5.11. 配置自动检测和使用 ESP 硬件卸载来加速 IPsec 连接
卸载硬件的封装安全负载(ESP)来加速以太网上的 IPsec 连接。默认情况下,Libreswan 会检测硬件是否支持这个功能,并因此启用 ESP 硬件卸载。如果这个功能被禁用或被明确启用,您可以切回到自动检测。
先决条件
- 网卡支持 ESP 硬件卸载。
- 网络驱动程序支持 ESP 硬件卸载。
- IPsec 连接已配置且可以正常工作。
步骤
-
编辑应使用 ESP 硬件卸载支持的自动检测连接的
/etc/ipsec.d/目录中的 Libreswan 配置文件。 -
确保
nic-offload参数没有在连接的设置中设置。 如果您删除了
nic-offload,请重启ipsec服务:# systemctl restart ipsec
验证
显示 IPsec 连接使用的以太网设备的
tx_ipsec和rx_ipsec计数器:# ethtool -S enp1s0 | egrep "_ipsec" tx_ipsec: 10 rx_ipsec: 10通过 IPsec 隧道发送流量。例如,ping 远程 IP 地址:
# ping -c 5 remote_ip_address再次显示以太网设备的
tx_ipsec和rx_ipsec计数器:# ethtool -S enp1s0 | egrep "_ipsec" tx_ipsec: 15 rx_ipsec: 15如果计数器值增加了,ESP 硬件卸载正常工作。
其他资源
