Я старый - меня конкуренция не заботит. А виланы нехай VTP крутит.

или на таможню?

Да, но обычно ещё рядом есть блок crypto engine :)

Кто как. Ленивые, но толковые вроде как за ум взялись. А ленивые бестолковые меня не волнуют.

Вот, что пишут в документации для XFRM о HW Offload:

“When ready to send, the driver needs to inspect the Tx packet for the offload information, including the opaque context, and set up the packet send accordingly:

xs = xfrm_input_state(skb);
context = xs->xso.offload_handle;
set up HW for send

The stack has already inserted the appropriate IPsec headers in the packet data, the offload just needs to do the encryption and fix up the header values.”

То есть технически XFRM передаёт skb уже с созданной структурой заголовков. А IPsec Offload Engine уже выполняет криптографические преобразования и обновляет в заголовке поля, требующие этого.

Наверное это как с Украиной. Каждый остаётся при своём. Госслужащий в/на таможне.

Да мне кажется на уровне чуть лучше джуна уже конкуренции особо нет, а уверенных мидллов так точно уже дефицит.

Ну логично, кстати. Хотя, профита по сравнению с чистым crypto engine должно быть не так и много

в\на таможне кончились компьютерные сети?

Да какие ему сети? Вместо того, чтобы патчкорды втыкать он девушек охмурял.

Возможно такой подход позволяет выполнить дальнейшую обработку пакета без участия ядра, а значит и CPU, то есть например IPsec Offload Engine сам через DMA помещает в TX ring пакет.

Но это неточно, просто предполагаю.

Например у Fortigate NPU может обрабатывать IPsec без CPU для tunnel mode SA.

Вот ещё из документации ядра Linux для XFRM Offloading:

“IPsec is a useful feature for securing network traffic, but the computational cost is high: a 10Gbps link can easily be brought down to under 1Gbps, depending on the traffic and link configuration. Luckily, there are NICs that offer a hardware based IPsec offload which can radically increase throughput and decrease CPU utilization. The XFRM Device interface allows NIC drivers to offer to the stack access to the hardware offload.”

«When a packet is received and the HW has indicated that it offloaded a decryption, the driver needs to add a reference to the decoded SA into the packet’s skb. At this point the data should be decrypted but the IPsec headers are still in the packet data; they are removed later up the stack in xfrm_input().

find and hold the SA that was used to the Rx skb:

get spi, protocol, and destination IP from packet headers
xs = find xs from (spi, protocol, dest_IP)
xfrm_state_hold(xs);

store the state information into the skb:

sp = secpath_set(skb);
if (!sp) return;
sp->xvec[sp->len++] = xs;
sp->olen++;

indicate the success and/or error status of the offload:

xo = xfrm_offload(skb);
xo->flags = CRYPTO_DONE;
xo->status = crypto_status;

hand the packet to napi_gro_receive() as usual»

Как итог сетевая карта самостоятельно выполнила операции offload для нас, в потом через вызов NAPI передало skb на обработку ядру.

А уж в компьютерной безопасности совсем хреново.

почему не рекомендуешь?

это точно. наглядных примеров хватает...

ну дык сетивики добавили список кубером и докером и пошли на 300к в девопсы. Вот и разрыв по зп получился

Интересно, а много ли сетевиков заканчивали хоть как-то профильный вуз/шарагу

Так забабахайте опрос :)

У меня для общего развития был курс сетей, где рассказывали что такое брОузер и что в витуху больше ста мегабит не влезет

А ещё чёт про токенринг

заканчивал вышку по телекоммуникациям, и то после этого в полях 4-5 лет работал