OpenVPN-virtuaalisen yksityisen verkkopaketin kehittäjät ovat ottaneet käyttöön ovpn-dco-ydinmoduulin, joka voi merkittävästi nopeuttaa VPN:n suorituskykyä. Huolimatta siitä, että moduulia kehitetään edelleen vain linux-next-haaraa silmällä pitäen ja sillä on kokeellinen tila, se on jo saavuttanut vakaustason, jonka avulla sitä voidaan käyttää OpenVPN Cloud -palvelun toiminnan varmistamiseen.
Tun-rajapintaan perustuvaan kokoonpanoon verrattuna AES-256-GCM-salausta käyttävän moduulin käyttö asiakas- ja palvelinpuolella mahdollisti 8-kertaisen suorituskyvyn kasvun (370 Mbit/s:sta 2950 Mbit:iin). /s). Käytettäessä moduulia vain asiakaspuolella, läpäisykyky kolminkertaistui lähtevälle liikenteelle, eikä muuttunut saapuvassa liikenteessä. Käytettäessä moduulia vain palvelinpuolella, kapasiteetti kasvoi 4-kertaiseksi saapuvassa liikenteessä ja 35 % lähtevässä liikenteessä.
Kiihtyvyys saavutetaan siirtämällä kaikki salaustoiminnot, pakettien käsittely ja viestintäkanavien hallinta Linux-ytimen puolelle, mikä eliminoi kontekstin vaihtamiseen liittyvän ylimääräisen rasituksen, mahdollistaa työn optimoinnin käyttämällä suoraan sisäisiä ytimen API-liittymiä ja eliminoi hitaan tiedonsiirron ytimen välillä. ja käyttäjätila (salauksen, salauksen purkamisen ja reitityksen suorittaa moduuli lähettämättä liikennettä käyttäjätilassa olevalle käsittelijälle).
On huomattava, että kielteinen vaikutus VPN:n suorituskykyyn johtuu pääasiassa resurssiintensiivisistä salaustoiminnoista ja kontekstin vaihdon aiheuttamista viiveistä. Prosessorilaajennuksia, kuten Intel AES-NI, käytettiin nopeuttamaan salausta, mutta kontekstin kytkimet pysyivät pullonkaulana ovpn-dco:n tuloon asti. Sen lisäksi, että ovpn-dco-moduuli käyttää prosessorin antamia ohjeita salauksen nopeuttamiseksi, se varmistaa lisäksi, että salaustoiminnot jaetaan erillisiin segmentteihin ja käsitellään monisäikeisessä tilassa, mikä mahdollistaa kaikkien saatavilla olevien CPU-ytimien käytön.
Nykyiset toteutusrajoitukset, joihin puututaan tulevaisuudessa, sisältävät vain AEAD- ja "ei mitään"-tilojen tuen sekä AES-GCM- ja CHACHA20POLY1305-salaukset. DCO-tuki on suunniteltu sisällytettäväksi OpenVPN 2.6:n julkaisuun, joka on suunniteltu tämän vuoden neljännelle neljännekselle. Moduulia tuetaan tällä hetkellä beta-testauksessa OpenVPN4 Linux -asiakasohjelmassa ja OpenVPN-palvelimen Linuxille kokeellisissa versioissa. Samanlaista moduulia, ovpn-dco-win, kehitetään myös Windows-ytimelle.
Lähde: opennet.ru