Intel QuickAssist Technology (QAT) und OPNsense

[micneu]

Moin, wird QuickAssist Technology (QAT) von OPNsense unterstützt (z. B. OpenVPN, IPSec, WireGuard)?
Ich habe gerade einen  Artikel (aus 2019) gelesen über die Xeon D-16XX.
https://www.hardwareluxx.de/index.php/news/hardware/prozessoren/49111-intels-xeon-d-1600-hewitt-lake-bietet-viel-leistung-auf-engstem-raum.html
Ich zitiere mal warum ich Frage:

Um über die Netzwerkschnittstellen auch eine Verschlüsselung anbieten zu können, verbaut Intel seine QuickAssist Technology (QAT) für alle erdenklichen Verschlüsselungstechnologien, Schlüsselgeneration und Kompressionsverfahren (maximal 30 GBit/s Durchsatz und 30.000 OPS insgesamt). Die 30 GBit/s sollen beispielsweise für SSL und IPSec erreicht werden.

Was bring mehr bei OPNsense:
- mehr Kerne?
- Prozessor Takt (GHz) mein Gefühl ist, mehr Takt?

Was sagen die Netzwerkprofis hier?
Für 10GBit Verschlüsselten Netzwerkverkehr was setzt ihr an Hardware ein (OpenVPN)?

[mimugmail]

OpenVPN kommst du nicht über 1Gbit mit 3,5Ghz Xeon und dann bitte nur E und nicht D. Wenn du n altes Board ojne Microcode Updates hast geht grad noch 1,5 Gbit.
Ansonsten halt IPsec mit AES Gcm, ich glaub 6Gbit.

[JeGr]

> Was bring mehr bei OPNsense:
> - mehr Kerne?
> - Prozessor Takt (GHz) mein Gefühl ist, mehr Takt?

Was bringt mehr für was? Was ist der Wunsch? Wenn der Wunsch Performance um jeden Preis ist, muss man sehen was gefordert ist und dementsprechend die Hardware planen. Wenn man Tunnel mit OVPN macht, weiß man vorab, dass OVPN Einschränkungen hat was SingleCore etc. angeht. Und wenn ich dann einen spezifischen Tunnel mit mega Performance brauche, ist die Frage ob ich sonst da noch viel weiteres mit machen muss (großartig Routen, flexibel irgendwo hin abzweigen etc.). Wenn ich kein Policy Routing, extended NATting o.ä. brauche und an beiden Seiten ggf. ne Sense steht, dann kann ich auf IPsec (ggf. mit VTI bei Routing) umswitchen und die CPU um einiges besser ausnuckeln als eben bei OVPN was immer noch im Userland läuft und an manchen Stellen SingleCore. Ich hatte aber tatsächlich noch nie den Fall (außer in großer Carrier Umgebung), dass irgendwer 10G-encrypted-Performance abrufen wollte. Das wäre dann eh ein spezieller Fall wo man genau schauen müsste, warum, muss das? und an welchen Stellen benötigt. Und dann würde an der Stelle ggf. auch notfalls entweder große HW stehen oder notfalls dann eben andere Software, die besser mit genau dem Szenario klar kommt. Zudem kommt die Frage dazu welche Art von Traffic ich habe, da hier die PPS ins Spiel kommen. Schiebe ich tausende kleine/kleinst-Pakete pro Sekunde oder eher ständig maximal große Pakete über konstante Datenverbindungen. UDP Storm vs. TCP Flow. Je nachdem fällt das Zeitkontingent der CPU fürs Processing anders aus, weshalb auch andere Hersteller hier nicht mehr (nur) Mbps/Gbps an Durchsatz, sondern eher PPS für Pakete pro Sekunde für den Durchsatz angeben.
Ich denke da gibt es einen alten Reddit Post von Netgate über die PPS Szenarien und wenn ich die Zahlen noch grob im Kopf habe, waren das für max-size Packages und 10Gbps so ungefähr 800k pps die geschoben werden müssen (bei 1538er packet size)  gegenüber Kleinstpaketen mit ~90Byte was rechnerisch auf ~15M pps hochschnalzt. Man hat also ungefähr Faktor 15 Unterschied nur durch Payload.

Man muss am Ende ja immer sehen, dass man nicht nur HW sondern auch SW nach Bedarf wählt. Und wenn High-Performance-Standort Routing der Hauptpunkt ist weil ich - k.A. Datacenter Verschaltung oder 10/40G - Cloud Interconnect bauen will, dann muss ich ggf. eben auch das passende Produkt dazu wählen und im Vorfeld schauen, ob das machbar ist ohne an massive Grenzen zu stoßen. Es hat ja einen Grund, warum DPDK, QuickAssist und Co. existieren :)