EdgeRouter - 하드웨어 오프로딩¶
download at 2017-10-18T22:03:56Z origin
Overview
이 문서는 하드웨어 오프로딩의 기능, 이익, 구현에 대하여 서술합니다.
Note
1.9.1 버전부터 모든 EdgeRouter가 하드웨어 오프로딩을 지원합니다.
Table of Contents
오프로딩
오프로딩은 성능을 소프트웨어를 사용하여 높이는 것보다 하드웨어를 직접 사용하여 라우터의 기능을 사용하는 기법입니다. EdgeOS에서 오프로드를 활성화함으로 얻는 이익은 성능 향상과 CPU의 성능에 구애받지 않고 처리량을 증가할 수 있습니다.
오프로드로부터 얻는 이익의 예제는 ER-Lite와 1GB ISP연결을 사용하는 예제입니다. 기본으로 NAT를 사용하여 모든 트래픽이 CPU로 처리하고, 처리량은 300Mbps 정도로 제한됩니다. IPv4 포워딩을 활성화하여 NAT 프로세스의 오프로드를 허용하면, 처리량은 950Mbps 까지 증가할 수 있습니다.
Note
EdgeOS 환경설정을 펌웨어 업그레이드 할 떄 변경하지 않도록 하기 위해서는 모든 라우터에 오프로딩 기능이 비활성화 되어야 합니다. 그러므로, 최고의 성능을 가능하게 하기 위해서는 해당 기능을 설정해야합니다.
현재의 일부 프로세스는 하드웨어 오프로딩에서 이득을 얻지 못하고 있습니다. 브릿지 된 인터페이스에서의 트래픽은 ER-Lite, ER-Poe, ER-8, ER-PRO, EP-R8에서 오프로딩 기능을 사용할 수 없습니다. 이 장비가 하드웨어 스위치 칩을 포함하였더라도 브릿지 오프로드 기능은 지원하는 경우가 거의 없습니다. 또한 netflow, 혹은 트래픽 조작 (스마트 큐, 기본 큐, 고급 큐)이 활성화 되었다면 오프로딩은 사용하지 않게 됩니다.
아래의 테이블은 각 플랫폼마다 지원하는 오프로딩에 대하여 요약한 내용입니다.
DEVICES
ER-Lite, ER-PoE, ER-8, ER-Pro, EP-R8, ER-Infinity
ER-X, ER-X-SFP, EP-R6
오프로드를 지원하는 기능
DPI, NAT, VLAN, GRE, PPPOE
브릿지 설정을 적용한 인터페이스, DPI, NAT, VLAN, GRE, PPPOE
오프로딩을 지원하지 않는 기능
Bridge Interfaces, Traffic Shaping (QoS), Netflow
트래픽 조작 (QoS), Netflow
IPsec 오프로딩
IPsec 오프로드는 ESP 트래픽을 오프로딩하여 IPsec 터널의 처리량을 항샹하여 효과적으로 IPsec 성능 향상을 제공할 수 있습니다. ESP 트래픽은 실제 데이터이며 IKE 트래픽에 대하여 오프로드 기능은 적용되지 않습니다. 모든 알고리즘이 IPsec 오프로드에 적합한 것은 아닙니다. 플랫폼에 따라 다르며, 차이점은 아래와 같습니다.
ER-X, ER-X-SFP, EP-R6 플랫폼:
오프로딩 가능한 ESP 암호화 알고리즘: 3des, aes128, aes256
오프로딩 가능한 ESP 해싱 알고리즘: md5, sha1, sha255
오프로딩과 호환하지 않는 ESP 암호화 알고리즘: aes128gcm, aes256gcm128
오프로딩과 호환하지 않는 ESP 해싱 알고리즘: sha384, sha512
지원하지 않는 IKE 암호화 알고리즘: aes128gcm128, aes256gcm128 (더 세부적으로는 이 알고즘들은 ER-X 플랫폼의 IKE에서 지원하지 않습니다.)
