Согласен, и даже больше. Мне кажется даже без инструкций AES процессор будет быстрее, чем оффлоад для небольших пакетов. время передачи даных через PCIe и обратно несоизмеримо с какими-то перестановками байтиков в 16-байтном блоке...

Вопрос в том, есть ли у процессора время ещё и на IPSec.

Андрей 

On 1 Feb 2017, at 14:42, Sergey Smitienko <hunter@comsys.com.ua> wrote:

IPSec offload есть в Intel ethernet 82576EB. Но что-то я не могу найти детального описания.

Но думаю будет медленнее, чем в aes-ni на хорошем cpu.

А про какие именно модели ты говоришь? Я не припоминаю такой функциональности в NIC.


On 1/31/17 2:07 PM, Max Tulyev wrote:
Добрый день!

Пользуясь случаем, спрошу ;)

В Intel NIC гигабитках и старше есть аппаратная поддержка IPSec/AES,
которая типа дает wire speed шифрование.

Но вот беда: под Linux/BSD на момент когда я последний раз это смотрел -
не написали драйвера под это дело.

Может, ситуация уже поменялась в лучшую сторону?

On 31.01.17 01:14, Volodymyr Litovka wrote:
Привет,

есть задача - запустить сеть с шифрованием трафика на основе механизма
GRE over IPSec/IKEv2 (GRE нужен для dynamic routing, IPSec - для
совместимости с решениями других производителей - таковы
требования).Если у кого есть опыт использования open source / x86 для
подобных задач, поделитесь им, пожалуйста:

  * на каких программно-аппаратных конфигурациях какую предельную
    производительность удалось получить (до начала потерь пакетов)?
      o CPU/MB/RAM (тип, частота)
      o NIC (производитель, модель)
      o операционная система
      o софт / библиотеки
      o алгоритм и длина ключа для симметричного шифрования (в
        реальности - интересует, конечно же, AES-256)

Спасибо!
_______________________________________________
uanog mailing list
uanog@uanog.kiev.ua
http://mailman.uanog.kiev.ua/mailman/listinfo/uanog