Ho installato un tunnel IPSEC (configurazione standard, con ESP), su due macchine Linux (centos6, core i7) che comunicano su una LAN da 1 gbps e sto controllando il throughput della comunicazione. Non supera mai i 400 MBps.
Esiste un'implementazione parallela di IPSEC, che può utilizzare tutti i core della macchina e aumentare il throughput?
Is there any parallel implementation of IPSEC that can utilize all the cores of the machine and increase the throughput. ?
Non penso che le attuali implementazioni crittografino i dati dallo stesso flusso di dati (connessione) in parallelo e sarebbe comunque possibile solo per cifrari selezionati. Ciò significa che non sarebbe possibile per codici CBC poiché la crittografia di un blocco dipende dalla crittografia del blocco precedente.
Ma potreste naturalmente avere più flussi di dati (cioè connessioni) in parallelo e in questo caso la crittografia di questi flussi verrà eseguita anche in parallelo. Quindi dovrebbe essere possibile raggiungere un throughput totale più alto di quello che hai. Vedi benchmark da libreswan dove raggiungono diversi throughput di Gbit / s quando vengono testati con iperf. In questi benchmark vedrai anche che il throughput possibile dipende molto dal codice in uso.