Zhvilluesit e paketës së rrjeteve private virtuale OpenVPN kanë prezantuar modulin e kernelit ovpn-dco, i cili mund të përshpejtojë ndjeshëm performancën e VPN. Përkundër faktit se moduli është ende duke u zhvilluar me një sy vetëm në degën e ardhshme linux dhe ka status eksperimental, ai tashmë ka arritur një nivel stabiliteti që e lejon atë të përdoret për të siguruar funksionimin e shërbimit OpenVPN Cloud.
Krahasuar me konfigurimin e bazuar në ndërfaqen tun, përdorimi i një moduli në anën e klientit dhe serverit duke përdorur shifrën AES-256-GCM bëri të mundur arritjen e një rritjeje 8-fish të xhiros (nga 370 Mbit/s në 2950 Mbit /s). Kur përdorni modulin vetëm në anën e klientit, xhiroja u rrit trefish për trafikun në dalje dhe nuk ndryshoi për trafikun në hyrje. Kur përdorni modulin vetëm në anën e serverit, xhiroja u rrit me 4 herë për trafikun në hyrje dhe me 35% për trafikun dalës.
Përshpejtimi arrihet duke lëvizur të gjitha operacionet e kriptimit, përpunimin e paketave dhe menaxhimin e kanalit të komunikimit në anën e kernelit Linux, i cili eliminon shpenzimet e sipërme që lidhen me ndërrimin e kontekstit, bën të mundur optimizimin e punës duke hyrë drejtpërdrejt në API-të e brendshme të kernelit dhe eliminon transferimin e ngadaltë të të dhënave midis kernelit. dhe hapësirën e përdoruesit (kriptimi, deshifrimi dhe drejtimi kryhen nga moduli pa dërguar trafik tek një mbajtës në hapësirën e përdoruesit).
Vihet re se ndikimi negativ në performancën e VPN shkaktohet kryesisht nga operacionet e enkriptimit me burime intensive dhe vonesat e shkaktuara nga ndërrimi i kontekstit. Zgjatjet e procesorit si Intel AES-NI u përdorën për të përshpejtuar enkriptimin, por ndërprerësit e kontekstit mbetën një pengesë deri në ardhjen e ovpn-dco. Përveç përdorimit të udhëzimeve të dhëna nga procesori për të shpejtuar enkriptimin, moduli ovpn-dco siguron gjithashtu që operacionet e kriptimit të ndahen në segmente të veçanta dhe të përpunohen në modalitetin me shumë fije, gjë që lejon përdorimin e të gjitha bërthamave të disponueshme të CPU.
Kufizimet aktuale të zbatimit që do të trajtohen në të ardhmen përfshijnë mbështetjen vetëm për modalitetet AEAD dhe 'asnjë', si dhe shifrat AES-GCM dhe CHACHA20POLY1305. Mbështetja e DCO është planifikuar të përfshihet në lëshimin e OpenVPN 2.6, të planifikuar për tremujorin e 4-të të këtij viti. Moduli aktualisht mbështetet në klientin OpenVPN3 Linux të testimit beta dhe në ndërtimet eksperimentale të serverit OpenVPN për Linux. Një modul i ngjashëm, ovpn-dco-win, po zhvillohet gjithashtu për kernelin e Windows.
Burimi: opennet.ru