Кампанія Red Hat апублікавала вынікі адзнакі прадукцыйнасці шыфраваных каналаў сувязі, арганізаваных з выкарыстаннем пратаколу IPsec, на сучасным абсталяванні, а таксама параўнала прапускную здольнасць IPsec на базе алгарытмаў аўтэнтыфікаванага шыфравання AES-GCM і AES-SHA1.
Тэставанне праводзілася ў дыстрыбутыве RHEL 9.4 на серверы з двума працэсарамі Intel Xeon Scalable чацвёртага пакалення (28 ядраў і 56 лагічных ядраў у кожным CPU), падлучаным да сеткі праз 100-гігабітны сеткавы адаптар Intel E810. Апаратнае паскарэнне IPsec з вынасам аперацый на бок сеткавай карты ці Intel QAT было адключана для атрымання падання аб прадукцыйнасці праграмнага стэка. Налады сістэмы былі выстаўленыя ў адпаведнасці з профілем «throughput-performance», быў адключаны міжсеткавы экран firewalld, а таксама выканана прывязка працэсу iperf3, які генеруе трафік, і апрацоўшчыка перапыненняў сеткавай карты да першага ядра CPU (каб пазбегнуць зніжэння прадукцыйнасці з-за міграцыі. сеткавай картай).
У аднаструменным тэсце IPsec для IPv4 і IPv6 пры выкарыстанні аднаго ядра CPU для працэсу iperf3 была зафіксаваная прадукцыйнасць у 6 Gbit/s для AES-GCM і 3.75 Gbit/s для AES-SHA1, г.зн. AES-SHA1 аказаўся павольней AES-GCM прыкладна на 40%.
Пры тэставанні некалькіх раўналежных струменяў (кожны асобнік iperf3 прымацоўваўся да асобнага ядра CPU) пікавая прапускная здольнасць пры выкарыстанні AES-GCM дасягала 50 Gbit/s для IPv4 і IPv6, што дэманструе магчымасць поўнай утылізацыі даступнай прапускной здольнасці на тыпавым. серверы з двума 25-гігабітнымі або адным 40-гігабітным каналам сувязі без ужывання апаратнага паскарэння (або палову прапускной здольнасці 100-гігабітнага лінка, які выкарыстоўваўся пры тэставанні).
Крыніца: opennet.ru
