6.11. Configuration de la détection automatique et de l'utilisation de la décharge matérielle ESP pour accélérer une connexion IPsec
Le déchargement de l'Encapsulating Security Payload (ESP) vers le matériel accélère les connexions IPsec sur Ethernet. Par défaut, Libreswan détecte si le matériel prend en charge cette fonctionnalité et, par conséquent, active le délestage matériel de l'ESP. Dans le cas où la fonctionnalité a été désactivée ou explicitement activée, vous pouvez revenir à la détection automatique.
Conditions préalables
- La carte réseau prend en charge la décharge matérielle ESP.
- Le pilote de réseau prend en charge la décharge matérielle ESP.
- La connexion IPsec est configurée et fonctionne.
Procédure
-
Modifiez le fichier de configuration Libreswan dans le répertoire
/etc/ipsec.d/de la connexion qui doit utiliser la détection automatique de la prise en charge du délestage matériel ESP. -
Assurez-vous que le paramètre
nic-offloadn'est pas défini dans les paramètres de la connexion. Si vous avez supprimé
nic-offload, redémarrez le serviceipsec:# systemctl restart ipsec
Vérification
Si la carte réseau prend en charge la décharge matérielle ESP, procédez comme suit pour vérifier le résultat :
Affiche les compteurs
tx_ipsecetrx_ipsecdu périphérique Ethernet utilisé par la connexion IPsec :# ethtool -S enp1s0 | egrep "_ipsec" tx_ipsec: 10 rx_ipsec: 10Envoyer du trafic à travers le tunnel IPsec. Par exemple, envoyer un ping à une adresse IP distante :
# ping -c 5 remote_ip_addressAffichez à nouveau les compteurs
tx_ipsecetrx_ipsecde l'appareil Ethernet :# ethtool -S enp1s0 | egrep "_ipsec" tx_ipsec: 15 rx_ipsec: 15Si les valeurs des compteurs ont augmenté, le délestage matériel ESP fonctionne.
Ressources supplémentaires
