Az OpenVPN virtuális magánhálózati csomag fejlesztői bemutatták az ovpn-dco kernel modult, amely jelentősen felgyorsíthatja a VPN teljesítményét. Annak ellenére, hogy a modul fejlesztése még mindig csak a linux-next ágra van tekintettel, és kísérleti státuszú, már elérte azt a stabilitási szintet, amely lehetővé teszi az OpenVPN Cloud szolgáltatás működésének biztosítását.
A tun interfészen alapuló konfigurációhoz képest az AES-256-GCM titkosítót használó ügyfél- és szerveroldali modul használata 8-szoros áteresztőképesség-növekedés elérését tette lehetővé (370 Mbit/s-ról 2950 Mbit-re). /s). Ha a modult csak kliens oldalon használjuk, a kimenő forgalomnál háromszorosára nőtt az áteresztőképesség, a bejövő forgalomnál nem változott. A modul csak szerveroldali használata esetén a bejövő forgalom 4-szeresére, a kimenő forgalom 35%-ára nőtt.
A gyorsítás az összes titkosítási művelet, a csomagfeldolgozás és a kommunikációs csatornakezelés Linux kernel oldalára való áthelyezésével érhető el, ami kiküszöböli a környezetváltással járó többletterhelést, lehetővé teszi a munka optimalizálását a belső kernel API-k közvetlen elérésével, és kiküszöböli a kernel közötti lassú adatátvitelt. és felhasználói terület (a titkosítást, a visszafejtést és az útválasztást a modul végzi anélkül, hogy forgalmat küldene a felhasználói térben lévő kezelőnek).
Megjegyzendő, hogy a VPN teljesítményére gyakorolt negatív hatást főként az erőforrás-igényes titkosítási műveletek és a környezetváltás okozta késések okozzák. A titkosítás felgyorsítására olyan processzorbővítményeket használtak, mint az Intel AES-NI, de a kontextuskapcsolók az ovpn-dco megjelenéséig szűk keresztmetszetek maradtak. Amellett, hogy a processzor által adott utasításokat használja a titkosítás felgyorsítására, az ovpn-dco modul emellett gondoskodik arról is, hogy a titkosítási műveletek külön szegmensekre legyenek osztva, és többszálú módban dolgozzák fel, ami lehetővé teszi az összes elérhető CPU mag használatát.
A jelenlegi megvalósítási korlátozások, amelyekkel a jövőben foglalkozni fognak, magukban foglalják az AEAD és a „nincs” módok támogatását, valamint az AES-GCM és CHACHA20POLY1305 titkosításokat. A tervek szerint a DCO támogatást beépítik az OpenVPN 2.6 kiadásába, amelyet az idei év negyedik negyedévére terveznek. A modult jelenleg a béta-tesztelő OpenVPN4 Linux kliens és az OpenVPN szerver Linuxhoz készült kísérleti buildjei támogatják. Hasonló modul, az ovpn-dco-win, szintén fejlesztés alatt áll a Windows kernelhez.
Forrás: opennet.ru