内核ipsec转发优化方法

 

主要优化点就是利用多核SMP的并行能力。

 

方法一： pcrypt

提高ipsec多核并行能力的优化方法之一

（实验了一下： 完全不行） 

 

方法二： 每CPU SA

https://docs.strongswan.org/docs/latest/features/per-cpu-sas.html

https://datatracker.ietf.org/doc/html/rfc9611

 

方法三：创建多隧道

然后配置网卡rss + CPU/中断/rps/rfs绑定

 

方法四：升级内核到4.19

内核4.19以后，有如下收益：

1 xfrm框架被重构，主要解决SMP多CPU性能问题。

2 可能不需要创建多隧道也能利用多核并行能力了？

3 新增xfrm类型的interface，可以替换vti模式。会有更多好处？