2. XDP Accelerator¶
Durch die Kombination von XDP (eXpress Data Path) und eBPF (extended Berkeley Packet Filter) kann ein Programm geschrieben werden, das die Filterung des Netzwerkverkehrs an den NIC-Treiber (Network Interface Card) auslagert, um eine blitzschnelle Paketverarbeitung zu ermöglichen. Das eBPF-Programm wird direkt an den NIC-Treiber angehängt, um Netzwerkdaten auf einer sehr niedrigen Ebene zu verarbeiten. eBPF wird zur Implementierung der Netzwerkverkehrslogik verwendet.
Dies ermöglicht die Verarbeitung von Netzwerkdaten direkt im NIC-Treiber, ohne dass die Daten den gesamten Linux-Kernel durchlaufen müssen, was zu einer schnelleren Verarbeitung und besseren Leistung führt.
VT AIR XDP ist ein Add-on zu nftables und beschleunigt Verbindungen um einen Faktor 5, nachdem sie von den Firewall-Regeln bestätigt und zugelassen wurden. Dies ermöglicht den traditionellen und umfassenden Schutz von nftables und die Geschwindigkeit von XDP - das Beste aus beiden Welten.
Unser VTAIR XDP/eBPF-Offloader ist ein leistungsstarkes Tool, das eine Vielzahl von Netzwerkverkehrsszenarien bewältigen kann. Er unterstützt sowohl TCP- als auch UDP-Datenverkehr, die beiden gängigsten Protokolle im Internet. Das bedeutet, dass der Offloader eine breite Palette von Anwendungen wie Webbrowsing, Dateiübertragungen und Videostreaming verarbeiten kann.
Darüber hinaus kann VT AIR XDP SNAT (Source Network Address Translation), DNAT (Destination Network Address Translation) und Routing verarbeiten. SNAT und DNAT sind Techniken zur Änderung der Quell- bzw. Zieladressen von Netzwerkpaketen, während Routing die Funktion ist, die die Pakete zwischen verschiedenen Netzwerken weiterleitet. Durch die Unterstützung dieser Funktionen bietet unser Offloader flexible und leistungsstarke Netzwerk-Filterfunktionen.
VT AIR XDP unterstützt auch VLAN (Virtual LAN), QinQ (Dual Tagged VLAN) und PPPoE (Point-to-Point Protocol over Ethernet) Verbindungen.
2.1. VT AIR XDP Speedups¶
Wir haben unser VT AIR XDP gegen eine normale nftables-Firewall getestet. Für den Test haben wir drei verschiedene Geräte auf drei verschiedenen Architekturen verwendet.
Gerät |
CPUs |
NFTables pps |
VT AIR XDP pps |
Speedup |
VT AIR 100 (armhf) |
2x Cortex v7 |
146 Kpps |
775 Kpps |
5,3 |
VT AIR 600 (arm64) |
4x A72 |
594 Kpps |
2840 Kpps |
4,8 |
VT AIR 500 (x86) |
4x Intel Atom C3558 |
659 Kpps |
3192 Kpps |
4,8 |
2.2. VT AIR XDP DDoS-Schutz¶
VTAIR XDP ist auch in der Lage, DDoS-Verkehr mit sehr hohen Raten zu blockieren. Dies ist eine wichtige Fähigkeit für Netzwerke, die einem hohen Risiko von DDoS-Angriffen ausgesetzt sind, wie z. B. Hosting-Umgebungen oder kritische Infrastruktur, beliebte Websites oder andere hochwertige Ziele. Durch den Einsatz unseres Offloaders zum Blockieren von DDoS-Angriffen können Netzwerkbetreiber einen reibungslosen Betrieb ihrer Netzwerke sicherstellen und kostspielige Ausfallzeiten vermeiden.