모든 IKE 해싱 알고리즘 설정 옵션은 지원합니다.
ER-Lite, ER-PoE, ER-8 ER-Pro, EP-R8, ER-Infinity 오프로딩 지원:
오프로딩을 지원하는 ESP 암호화 알고리즘: 3ces, aes128, aes256
오프로딩을 지원하는 ESP 해싱 알고리즘: md5, sha1
오프로딩과 호환하지 않는 ESP 암호화 알고리즘: aes128gcm128, aes256,gcm128 (세부적으로는 ER-X 플랫폼과 오프로딩 설정은 가능하지만 사용하지 않습니다.)
오프로딩과 호환하지 않는 ESP 해싱 알고리즘: sha256, sha384, sha512 (구체적으로는 ER-X 플랫폼과 달리, IPsec 오프로딩은 활성화 할 수 있지만, 사용하지 않습니다.)
모든 IKE 암호화, 해싱 알고리즘 설정 옵션을 지원합니다.
오프로드 환경설정 옵션
아래는 각 플랫폼에서 활성화한 오프로드를 찾는 명령어 입니다. IPv4에 포워딩을 가능하게 하는 것은 (또는 ER-X 플랫폼의 hwnat) NAT 기능 오프로드 만큼 많이 사용합니다.
GRE, PPPoE, VLAN의 다른 명령어는 특정 기능을 사용할 때만 필요하지만, 이들을 활성화 하는 것은 사용하지 않을 떄처럼 부정적인 효과를 발생하지 않습니다.
아래의 명령어는 CLI의 구성 모드의 명령어 입니다. "commit", "save"를 통해서 변경 내역이 리붓 이후에도 지속되도록 하십시오.
ER-Lite, ER-PoE, ER-8, ER-Pro, EP-R8, ER-Infinity
IPv4:
set system offload ipv4 forwarding enable
set system offload ipv4 gre enable
set system offload ipv4 pppoe enable
set system offload ipv4 vlan enable
IPv6:
set system offload ipv6 forwarding enable
set system offload ipv6 pppoe enable
set system offload ipv6 vlan enable
Note
현재는 IPv6의 PPoE, VLAN 오프로딩을 동시에 지원하지 않습니다.
IPsec:
set system offload ipsec enable (this requires a reboot to become active)
ER-X, ER-X-SFP, EP-R6
hwnat:
set system offload hwnat enable
IPsec:
set system offload ipsec enable (this requires a reboot to become active)
트러블 슈팅
오프로딩이 다음 명령어를 사용하여 CLI 운용 모드에서 활성화되어 있는지 먼저 확인해 보십시오.
admin@ubnt:~$ show ubnt offload
IP offload module : loaded
IPv4
forwarding: enabled
vlan : enabled
pppoe : disabled
gre : disabled
IPv6
forwarding: enabled
vlan : enabled
pppoe : disabled
IPSec offload module: loaded
Traffic Analysis :
export : enabled
dpi : enabled
이 명령어는 환경설정에 오프로드가 적용되어 있는지 여부를 확인합니다:
admin@ubnt# show system offload
hwnat disable
ipv4 {
forwarding enable
vlan enable
}
라우터에 많은 량의 데이터가 유입될 때 트래픽이 오프로드 되지 않는다면 CPU 사용량이 증가하는 것을 관찰할 수 있습니다. 트래픽 오프로딩 기능이 활성화 된다면, CPU 부하는 이전과 동일할 것입니다.
iPerf와 같은 도구를 사용하는 것은 부하를 테스트하는 일반적인 도구입니다. EdgeRouter 장비를 iPerf의 서버나 클라이언트로 사용하지 말아야 합니다. 해당 장비는 트래픽을 라우팅하기 위해 존재하는 것이지, 트래픽을 생성하기 위한 장비가 아닙니다. 가장 좋은 성능 테스팅은 PC와 같은 다른 장비를 사용하여 트래픽을 생성하는 것입니다.
관련 문서