Что это такое?

Это аппаратные и программные ускорители.

Зачем это нужно?

Для повышения производительности обработки трафика на устройстве.

Как это настроить?

Application-Specific Forwarding (ASF) — по существу, разновидность коммутации 4 уровня, которая используется вместо традиционной маршрутизации пакетов в ядре Linux. В зависимости от конкретной модели, может быть реализовано чисто программным образом, либо с использованием специализированных аппаратных компонент.

Суть технологии состоит в выделении устоявшихся потоков пакетов TCP или UDP между двумя хостами. Первый пакет маршрутизируется традиционным образом; после этого все пакеты с данным сочетанием МАС-адресов, IP-адресов и портов TCP/UDP источника и назначения коммутируются по тому же маршруту, что и первые. По существу, меткой для коммутации в данном случае является вся совокупность заголовков 2, 3 и 4 уровней. (Говоря более строго — хэш от неё.) Аналогично устанавливается второй путь коммутации для пакетов, передаваемых в обратном направлении.

Технология ASF, таким образом, заменяет собой маршрутизацию пакетов IP. Она также взаимодействует с процедурой отслеживания потоков (CONNTRACK), поэтому совместима:

• с операциями NAT.
• с фильтрами, но только по первому пакету. Например, если пакеты с определённым сочетанием IP-адресов и портов TCP/UDP должны уничтожаться, то первый пакет будет уничтожен обычным образом между процедурами маршрутизации, а все последующие будут уничтожены в рамках ASF. Но если фильтр ищет в пакетах, например, конкретные последовательности байт (типа porn), а в первом пакете их нет — то все последующие пакеты данного потока будут проходить через ASF, минуя фильтр.

Другие алгоритмы обработки транзитных пакетов IP (например, mangle) не поддерживаются; пакеты, которые подпадают под такие правила, обрабатываются традиционным образом, т.е. через маршрутизацию.

Выигрыш при использовании ASF варьируется в зависимости от конкретной модели устройства, а именно, от архитектуры и типа процессора.

ПРИМЕЧАНИЕ. ASF работает только с протоколами TCP и UDP. Пакеты с любыми другими протоколами 4 уровня (ESP, AH, GRE и др.) маршрутизируются обычным образом. Исключением является трафик IPSec NAT–T, т.е. с инкапсуляцией ESP или AH поверх UDP; он обрабатывается как трафик UDP.

ПРИМЕЧАНИЕ. ASF работает только с реальными потоками данных 4 уровня. Некоторые популярные тестеры и программы для измерения производительности генерируют потоки пакетов, в которых только в заголовке IP в поле "протокол" указывается TCP или UDP, а далее следует случайное заполнение — в т.ч. в тех последующих байтах, которые воспринимаются как заголовок 4 уровня. С точки зрения ASF, такие пакеты не образуют поток (поскольку номера портов источника и назначения в каждом пакете оказываются разными) и обрабатываются традиционным образом. Результаты тестирования в этом случае будут некорректными.

ASF может быть реализована чисто программным образом на всех типах устройств. Помимо этого, она может задействовать следующие аппаратные компоненты, если они имеются на борту:

• Data Path Acceleration Architecture (DPAA) — аппаратная реализация подсчёта хэша от заголовков 2–4 уровней. Подробнее см. в справке по узлу dpaa.
• Криптосопроцессоры — выделенные процессоры для операций, связанных с защитой данных. Подробнее см. в справке по узлу sec.

Обе или одна из них имеются в старших процессорах семейства Freescale/NXP QorIQ. Их наличие является дополнительной возможностью и не исключает использование ASF в чисто программном режиме. В зависимости от конструкции конкретной модели, оба типа аппаратных ускорителей могут поддерживаться или не поддерживаться на определённых портах.

ПРИМЕЧАНИЕ. Криптосопроцессоры работают только с локально входящими и исходящими пакетами. На прохождение транзитного защищённого трафика они не влияют.

Что делать, если это не работает?

1. Смотреть статистику и отладку по каждой подсистеме и по всей системе ускорителей в целом.
2. Консультироваться со службой технической поддержки NSG.