5.12. IPsec 연결을 가속화하도록 본딩에 ESP 하드웨어 오프로드 구성
하드웨어로 ESB(Security Payload)를 오프로드하면 IPsec 연결 속도가 빨라집니다. 네트워크 본딩을 장애 조치의 이유로 사용하는 경우 ESP 하드웨어 오프로드를 구성하는 절차와 일반 이더넷 장치를 사용하는 절차가 다릅니다. 예를 들어 이 시나리오에서는 본딩에 대한 오프로드 지원을 활성화하고 커널은 설정을 본딩 포트에 적용합니다.
사전 요구 사항
- 본딩의 모든 네트워크 카드는 ESP 하드웨어 오프로드를 지원합니다.
-
네트워크 드라이버는 본딩 장치에서 ESP 하드웨어 오프로드를 지원합니다. RHEL에서는
ixgbe
드라이버만 이 기능을 지원합니다. - 본딩이 구성되고 작동합니다.
-
본딩에서는
active-backup
모드를 사용합니다. 본딩 드라이버는 이 기능에 대해 다른 모드를 지원하지 않습니다. - IPsec 연결이 구성되고 작동합니다.
절차
네트워크 본딩에서 ESP 하드웨어 오프로드 지원을 활성화합니다.
# nmcli connection modify bond0 ethtool.feature-esp-hw-offload on
이 명령을 사용하면
bond0
연결에서 ESP 하드웨어 오프로드를 지원할 수 있습니다.bond0
연결을 다시 활성화합니다.# nmcli connection up bond0
ESP 하드웨어 오프로드를 사용해야 하는 연결의
/etc/ipsec.d/
디렉터리에서 Libreswan 구성 파일을 편집하고nic-offload=yes
문을 연결 항목에 추가합니다.conn example ... nic-offload=yes
ipsec
서비스를 다시 시작하십시오.# systemctl restart ipsec
검증
본딩의 활성 포트를 표시합니다.
# grep "Currently Active Slave" /proc/net/bonding/bond0 Currently Active Slave: enp1s0
활성 포트의
tx_ipsec
및rx_ipsec
카운터를 표시합니다.# ethtool -S enp1s0 | egrep "_ipsec" tx_ipsec: 10 rx_ipsec: 10
IPsec 터널을 통해 트래픽을 전송합니다. 예를 들어 원격 IP 주소를 ping합니다.
# ping -c 5 remote_ip_address
활성 포트의
tx_ipsec
및rx_ipsec
카운터를 다시 표시합니다.# ethtool -S enp1s0 | egrep "_ipsec" tx_ipsec: 15 rx_ipsec: 15
카운터 값이 증가하면 ESP 하드웨어 오프로드가 작동합니다.
추가 리소스