[uanog] IPSec performance @ x86
Volodymyr Litovka
doka.ua at gmail.com
Tue Jan 31 15:49:13 EET 2017
Ну как-то многовато ограничений в 7.12.3, например
The followings items are not supported by hardware:
* Both AH and ESP protocols on the same SA or packet
* AES-256
* Tx IPsec packets encapsulated in tunnel mode
* IPv4 packets that include IP option
* IPv6 packets that include extension headers other than the AH/ESP
extension headers
* Anti-replay check and discard of incoming replayed packets
* Discard of incoming dummy ESP packets (packets with protocol value 59)
* IPsec packets that are IP fragments
то есть вроде как и поддерживается IPSec, но использовать можно только в
каких-то лабораторных целях :) Гораздо интереснее использовать AES NI -
аппаратное шифрование с control plane в приложении.
On 1/31/17 3:24 PM, Max Tulyev wrote:
> Ну вот что под рукой, например:
> http://www.intel.ru/content/www/ru/ru/embedded/products/networking/82599-10-gbe-controller-datasheet.html
>
> Страница 476 и дальше.
>
> On 31.01.17 14:10, Volodymyr Litovka wrote:
>> А про какие именно модели ты говоришь? Я не припоминаю такой
>> функциональности в NIC.
>>
>>
>> On 1/31/17 2:07 PM, Max Tulyev wrote:
>>> Добрый день!
>>>
>>> Пользуясь случаем, спрошу ;)
>>>
>>> В Intel NIC гигабитках и старше есть аппаратная поддержка IPSec/AES,
>>> которая типа дает wire speed шифрование.
>>>
>>> Но вот беда: под Linux/BSD на момент когда я последний раз это смотрел -
>>> не написали драйвера под это дело.
>>>
>>> Может, ситуация уже поменялась в лучшую сторону?
>>>
>>> On 31.01.17 01:14, Volodymyr Litovka wrote:
>>>> Привет,
>>>>
>>>> есть задача - запустить сеть с шифрованием трафика на основе механизма
>>>> GRE over IPSec/IKEv2 (GRE нужен для dynamic routing, IPSec - для
>>>> совместимости с решениями других производителей - таковы
>>>> требования).Если у кого есть опыт использования open source / x86 для
>>>> подобных задач, поделитесь им, пожалуйста:
>>>>
>>>> * на каких программно-аппаратных конфигурациях какую предельную
>>>> производительность удалось получить (до начала потерь пакетов)?
>>>> o CPU/MB/RAM (тип, частота)
>>>> o NIC (производитель, модель)
>>>> o операционная система
>>>> o софт / библиотеки
>>>> o алгоритм и длина ключа для симметричного шифрования (в
>>>> реальности - интересует, конечно же, AES-256)
>>>>
>>>> Спасибо!
>>>>
>>>> --
>>>> Volodymyr Litovka
>>>> "Vision without Execution is Hallucination." -- Thomas Edison
--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20170131/86d06d03/attachment.html>
More information about the uanog
mailing list