DPDK下IPsec内联卸载用例

于 2024-07-27 16:58:27 发布
阅读量1k 收藏 15
点赞数 7
分类专栏: IPSec 文章标签: DPDK ipsec ipsec内联卸载 inline offload dpdk ipsec
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/funtasty/article/details/140737660
版权

该测试计划描述了在 cryptodev 框架内,在 Intel® 82599 10 GbE 控制器 (IXGBE) 上对 IPsec 流的对称加密处理进行内联硬件加速的验证方法。
限制:支持 AES-GCM 128 ESP 隧道/传输模式和仅身份验证模式。

参考链接:

  • https://tools.ietf.org/html/rfc4301
  • https://tools.ietf.org/html/rfc4302
  • https://tools.ietf.org/html/rfc4303
  • http://dpdk.org/doc/guides/sample_app_ug/ipsec_secgw.html

ESP:封装安全有效负载,数据包封装格式

在这里插入图片描述
SPI:安全参数索引
SPI 是一个任意的 32 位值,接收器使用它来识别传入数据包所绑定的 SA。
Sequence Number: 这个无符号的 32 位字段包含一个计数器值,每发送一个数据包,该值就会加一
AES:高级加密标准
GCM:伽罗瓦计数器模式

先决条件

DUT 的 2 * 10Gb 以太网端口以全双工方式直接连接到对等流量生成器的不同端口。
将两个端口绑定到 vfio-pci。modprobe vfio-pci
该套件依赖PyCryptodome,它提供经过认证的加密模式(GCM)模块依赖:cryptography(1.7.2)、pycryptodome(3.4.7)、pycryptodomex(3.4.7)、pycryptopp(0.6.0)、scapy(2.3.3 或更高版本)
在IPSEC应用程序中添加打印代码:

sed -i -e 's/if (nb_rx > 0)/if (nb_rx > 0) {/g' -e '/\/\* dequeue and process completed crypto-ops \*\//i\\t\t\t}' -e '/process_pkts(qconf, pkts, nb_rx, portid);/i\\t\t\t\tprintf("[debug]receive %llu packet in rxqueueid=%llu\\n",(unsigned long long)nb_rx, (unsigned long long)queueid);' examples/ipsec-secgw/ipsec-secgw.c

重新编译 examples/ipsec-secgw:

meson configure -Dexamples=ipsec-secgw x86_64-native-linuxapp-gcc
ninja -C x86_64-native-linuxapp-gcc

测试用例

配置文件内容如下:

#SP IPv4 rules
sp ipv4 out esp protect 1005 pri 1 dst 192.168.105.0/24 sport 0:65535 dport 0:65535

#SA rules
sa out 1005 aead_algo aes-128-gcm aead_key 2b:7e:15:16:28:ae:d2:a6:ab:f7:15:88:09:cf:4f:3d:de:ad:be:ef \
mode ipv4-tunnel src 172.16.1.5 dst 172.16.2.5 \
port_id 1 \
type inline-crypto-offload \

sa in 5 aead_algo aes-128-gcm aead_key 2b:7e:15:16:28:ae:d2:a6:ab:f7:15:88:09:cf:4f:3d:de:ad:be:ef \
mode ipv4-tunnel src 172.16.1.5 dst 172.16.2.5 \
port_id 1 \
type inline-crypto-offload \

#Routing rules
rt ipv4 dst 172.16.2.5/32 port 1
rt ipv4 dst 192.168.105.10/32 port 0

启动 ipsec-secgw 示例并确保 SP/SA/RT 规则成功加载。
检查 ipsec-secgw 是否可以检测无效的密码算法。
检查 ipsec-secgw 是否可以检测无效的身份验证算法。
检查 ipsec-secgw 是否可以检测无效的密钥格式。

IPSec加密

启动具有两个 82599 端口的 ipsec-secgw,并将端口 1 分配给非保护模式:

sudo ./x86_64-default-linuxapp-gcc/examples/dpdk-ipsec-secgw -l 20,21 -a 83:00.0 -a 83:00.1 --vdev
"crypto_null" --log-level 8 --socket-mem 1024,1 -- -p 0xf -P -u
0x2 --config="(0,0,20),(1,0,21)" -f ./enc.cfg

使用 scapy 监听未受保护的端口:

sniff(iface='%s',count=1,timeout=10)

使用 scapy 将突发(32)个普通数据包(目标 ip 为 192.168.105.0)发送到受保护的端口。
检查从不受保护的端口接收到的突发 esp 数据包:

