XFRM 设备 - 卸载 IPsec 计算

已于 2023-12-11 22:43:19 修改
阅读量424 收藏 3
点赞数 1
文章标签: 网络 运维
于 2023-12-11 22:22:40 首次发布
原文链接:https://www.kernel.org/doc/html/latest/networking/xfrm_device.html
版权
本文详细解释了IPsec的加密和数据包卸载技术,特别是在硬件支持下如何提高网络吞吐量和降低CPU负载。文章介绍了内核支持的两种卸载类型,以及网卡驱动程序如何通过回调函数实现硬件卸载功能,并提供了相关命令和驱动程序设置示例。
摘要由CSDN通过智能技术生成

概述

IPsec是一种保护网络流量的有用功能,但计算成本很高:一个10Gbps 链路可以很容易地降低到 1Gbps 以下,具体决于流量和链路配置。幸运的是,有些网卡提供硬件支持的IPsec卸载( offload),可以从根本上提高吞吐量并降低 CPU 利用率。XFRM设备接口允许网卡驱动程序向堆栈提供对硬件卸载(hardware offload)的访问。

目前,内核支持两种类型的硬件卸载。

  • IPsec 加密卸载(crypto offload): * NIC 执行加密/解密 * 内核执行其他所有操作
  • IPsec 数据包卸载(packet offload): * NIC 执行加密/解密 * NIC 执行封装 * 内核和 NIC 的 SA 和策略同步 * NIC 处理 SA 和策略状态 * 内核与密钥管理器通信

用户空间对卸载的访问通常是通过 libreswan 或 KAME/raccoon 等系统进行的,但在试验时,iproute2 ‘ip xfrm’ 命令集会很方便。

对于加密卸载,示例命令可能如下所示:

ip x s add proto esp dst 14.0.0.70 src 14.0.0.52 spi 0x07 mode transport
reqid 0x07 replay-window 32 aead ‘rfc4106(gcm(aes))’ 0x44434241343332312423222114131211f4f3f2f1 128 sel src 14.0.0.52/24 dst 14.0.0.70/24 proto
tcp offload dev eth4 dir in

以及数据包卸载:

ip x s add proto esp dst 14.0.0.70 src 14.0.0.52 spi 0x07 mode transport
reqid 0x07 replay-window 32 aead ‘rfc4106(gcm(aes))’ 0x44434241343332312423222114131211f4f3f2f1 128 sel src 14.0.0.52/24 dst 14.0.0.70/24 proto
tcp offload packet dev eth4 dir in

ip x p add src 14.0.0.70 dst 14.0.0.52 offload packet dev eth4 dir in tmpl src 14.0.0.70 dst
14.0.0.52 proto esp reqid 10000 mode transport

是的,这很丑陋,但这就是 shell 脚本和/或 libreswan 的用途。

要实现的回调

/* from include/linux/netdevice.h */
struct xfrmdev_ops {
    /* Crypto and Packet offload callbacks */
    int     (*xdo_dev_state_add) (struct xfrm_state *x, struct netlink_ext_ack *extack);
    void    (*xdo_dev_state_delete) (struct xfrm_state *x);
    void    (*xdo_dev_state_free) (struct xfrm_state *x);
    bool    (*xdo_dev_offload_ok) (struct sk_buff *skb,
                                    struct xfrm_state *x);
    void    (*xdo_dev_state_advance_esn) (struct xfrm_state *x);

    /* Solely packet offload callbacks */
    void    (*xdo_dev_state_update_curlft) (struct xfrm_state *x);
    int     (*xdo_dev_policy_add) (struct xfrm_policy *x, struct netlink_ext_ack *extack);
    void    (*xdo_dev_policy_delete) (struct xfrm_policy *x);
    void    (*xdo_dev_policy_free) (struct xfrm_policy *x);

};

提供 ipsec 卸载的 NIC 驱动程序需要实现与支持的卸载相关的回调,以使卸载可用于网络堆栈的 XFRM 子系统。此外,功能位(feature bits) NETIF_F_HW_ESP 和 NETIF_F_HW_ESP_TX_CSUM 将指示卸载的可用性。

