[atnog] 10G IPsec

Gernot Nusshall gernot at nusshall.com
Thu Nov 18 15:17:25 CET 2021


Hi,

ja, ich hatte vor einiger Zeit in einem Laborsetup die Möglichkeit das mit Erfolg zu testen. Wir hatten NVIDIA Bluefield-2 SmartNICs [1] und Dell R7525 mit AMD Epyc Prozessoren im Einsatz, die Server waren via den SmartNICs back-to-back verkabelt. Das weitere Setup und die Konfiguration war relativ ähnlich mit dem Aufbau im RedHat Blog [2], das Crypto Setup bzw. das HW Offload Setup ist mittlerweile relativ gut dokumentiert [3][4] und die Treiber/Firmware sind seit Q2/21 tatsächlich stabil.

LG
Gernot

[1] NVIDIA BlueField-2 Datasheet
[2] Optimizing server utilization in datacenters by offloading network functions to NVIDIA BlueField-2 DPUs (redhat.com)
[3] IPsec Crypto Offload - MLNX_OFED v5.4-3.0.3.0 - Mellanox Docs
[4] IPsec Functionality - BlueField DPU SW Manual 3.6.0.11699 - Mellanox Docs

 ______________________________________________________________________________
From: Markus Rambossek <m.rambossek at netplanet.at>
Sent: Wednesday, 17 November 2021, 15:39
To: atnog at atnog.at
Subject: [atnog] 10G IPsec 
Hi,
Die Antwort(en) würden mich auch sehr interessieren - ich hatte noch keine zeit für hardcore benchmarks mit wireguard, momentan wäre das mein "first tool of choice" für sowas in die richtung, aber ich denke da gibts und wirds auch bald nix geben mit hardware-beschleunigung dafür. wobei meine hoffnung wäre, das das mit noch-commodity-hardware in der geschwindigkeit vlt machbar ist.
sorry für die nichtantwort. :)
lg,
MarkusOn 17.11.2021 15:14, Klaus Darilion wrote:Hallo!

Hat jemand Erfahrung mit 10G encryption? Wir würden gerne auf einer 10G WAN Leitung Verschlüsselung verwenden und diese Leitung bei MTU 1500 voll ausfahren.

Wir haben diverse Linux Tests gemacht: IPsec, IPsec mit Intel-QAT Cryptooffload Karte, Wireguard, Linux Macsec 
Aber wir sind nie über 5GBit gekommen (single SA, da Source/Ziel IP konstant sind).

Da unsere Juniper Switches, welche diesen WAN-Link befüllen, kein MACsec unterstützen scheidet das vorerst aus, da wir nicht die teuren Switches wegwerfen wollen.

Habt ihr Ideen was wir machen können? Hat schon mal jemand NICs mit crypto-offload verwendet und damit 10g geschafft? Wenn ja, welche NICs?

Danke
Klaus

_______________________________________________
atnog mailing list
atnog at atnog.at
https://atnog.at/mailman/listinfo/atnog
--
RAMBOSSEK MarkusNETPLANET GmbH
Louis-Häfliger-Gasse 10
1210 Wien
FN 339937 h, HG Wien

E-Mail: m.rambossek at netplanet.at
Tel:    +43 1 / 3430343
Fax:    +43 1 / 3430343-800
 Important Note: This e-mail and any attachment are confidential and may contain trade secrets and may be otherwise protected from disclosure. If you have received it in error, you are on notice of its status. Please notify us immediately by reply e-mail and then delete this e-mail and any attachment from your system. If you are not the intended recipient please understand that you must not copy this e-mail or any attachment or disclose the contents to any other person.
Wichtiger Hinweis: Dieses E-Mail und etwaige Anlagen können Betriebs- oder Geschäftsgeheimnisse oder sonstige vertrauliche Informationen enthalten. Sollten Sie dieses E-Mail irrtümlich erhalten haben, ist Ihnen der Status dieses E-Mails bekannt. Bitte benachrichtigen Sie uns in diesem Fall sofort durch Antwort-Mail und löschen Sie dieses E-Mail nebst etwaigen Anlagen von Ihrem System. Ebenso dürfen Sie dieses E-Mail oder seine Anlagen nicht kopieren oder an Dritte weitergeben. 


 
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://atnog.at/pipermail/atnog/attachments/20211118/383a897c/attachment.htm>


More information about the atnog mailing list