在这里插入图片描述
检查 esp 数据包的格式是否正确。
查看 scapy 输出上的解密数据包:
在这里插入图片描述

使用 Jumboframe 的 IPSec 加密

启动具有两个 82599 端口的 ipsec-secgw,并将端口 1 分配给非保护模式:

sudo ./x86_64-default-linuxapp-gcc/examples/dpdk-ipsec-secgw -l 20,21 -a 83:00.0 -a 83:00.1 --vdev
"crypto_null" --log-level 8 --socket-mem 1024,1 -- -p 0xf -P -u
0x2 --config="(0,0,20),(1,0,21)" -f ./enc.cfg

使用 scapy 监听未受保护的端口
默认帧大小为 1518,向受保护端口发送突发(1000)个数据包,目标 ip(192.168.105.0)。
检查从不受保护的端口接收到的突发 esp 数据包。
检查 esp 数据包的格式是否正确。
在 scapy 输出中查看解密的数据包
向受保护端口发送突发(8192)个巨型数据包,目标 IP 为(192.168.105.0)。
检查是否无法从不受保护的端口接收突发 esp 数据包。
将巨型帧大小设置为 9000,并将端口 1 指定为非保护模式来启动它:

sudo ./x86_64-default-linuxapp-gcc/examples/dpdk-ipsec-secgw -l 20,21 -a 83:00.0 -a 83:00.1 --vdev
"crypto_null" --log-level 8 --socket-mem 1024,1 -- -p 0xf -P -u
0x2 -j 9000 --config="(0,0,20),(1,0,21)" -f ./enc.cfg

使用 scapy 监听未受保护的端口
向受保护端口发送突发(8192)个巨型数据包,目标 IP 为(192.168.105.0)。
检查从不受保护的端口接收到的突发巨型数据包。
检查 esp 数据包的格式是否正确。
在 scapy 输出中查看解密的数据包
向受保护端口发送突发(9000)个巨型数据包,目标 IP 为(192.168.105.0)。
检查是否无法从不受保护的端口接收突发巨型数据包。

使用 RSS 的 IPSec 加密

为不同的 IP 地址创建具有多个 SP/SA/RT 规则的配置文件。
启动 ipsec-secgw,在每个端口上启用两个队列,并将端口 1 分配为不受保护的模式:

sudo ./x86_64-default-linuxapp-gcc/examples/dpdk-ipsec-secgw -l 20,21 -a 83:00.0 -a 83:00.1 --vdev
"crypto_null" --log-level 8 --socket-mem 1024,1 -- -p 0xf -P -u
0x2 --config="(0,0,20),(0,1,20),(1,0,21),(1,1,21)" -f ./enc_rss.cfg

使用 scapy 监听未受保护的端口
向受保护端口发送具有不同目标 IP 的突发(32)数据包。
检查未受保护端口上从队列 0 和队列 1 接收的突发 esp 数据包。tcpdump -Xvvvi ens802f1
检查 esp 数据包的格式是否正确。
在 scapy 输出中查看解密的数据包

IPSec 解密

启动具有两个 82599 端口的 ipsec-secgw,并将端口 1 分配给非保护模式:

sudo ./x86_64-default-linuxapp-gcc/examples/dpdk-ipsec-secgw -l 20,21 -a 83:00.0 -a 83:00.1 --vdev
"crypto_null" --log-level 8 --socket-mem 1024,1 -- -p 0xf -P -u
0x2 --config="(0,0,20),(1,0,21)" -f ./dec.cfg

向未受保护的端口发送两个 burst(32) esp 数据包。
第一个将在 IPsec 应用程序中产生错误“IPSEC_ESP:加密操作失败”,但它将设置 SA。第二个将解密并发回解密后的数据包。
检查从受保护端口接收的已解封装的突发数据包 tcpdump -Xvvvi ens802f0

使用错误密钥进行 IPSec 解密

启动具有两个 82599 端口的 ipsec-secgw,并将端口 1 分配给非保护模式:

sudo ./x86_64-default-linuxapp-gcc/examples/dpdk-ipsec-secgw -l 20,21 -a 83:00.0 -a 83:00.1 --vdev
"crypto_null" --log-level 8 --socket-mem 1024,1 -- -p 0xf -P -u
0x2 --config="(0,0,20),(1,0,21)" -f ./dec.cfg

更改dec.cfg密钥与发送数据包加密密钥不一样
向未受保护的端口发送一个突发(32)esp 数据包。
IPsec 应用程序将产生错误“IPSEC_ESP:加密操作失败”,但它将设置 SA。
向未受保护的端口发送一个突发(32)esp 数据包。
检查已解封装的突发数据包无法从受保护端口接收,IPsec 应用程序将产生错误“IPSEC_ESP:加密操作失败”。

使用 Jumboframe 进行 IPSec 解密

使用两个 82599 端口启动 ipsec-secgw,并将端口 1 分配给非保护模式:

sudo ./x86_64-default-linuxapp-gcc/examples/dpdk-ipsec-secgw -l 20,21 -a 83:00.0 -a 83:00.1 –vdev “crypto_null” –log-level 8 –socket-mem 1024,1-p 0xf -P -u 0x2 –config=(0,0,20),(1,0,21)-f ./dec.cfg

