La programistoj de la virtuala privata retpako OpenVPN enkondukis la kernan modulon ovpn-dco, kiu povas signife akceli VPN-agadon. Malgraŭ la fakto, ke la modulo ankoraŭ estas disvolvita kun okulo nur al la linukso-sekva branĉo kaj havas eksperimentan statuson, ĝi jam atingis nivelon de stabileco, kiu permesas ĝin esti uzata por certigi la funkciadon de la OpenVPN Cloud-servo.
Kompare kun la agordo bazita sur la tuninterfaco, la uzo de modulo ĉe la kliento kaj servilflankoj uzante la AES-256-GCM-ĉifron ebligis atingi 8-oblan pliiĝon en trairo (de 370 Mbit/s ĝis 2950 Mbit). /s). Kiam oni uzis la modulon nur ĉe la klientflanko, la trafluo pliiĝis trioble por elira trafiko kaj ne ŝanĝiĝis por envenanta trafiko. Kiam oni uzas la modulon nur ĉe la servilo, la trairo pliiĝis je 4 fojojn por envenanta trafiko kaj je 35% por elira trafiko.
Akcelo estas atingita movante ĉiujn ĉifradajn operaciojn, pakaĵetan prilaboradon kaj komunikadkanalan administradon al la Linukso-kerno-flanko, kiu forigas la superkoston asociitan kun kunteksta ŝanĝado, ebligas optimumigi laboron per rekte aliro al la internaj kernaj API-oj kaj forigas malrapidan transdonon de datumoj inter kerno. kaj uzantspaco (ĉifrado, malĉifrado kaj vojigo estas faritaj per la modulo sen sendado de trafiko al prizorganto en uzantspaco).
Oni rimarkas, ke la negativa efiko al VPN-agado estas ĉefe kaŭzita de resurs-intensaj ĉifradaj operacioj kaj prokrastoj kaŭzitaj de kuntekstoŝanĝo. Proceso-etendaĵoj kiel Intel AES-NI kutimis akceli ĉifradon, sed kuntekstŝaltiloj restis proplempunkto ĝis la apero de ovpn-dco. Krom uzi instrukciojn provizitajn de la procesoro por akceli ĉifradon, la ovpn-dco-modulo aldone certigas, ke ĉifradaj operacioj estas dividitaj en apartajn segmentojn kaj prilaboritaj en multfadena reĝimo, kio permesas la uzon de ĉiuj disponeblaj CPU-kernoj.
Nunaj efektiviglimoj kiuj estos traktitaj estonte inkluzivas subtenon por nur AEAD kaj "neniu" reĝimoj, kaj AES-GCM kaj CHACHA20POLY1305 ĉifroj. DCO-subteno estas planita esti inkluzivita en la liberigo de OpenVPN 2.6, planita por la 4-a kvarono de ĉi tiu jaro. La modulo estas nuntempe subtenata en la beta-testa OpenVPN3 Linukso-kliento kaj eksperimentaj konstruoj de la OpenVPN-servilo por Linukso. Simila modulo, ovpn-dco-win, ankaŭ estas evoluigita por la Vindoza kerno.
fonto: opennet.ru