Red Hat publicou os resultados dunha avaliación do rendemento das canles de comunicación cifradas organizadas mediante o protocolo IPsec en equipos modernos e tamén comparou o rendemento IPsec baseado nos algoritmos de cifrado autenticados AES-GCM e AES-SHA1.
As probas realizáronse na distribución RHEL 9.4 nun servidor con dous procesadores Intel Xeon Scalable de cuarta xeración (28 núcleos e 56 núcleos lóxicos en cada CPU), conectados á rede mediante un adaptador de rede Intel E100 de 810 gigabits. Desactivouse a aceleración IPsec baseada en hardware coa descarga de operacións na tarxeta de rede ou Intel QAT para facerse unha idea do rendemento da pila de software. A configuración do sistema establecéronse de acordo co perfil de "rendemento-rendemento", desactivouse o firewalld firewall e o proceso iperf3 xerador de tráfico e o controlador de interrupcións da tarxeta de rede vinculáronse ao primeiro núcleo da CPU (para evitar a degradación do rendemento debido á migración). de controladores de interrupcións a nodos NUMA non conectados á tarxeta de rede).
Na proba de IPsec de fío único para IPv4 e IPv6, utilizando un núcleo de CPU para o proceso iperf3, rexistrouse un rendemento de 6 Gbit/s para AES-GCM e 3.75 Gbit/s para AES-SHA1, é dicir. AES-SHA1 resultou ser máis lento que AES-GCM nun 40%.
Ao probar varios fluxos paralelos (cada instancia de iperf3 estaba conectada a un núcleo de CPU separado), o rendemento máximo mediante AES-GCM alcanzou os 50 Gbit/s para IPv4 e IPv6, o que demostra a capacidade de utilizar plenamente o ancho de banda dispoñible nun protocolo típico. servidor con dous canais de comunicación de 25 Gigabits ou un de 40 Gigabits sen aceleración por hardware (ou a metade do rendemento da ligazón de 100 Gigabits empregada nas probas).
Fonte: opennet.ru
