5.12. IPsec 연결 속도를 높이기 위해 본딩에서 ESP 하드웨어 오프로드 구성


하드웨어로 ESB(Security Payload)를 오프로드하면 IPsec 연결 속도가 빨라집니다. 장애 조치(failover) 이유로 네트워크 본딩을 사용하는 경우 ESP 하드웨어 오프로드 구성의 요구 사항과 절차는 일반 이더넷 장치를 사용하는 것과 다릅니다. 예를 들어, 이 시나리오에서는 본딩에서 오프로드 지원을 활성화하며 커널은 본딩 포트에 설정을 적용합니다.

사전 요구 사항

  • 본딩의 모든 네트워크 카드는 ESP 하드웨어 오프로드를 지원합니다. ethtool -k < interface_name > | grep "esp-hw-offload" 명령을 사용하여 각 본딩 포트가 이 기능을 지원하는지 확인합니다.
  • 본딩이 구성되고 작동합니다.
  • 본딩에서는 active-backup 모드를 사용합니다. 본딩 드라이버는 이 기능에 대해 다른 모드를 지원하지 않습니다.
  • IPsec 연결이 구성되고 작동합니다.

절차

  1. 네트워크 본딩에서 ESP 하드웨어 오프로드 지원을 활성화합니다.

    # nmcli connection modify bond0 ethtool.feature-esp-hw-offload on

    이 명령을 사용하면 bond0 연결에서 ESP 하드웨어 오프로드를 지원할 수 있습니다.

  2. bond0 연결을 다시 활성화합니다.

    # nmcli connection up bond0
  3. ESP 하드웨어 오프로드를 사용해야 하는 연결의 /etc/ipsec.d/ 디렉터리에서 Libreswan 구성 파일을 편집하고 nic-offload=yes 문을 연결 항목에 추가합니다.

    conn example
        ...
        nic-offload=yes
  4. ipsec 서비스를 다시 시작하십시오.

    # systemctl restart ipsec

검증

확인 방법은 커널 버전 및 드라이버와 같은 다양한 측면에 따라 다릅니다. 예를 들어 특정 드라이버는 카운터를 제공하지만 이름은 다를 수 있습니다. 자세한 내용은 네트워크 드라이버 설명서를 참조하십시오.

다음 확인 단계는 Red Hat Enterprise Linux 9의 ixgbe 드라이버에 대해 작동합니다.

  1. 본딩의 활성 포트를 표시합니다.

    # grep "Currently Active Slave" /proc/net/bonding/bond0
    Currently Active Slave: enp1s0
  2. 활성 포트의 tx_ipsecrx_ipsec 카운터를 표시합니다.

    # ethtool -S enp1s0 | egrep "_ipsec"
         tx_ipsec: 10
         rx_ipsec: 10
  3. IPsec 터널을 통해 트래픽을 전송합니다. 예를 들어 원격 IP 주소를 ping합니다.

    # ping -c 5 remote_ip_address
  4. 활성 포트의 tx_ipsecrx_ipsec 카운터를 다시 표시합니다.

    # ethtool -S enp1s0 | egrep "_ipsec"
         tx_ipsec: 15
         rx_ipsec: 15

    카운터 값이 증가하면 ESP 하드웨어 오프로드가 작동합니다.

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.