[uanog] IPSec performance @ x86

Tue Jan 31 15:49:13 EET 2017

Ну как-то многовато ограничений в 7.12.3, например

The followings items are not supported by hardware:

  * Both AH and ESP protocols on the same SA or packet
  * AES-256
  * Tx IPsec packets encapsulated in tunnel mode
  * IPv4 packets that include IP option
  * IPv6 packets that include extension headers other than the AH/ESP
    extension headers
  * Anti-replay check and discard of incoming replayed packets
  * Discard of incoming dummy ESP packets (packets with protocol value 59)
  * IPsec packets that are IP fragments

то есть вроде как и поддерживается IPSec, но использовать можно только в 
каких-то лабораторных целях :) Гораздо интереснее использовать AES NI - 
аппаратное шифрование с control plane в приложении.

On 1/31/17 3:24 PM, Max Tulyev wrote:
> Ну вот что под рукой, например:
> http://www.intel.ru/content/www/ru/ru/embedded/products/networking/82599-10-gbe-controller-datasheet.html
>
> Страница 476 и дальше.
>
> On 31.01.17 14:10, Volodymyr Litovka wrote:
>> А про какие именно модели ты говоришь? Я не припоминаю такой
>> функциональности в NIC.
>>
>>
>> On 1/31/17 2:07 PM, Max Tulyev wrote:
>>> Добрый день!
>>>
>>> Пользуясь случаем, спрошу ;)
>>>
>>> В Intel NIC гигабитках и старше есть аппаратная поддержка IPSec/AES,
>>> которая типа дает wire speed шифрование.
>>>
>>> Но вот беда: под Linux/BSD на момент когда я последний раз это смотрел -
>>> не написали драйвера под это дело.
>>>
>>> Может, ситуация уже поменялась в лучшую сторону?
>>>
>>> On 31.01.17 01:14, Volodymyr Litovka wrote:
>>>> Привет,
>>>>
>>>> есть задача - запустить сеть с шифрованием трафика на основе механизма
>>>> GRE over IPSec/IKEv2 (GRE нужен для dynamic routing, IPSec - для
>>>> совместимости с решениями других производителей - таковы
>>>> требования).Если у кого есть опыт использования open source / x86 для
>>>> подобных задач, поделитесь им, пожалуйста:
>>>>
>>>>    * на каких программно-аппаратных конфигурациях какую предельную
>>>>      производительность удалось получить (до начала потерь пакетов)?
>>>>        o CPU/MB/RAM (тип, частота)
>>>>        o NIC (производитель, модель)
>>>>        o операционная система
>>>>        o софт / библиотеки
>>>>        o алгоритм и длина ключа для симметричного шифрования (в
>>>>          реальности - интересует, конечно же, AES-256)
>>>>
>>>> Спасибо!
>>>>
>>>> -- 
>>>> Volodymyr Litovka
>>>>    "Vision without Execution is Hallucination." -- Thomas Edison

-- 
Volodymyr Litovka
   "Vision without Execution is Hallucination." -- Thomas Edison

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20170131/86d06d03/attachment.html>