Size: a a a

2022 January 10

L

Leo in linkmeup_chat
Я старый - меня конкуренция не заботит. А виланы нехай VTP крутит.
источник

E

Elektronik_Roman in linkmeup_chat
или на таможню?
источник

p

pragus in linkmeup_chat
Да, но обычно ещё рядом есть блок crypto engine :)
источник

L

Leo in linkmeup_chat
Кто как. Ленивые, но толковые вроде как за ум взялись. А ленивые бестолковые меня не волнуют.
источник

RP

Roman Polukhin in linkmeup_chat
Вот, что пишут в документации для XFRM о HW Offload:

“When ready to send, the driver needs to inspect the Tx packet for the offload information, including the opaque context, and set up the packet send accordingly:

xs = xfrm_input_state(skb);
context = xs->xso.offload_handle;
set up HW for send

The stack has already inserted the appropriate IPsec headers in the packet data, the offload just needs to do the encryption and fix up the header values.”

То есть технически XFRM передаёт skb уже с созданной структурой заголовков. А IPsec Offload Engine уже выполняет криптографические преобразования и обновляет в заголовке поля, требующие этого.
источник

L

Leo in linkmeup_chat
Наверное это как с Украиной. Каждый остаётся при своём. Госслужащий в/на таможне.
источник

С

Семён in linkmeup_chat
Да мне кажется на уровне чуть лучше джуна уже конкуренции особо нет, а уверенных мидллов так точно уже дефицит.
источник

p

pragus in linkmeup_chat
Ну логично, кстати. Хотя, профита по сравнению с чистым crypto engine должно быть не так и много
источник

E

Elektronik_Roman in linkmeup_chat
в\на таможне кончились компьютерные сети?
источник

L

Leo in linkmeup_chat
Да какие ему сети? Вместо того, чтобы патчкорды втыкать он девушек охмурял.
источник

RP

Roman Polukhin in linkmeup_chat
Возможно такой подход позволяет выполнить дальнейшую обработку пакета без участия ядра, а значит и CPU, то есть например IPsec Offload Engine сам через DMA помещает в TX ring пакет.

Но это неточно, просто предполагаю.

Например у Fortigate NPU может обрабатывать IPsec без CPU для tunnel mode SA.

Вот ещё из документации ядра Linux для XFRM Offloading:

“IPsec is a useful feature for securing network traffic, but the computational cost is high: a 10Gbps link can easily be brought down to under 1Gbps, depending on the traffic and link configuration. Luckily, there are NICs that offer a hardware based IPsec offload which can radically increase throughput and decrease CPU utilization. The XFRM Device interface allows NIC drivers to offer to the stack access to the hardware offload.”

«When a packet is received and the HW has indicated that it offloaded a decryption, the driver needs to add a reference to the decoded SA into the packet’s skb. At this point the data should be decrypted but the IPsec headers are still in the packet data; they are removed later up the stack in xfrm_input().

find and hold the SA that was used to the Rx skb:

get spi, protocol, and destination IP from packet headers
xs = find xs from (spi, protocol, dest_IP)
xfrm_state_hold(xs);

store the state information into the skb:

sp = secpath_set(skb);
if (!sp) return;
sp->xvec[sp->len++] = xs;
sp->olen++;

indicate the success and/or error status of the offload:

xo = xfrm_offload(skb);
xo->flags = CRYPTO_DONE;
xo->status = crypto_status;

hand the packet to napi_gro_receive() as usual»

Как итог сетевая карта самостоятельно выполнила операции offload для нас, в потом через вызов NAPI передало skb на обработку ядру.
источник

L

Leo in linkmeup_chat
А уж в компьютерной безопасности совсем хреново.
источник

N

Nikolay in linkmeup_chat
почему не рекомендуешь?
источник

E

Elektronik_Roman in linkmeup_chat
это точно. наглядных примеров хватает...
источник

D

Dmitry in linkmeup_chat
ну дык сетивики добавили список кубером и докером и пошли на 300к в девопсы. Вот и разрыв по зп получился
источник

AS

Anton Seregin in linkmeup_chat
Интересно, а много ли сетевиков заканчивали хоть как-то профильный вуз/шарагу
источник

AS

Alexander Shelpyakov in linkmeup_chat
Так забабахайте опрос :)
источник

AS

Anton Seregin in linkmeup_chat
У меня для общего развития был курс сетей, где рассказывали что такое брОузер и что в витуху больше ста мегабит не влезет
источник

AS

Anton Seregin in linkmeup_chat
А ещё чёт про токенринг
источник

И

Ильдар in linkmeup_chat
заканчивал вышку по телекоммуникациям, и то после этого в полях 4-5 лет работал
источник