6.12. IPsec 연결 속도를 높이기 위해 본딩에서 ESP 하드웨어 오프로드 구성

하드웨어로 ESB(Security Payload)를 오프로드하면 IPsec 연결 속도가 빨라집니다. 장애 조치(failover) 이유로 네트워크 본딩을 사용하는 경우 ESP 하드웨어 오프로드 구성의 요구 사항과 절차는 일반 이더넷 장치를 사용하는 것과 다릅니다. 예를 들어, 이 시나리오에서는 본딩에서 오프로드 지원을 활성화하며 커널은 본딩 포트에 설정을 적용합니다.

사전 요구 사항

  • 본딩의 모든 네트워크 카드는 ESP 하드웨어 오프로드를 지원합니다.
  • 네트워크 드라이버는 본딩 장치에서 ESP 하드웨어 오프로드를 지원합니다. RHEL에서는 ixgbe 드라이버만 이 기능을 지원합니다.
  • 본딩이 구성되고 작동합니다.
  • 본딩에서는 active-backup 모드를 사용합니다. 본딩 드라이버는 이 기능에 대해 다른 모드를 지원하지 않습니다.
  • IPsec 연결이 구성되고 작동합니다.

절차

  1. 네트워크 본딩에서 ESP 하드웨어 오프로드 지원을 활성화합니다. 

    # nmcli connection modify bond0 ethtool.feature-esp-hw-offload on

    이 명령을 사용하면 bond0 연결에서 ESP 하드웨어 오프로드를 지원할 수 있습니다.

  2. bond0 연결을 다시 활성화합니다. 

    # nmcli connection up bond0

  3. ESP 하드웨어 오프로드를 사용해야 하는 연결의 /etc/ipsec.d/ 디렉터리에서 Libreswan 구성 파일을 편집하고 nic-offload=yes 문을 연결 항목에 추가합니다. 

    conn example
    ...
    nic-offload=yes

  4. ipsec 서비스를 다시 시작하십시오. 

    # systemctl restart ipsec

검증

  1. 본딩의 활성 포트를 표시합니다. 

    # grep "Currently Active Slave" /proc/net/bonding/bond0
Currently Active Slave: enp1s0

  2. 활성 포트의 tx_ipsecrx_ipsec 카운터를 표시합니다. 

    # ethtool -S enp1s0 | egrep "_ipsec"
     tx_ipsec: 10
     rx_ipsec: 10

  3. IPsec 터널을 통해 트래픽을 전송합니다. 예를 들어 원격 IP 주소를 ping합니다. 

    # ping -c 5 remote_ip_address

  4. 활성 포트의 tx_ipsecrx_ipsec 카운터를 다시 표시합니다. 

    # ethtool -S enp1s0 | egrep "_ipsec"
     tx_ipsec: 15
     rx_ipsec: 15

    카운터 값이 증가하면 ESP 하드웨어 오프로드가 작동합니다.

추가 리소스