5.12. IPsec 연결을 가속화하도록 본딩에 ESP 하드웨어 오프로드 구성
하드웨어로 ESB(Security Payload)를 오프로드하면 IPsec 연결 속도가 빨라집니다. 네트워크 본딩을 장애 조치의 이유로 사용하는 경우 ESP 하드웨어 오프로드를 구성하는 절차와 일반 이더넷 장치를 사용하는 절차가 다릅니다. 예를 들어 이 시나리오에서는 본딩에 대한 오프로드 지원을 활성화하고 커널은 설정을 본딩 포트에 적용합니다.
사전 요구 사항
-
본딩의 모든 네트워크 카드는 ESP 하드웨어 오프로드를 지원합니다.
ethtool -k < interface_name > | grep "esp-hw-offload"
명령을 사용하여 각 본딩 포트가 이 기능을 지원하는지 확인합니다. - 본딩이 구성되고 작동합니다.
-
본딩에서는
active-backup
모드를 사용합니다. 본딩 드라이버는 이 기능에 대해 다른 모드를 지원하지 않습니다. - IPsec 연결이 구성되고 작동합니다.
절차
네트워크 본딩에서 ESP 하드웨어 오프로드 지원을 활성화합니다.
# nmcli connection modify bond0 ethtool.feature-esp-hw-offload on
이 명령을 사용하면
bond0
연결에서 ESP 하드웨어 오프로드를 지원할 수 있습니다.bond0
연결을 다시 활성화합니다.# nmcli connection up bond0
ESP 하드웨어 오프로드를 사용해야 하는 연결의
/etc/ipsec.d/
디렉터리에서 Libreswan 구성 파일을 편집하고nic-offload=yes
문을 연결 항목에 추가합니다.conn example ... nic-offload=yes
ipsec
서비스를 다시 시작하십시오.# systemctl restart ipsec
검증
확인 방법은 커널 버전 및 드라이버와 같은 다양한 측면에 따라 다릅니다. 예를 들어 특정 드라이버는 카운터를 제공하지만 이름은 다를 수 있습니다. 자세한 내용은 네트워크 드라이버 설명서를 참조하십시오.
다음 확인 단계는 Red Hat Enterprise Linux 8의 ixgbe
드라이버에서 작동합니다.
본딩의 활성 포트를 표시합니다.
# grep "Currently Active Slave" /proc/net/bonding/bond0 Currently Active Slave: enp1s0
활성 포트의
tx_ipsec
및rx_ipsec
카운터를 표시합니다.# ethtool -S enp1s0 | egrep "_ipsec" tx_ipsec: 10 rx_ipsec: 10
IPsec 터널을 통해 트래픽을 전송합니다. 예를 들어 원격 IP 주소를 ping합니다.
# ping -c 5 remote_ip_address
활성 포트의
tx_ipsec
및rx_ipsec
카운터를 다시 표시합니다.# ethtool -S enp1s0 | egrep "_ipsec" tx_ipsec: 15 rx_ipsec: 15
카운터 값이 증가하면 ESP 하드웨어 오프로드가 작동합니다.
추가 리소스