I sviluppatori di u pacchettu di rete privata virtuale OpenVPN anu introduttu u modulu di kernel ovpn-dco, chì pò accelerà significativamente u rendiment VPN. Malgradu u fattu chì u modulu hè sempre sviluppatu cù un ochju solu à u ramu linux-next è hà statu spirimintali, hà digià righjuntu un livellu di stabilità chì permette di esse usatu per assicurà l'operazione di u serviziu OpenVPN Cloud.
Comparatu à a cunfigurazione basata nantu à l'interfaccia tun, l'usu di un modulu nantu à i lati di u cliente è di u servitore chì utilizanu u cifru AES-256-GCM hà permessu di ottene un aumentu di 8 volte in u throughput (da 370 Mbit/s à 2950 Mbit). /s). Quandu s'utilice u modulu solu in u latu di u cliente, u throughput hà triplicatu per u trafficu in uscita è ùn hà micca cambiatu per u trafficu entrante. Quandu s'utilice u modulu solu in u latu di u servitore, u throughput hà aumentatu da 4 volte per u trafficu in entrata è da 35% per u trafficu in uscita.
L'accelerazione hè ottenuta movendu tutte l'operazioni di criptografia, u processu di pacchetti è a gestione di i canali di cumunicazione à u latu di u kernel Linux, chì elimina l'overhead assuciatu à u cambiamentu di u cuntestu, permette di ottimisà u travagliu accedendu direttamente à l'API di u kernel internu è elimina u trasferimentu di dati lento trà u kernel. è u spaziu di l'utilizatori (a criptografia, a decifrazione è u routing sò realizati da u modulu senza mandà trafficu à un gestore in u spaziu di l'utilizatori).
Hè nutatu chì l'impattu negativu nantu à u rendiment VPN hè principalmente causatu da operazioni di criptografia intensive di risorse è ritardi causati da u cambiamentu di u cuntestu. L'estensioni di processore cum'è Intel AES-NI sò stati utilizati per accelerà a criptografia, ma i cambiamenti di u cuntestu restanu un collu di bottiglia finu à l'avventu di ovpn-dco. In più di utilizà l'istruzzioni furnite da u processatore per accelerà a criptografia, u modulu ovpn-dco assicura ancu chì l'operazioni di criptografia sò divisi in segmenti separati è processati in modu multi-threaded, chì permette l'usu di tutti i nuclei CPU dispunibili.
E limitazioni di implementazione attuale chì saranu affrontate in u futuru includenu supportu per i modi AEAD è "nimu" solu, è i cifri AES-GCM è CHACHA20POLY1305. U supportu DCO hè previstu per esse inclusu in a liberazione di OpenVPN 2.6, prevista per u quartu trimestre di questu annu. U modulu hè attualmente supportatu in u cliente Linux OpenVPN4 di prova beta è e versioni sperimentali di u servitore OpenVPN per Linux. Un modulu simili, ovpn-dco-win, hè ancu sviluppatu per u kernel Windows.
Source: opennet.ru