默认帧大小为 1518,向未受保护的端口发送两个突发(1000)esp 数据包。
第一个将在 IPsec 应用程序中产生错误“IPSEC_ESP:加密操作失败”,但它将设置 SA。第二个将解密并发回解密后的数据包。
检查从受保护端口接收的已解封装的突发(1000)数据包。
向未受保护的端口发送突发(8192)esp 数据包。
检查突发(8192)已解封装的数据包无法从受保护的端口接收。
将巨型帧大小设置为 9000,并将端口 1 指定为非保护模式来启动它:

sudo ./x86_64-default-linuxapp-gcc/examples/dpdk-ipsec-secgw -l 20,21 -a 83:00.0 -a 83:00.1 --vdev
"crypto_null" --log-level 8 --socket-mem 1024,1 -- -p 0xf -P -u
0x2 -j 9000 --config="(0,0,20),(1,0,21)" -f ./dec.cfg

向未受保护的端口发送两个突发(8192)esp 数据包。
第一个将在 IPsec 应用程序中产生错误“IPSEC_ESP:加密操作失败”,但它将设置 SA。第二个将解密并发回解密后的数据包。
检查从受保护端口接收的已解封装的突发(8192)个数据包。
向未受保护的端口发送突发(9000)esp 数据包。
检查突发(9000)已解封装的数据包无法从受保护端口接收。

使用 RSS 进行 IPSec 解密

为不同的 IP 地址创建具有多个 SA 规则的配置文件。

启动具有两个 82599 端口的 ipsec-secgw,并将端口 1 分配给非保护模式:

sudo ./x86_64-default-linuxapp-gcc/examples/dpdk-ipsec-secgw -l 20,21 -a 83:00.0 -a 83:00.1 --vdev
"crypto_null" --log-level 8 --socket-mem 1024,1 -- -p 0xf -P -u
0x2 -config="(0,0,20),(0,1,20),(1,0,21),(1,1,21)" -f ./dec_rss.cfg

向未受保护的端口发送两个具有不同 IP 的 burst(32) esp 数据包。
第一个将在 IPsec 应用程序中产生错误“IPSEC_ESP:加密操作失败”,但它将设置 SA。第二个将解密并发回解密后的数据包。
检查从受保护端口上的队列 0 和 1 接收的已解封装的突发(32)数据包。

IPSec 同时加密/解密

启动具有两个 82599 端口的 ipsec-secgw,并将端口 1 分配给非保护模式:

sudo ./x86_64-default-linuxapp-gcc/examples/dpdk-ipsec-secgw -l 20,21 -a 83:00.0 -a 83:00.1
--vdev "crypto_null" --log-level 8 --socket-mem 1024,1
-- -p 0xf -P -u 0x2 --config="(0,0,20),(1,0,21)" -f ./enc_dec.cfg

同时向受保护和不受保护的端口发送正常和 esp 数据包。
注意,在测试入站 IPSec 时,第一个将在 IPsec 应用程序中产生错误“IPSEC_ESP:无效填充”,但它将设置 SA。第二个将解密并发回解密后的数据包。
检查从不受保护和受保护的端口接收的 esp 和正常数据包。

