Очень интересно как реализовано ускорение IPsec.
Как именно встраиваетесь в XFRM? Встраиваетесь ли в crypto API как AEAD, или сами обрабатываете ESP/AH за один проход, подменяя соответствующий путь в XFRM? Как отслеживаете что создались новые SA и отжили свое старые? Какова производительность в режиме ESP/AES-128-CBC/HMAC-SHA1 по pps и по трафику? Умеете ли полностью оффлоадить ESP/AH после установления SA, или аппаратно ускорена только обработка «раздетого» пакета ESP/AH без аппаратного роутинга и NAT?
Скорее всего секрет, но какой у вас криптомодуль (скорее всего готовое синтезированное ядро, не так ли)? Есть ли документация / SDK для криптоадаптера, или оно все вдоль и поперек закрытое?
И еще: где и почем купить на «погонять»? :)
Шутки шутками, а циска выдает задекларированные показатели именно благодаря аппаратному ускорению большого числа операций на ASIC. ОС там в основном для сохранения конфига, мониторинга и настройки/поддержания в нужном состоянии ASIC.
Но потому она и стоит дороже всех остальных «полупрограммных» и полностью программных решений.
Не помню, поскольку родная прошивка была снесена еще пару лет назад :)
Но думаю ситуация именно с NAT была бы примерно равной: этот чип не имеет модулей аппаратного ускорения (поэтому российский DLink с 2012 года на них ничего не делает). Другое дело MediaTek/Broadcom/Realtek.
Самые дешевые устройства на устаревших чипах Atheros не имеют аппаратных ускорителей, поэтому на них OpenWRT можно ставить безболезненно.
Ну и естественно — работать-то все будет. Вопрос в том насколько быстро и какие показатели производительности все это будет выдавать.
Не, то, что встроенный RTL8366S коммутирует пакеты на гигабите — это даже не обсуждается, все-таки это аппаратный свитч. И тут я согласен, что 110-120 Мбайт/сек получить вообще не проблема. Если бы уж и коммутация свичем была бы программной, то это было бы совсем вызывающим ужасом.
Я же писал про скорости WAN <-> LAN.
Ну и вот для примера только вчера измеренная скорость маршрутизирования на гигабитном DIR-825B1, прошитом в OpenWRT 14.07 (2 потока TCP, гигабитные каналы, сервер accel-ppp 1.7.4, mtu 1400: идеальный вариант с низким pps) (загрузка процессора при этом равна 100%, то есть даже веб-интерфейс не открывается):
Проблемы есть, и очень большие — думаю сами знаете, как быстро работает ntfs-3g через fuse на обычных компах. А теперь можете представить как оно работает на мелких процах роутеров, которые «благодаря» переходу на OpenWRT вынуждены еще и программно маршрутизировать трафик.
Не утверждаю, что D-Link идеал по качеству и поддержке прошивок, скорее даже антипример, но советовать пользователям абсолютно всех роутеров сразу бездумно ставить OpenWRT без осознания ими что они потеряют при этом — очень глупо.
И сразу получаем на порядок более низкие скорости маршрутизации, кое-как работающий WiFi (даже у atheros есть ограничения в открытых драйверах по multicast), низкие скорости работы с USB-накопителями, неработающие ускорители криптоопераций и многое другое.
Вы именно затем покупаете роутер, чтобы максимально не использовать все его фичи? :)
btrfs для лэптопа хороша снэпшотами.
Например, можно создать снэпшот корня, обновится и в случае кривого обновления легко вернуть систему в нормальное состояние.
Или же автоснэпшоты /home раз в 5 минут с автоочисткой в фоне устаревших — отлично спасет при случайной перезаписи / удалении файла.
Странный вывод о ненадежности ФС.
С тем же успехом можно в произвольное место тома записать мегабайт нулей, и удивиться, что все умерло.
Реальные ФС не проектируют на отказоустойчивость к таким шуткам.
Все проще — им просто плевать (бах-бах и в продакшн в кристаллизованном виде).
Китайцы пишут свои прошивки на «отвали»: запустилось и ладно.
Чего стоит ситуация с китайским DIR825B1 на Atheros, в котором в самой новой прошивке падает ядро на более-менее сильном upload на L2TP.
И самое главное — им почти бесполезно жаловаться и слать багрепорты: исправят только если придет приказ сверху, а просто так никто не будет работать.
В этом году были hovercraft'ы, стреляющие снежками и сосульками. Правда, идея с нулевым трением привела к тому, что судна большинства команд жестоко заносило и они проскакивали мимо бонусов (тормозить и рулить фактически можно было только газом, поворот самого судна никак не влиял на направление движения (дада, почти как сферическое колесо по центру корабля в роли движителя %))), однако, стоит признать, что AI лидеров CGC рулил и бибикал.
Как именно встраиваетесь в XFRM? Встраиваетесь ли в crypto API как AEAD, или сами обрабатываете ESP/AH за один проход, подменяя соответствующий путь в XFRM? Как отслеживаете что создались новые SA и отжили свое старые? Какова производительность в режиме ESP/AES-128-CBC/HMAC-SHA1 по pps и по трафику? Умеете ли полностью оффлоадить ESP/AH после установления SA, или аппаратно ускорена только обработка «раздетого» пакета ESP/AH без аппаратного роутинга и NAT?
Скорее всего секрет, но какой у вас криптомодуль (скорее всего готовое синтезированное ядро, не так ли)? Есть ли документация / SDK для криптоадаптера, или оно все вдоль и поперек закрытое?
И еще: где и почем купить на «погонять»? :)
Но потому она и стоит дороже всех остальных «полупрограммных» и полностью программных решений.
Но думаю ситуация именно с NAT была бы примерно равной: этот чип не имеет модулей аппаратного ускорения (поэтому российский DLink с 2012 года на них ничего не делает). Другое дело MediaTek/Broadcom/Realtek.
Ну и естественно — работать-то все будет. Вопрос в том насколько быстро и какие показатели производительности все это будет выдавать.
Я же писал про скорости WAN <-> LAN.
IPoE: 220 мегабит/с
PPTP: 42 мегабит/с
L2TP: 140 мегабит/с
PPPoE: 180 мегабит/с
Если вы считаете, что для гигабитного роутера это нормальные скорости в «идеальных» (с точки зрения pps) условиях — то дальше не о чем говорить.
Не утверждаю, что D-Link идеал по качеству и поддержке прошивок, скорее даже антипример, но советовать пользователям абсолютно всех роутеров сразу бездумно ставить OpenWRT без осознания ими что они потеряют при этом — очень глупо.
Вы именно затем покупаете роутер, чтобы максимально не использовать все его фичи? :)
Например, можно создать снэпшот корня, обновится и в случае кривого обновления легко вернуть систему в нормальное состояние.
Или же автоснэпшоты /home раз в 5 минут с автоочисткой в фоне устаревших — отлично спасет при случайной перезаписи / удалении файла.
С тем же успехом можно в произвольное место тома записать мегабайт нулей, и удивиться, что все умерло.
Реальные ФС не проектируют на отказоустойчивость к таким шуткам.
Китайцы пишут свои прошивки на «отвали»: запустилось и ладно.
Чего стоит ситуация с китайским DIR825B1 на Atheros, в котором в самой новой прошивке падает ядро на более-менее сильном upload на L2TP.
И самое главное — им почти бесполезно жаловаться и слать багрепорты: исправят только если придет приказ сверху, а просто так никто не будет работать.