- IPsec仅支持OS:openEuler 24.03 LTS AArch64。
- Linux内核仅支持IPsec的ESP协议卸载,不支持AH协议卸载。
加密算法
IPsec使用对称加密算法提供数据保密性支持,使用消息认证算法提供数据完整性支持,SP670支持的加密算法和认证算法的组合模式如表1所示。
加密算法(列)/认证算法(行) |
rfc4106(gcm(aes)) |
hmac(sha256) |
hmac(sha384) |
hmac(sha512) |
hmac(sm3) |
|---|---|---|---|---|---|
rfc4106(gcm(aes))_128 |
√ |
||||
rfc4106(gcm(aes))_192 |
√ |
||||
rfc4106(gcm(aes))_256 |
√ |
||||
cbc(aes)_128 |
√ |
√ |
√ |
||
cbc(aes)_192 |
√ |
√ |
√ |
||
cbc(aes)_256 |
√ |
√ |
√ |
||
cbc(sm4) |
√ |
SA/SP
- 支持16K的SA规格。
- 支持16K的SP规格。
- SP与SA之间遵守一一对应关系,即一条SP仅对应一条SA。
- 建立IPsec会话需要在入方向和出方向分别设置SA/SP,即一条会话连接生成2条SP和2条SA,支持最大8K条会话连接。
防重放
- 防重放窗口(replay window)最大可设置为64。
- ESN关闭场景下发送报文上限为232 - 1,在报文达阈值前需要手动重协商。
场景约束
- VXLAN报文支持传输模式下的外层加解密,但不支持VXLAN内层加解密;不支持VXLAN隧道模式的加解密功能。
- NAT-T场景仅支持隧道模式。
虚拟机
在虚拟机场景下,支持直通VF模式,不支持直通PF模式。
性能
单网卡直连场景下,当报文长度不小于4K字节时,整卡TCP协议带宽性能指标达50Gbps。