XFRM_SUB_POLICY config em kerne

Question

XFRM_SUB_POLICY config em kerne

#1 resposta do (0 votos)

1

Ao testar o desempenho do strongswan, vimos que o desempenho diferia muito entre um servidor ubuntu e um servidor centos, com tudo o mais sendo o mesmo. Percebemos que as configurações CONFIG_XFRM_SUB_POLICY nos dois kernels eram diferentes. O Ubuntu tinha desativado e o centos tinha ativado. Desativamos isso no kernel que construímos e obtivemos o mesmo desempenho que o servidor Ubuntu. Alguém sabe quando esta configuração é necessária? Por que uma distro habilitaria enquanto a outra não?

ipsec linux-kernel

por skp 27.04.2015 / 20:01

1 resposta

Tags ipsec linux-kernel

Como juntar os dois fluxos de entrada de uma placa de som multidispositivo? O novo SSD é montado apenas após a emissão do comando blkid. [Ubuntu 14.04]

score 0 · Answer 1

Como eu sei, isso é um recurso experimental.

CONFIG_XFRM_SUB_POLICY :

Support sub policy for developers. By using sub policy with main one, two policies can be applied to the same packet at once. Policy which lives shorter time in kernel should be a sub.

Este é um excerto do livro Linux Kernel Networking :

type: Usually the type is XFRM_POLICY_TYPE_MAIN (0). When the kernel has support for subpolicy (CONFIG_XFRM_SUB_POLICY is set), two policies can be applied to the same packet, and you can use the XFRM_POLICY_TYPE_SUB (1) type. Policy that lives a shorter time in kernel should be a subpolicy. This feature is usually needed only for developers/ debugging and for mobile IPv6, because you might apply one policy for IPsec and one for mobile IPv6. The IPsec policy is usually the main policy with a longer lifetime than the mobile IPv6 (sub) policy.

Espero que ele possa ajudá-lo, mas não sei por que ele está desabilitado no Ubuntu kernel e habilitado no CentOS kernel.