Οι προγραμματιστές του πακέτου εικονικής ιδιωτικής δικτύωσης OpenVPN εισήγαγαν τη μονάδα πυρήνα ovpn-dco, η οποία μπορεί να επιταχύνει σημαντικά την απόδοση του VPN. Παρά το γεγονός ότι η λειτουργική μονάδα εξακολουθεί να αναπτύσσεται με το βλέμμα μόνο στο linux-next κλάδο και έχει πειραματική κατάσταση, έχει ήδη φτάσει σε ένα επίπεδο σταθερότητας που επιτρέπει τη χρήση της για τη διασφάλιση της λειτουργίας της υπηρεσίας OpenVPN Cloud.
Σε σύγκριση με τη διαμόρφωση που βασίζεται στη διεπαφή tun, η χρήση μιας μονάδας στην πλευρά του πελάτη και του διακομιστή χρησιμοποιώντας τον κρυπτογράφηση AES-256-GCM κατέστησε δυνατή την επίτευξη 8 φορές αύξησης της απόδοσης (από 370 Mbit/s σε 2950 Mbit /μικρό). Όταν χρησιμοποιείτε τη μονάδα μόνο στην πλευρά του πελάτη, η απόδοση τριπλασιάστηκε για την εξερχόμενη κίνηση και δεν άλλαξε για την εισερχόμενη κίνηση. Όταν χρησιμοποιείτε τη μονάδα μόνο από την πλευρά του διακομιστή, η απόδοση αυξήθηκε κατά 4 φορές για την εισερχόμενη κίνηση και κατά 35% για την εξερχόμενη κίνηση.
Η επιτάχυνση επιτυγχάνεται με τη μετακίνηση όλων των λειτουργιών κρυπτογράφησης, επεξεργασίας πακέτων και διαχείρισης καναλιών επικοινωνίας στην πλευρά του πυρήνα Linux, η οποία εξαλείφει την επιβάρυνση που σχετίζεται με την εναλλαγή περιβάλλοντος, καθιστά δυνατή τη βελτιστοποίηση της εργασίας με απευθείας πρόσβαση στα εσωτερικά API του πυρήνα και εξαλείφει την αργή μεταφορά δεδομένων μεταξύ του πυρήνα και χώρο χρήστη (η κρυπτογράφηση, η αποκρυπτογράφηση και η δρομολόγηση εκτελούνται από τη μονάδα χωρίς αποστολή κίνησης σε έναν χειριστή στο χώρο χρήστη).
Σημειώνεται ότι ο αρνητικός αντίκτυπος στην απόδοση του VPN προκαλείται κυρίως από λειτουργίες κρυπτογράφησης με ένταση πόρων και καθυστερήσεις που προκαλούνται από την εναλλαγή περιβάλλοντος. Οι επεκτάσεις επεξεργαστών όπως το Intel AES-NI χρησιμοποιήθηκαν για την επιτάχυνση της κρυπτογράφησης, αλλά οι διακόπτες περιβάλλοντος παρέμειναν εμπόδιο μέχρι την εμφάνιση του ovpn-dco. Εκτός από τη χρήση οδηγιών που παρέχονται από τον επεξεργαστή για την επιτάχυνση της κρυπτογράφησης, η μονάδα ovpn-dco διασφαλίζει επιπλέον ότι οι λειτουργίες κρυπτογράφησης χωρίζονται σε ξεχωριστά τμήματα και υποβάλλονται σε επεξεργασία σε λειτουργία πολλαπλών νημάτων, γεγονός που επιτρέπει τη χρήση όλων των διαθέσιμων πυρήνων CPU.
Οι τρέχοντες περιορισμοί υλοποίησης που θα αντιμετωπιστούν στο μέλλον περιλαμβάνουν υποστήριξη μόνο για λειτουργίες AEAD και "none" και κρυπτογράφηση AES-GCM και CHACHA20POLY1305. Η υποστήριξη DCO σχεδιάζεται να συμπεριληφθεί στην κυκλοφορία του OpenVPN 2.6, που έχει προγραμματιστεί για το 4ο τρίμηνο του τρέχοντος έτους. Η ενότητα υποστηρίζεται αυτήν τη στιγμή στον υπολογιστή-πελάτη OpenVPN3 Linux που δοκιμάζει beta και σε πειραματικές εκδόσεις του διακομιστή OpenVPN για Linux. Μια παρόμοια ενότητα, το ovpn-dco-win, αναπτύσσεται επίσης για τον πυρήνα των Windows.
Πηγή: opennet.ru