Els desenvolupadors del paquet de xarxes privades virtuals OpenVPN han introduït el mòdul del nucli ovpn-dco, que pot accelerar significativament el rendiment de la VPN. Malgrat que el mòdul encara s'està desenvolupant només amb la mirada adreçada a la branca linux-next i té un estat experimental, ja ha assolit un nivell d'estabilitat que permet utilitzar-lo per garantir el funcionament del servei OpenVPN Cloud.
En comparació amb la configuració basada en la interfície tun, l'ús d'un mòdul als costats del client i del servidor utilitzant el xifratge AES-256-GCM va permetre aconseguir un augment de 8 vegades el rendiment (de 370 Mbit/s a 2950 Mbit). /s). Quan s'utilitzava el mòdul només al costat del client, el rendiment es va multiplicar per tres per al trànsit de sortida i no va canviar per al trànsit d'entrada. Quan s'utilitza el mòdul només al costat del servidor, el rendiment va augmentar 4 vegades per al trànsit d'entrada i un 35% per al trànsit de sortida.
L'acceleració s'aconsegueix movent totes les operacions de xifratge, processament de paquets i gestió de canals de comunicació al costat del nucli de Linux, la qual cosa elimina la sobrecàrrega associada al canvi de context, permet optimitzar el treball accedint directament a les API internes del nucli i elimina la transferència lenta de dades entre el nucli. i espai d'usuari (el xifratge, el desxifrat i l'encaminament els realitza el mòdul sense enviar trànsit a un gestor de l'espai d'usuari).
Cal assenyalar que l'impacte negatiu en el rendiment de la VPN es deu principalment a les operacions de xifratge que consumeixen molts recursos i als retards causats pel canvi de context. Les extensions de processador com Intel AES-NI es van utilitzar per accelerar el xifratge, però els canvis de context van romandre un coll d'ampolla fins a l'arribada d'ovpn-dco. A més d'utilitzar les instruccions proporcionades pel processador per accelerar el xifratge, el mòdul ovpn-dco assegura, a més, que les operacions de xifratge es divideixen en segments separats i es processin en mode multiprocés, que permet l'ús de tots els nuclis de CPU disponibles.
Les limitacions d'implementació actuals que s'abordaran en el futur inclouen el suport només per als modes AEAD i "cap" i els xifratges AES-GCM i CHACHA20POLY1305. Està previst que el suport DCO s'inclogui al llançament d'OpenVPN 2.6, previst per al quart trimestre d'aquest any. Actualment, el mòdul és compatible amb el client Linux OpenVPN4 de prova beta i les versions experimentals del servidor OpenVPN per a Linux. També s'està desenvolupant un mòdul similar, ovpn-dco-win, per al nucli de Windows.
Font: opennet.ru