OpenVPN virtuālā privātā tīkla pakotnes izstrādātāji ir ieviesuši kodola moduli ovpn-dco, kas var ievērojami paātrināt VPN veiktspēju. Neskatoties uz to, ka modulis joprojām tiek izstrādāts ar skatu tikai uz linux-next filiāli un tam ir eksperimentāls statuss, tas jau ir sasniedzis stabilitātes līmeni, kas ļauj to izmantot OpenVPN Cloud servisa darbības nodrošināšanai.
Salīdzinot ar konfigurāciju, kas balstīta uz tun interfeisu, moduļa izmantošana klienta un servera pusē, izmantojot AES-256-GCM šifru, ļāva sasniegt 8 reizes lielāku caurlaidspēju (no 370 Mbit/s līdz 2950 Mbit /s). Izmantojot moduli tikai klienta pusē, caurlaidspēja izejošajai trafikai palielinājās trīs reizes, bet ienākošajai trafikai nemainījās. Lietojot moduli tikai servera pusē, caurlaidspēja ienākošajai trafikai pieauga 4 reizes un izejošajai trafikai par 35%.
Paātrinājums tiek panākts, pārvietojot visas šifrēšanas darbības, pakešu apstrādi un sakaru kanālu pārvaldību uz Linux kodola pusi, kas novērš ar konteksta maiņu saistītās pieskaitāmās izmaksas, ļauj optimizēt darbu, tieši piekļūstot iekšējiem kodola API un novērš lēnu datu pārraidi starp kodolu. un lietotāja telpa (šifrēšanu, atšifrēšanu un maršrutēšanu veic modulis, nenosūtot trafiku lietotāja telpā esošajam apstrādātājam).
Tiek atzīmēts, ka negatīvo ietekmi uz VPN veiktspēju galvenokārt rada resursietilpīgas šifrēšanas darbības un aizkaves, ko izraisa konteksta maiņa. Procesora paplašinājumi, piemēram, Intel AES-NI, tika izmantoti, lai paātrinātu šifrēšanu, taču konteksta slēdži joprojām bija sašaurinājums līdz ovpn-dco parādīšanās brīdim. Papildus procesora sniegto instrukciju izmantošanai, lai paātrinātu šifrēšanu, ovpn-dco modulis papildus nodrošina, ka šifrēšanas darbības tiek sadalītas atsevišķos segmentos un apstrādātas vairāku pavedienu režīmā, kas ļauj izmantot visus pieejamos CPU kodolus.
Pašreizējie ieviešanas ierobežojumi, kas tiks risināti nākotnē, ietver atbalstu tikai AEAD un “nav” režīmiem, kā arī AES-GCM un CHACHA20POLY1305 šifriem. DCO atbalstu plānots iekļaut OpenVPN 2.6 izlaidumā, kas paredzēts šī gada 4. ceturksnī. Modulis pašlaik tiek atbalstīts beta testēšanas OpenVPN3 Linux klientā un eksperimentālajās OpenVPN servera versijās Linux. Līdzīgs modulis ovpn-dco-win tiek izstrādāts arī Windows kodolam.
Avots: opennet.ru