在测试strongswan性能时,我们发现ubuntu服务器和centos服务器的性能相差很大,其他方面都一样。我们注意到两个内核上的 CONFIG_XFRM_SUB_POLICY 设置不同。 Ubuntu 禁用了它,centos 启用了它。我们在构建的内核上禁用了此功能,并获得了与 ubuntu 服务器相同的性能。有谁知道什么时候需要这个配置?为什么一个发行版启用了它,而另一个发行版却没有?
答案1
据我所知,这是一个实验性功能。
CONFIG_XFRM_SUB_POLICY:
对开发者的支持补贴政策。通过将子策略与主策略结合使用,可以同时将两个策略应用于同一个数据包。在内核中生存时间较短的策略应该是一个子策略。
这是书上的摘录Linux 内核网络:
type:通常类型为 XFRM_POLICY_TYPE_MAIN (0)。当内核支持子策略(设置了 CONFIG_XFRM_SUB_POLICY)时,可以将两个策略应用于同一个数据包,并且可以使用 XFRM_POLICY_TYPE_SUB (1) 类型。在内核中生存时间较短的策略应该是子策略。通常只有开发人员/调试和移动 IPv6 才需要此功能,因为您可能为 IPsec 应用一项策略,为移动 IPv6 应用一项策略。 IPsec 策略通常是主策略,其生命周期比移动 IPv6(子)策略更长。
我不知道为什么它在Ubuntu内核中被禁用并在CentOS内核中启用。