OpenVPN virtuaalse privaatvõrgu paketi arendajad on kasutusele võtnud ovpn-dco kerneli mooduli, mis võib VPN-i jõudlust oluliselt kiirendada. Hoolimata asjaolust, et moodulit arendatakse endiselt ainult linux-next haru silmas pidades ja sellel on eksperimentaalne staatus, on see juba saavutanud stabiilsuse taseme, mis võimaldab seda kasutada OpenVPN Cloud teenuse toimimise tagamiseks.
Võrreldes tun-liidesel põhineva konfiguratsiooniga võimaldas AES-256-GCM šifri kasutava mooduli kasutamine kliendi ja serveri poolel saavutada läbilaskevõime 8-kordse tõusu (370 Mbit/s-lt 2950 Mbitile /s). Kasutades moodulit ainult kliendi poolel, kasvas läbilaskevõime väljamineva liikluse puhul kolm korda ja sissetuleva liikluse puhul ei muutunud. Kui moodulit kasutada ainult serveri poolel, suurenes läbilaskevõime sissetuleva liikluse puhul 4 korda ja väljamineva liikluse puhul 35%.
Kiirendus saavutatakse kõigi krüpteerimistoimingute, pakettide töötlemise ja sidekanalite haldamise viimisega Linuxi kerneli poolele, mis välistab konteksti vahetamisega seotud üldkulud, võimaldab optimeerida tööd otse juurdepääsu kaudu sisemistele kerneli API-dele ja välistab aeglase andmeedastuse kerneli vahel. ja kasutajaruum (krüpteerimist, dekrüpteerimist ja marsruutimist teostab moodul ilma liiklust kasutajaruumis olevale töötlejale saatmata).
Märgitakse, et negatiivset mõju VPN-i jõudlusele põhjustavad peamiselt ressursimahukad krüpteerimistoimingud ja kontekstivahetusest tingitud viivitused. Krüptimise kiirendamiseks kasutati protsessorilaiendeid, nagu Intel AES-NI, kuid kontekstilülitid jäid kitsaskohaks kuni ovpn-dco tulekuni. Lisaks protsessori poolt antud juhiste kasutamisele krüptimise kiirendamiseks tagab ovpn-dco moodul täiendavalt selle, et krüpteerimistoimingud jaotatakse eraldi segmentideks ja töödeldakse mitme lõimega režiimis, mis võimaldab kasutada kõiki saadaolevaid protsessori tuumasid.
Praegused rakendamise piirangud, millega tulevikus tegeletakse, hõlmavad ainult AEAD-i ja režiimide „puudub” tuge ning AES-GCM ja CHACHA20POLY1305 šifreid. DCO tugi on kavas lisada OpenVPN 2.6 väljalasele, mis on kavandatud selle aasta 4. kvartalisse. Moodulit toetatakse praegu beetatestimises OpenVPN3 Linuxi kliendis ja OpenVPN-serveri eksperimentaalsetes versioonides Linuxi jaoks. Sarnast moodulit ovpn-dco-win arendatakse ka Windowsi kerneli jaoks.
Allikas: opennet.ru