« Pfsense » : différence entre les versions
Aller à la navigation
Aller à la recherche
Aucun résumé des modifications |
(→AES NI) |
||
| Ligne 18 : | Ligne 18 : | ||
* ipsec : utiliser AES-GCM | * ipsec : utiliser AES-GCM | ||
Performance sans | Performance sans aesni avec IPsec (AES-128-GCM / sha256 / dh4096) : | ||
<pre> | <pre> | ||
[ 5] 0.00-10.06 sec 256 MBytes 213 Mbits/sec 341 sender | [ 5] 0.00-10.06 sec 256 MBytes 213 Mbits/sec 341 sender | ||
[ 5] 0.00-10.06 sec 253 MBytes 211 Mbits/sec receiver | [ 5] 0.00-10.06 sec 253 MBytes 211 Mbits/sec receiver | ||
</pre> | </pre> | ||
Performance avec aesni avec IPsec (AES-128-GCM / sha256 / dh4096) : | |||
<pre> | <pre> | ||
[ 5] 0.00-10.05 sec 631 MBytes 527 Mbits/sec 352 sender | [ 5] 0.00-10.05 sec 631 MBytes 527 Mbits/sec 352 sender | ||
[ 5] 0.00-10.05 sec 629 MBytes 525 Mbits/sec receiver | [ 5] 0.00-10.05 sec 629 MBytes 525 Mbits/sec receiver | ||
</pre> | </pre> | ||
Version du 2 novembre 2018 à 13:19
Reduce idle CPU usage in virtualized environment
- kern.hz=100 in
/boot/loader.conf.local
virtio
- System > Advanced > Networking : cocher la case "Disable hardware checksum offload" puis rebooter.
AES NI
- Baremetal : le cpu doit le supporter
- VM : le cpu de l'hôte doit le supporter, et l'activer sur la vm : Proxmox cpu performance
- Vérifier le support des instructions aes :
dmesg | grep Features - Dans System > Advanced > Miscellaneous tab : Cryptographic Hardware a définir a aes-ni
- vérifier le support :
/usr/bin/openssl engine -t -c - openvpn : utiliser aes-128-cbc, pas besoin de selectionner de "Hardware Crypto" (passe par openssl)
- ipsec : utiliser AES-GCM
Performance sans aesni avec IPsec (AES-128-GCM / sha256 / dh4096) :
[ 5] 0.00-10.06 sec 256 MBytes 213 Mbits/sec 341 sender [ 5] 0.00-10.06 sec 253 MBytes 211 Mbits/sec receiver
Performance avec aesni avec IPsec (AES-128-GCM / sha256 / dh4096) :
[ 5] 0.00-10.05 sec 631 MBytes 527 Mbits/sec 352 sender [ 5] 0.00-10.05 sec 629 MBytes 525 Mbits/sec receiver