссорами Intel Xeon Scalable Ρ‡Π΅Ρ‚Π²Ρ‘Ρ€Ρ‚ΠΎΠ³ΠΎ поколСния (28 ядСр ΠΈ 56 логичСских ядСр Π² ΠΊΠ°ΠΆΠ΄ΠΎΠΌ CPU), ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Ρ‘Π½Π½ΠΎΠΌ ΠΊ сСти Ρ‡Π΅Ρ€Π΅Π· 100-Π³ΠΈΠ³Π°Π±ΠΈΡ‚Π½Ρ‹ΠΉ сСтСвой Π°Π΄Π°ΠΏΡ‚Π΅Ρ€ Intel E810. АппаратноС ускорСниС IPsec с выносом ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΉ Π½Π° сторону сСтСвой ΠΊΠ°Ρ€Ρ‚Ρ‹ ΠΈΠ»ΠΈ Intel QAT Π±Ρ‹Π»ΠΎ ΠΎΡ‚ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΎ для получСния прСдставлСния ΠΎ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ стСка. Настройки систСмы Π±Ρ‹Π»ΠΈ выставлСны Π² соотвСтствии с ΠΏΡ€ΠΎΡ„ΠΈΠ»Π΅ΠΌ «throughput-performance», Π±Ρ‹Π» ΠΎΡ‚ΠΊΠ»ΡŽΡ‡Ρ‘Π½ мСТсСтСвой экран firewalld, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½Π° привязка процСсса iperf3, Π³Π΅Π½Π΅Ρ€ΠΈΡ€ΡƒΡŽΡ‰Π΅Π³ΠΎ Ρ‚Ρ€Π°Ρ„ΠΈΠΊ, ΠΈ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠ° ΠΏΡ€Π΅Ρ€Ρ‹Π²Π°Π½ΠΈΠΉ сСтСвой ΠΊΠ°Ρ€Ρ‚Ρ‹ ΠΊ ΠΏΠ΅Ρ€Π²ΠΎΠΌΡƒ ядру CPU (Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΈΠ·Π±Π΅ΠΆΠ°Ρ‚ΡŒ сниТСния ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ ΠΈΠ·-Π·Π° ΠΌΠΈΠ³Ρ€Π°Ρ†ΠΈΠΈ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠ² ΠΏΡ€Π΅Ρ€Ρ‹Π²Π°Π½ΠΈΠΉ Π½Π° ΡƒΠ·Π»Ρ‹ NUMA, Π½Π΅ связанных с сСтСвой ΠΊΠ°Ρ€Ρ‚ΠΎΠΉ).

Π’ ΠΎΠ΄Π½ΠΎΠΏΠΎΡ‚ΠΎΡ‡Π½ΠΎΠΌ тСстС IPsec для IPv4 ΠΈ IPv6 ΠΏΡ€ΠΈ использовании ΠΎΠ΄Π½ΠΎΠ³ΠΎ ядра CPU для процСсса iperf3 Π±Ρ‹Π»Π° зафиксирована ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ Π² 6 Gbit/s для AES-GCM ΠΈ 3.75 Gbit/s для AES-SHA1, Ρ‚.Π΅. AES-SHA1 оказался ΠΌΠ΅Π΄Π»Π΅Π½Π½Π΅Π΅ AES-GCM ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π½ΠΎ Π½Π° 40%.
ΠŸΡ€ΠΈ тСстировании Π½Π΅ΡΠΊΠΎΠ»ΡŒΠΊΠΈΡ… ΠΏΠ°Ρ€Π°Π»Π»Π΅Π»ΡŒΠ½Ρ‹Ρ… ΠΏΠΎΡ‚ΠΎΠΊΠΎΠ² (ΠΊΠ°ΠΆΠ΄Ρ‹ΠΉ экзСмпляр iperf3 прикрСплялся ΠΊ ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½ΠΎΠΌΡƒ ядру CPU) пиковая пропускная ΡΠΏΠΎΡΠΎΠ±Π½ΠΎΡΡ‚ΡŒ ΠΏΡ€ΠΈ использовании AES-GCM достигала 50 Gbit/s для IPv4 ΠΈ IPv6, Ρ‡Ρ‚ΠΎ дСмонстрируСт Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ ΠΏΠΎΠ»Π½ΠΎΠΉ ΡƒΡ‚ΠΈΠ»ΠΈΠ·Π°Ρ†ΠΈΠΈ доступной пропускной способности Π½Π° Ρ‚ΠΈΠΏΠΎΠ²ΠΎΠΌ сСрвСрС с двумя 25-Π³ΠΈΠ³Π°Π±ΠΈΡ‚Π½Ρ‹ΠΌΠΈ ΠΈΠ»ΠΈ ΠΎΠ΄Π½ΠΈΠΌ 40-Π³ΠΈΠ³Π°Π±ΠΈΡ‚Π½Ρ‹ΠΌ ΠΊΠ°Π½Π°Π»ΠΎΠΌ связи Π±Π΅Π· примСнСния Π°ΠΏΠΏΠ°Ρ€Π°Ρ‚Π½ΠΎΠ³ΠΎ ускорСния (ΠΈΠ»ΠΈ ΠΏΠΎΠ»ΠΎΠ²ΠΈΠ½Ρƒ пропускной способности 100-Π³ΠΈΠ³Π°Π±ΠΈΡ‚Π½ΠΎΠ³ΠΎ Π»ΠΈΠ½ΠΊΠ°, использовавшСгося ΠΏΡ€ΠΈ тСстировании).

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru