6.11. IPsec 연결 속도를 높이기 위해 ESP 하드웨어 오프로드 자동 감지 및 사용 구성

하드웨어로 캡슐화된 보안 페이로드(ESP)를 오프로드하면 이더넷을 통해 IPsec 연결을 가속화할 수 있습니다. 기본적으로 Libreswan은 하드웨어가 이 기능을 지원하는지 감지하여 ESP 하드웨어 오프로드를 활성화합니다. 기능을 비활성화하거나 명시적으로 활성화한 경우 자동 탐지로 다시 전환할 수 있습니다.

사전 요구 사항

  • 네트워크 카드는 ESP 하드웨어 오프로드를 지원합니다.
  • 네트워크 드라이버는 ESP 하드웨어 오프로드를 지원합니다.
  • IPsec 연결이 구성되고 작동합니다.

절차

  1. ESP 하드웨어 오프로드 지원의 자동 검색을 사용해야 하는 연결의 /etc/ipsec.d/ 디렉터리에서 Libreswan 구성 파일을 편집합니다.
  2. nic-offload 매개변수가 연결 설정에 설정되지 않았는지 확인합니다.

  3. nic-offload 를 제거한 경우 ipsec 서비스를 다시 시작합니다. 

    # systemctl restart ipsec

검증

네트워크 카드가 ESP 하드웨어 오프로드 지원을 지원하는 경우 다음 단계에 따라 결과를 확인하십시오.

  1. IPsec 연결에 사용하는 이더넷 장치의 tx_ipsecrx_ipsec 카운터를 표시합니다. 

    # ethtool -S enp1s0 | egrep "_ipsec"
     tx_ipsec: 10
     rx_ipsec: 10

  2. IPsec 터널을 통해 트래픽을 전송합니다. 예를 들어 원격 IP 주소를 ping합니다. 

    # ping -c 5 remote_ip_address

  3. 이더넷 장치의 tx_ipsecrx_ipsec 카운터를 다시 표시합니다. 

    # ethtool -S enp1s0 | egrep "_ipsec"
     tx_ipsec: 15
     rx_ipsec: 15

    카운터 값이 증가하면 ESP 하드웨어 오프로드가 작동합니다.

추가 리소스