在探测时和调用 register_netdev() 之前,驱动程序应设置本地数据结构和 XFRM 回调,并设置功能位。XFRM 代码的侦听器(listener)将在 NETDEV_REGISTER 上完成设置。

adapter->netdev->xfrmdev_ops = &ixgbe_xfrmdev_ops;
adapter->netdev->features |= NETIF_F_HW_ESP;
adapter->netdev->hw_enc_features |= NETIF_F_HW_ESP;

当使用“卸载”功能请求设置新 SA 时,驱动程序的 xdo_dev_state_add() 将获得要卸载的新 SA,并指示它是用于 Rx 还是 Tx。驱动程序应

  • 验证算法是否支持卸载

  • 存储 SA 信息(key、salt、target-ip、protocol 等)

  • 启用 SA 的硬件卸载

  • 返回状态值:
    在这里插入图片描述
    驱动程序还可以在 SA 中设置一个 offload_handle,这是一个不透明的 void 指针,可用于将上下文传达到快速路径卸载请求中:

    xs->xso.offload_handle = context;

当网络堆栈为已设置为卸载的 SA 准备 IPsec 数据包时,它首先使用 skb 和预期卸载状态调用 xdo_dev_offload_ok(),以询问驱动程序卸载是否可用。这可以检查数据包信息以确保可以支持卸载(例如 IPv4 或 IPv6、没有 IPv4 选项等),并返回 true 或 false 以表示其支持程度。

加密卸载模式:准备发送时,驱动程序需要检查 Tx 数据包的卸载信息,包括不透明上下文,并设置相应的数据包发送:

xs = xfrm_input_state(skb);
context = xs->xso.offload_handle;
set up HW for send

栈已经在数据包中插入了适当的IPsec头部,只需要进行加密并修复头部值。

当接收到一个数据包,并且HW表明它已经卸载了一个解密( offloaded a decryption),驱动程序需要将对已解码SA的引用添加到数据包的 skb 中。此时,数据应该已经解密,但IPsec首部仍然在分组数据中。它们稍后在 xfrm_input() 的栈中被移除。

查找并保存用于Rx skb的SA:

get spi, protocol, and destination IP from packet headers
xs = find xs from (spi, protocol, dest_IP)
xfrm_state_hold(xs);

将状态信息存储到 SKB 中:

sp = secpath_set(skb);
if (!sp) return;
sp->xvec[sp->len++] = xs;
sp->olen++;

指示卸载的成功和/或错误状态:

xo = xfrm_offload(skb);
xo->flags = CRYPTO_DONE;
xo->status = crypto_status;

像往常一样将数据包交给 napi_gro_receive()

在 ESN 模式下,xdo_dev_state_advance_esn() 是从 xfrm_replay_advance_esn() 调用的。如果需要,驱动程序将检查数据包序列号并更新硬件 ESN 状态机。

分组卸载模式:HW 添加和删除 XFRM 报头。因此,在RX路径中,如果 HW 报告成功,则绕过 XFRM 堆栈。在发送路径中,分组离开内核时没有额外的首部,也没有加密,硬件负责执行它。

当用户删除SA时,驱动程序会请求xdo_dev_state_delete()和xdo_dev_policy_delete()来禁用卸载。稍后,在移除了状态和策略的所有引用计数,并为卸载状态清除剩余资源之后,再从垃圾回收例程中调用xdo_dev_state_free()和xdo_dev_policy_free()。驱动程序如何使用这些参数取决于特定的硬件需求。

当 netdev 设置为 DOWN 时,XFRM 堆栈的 netdev 侦听器将在任何剩余的卸载状态上调用 xdo_dev_state_delete()、xdo_dev_policy_delete()、xdo_dev_state_free() 和 xdo_dev_policy_free()。

硬件处理数据包的结果,XFRM 内核无法计算硬限制和软限制。硬件/驱动程序负责执行它,并在调用 xdo_dev_state_update_curlft() 时提供准确的数据。如果出现这些限制之一,驱动程序需要调用 xfrm_state_check_expire() 以确保 XFRM 执行重新生成密钥序列。

