Анализ производительности и варианты оптимизации strongSwan

Чтобы избежать конфликта маршрутов (особенно при использовании виртуальных IP-адресов), плагин kernel-netlink настраивается под анализ таблиц маршрутизации хоста для определения подходящего исходного адреса при отправке IKE-пакетов. Однако на хостах с (очень) большим количеством маршрутов данный способ может быть неэффективен. В таком случае рекомендуется настроить параметр charon.plugins.kernel-netlink.fwmark в конфигурации strongswan.conf, что позволит более эффективно определять исходный адрес.

Для обнаружения изменений в подключении strongSwan анализирует информацию о процессах, отправляемую ядром при установлении или удалении маршрута, что может создавать высокую нагрузку на центральный процессор, например, при работе на системе, обрабатывающей большое количество маршрутов методом динамической маршрутизации. Обнаружение изменений подключений можно отключить, установив параметр charon.process_route = no в strongswan.conf.

Если Вы используете протокол IPv6, убедитесь, что при необходимости данные смогут передаваться в обход трафика протокола Neighbor Discovery Protocol (NDP). Также при туннелировании трафика могут возникнуть проблемы, связанные с максимальным размеров пакета и максимальным размером полезной нагрузки (Maximum Transmission Unit/Maximum Segment Size, или MSS/MTU). Подробнее см. в разделе «Перенаправление трафика и раздельное туннелирование».

Следующая страница: Справочник strongSwan.