Red Hat Training

A Red Hat training course is available for RHEL 8

6.11. 配置自动检测和使用 ESP 硬件卸载来加速 IPsec 连接

卸载硬件的封装安全负载(ESP)来加速以太网上的 IPsec 连接。默认情况下,Libreswan 会检测硬件是否支持这个功能,并因此启用 ESP 硬件卸载。如果这个功能被禁用或明确启用,您可以切回到自动检测。

先决条件

  • 网卡支持 ESP 硬件卸载。
  • 网络驱动程序支持 ESP 硬件卸载。
  • IPsec 连接已配置且可以正常工作。

步骤

  1. 编辑连接的 /etc/ipsec.d/ 目录中的 Libreswan 配置文件,该文件应使用 ESP 硬件卸载支持的自动检测。
  2. 确保连接的设置中没有设置 nic-offload 参数。

  3. 如果您删除了 nic-offload,请重启 ipsec 服务: 

    # systemctl restart ipsec

验证

如果网卡支持 ESP 硬件卸载支持,请按照以下步骤验证结果:

  1. 显示 IPsec 连接使用的以太网设备计数器 tx_ipsecrx_ipsec

    # ethtool -S enp1s0 | egrep "_ipsec"
     tx_ipsec: 10
     rx_ipsec: 10

  2. 通过 IPsec 隧道发送流量。例如,ping 远程 IP 地址: 

    # ping -c 5 remote_ip_address

  3. 再次显示 tx_ipsecrx_ipsec 以太网设备计数器: 

    # ethtool -S enp1s0 | egrep "_ipsec"
     tx_ipsec: 15
     rx_ipsec: 15

    如果计数器值增加了,ESP 硬件卸载正常工作。

其他资源