ref: https://www.kernel.org/doc/html/latest/networking/xfrm_device.html

maimang09
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XFRM -- ipsec协议的内核实现框架
01-24 3545
目录 1 Overview 1.1 XFRM 实例 1.2 Netlink 通道 1.3 XFRM State 1.3 XFRM Policy 2 接收发送IPsec报文 2.1 接收 2.2 发送 IPsec协议帮助IP层建立安全可信的数据包传输通道。当前已经有了如StrongSwan、OpenSwan等比较成熟的解决方案,而它们都使用了Linux内核中的XFRM框架进行报文接收发送。 XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才
iperf3测试IPsec offload
mishuang2017的博客
05-29 220
最近发现用iperf3测试IPsec offload的时候,最后会出现超时的错误。那是因为没有设置ctrl_sck的TCP_MAXSEG,IPsec offload并不支持fragment。打上上面的diff后,可以把mss设置小点。上面的例子hsize是329,并不会有问题。当线程数多于8后,hsize会大于1500,就会出问题了。
dpdk下ipsec内联卸载(inline offload)测试
最新发布
funtasty的专栏
07-27 1152
介绍dpdk下ipsec内联卸载的配置方式,使用82599网卡测试
网络命名空间之间移动XFRM虚拟设备
redwingz的博客
12-02 843
以下根据strongswan代码中的testing/tests/route-based/net2net-xfrmi-netns/中的测试环境,来看一下基于路由和XFRM接口实现的安全连接,以及在两个网络命名空间之间移动XFRM虚拟接口的情况。内核允许XFRM接口的移动,可使得一个命名空间中的strongswan进程为另外一个命名空间中的应用提供安全加密服务,而后者并不需要进行IKE相关协商。拓扑结...
清空VPS的安全策略的ipsec
diedangxiang4092的博客
12-13 1479
修复方法: 登录到节点的CMD下: 使用vzlist -a 找到出问题的vps的ID号,然后 vzctl enter VPSID 在该vps的控制台下输入如下两个命令停止网络过滤: net stop ipnat net stop policyagent 执行如下命令清空所有ipsec列表(对vps无影响): netsh ipsec static del all 执...
XFRM -- IPsec协议的内核实现框架
fnhc462354756的专栏
05-25 420
从整体上看,IPsec报文的接收是一个迂回的过程,IP层接收时,根据报文的protocol字段,如果它是IPsec类型(AH、ESP),则会进入XFRM框架进行接收,在此过程里,比较重要的过程是xfrm_state_lookup(), 该函数查找SA,如果找到之后,再根据不同的协议和模式进入不同的处理过程,最终,将原始报文的信息获取出来,重入ip_local_deliver().然后,还需经历XFRM Policy的过滤,最后再上送到应用层。同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。
linux网络设备驱动(一)
wwwlyj123321的博客
04-10 6031
include/linux/netdevice.h中定义了net_device结构体,他是网络设备驱动程序中最重要的结构。 该结构体,存储着网络设备的所有信息,每个网络设备都有这种结构。所有设备的net_device结构放在一个全局变量dev_base所有全局列表中。结构体中有一个next指针,用来连接系统中所有网络设备。内核把这些连接起来的设备组成一个链表,并由全局变量dev_base指向链表的第一个元素。 每个网络设备都会有一个对应的实例,然后调用register_netdevie()(定义与文件n
linux ipsec内核,XFRM -- IPsec协议的内核实现框架
weixin_39688019的博客
04-29 962
IPsec协议帮助IP层建立安全可信的数据包传输通道。当前已经有了如StrongSwan、OpenSwan等比较成熟的解决方案,而它们都使用了Linux内核中的XFRM框架进行报文接收发送。XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才能还原为原始报文;同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。OverviewXFRM 实...
Linux 内核IPSecxfrm)协议栈源码分析
06-21
Linux内核中的IPSec协议栈通过XFRM框架实现了对数据包的安全处理。从数据结构到处理流程,再到加解密机制,每一个环节都经过精心设计,以确保网络通信的安全性和可靠性。通过源码分析,我们可以深入了解这一核心网络...
Linux网络协议栈9--ipsec收发包流程
bigsheng2的博客
02-04 2583
IPSec协议帮助IP层建立安全可信的数据包传输通道。当前已经如strongswan、openswan等比较成熟稳定的开源项目做协议层的控制。但他们最终都是使用的内核的XFRM框架做报文的封装发送和接收解封,只不过内核的转发表项数据是由他们生成的。 XFRM,是transfrom的简写。 ######IPSec收包解封流程 流程路径:ip_rcv() --> ip_rcv_finish() --> ip_local_deliver() --> ip_local_deliver_fini
