FreeBSD 中的 OpenCrypto Framework(OCF)通过一组内核 API 抽象了数据的加密、解密与哈希操作。这些功能由多种加密提供程序驱动,覆盖从软件指令到硬件加速器。
相比 OCF,pfSense Plus 集成了 Intel Multi-Buffer Crypto for IPsec Library(IIMB),作为 AES‑GCM、AES‑CBC 和 ChaCha20‑Poly1305 密码的提供程序。IIMB 通过优化数据处理路径、降低延迟以及提升系统资源利用率,大幅改善了防火墙的 VPN(IPsec、WireGuard)性能。
OPNsense 论坛有一篇贴子,测试表明 pfSense Plus 的 WireGuard 性能比 OPNsense 快 1 倍,分析原因正是两者对 IIMB 支持的差异。
实现机制
减少 CPU 占用率
IIMB 通过减少数据在硬件与软件之间传输时的阻塞延迟,降低了对 CPU 的过度依赖。CPU 可以更专注于 VPN 的加密与解密任务,无需浪费时间等待数据处理。
实现方法:
- 通过 DMA(Direct Memory Access)加速数据传输,减少内核干预次数。
- 避免内核态与用户态之间频繁的上下文切换。
优化多核利用
IIMB 充分利用多核 CPU 的优势,将数据包处理分配到不同核心。这对运行 VPN 服务的 pfSense 防火墙尤为重要,因为 VPN 流量的加解密通常是高计算密集型任务。
多核负载均衡:
- 配合 Intel QuickAssist 技术(如果支持),可加速 AES‑NI 及其他加密算法的处理。
- 在多核 CPU 环境中,通过并行化数据处理减少瓶颈。
提高网络吞吐量
IIMB 优化了网络数据包的转发效率,尤其是在处理大量小数据包时。这对 VPN 性能至关重要,因为 VPN 通信通常会产生大量加密的小数据包。
关键改进:
- 减少数据包在网络接口队列中的等待时间。
- 支持高速网络接口卡(NIC)的硬件加速功能。
提升稳定性和可靠性
IIMB 减少了高负载情况下的网络延迟与丢包率,从而提高了 VPN 的连接稳定性。这对需要持续高带宽的远程访问场景非常重要。
表现:
- 在 VPN 流量高峰期,避免因资源竞争导致的性能下降。
- 保持较低延迟,以支持实时应用(例如 VoIP 和视频会议)。
总结
借助 IIMB,pfSense 防火墙在处理 VPN 流量时可以更高效地利用系统资源,提升加密速度、网络吞吐量与整体连接稳定性。如果硬件支持 Intel QuickAssist 与 AES‑NI,这种优化效果会更加显著。因此,在部署 pfSense 防火墙时,建议选择支持这些特性的硬件以实现最大性能提升。
注意事项
IIMB 是付费支持功能之一(还包括 DCO、多实例管理、ZFS 快照等),仅在 pfSense Plus 中提供,pfSense CE 社区版不包含该功能。
测试报告
觉得内容不错?我要
