Reduce idle CPU usage in virtualized environment

• kern.hz=100 in /boot/loader.conf.local

virtio

• System > Advanced > Networking : cocher la case "Disable hardware checksum offload" puis rebooter.

AES NI

• Baremetal : le cpu doit le supporter
• VM : le cpu de l'hôte doit le supporter, et l'activer sur la vm : Proxmox cpu performance
• Vérifier le support des instructions aes : dmesg | grep Features
• Dans System > Advanced > Miscellaneous tab : Cryptographic Hardware a définir a aes-ni
• vérifier le support : /usr/bin/openssl engine -t -c
• openvpn : utiliser aes-128-cbc, pas besoin de selectionner de "Hardware Crypto" (passe par openssl)
• ipsec : utiliser AES-GCM

Performance sans aesni avec IPsec (AES-128-GCM / sha256 / dh4096) :

[  5]   0.00-10.06  sec   256 MBytes   213 Mbits/sec  341             sender
[  5]   0.00-10.06  sec   253 MBytes   211 Mbits/sec                  receiver

Performance avec aesni avec IPsec (AES-128-GCM / sha256 / dh4096) :

[  5]   0.00-10.05  sec   631 MBytes   527 Mbits/sec  352             sender
[  5]   0.00-10.05  sec   629 MBytes   525 Mbits/sec                  receiver

Activer Trim

tunefs -p /dev/ufsid/572a25794af32f5e

Recherchez la ligne trim. Si elle indique enabled tout est bon, sinon, continuez à lire.

Redémarrer pfsense en single-user. Vous pouvez le faire soit depuis le bootloader, soit depuis la console à l'interface texte de pfsense en sélectionnant l'option 5 puis S.

A l'invite demandant de définir le shell, tapez enter puis :

tunefs -t enable /dev/ufsid/572a25794af32f5e
reboot