Комментарии 7
То есть, какие-либо манипуляции с пакетами в iptables невозможны?
При использовании ASF стандартные сетевые утилиты Линукс такие как iproute2, ipsec-tools, iptables, tc и vconfig продолжают работать. При этом надо понимать, что в ASF реализованы механизмы обработки только типовых сценариев. Т.е. настроенный через iptables обычный NAT будет работать через ASF, а более сложный Stateful Packet Inspection будет по-прежнему работать через Линукс.
Очень интересно как реализовано ускорение IPsec.
Как именно встраиваетесь в XFRM? Встраиваетесь ли в crypto API как AEAD, или сами обрабатываете ESP/AH за один проход, подменяя соответствующий путь в XFRM? Как отслеживаете что создались новые SA и отжили свое старые? Какова производительность в режиме ESP/AES-128-CBC/HMAC-SHA1 по pps и по трафику? Умеете ли полностью оффлоадить ESP/AH после установления SA, или аппаратно ускорена только обработка «раздетого» пакета ESP/AH без аппаратного роутинга и NAT?
Скорее всего секрет, но какой у вас криптомодуль (скорее всего готовое синтезированное ядро, не так ли)? Есть ли документация / SDK для криптоадаптера, или оно все вдоль и поперек закрытое?
И еще: где и почем купить на «погонять»? :)
Как именно встраиваетесь в XFRM? Встраиваетесь ли в crypto API как AEAD, или сами обрабатываете ESP/AH за один проход, подменяя соответствующий путь в XFRM? Как отслеживаете что создались новые SA и отжили свое старые? Какова производительность в режиме ESP/AES-128-CBC/HMAC-SHA1 по pps и по трафику? Умеете ли полностью оффлоадить ESP/AH после установления SA, или аппаратно ускорена только обработка «раздетого» пакета ESP/AH без аппаратного роутинга и NAT?
Скорее всего секрет, но какой у вас криптомодуль (скорее всего готовое синтезированное ядро, не так ли)? Есть ли документация / SDK для криптоадаптера, или оно все вдоль и поперек закрытое?
И еще: где и почем купить на «погонять»? :)
INSTE:
С P1020 мы в IPSec и «криптомодули» не погружались, т.к наши проекты в другой области — а именно в промавтоматике / IEC-61850. Там важно -40+85 температурный диапазон, latency / время реакции, точное время IEEE-1588v2.
На сайте Freescale P1020RDB $545, брали через дистрибьютора EBV — под реальный/коммерческий проект могут дать бесплатно на «погонять».
Стоит отметить, что P1020 уже достаточно проверенное временем решение, реализованное во многих проектах, недавно у Freescale появилось более свежая линейка: T10xx — там повыше частота, получше техпроцесс и другие плюшки. Для новых проектов смотрите в сторону T10xx.
С P1020 мы в IPSec и «криптомодули» не погружались, т.к наши проекты в другой области — а именно в промавтоматике / IEC-61850. Там важно -40+85 температурный диапазон, latency / время реакции, точное время IEEE-1588v2.
На сайте Freescale P1020RDB $545, брали через дистрибьютора EBV — под реальный/коммерческий проект могут дать бесплатно на «погонять».
Стоит отметить, что P1020 уже достаточно проверенное временем решение, реализованное во многих проектах, недавно у Freescale появилось более свежая линейка: T10xx — там повыше частота, получше техпроцесс и другие плюшки. Для новых проектов смотрите в сторону T10xx.
Ну и кстати просто делать IPv4 NAPT это очень тупо и неинтересно, сейчас все более-менее массовые и дешевые чипы для CPE это делают (включая RTL8196x, MT762x, RT6xxxx и Broadcom). А вот как дело обстоит с L2TP / PPPoE / GRE?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Знакомство с программным Ethernet Fast Path на отладочной плате P1020RDB