linux内核实现ipsec,IP XFRM配置示例:利用linux kernel自带的IPSec实现,手动配置IPSec...
weixin_39559277的博客
04-29 1685
1、拓扑192.168.18.101 <=======> 192.168.18.1022、配置192.168.18.101ip xfrm state add src 192.168.18.101 dst 192.168.18.102 proto esp spi 0x00000301 mode tunnel auth md5 0x96358c90783bbfa3d7b196ceabe05...
ipsec 连接删除问题
bytxl的专栏
11-04 2054
ipsec 连接如果配置了多个子网,需要使用以下命令逐个删除子网连接: sudo ipsec auto --delete to206/3x2 如果直接使用如下命令: sudo ipsec auto --delete to206 会导致某些子网连接没断开、SA等删除不干净等问题。
Linux网络收包过程
Yisnow.的博客
12-30 3041
当用户执行完 recvfrom 调用后,用户进程就通过系统调用进行到内核态工作了。如果接收队列没有数据,进程就进入睡眠状态被操作系统挂起。剩下大部分都是由 Linux 内核其它模块来完成。首先在开始收包之前,Linux 要做许多的准备工作:创建 ksoftirqd 线程,为它设置好它自己的线程函数,以便后面处理软中断。协议栈注册,linux 要实现许多协议,比如 arp,icmp,ip,udp,tcp,每一个协议都会将自己的处理函数注册一下,方便包来了迅速找到对应的处理函数。
linux XFRM整体框架简单分析
weixin_34026276的博客
10-12 707
author: jonathan本文档的CopyRight归jonathan所有,可自由转载,转载时请保持文档的完整性。/*----------------------------------------------------------------------------------------------------------------------------*/L...
IPsec ***路由配置
weixin_41694699的博客
07-11 969
今天我为大家简单介绍一下实验内容。通过下面的拓扑图我想大家一定非常疑惑,疑惑我为什么会在两个内网中间搭建画出一个红色的通道线。这也是我今天实验的重点及目的。首先就是如何确保局域网外之间的信息交流是安全的?又是通过什么办法才能使它们之间通信的信息不被恶意的不法分子所窃取的呢?下面就给大家介绍一种方法。那就是通过IPsec***的路由配置在两个局域网中间的ISP运营商网络(Inetnet公用网络)上搭...
Linux: ipsec :相关
mzhan017的博客
03-04 84
https://www.cisco.com/c/en/us/support/docs/ip/internet-key-exchange-ike/117258-config-l2l.html,推荐strongswan的原因是维护支持好,文档全面,还开源。内核里关于ipsec的实现里,将ip层的错误返回码给挤掉了,所以上层应用在调用sendto的时候,根本获取不到错误信息。需要注意,即使发送成功,也不代表真正的成功。如果从网上去搜索这个产品,相关的信息(使用,调试,问题等等)非常的少,几乎看不到。
Linux加密框架的应用示例(一)
weixin_43916535的博客
10-18 1770
创建哈希算法实例 crypto_alloc_ahash函数 加密框架中的哈希算法可以是同步方式实现的也可以是异步方式实现的,但是算法应用不关注哈希算法的实现方式,关注的是哈希算法提供的算法接口。为实现统一管理,加密框架将哈希算法的外部接口统一定义为异步哈希算法接口。 算法实例是算法应用和加密框架之间的桥梁,算法应用通过算法实例实现算法调用。以哈希算法实例为例,在IPSEC框架的AH协议模块中,协议状态初始化(ah_init_state函数)时,将根据配置的认证算法名(x->aalg->alg
linux网络子系统分析(四)—— INET连接建立API分析之connect/accept
whenloce的专栏
07-21 944
目录 一、概述 二、connect 2.1 connect流程 2.1.1 路由查找 2.1.2connect端口分配 2.1.3 再次查找路由 2.1.4 初始化seq 2.1.5 构造并发送SYN 三、三次握手主要流程 一、概述 主要关注流程,其他如滑动窗口变化等后续文章统一分析。 二、connect connect的函数原型是: int connect(int ...
网络--windows--关闭tcp 减压引擎 offload
我不是庸医
01-09 4835
To increase its performance, the Microsoft TCP/IP transport can offload tasks or connections to a NIC that has the appropriate TCP/IP-offload capabilities. Beginning with Windows Vista, the...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值