引言
Intel QuickAssist 是一種能夠顯著加速網路速度的技術。在這篇文章中,我們將深入探討Intel QuickAssist 對IPsec VPN 效能的影響,並分享一些設定和基準測試的技巧。
QuickAssist 硬體與測試設置
在本次評測中,我們使用了先前文章中提到的相同QAT 硬體。我們使用了基於Intel 高階Coleto Creek 8955 晶片組的兩組卡片。我們主要的QAT 加速器是Netgate CPIC-8955。截止到本文撰寫時,這款設備的零售價約為$800,但Netgate 為我們的QAT 測試借用了兩張卡片。 Netgate CPIC-8955 是市場上最高階的「Coleto Creek」 PCIe QAT 加速器,支援高達50Gbps 的QAT 吞吐量。該卡為全高度設計,帶有主動冷卻系統。 Netgate 也為我們提供了技術支持,使我們能夠快速啟動QAT 測試。
Netgate CPIC 8955
其次,我們也使用了Intel 發送的QuickAssist Adapter 8950 卡片。我們已經使用這些卡片一段時間,並將在我們即將發布的文章中進行更深入的測試。這些卡片同樣基於Intel Coleto Creek 8955 晶片組,屬於半高度卡片,需要良好的機箱散熱以確保大型散熱器的氣流。
測試環境
我們首次測試的環境是Dell PowerEdge R930,配置了180 Gbps 的網路和多個QuickAssist 加速器。由於高階QAT 卡的雙10GbE 網路頻寬不足,我們需要至少40GbE 的配置。我們決定採用更接近「真實世界」的設置,而非雙節點配置。
在網路佈局方面,我們使用了STH/DemoEval 實驗室,設置了一個更接近真實環境的系統,儘管我們在測試中使用了40GbE 交換器來代替實際的WAN 連線。我們遵循了Cavium 團隊在測試其產品時所提供的回饋,確保每個網路區段都有不同的交換器。每個40GbE 網路段都配備了自己的40GbE 轉接器,以避免PCIe 頻寬問題。
QuickAssist IPsec VPN 測試結果
測試設定
我們使用雙Intel Xeon E5-2698 V4 機器作為負載產生伺服器,配置了256GB RAM,目標伺服器則使用了quad Intel Xeon E7-8870 V3 系統,配備512GB RAM。 QAT VPN 節點為單一Xeon E5-2650 V3 機器,每台配備128GB RAM 和兩張XL710-QDA2 雙40GbE 卡。我們選擇單CPU 節點以避免NUMA 問題。
在測試中,我們決定專注於驗證Intel 所聲稱的在兩個核心上實現40Gbps 的效能。為了確保QAT 引擎正常運作,我們選擇了支援的加密演算法aes128-sha1-modp1024! 作為我們的IKE/ESP 配置。
測試結果
透過Iperf3 測試,我們成功地驗證了Intel 的數據,儘管我們在某些測試中略低於Intel 實驗室的結果。考慮到我們透過三台交換器、兩個專用VPN 節點和三台測試機器進行測試,我們認為結果在合理的誤差範圍內。如果您正在尋找更高速度的IPsec VPN,QAT 絕對是值得考慮的選項。
QuickAssist 資源
以下是一些幫助STH 團隊設定基準測試的資源:
在這些資源中,Netgate 的支援最為重要,他們的QuickAssist 技術專家幫助我們快速啟動測試。
結論
在高階系統中,由於硬體和軟體成本,核心資源的開銷非常高,QAT 技術可以帶來顯著的優勢。如果您正在建置基於Intel 的IPsec VPN 設備,我們強烈建議您考慮使用QAT 加速器。這些加速器可以釋放CPU 資源用於其他網路任務,或讓您在裝置中配置更低功耗的CPU。我們預計在未來的VPN 設備中將會看到更多基於QAT 的解決方案。
如果您在使用QAT 技術時遇到困難,請尋求專業協助,這將節省您大量時間。隨著我們邁入2017 年,我們期待看到更多基於QAT 和DPDK 的解決方案出現。
