<html>
<head>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<p><font face="SFNS Display">Ну как-то многовато ограничений в 7.12.3,
например</font><span style="font-size: 9.000000pt; font-family:
'Verdana'"><br>
</span></p>
<p><span style="font-size: 9.000000pt; font-family: 'Verdana'">The
followings items are not supported by hardware:</span></p>
<ul>
<li><span style="font-size: 9.000000pt; font-family: 'Verdana'">Both
AH and ESP protocols on the same SA or packet</span></li>
<li><span style="font-size: 9.000000pt; font-family: 'Verdana'">AES-256</span><span
style="font-size: 9.000000pt; font-family: 'Verdana'"></span></li>
<li><span style="font-size: 9.000000pt; font-family: 'Verdana'">Tx
IPsec packets encapsulated in tunnel mode</span><span
style="font-size: 9.000000pt; font-family: 'Verdana'"></span></li>
<li><span style="font-size: 9.000000pt; font-family: 'Verdana'">IPv4
packets that include IP option</span><span style="font-size:
9.000000pt; font-family: 'Verdana'"></span></li>
<li><span style="font-size: 9.000000pt; font-family: 'Verdana'">IPv6
packets that include extension headers other than the AH/ESP
extension
headers</span><span style="font-size: 9.000000pt; font-family:
'Verdana'"></span></li>
<li><span style="font-size: 9.000000pt; font-family: 'Verdana'">Anti-replay
check and discard of incoming replayed packets</span><span
style="font-size: 9.000000pt; font-family: 'Verdana'"></span></li>
<li><span style="font-size: 9.000000pt; font-family: 'Verdana'">Discard
of incoming dummy ESP packets (packets with protocol value 59)</span></li>
<li><span style="font-size: 9.000000pt; font-family: 'Verdana'">IPsec
packets that are IP fragments<br>
</span></li>
</ul>
то есть вроде как и поддерживается IPSec, но использовать можно
только в каких-то лабораторных целях :) Гораздо интереснее
использовать AES NI - аппаратное шифрование с control plane в
приложении.<br>
<br>
<div class="moz-cite-prefix">On 1/31/17 3:24 PM, Max Tulyev wrote:<br>
</div>
<blockquote cite="mid:58909011.7040905@netassist.kiev.ua"
type="cite">
<pre wrap="">Ну вот что под рукой, например:
<a class="moz-txt-link-freetext" href="http://www.intel.ru/content/www/ru/ru/embedded/products/networking/82599-10-gbe-controller-datasheet.html">http://www.intel.ru/content/www/ru/ru/embedded/products/networking/82599-10-gbe-controller-datasheet.html</a>
Страница 476 и дальше.
On 31.01.17 14:10, Volodymyr Litovka wrote:
</pre>
<blockquote type="cite">
<pre wrap="">А про какие именно модели ты говоришь? Я не припоминаю такой
функциональности в NIC.
On 1/31/17 2:07 PM, Max Tulyev wrote:
</pre>
<blockquote type="cite">
<pre wrap="">Добрый день!
Пользуясь случаем, спрошу ;)
В Intel NIC гигабитках и старше есть аппаратная поддержка IPSec/AES,
которая типа дает wire speed шифрование.
Но вот беда: под Linux/BSD на момент когда я последний раз это смотрел -
не написали драйвера под это дело.
Может, ситуация уже поменялась в лучшую сторону?
On 31.01.17 01:14, Volodymyr Litovka wrote:
</pre>
<blockquote type="cite">
<pre wrap="">Привет,
есть задача - запустить сеть с шифрованием трафика на основе механизма
GRE over IPSec/IKEv2 (GRE нужен для dynamic routing, IPSec - для
совместимости с решениями других производителей - таковы
требования).Если у кого есть опыт использования open source / x86 для
подобных задач, поделитесь им, пожалуйста:
* на каких программно-аппаратных конфигурациях какую предельную
производительность удалось получить (до начала потерь пакетов)?
o CPU/MB/RAM (тип, частота)
o NIC (производитель, модель)
o операционная система
o софт / библиотеки
o алгоритм и длина ключа для симметричного шифрования (в
реальности - интересует, конечно же, AES-256)
Спасибо!
--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison
</pre>
</blockquote>
</blockquote>
</blockquote>
</blockquote>
<br>
<pre class="moz-signature" cols="72">--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison
</pre>
</body>
</html>