De ûntwikkelders fan it OpenVPN firtuele privee netwurkpakket hawwe de ovpn-dco kernelmodule yntrodusearre, dy't VPN-prestaasjes signifikant kinne fersnelle. Nettsjinsteande it feit dat de module noch ûntwikkele wurdt mei it each allinich op 'e linux-next branch en hat eksperimintele status, hat it al in nivo fan stabiliteit berikt dat it kin wurde brûkt om de wurking fan' e OpenVPN Cloud-tsjinst te garandearjen.
Yn ferliking mei de konfiguraasje basearre op 'e tun-ynterface, makke it gebrûk fan in module oan' e kliïnt- en serverkanten mei it AES-256-GCM-sifer it mooglik om in 8-fâldige ferheging fan trochput te berikken (fan 370 Mbit / s nei 2950 Mbit /s). By it brûken fan de module allinnich oan de kliïnt kant, de trochstreaming ferhege trije kear foar útgeande ferkear en net feroare foar ynkommende ferkear. By it brûken fan de module allinnich oan de tsjinner kant, trochfier ferhege mei 4 kear foar ynkommende ferkear en mei 35% foar útgeande ferkear.
Fersnelling wurdt berikt troch it ferpleatsen fan alle fersifering operaasjes, pakket ferwurking en kommunikaasje kanaal behear nei de Linux kernel kant, dy't elimineert de overhead ferbûn mei kontekst switching, makket it mooglik om te optimalisearjen wurk troch direkt tagong ta de ynterne kernel APIs en elimineert trage gegevens oerdracht tusken kernel en brûker romte (fersifering, ûntsiferjen en routing wurde útfierd troch de module sûnder stjoeren ferkear nei in handler yn brûker romte).
It wurdt opmurken dat de negative ynfloed op VPN-prestaasjes benammen wurdt feroarsake troch boarne-yntinsive fersiferingsoperaasjes en fertragingen feroarsake troch kontekstwikseling. Processor-útwreidingen lykas Intel AES-NI waarden brûkt om fersifering te fersnellen, mar kontekstskeakels bleaunen in knelpunt oant de komst fan ovpn-dco. Neist it brûken fan ynstruksjes levere troch de prosessor om fersifering te fersnellen, soarget de ovpn-dco-module ek dat fersiferingsoperaasjes wurde ferdield yn aparte segminten en ferwurke yn multi-threaded modus, wêrtroch it gebrûk fan alle beskikbere CPU-kearnen mooglik is.
Aktuele ymplemintaasjebeheiningen dy't yn 'e takomst sille wurde oanpakt omfetsje allinich stipe foar AEAD- en 'gjin'-modi, en AES-GCM- en CHACHA20POLY1305-sifers. DCO-stipe is pland om opnommen te wurden yn 'e frijlitting fan OpenVPN 2.6, pland foar it 4e fearnsjier fan dit jier. De module wurdt op it stuit stipe yn 'e beta-testen OpenVPN3 Linux-client en eksperimintele builds fan' e OpenVPN-tsjinner foar Linux. In ferlykbere module, ovpn-dco-win, wurdt ek ûntwikkele foar de Windows kernel.
Boarne: opennet.ru