李洛克07
关注
  • 7
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【重识云原生】第四章云网络4.7.4节vhost-user方案——virtio的DPDK卸载方案
junbaozi的专栏
06-26 1042
vhost-user 和 vhost_net 的实现原理是一样,都是采用 vring 完成共享内存,eventfd 机制完成事件通知。不同在于 vhost_net 实现在内核中,而 vhost-user 实现在用户空间中,用于用户空间中两个进程之间的通信,其采用共享内存的通信方式。.........
具有DPDK和英特尔®82599网络控制器的内联IPsec(文末福利继续哦~)
weixin_37097605的博客
09-07 2394
作者简介Radu Nicolau,英特尔的网络软件工程师。 他的工作目前主要是数据平面功能和库的IPsec相关开发。本文介绍DPDK框架下的 inline IPsec加速...
DPDKipsec-secgw(安全网关)
hhd1988的专栏
04-25 1991
安全策略(SP)用ACL规则实现,安全关联(SA)存储在一个表,路由是通过LPM实现。
dpdkipsec内联卸载inline offload)测试
最新发布
funtasty的专栏
07-27 1165
介绍dpdkipsec内联卸载的配置方式,使用82599网卡测试
dpdk-ipsec-secgw 【dpdk20.11】
zhangyikuaile的博客
12-23 544
【代码】dpdk-ipsec-secgw 【dpdk20.11】
DPDK-实战之ipsec-secgw(安全网关)
3-Number
10-25 6785
0x01 缘由     看到了比较陌生的名词觉得比较高大上,于是想探究下。 0x02 介绍     IPsec 安全网关应用是用DPDK cryptodev框架的一个实际应用例子。     这个应用说明用DPDK实现的一个安全网关,基于RFC4301, RFC4303, RFC3602、RFC2404标准。IKE不实现,因此仅仅手动设置安全策略。     安全策略(SP)用ACL规则实现
Intel DPDK介绍
热门推荐
Walter的专栏
10-16 4万+
DPDK是X86平台报文快速处理的库和驱动的集合,大多数情况下运行在linux的用户态空间,目前最新版本1.5.0可以到官方网站dpdk.org下载。 DPDK不是网络协议栈,不提供二层,3层转发功能,不具备防火墙ACL功能,但通过DPDK可以轻松的开发出上述功能,具体可参考实例 application examples are included。 What it is Intel® DPD
[dev][dpdk][crypto] dpdk加解密设备与IPSEC
weixin_30840573的博客
03-04 1402
概述 分三部分,加解密框架(crypto framework),加解密设备(crypto dev),安全协议(Security Framework) × API,设计思路等,都在加解密框架里:见文档:http://doc.dpdk.org/guides-18.11/prog_guide/cryptodev_lib.html × 设备层的事情,加解密设备的分类,调度,主备等,见文档:htt...
具有DPDK和英特尔82599网络控制器的内联IPsec
lingshengxiyou的博客
09-01 795
本篇文章介绍DPDK框架下的 inline IPsec加速支持方案,重点介绍如何在Intel®82599 万兆以太网控制器系列【1】下启用inline IPSEC加速。inline IPsec在某些加密算法中具有比look aside加速延迟更低等优点。本篇文章包含IPsec的“lookaside”硬件加速和inline IPsec之间的差异(即,数据包流差异和应用程序端在性能和处理方面的预期差异)等背景信息,并将简要介绍测试下itong的设置,以及如何安装和运行IPsec网关应用程序的示例。...
dpdk结合sriov测试vpp ipsec性能
lingshengxiyou的博客
11-24 1096
既然veth pair不好用,那就用物理网卡,但卡又不够用,外面交换机又不受控制,突然想到了sriov,多虚出来几个物理网卡。vpp另一个网卡本来想直接用整个物理网卡,但是结果用着用着就莫名其妙NO-CARRIER了,提示没有接网线,原因不明,reboot物理机就好了,试着用vf就没再碰到这个问题。测试结果300s的数据,测试了vpp三层转发,用openssl的ipsec和用dpdk mb crypto的ipsec,分别是5Mpps,1.4Mpps和1.2Mpps。领取,关注我持续更新哦!
DPDK峰会:Accelerate VPP Workload with DPDK Cryptodev Framework.pdf
12-04
DDPDK技术峰会PPT讲稿分享,DPDK开发者大会讲稿分享,演讲者英特尔资深工程师,该文档讨论了DPDK框架中的Cryptodev,如何在VPP/IPSec方案中使用Cryptodev,以及使用Intel QAT时的性能测量:Accelerate VPP Workload with DPDK Cryptodev Framework – Fan Zhang @ Intel
关于DPDK Cryptodev.pdf
09-20
关于DPDK Cryptodev.pdf
教程篇(7.2) 17. IPsec虚拟专用网络 & FortiGate基础设施 ❀ Fortinet网络安全专家 NSE4
防火墙技术专栏
04-22 2212
在本课中,你将了解IPsec虚拟专用网络的体系结构组件以及如何配置它们。
DPDK Release 21.05
weixin_37097605的博客
06-09 1035
点击上方蓝字 关注我们吧DPDK Release 21.05近期,DPDK团队正式发布了21.05版本,一起来看看有哪些新功能和变化吧。温馨提示:由于英文函数名较长,为了获得更佳的阅读体验...
DPDK Release 17.11
weixin_37097605的博客
12-08 625
DPDK Release 17.11DPDK Release 17.11主要功能如下:- IOVA awareness- PCI and VDEV buses moved...
DPDK19.05 已发布,新版本都有哪些新功能和变化?
weixin_37097605的博客
05-22 1625
DPDK19.05版本发布,新功能和变化等你来Get!▌ 新功能1.新增了armv8 machine target新增的armv8 machine targe...
以ping包发送过程分析ipsec执行(草稿)
abcLinux
01-13 1705
ping包发送过程分析: 1、安全路径查找和创建 ping_sendmsg ------> ip_route_output_flow----->xfrm_lookup这里面会查找安全路由,或者是根据源、目的IP地址找到SPD项,再找到SAD项后创建安全路由,安全路由最终会把数据包导到ah4_output\esp4_output做相应的填充ah\esp填充 2、执行安全路径 ping_sen
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李洛克07

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值