Red Hat hat die Ergebnisse der Leistungsbewertung verschlüsselter Kommunikationskanäle veröffentlicht, die mit dem IPsec-Protokoll auf moderner Hardware organisiert wurden, und außerdem den Durchsatz von IPsec basierend auf den authentifizierten Verschlüsselungsalgorithmen AES-GCM und AES-SHA1 verglichen.
Die Tests wurden in der RHEL 9.4-Distribution auf einem Server mit zwei Intel Xeon Scalable-Prozessoren der vierten Generation (28 Kerne und 56 logische Kerne in jeder CPU) durchgeführt, die über einen Intel E100 810-Gigabit-Netzwerkadapter mit dem Netzwerk verbunden waren. Die IPsec-Hardwarebeschleunigung mit Offloading-Operationen auf die Netzwerkkartenseite oder Intel QAT wurde deaktiviert, um einen Eindruck von der Leistung des Software-Stacks zu bekommen. Die Systemeinstellungen wurden auf das Profil „Durchsatzleistung“ konfiguriert, die Firewalld-Firewall wurde deaktiviert und der iperf3-Verkehrsgenerator und der NIC-Interrupthandler wurden an den ersten CPU-Kern gebunden (um Leistungseinbußen durch die Migration von Interrupthandlern zu NUMA-Knoten zu vermeiden, die nicht mit der NIC verbunden sind).
Im Single-Threaded-IPsec-Test für IPv4 und IPv6 unter Verwendung eines einzelnen CPU-Kerns für den iperf3-Prozess wurde eine Leistung von 6 Gbit/s für AES-GCM und 3.75 Gbit/s für AES-SHA1 aufgezeichnet, d. h. AES-SHA1 war etwa 40 % langsamer als AES-GCM.
Beim Testen mehrerer paralleler Datenströme (jede iperf3-Instanz war einem separaten CPU-Kern zugeordnet) erreichte der Spitzendurchsatz mit AES-GCM 50 Gbit/s für IPv4 und IPv6, was die Fähigkeit demonstriert, die verfügbare Bandbreite auf einem typischen System vollständig auszunutzen. Server mit zwei 25-Gigabit- oder einem 40-Gigabit-Kommunikationskanal ohne Hardwarebeschleunigung (oder der Hälfte des Durchsatzes der im Test verwendeten 100-Gigabit-Verbindung).
Source: opennet.ru
