Alguém pode recomendar um bom software IPSec que possa usar vários núcleos de CPU para atingir um desempenho ~ 2Gbps no processador dual-core de quatro núcleos E5620 Xeon configuração (total de 16HT núcleos)?
Eu tentei o OpenSwan e o StrongSwan. A pilha do OpenSwan KLIPS é executada apenas em um único núcleo da CPU. E o descarregamento de criptografia KLIPS + OCF também parece ser muito mal implementado porque está consumindo todos os 16 núcleos de CPU a 70% enquanto fornece apenas ~ 600Mbps. E como um produto secundário, também está reordenando os pacotes TCP.
Até agora, com OpenVPN , que usa um protocolo diferente, conseguimos alcançar ~ 2Gbps no mesmo hardware com balanceamento de carga sem problemas. Apenas 4 dos 16 núcleos foram utilizados em 100%. Agora é hora de fazer o mesmo com o Ipsec. De preferência, essa deve ser a solução Opensource IPsec.
Atualização:
Minhas descobertas mais recentes indicam que a pilha IPsec NETKEY pode ser capaz de lidar com dois gigs de tráfego sem um problema (mas apenas em NICs Multiquaue). Não foi possível verificar isso com certeza, porque parece que o NAPI alterna os drivers da NIC para o modo de pesquisa sob alta carga e, nesse momento, todo o desempenho cai de 1,7 Gbps para 500 Mbps. Também parece que o ubuntu 10.04 não faz a contagem de tempo para algumas threads do kernel e por causa disso eu não vejo como a carga de trabalho é distribuída através de todos os núcleos da CPU.
hifn tem sido usado no BSD por enquanto; Google rápido mostra drivers Linux também. O cartão Express DX 1845 possui taxa de transferência de 25Gbps em seu folheto, mas YMMV e, obviamente, eu Gostaria de conversar primeiro com um engenheiro de vendas / produto para ver se funcionaria para seus objetivos.
Tags performance ipsec linux scalability