Strongswanのパフォーマンスをテストすると、UbuntuサーバーとCentosサーバーのパフォーマンスが非常に異なり、他の側面が同じであることがわかりました。 CONFIG_XFRM_SUB_POLICY 設定が両方のコアで異なることを確認しました。 Ubuntuではこれを無効にし、Centosでは有効にします。私たちは私たちが構築したカーネルでこの機能を無効にし、Ubuntuサーバーと同じパフォーマンスを得ました。この構成がいつ必要なのかを知っている人はいますか?あるディストリビューションではこれを有効にし、他のディストリビューションではアクティブにしないのはなぜですか。
答え1
私が知る限り、これは実験的な機能です。
CONFIG_XFRM_SUB_POLICY
:
開発者のための補助金ポリシーをサポートします。サブポリシーをデフォルトポリシーと組み合わせると、同じパケットに両方のポリシーを同時に適用できます。カーネルの寿命が短いポリシーはサブポリシーでなければなりません。
本から抜粋した内容ですLinuxカーネルネットワーキング:
タイプ:通常、タイプはXFRM_POLICY_TYPE_MAIN(0)です。カーネルがサブポリシーをサポートしている場合(CONFIG_XFRM_SUB_POLICYが設定されている場合)、同じパケットに2つのポリシーを適用でき、XFRM_POLICY_TYPE_SUB(1)タイプを使用できます。カーネルの寿命が短いポリシーはサブポリシーでなければなりません。 IPsecには1つのポリシーを適用し、モバイルIPv6には1つのポリシーを適用できるため、この機能は通常開発者/デバッグおよびモバイルIPv6にのみ必要です。 IPsecポリシーは通常マスターポリシーであり、モバイルIPv6(サブ)ポリシーよりも寿命が長くなります。
Ubuntu
カーネルでは無効になり、CentOS
カーネルでは有効になる理由がわかりません。