Необходимость настройки параметров с целью оптимизации IPsec обработки сетевого трафика на многопроцессорных системах, может быть вызвана особенностями аппаратного устройства системы, оптимизацией под определенный характер сетевого трафика, оптимизацией под характеристики сетевых интерфейсов и канала связи.

На рисунке ниже представлена схема параллельной обработки трафика в Linux.

 

Рисунок 1

 

После получения, пакет преобразуется к внутреннему формату. Проверяется, нет ли превышения размера рабочей очереди или очереди отправки. При положительном результате проверки, пакет помещается в рабочую очередь и очередь отправки.

Пакеты забираются из рабочей очереди несколькими нитями обработчика одновременно. Происходит фильтрация и криптографическая обработка. Если дальнейшая обработка пакета признана невозможной, пакет изымается из очереди отправки и удаляется.

Пакет отмечается в очереди отправки как готовый (при работе с очередью отправки производится 3 операции - включение в очередь, разрешение отправки, извлечение из очереди; для рабочей очереди операции две - включение в очередь, извлечение из очереди).

В контексте одной из нитей-обработчиков происходит извлечение пакетов из очереди отправки и выполняются действия, связанные с маршрутизацией и дальнейшей отправкой пакета.