カーネルのXFRM_SUB_POLICYの設定

カーネルのXFRM_SUB_POLICYの設定

Strongswanのパフォーマンスをテストすると、UbuntuサーバーとCentosサーバーのパフォーマンスが非常に異なり、他の側面が同じであることがわかりました。 CONFIG_XFRM_SUB_POLICY 設定が両方のコアで異なることを確認しました。 Ubuntuではこれを無効にし、Centosでは有効にします。私たちは私たちが構築したカーネルでこの機能を無効にし、Ubuntuサーバーと同じパフォーマンスを得ました。この構成がいつ必要なのかを知っている人はいますか?あるディストリビューションではこれを有効にし、他のディストリビューションではアクティブにしないのはなぜですか。

答え1

私が知る限り、これは実験的な機能です。

CONFIG_XFRM_SUB_POLICY:

開発者のための補助金ポリシーをサポートします。サブポリシーをデフォルトポリシーと組み合わせると、同じパケットに両方のポリシーを同時に適用できます。カーネルの寿命が短いポリシーはサブポリシーでなければなりません。

本から抜粋した内容ですLinuxカーネルネットワーキング:

タイプ:通常、タイプはXFRM_POLICY_TYPE_MAIN(0)です。カーネルがサブポリシーをサポートしている場合(CONFIG_XFRM_SUB_POLICYが設定されている場合)、同じパケットに2つのポリシーを適用でき、XFRM_POLICY_TYPE_SUB(1)タイプを使用できます。カーネルの寿命が短いポリシーはサブポリシーでなければなりません。 IPsecには1つのポリシーを適用し、モバイルIPv6には1つのポリシーを適用できるため、この機能は通常開発者/デバッグおよびモバイルIPv6にのみ必要です。 IPsecポリシーは通常マスターポリシーであり、モバイルIPv6(サブ)ポリシーよりも寿命が長くなります。

Ubuntuカーネルでは無効になり、CentOSカーネルでは有効になる理由がわかりません。

関連情報