High Performance Network Adapters and Drivers in Windows

Windows 2000 Network Task Offload

Contents:: TCP/IP Task Offload in NDIS 5.0; Checksum Offload; TCP Segmentation Offload; IPSec Offload; Notes on TCP/IP Offload Tasks
See also:: NDIS DDK Driver Sample for Fast Forward Path Support

NDIS(Network Driver Interface Specification) 태스크 오프로드 능력은 마이크로소프트의 윈도우즈 2000DDK에 문서화되어 있다. 이 글은 NDIS 5.0의 태스크 오프로드에 대한 정보를 제공한다.

NDIS 5.0에서 TCP/IP 태스크 오프로드

적절한 NDIS 5.0 미니포트 드라이버를 갖는 네트워크 어댑터는 CPU-집약 작업을 TCP/IP의 하드웨어 오프로드를 지원하므로써 시스템 퍼포먼스를 향상시킬 수 있다. 예를들어 TCP/IP 첵섬 오프로드만을 가지고 CPU의 사용량 면에서 30 퍼센트까지 퍼포먼스의 이득을 마이크로소프트사의 테스트에서 보아왔다. NDIS 인터페이스와 TCP/IP 트랜스포트는 미니포트 드라이버들로 하여금 연산에 대한 하드웨어 지원표시 허락을 보강해왔다:

TCP/IP 첵섬 계산.
TCP/IP 세그먼테이션.
인터넷 프로토콜 보안(IPSec) 암호화와 메세지 처리.

초기화 동안이나 인터페이스가 플러그 앤 플레이 이벤트로써 나타날 때 TCP/IP 드라이버는 네트워크 드라이버가 지원하는 오프로드 능력을 확인한 순서대로 OID_TCP_TASK_OFFLOAD의 OID(object ID)를 가지고 NdisRequest() 매커니즘을 통해서 미니포트를 쿼리할 것이다.

네트워크 어댑터가 오프로드할 수 있는 각각의 태스크에 대해서 네트워크 어댑터는 그 태스크에 대해서 특정 파라미터와 지원되는 태스크의 인디케이션을 포함하는 NDIS_TASK_OFFLOAD 구조체를 리턴할 것이다. 그리고나서 프로토콜은 그 태스크를 위해서 NDIS_TASK_OFFLOAD 구조체를 포함하는 셋 리퀘스트를 제시하므로써 적절한 태스크를 인에이블한다. 이 시점에서 이런 태스크들은 오프로드를 위해서 인에이블된다. 네트워크 어댑터는 각각의 패킷과 함께 패킷 기본당 태스크 특정 정보를 수신할 것이다.

첵섬 오프로드

보내는 측면에서 볼 때, 이런 오프로드를 지원하는 네트워크 어댑터는 필요시되는 첵섬을 계산하고 수행능력을 알릴 것이다. TCP 첵섬에 대해서 마이크로소프트 트랜스포트는 TCP 의사(pseudo) 헤더 첵섬을 계산하고 첵섬 필드에 이 값을 넣을 것이다. 그래서 네트워크 어댑터는 IP 헤더의 조작없이 정확한 TCP 첵섬을 계산할 수 있다.

받는 측면에서 볼 때, 네트워크 어댑터는 NDIS_TCP_IP_CHECKSUM_PACKET_INFO 구조체를 채우고 적절한 비트를 설정할 것이다. 만약 어떤 이유에서든지 네트워크 어댑터가 첵섬을 수행할 수 없다면 네트워크 어댑터는 어떠한 비트도 설정하지 않고 패킷을 인디케이트할 것이다. 그리고나서 TCP/IP는 이것을 보고 스스로 적절한 첵섬을 계산한다.

TCP 세그먼테이션 오프로드

세그먼테이션 오프로드, 혹은 큰 TCP 전송을 갖는 TCP는 미디엄에 의해서 지원되는 MTU(maximum transmission unit)보다 크게 전송되는 버퍼를 전달할 수 있다. 지능적인 어댑터는 요구된 사이즈의 세그먼트를 개척하기 위해서 들어오는 보내기 버퍼의 TCP와 IP 헤더의 프로토타입을 사용하므로써 큰 보내기 연산을 수행한다. 프로토타입 헤더와 옵션을 복사하고나서 시퀀스 넘버를 계산하고 첵섬필드는 TCP 세그먼트 헤더를 생성한다. 옵션과 플래그 값같은 다른 모든 정보들은 여기에서는 제외했다.

성공적인 세그먼트를 위한 시퀀스 넘버는 세그먼트 사이즈를 계산하므로써 다뤄진다. 첵섬 오프로드 태스크에서처럼 마이크로소프트 트랜스포트는 의사(pseudo) 헤더 첵섬을 계산하고 네트워크 어댑터가 IP헤더의 조작없이 정확한 TCP 첵섬을 계산할 수 있기 위해서 TCP 헤더안에 결과들을 놓는다. 큰 전송을 위한 TCP 첵섬의 다양한 컴포넌트는 더 큰 패킷을 개척하는 각각의 세그먼트에 대한 네트워크 어댑터에 의해서 제공되어야한다.

프로토타입 헤더의 IP 전체 길이는 데이타 사이즈를 유지한다. 데이타 사이즈는 다음과 같다: 네트워크 어댑터의 전송에 의해서 기대되는 처음 세그먼트된 프레임의 TCP 페이로드 + TCP 헤더 사이즈 + 옵션 길이 + IP 헤더 사이즈와 옵션 길이. . TCP 시퀀스 넘버는 TCP 페이로드에서 처음 바이트의 시퀀스 넘버를 유지한다.

유사하게 각각의 프레임에 대한 IP ID는 증가되고 첵섬은 계산된다. 어댑터가 정확하게 큰 전송 오프로드를 수행하는 첵섬을 계산할 수 있어야 함에도 불구하고 분리된 오프로드로써 첵섬의 지원없이 어댑터는 큰 전송 오프로드를 지원할 수 있다. 게다가 어댑터는 TCP 혹은 IP 옵션을 갖든 그렇지 않든 큰 전송 오프로드를 수행할 수 있다.

전제:

TCP/IP 스택은 {사용가능한 TCP 윈도우}의 데이타까지 오프로드할 것이다. 어댑터는 필요로 하지않고 TCP 흐름 통제를 수행하지 말아야한다.
네트워크 어댑터는 작업을 적절하게 하기 위한 TCP/IP 스택에 대해서 (합병은 허락되지 않는다.) 수신된 모든 ACKs를 인디케이트 해야하고 재전송을 다뤄야한다.
프로토타입 IP 헤더는 MF 비트 설정을 갖지 않을 것이고 옵셋은 0일 것이다.
프로토타입 TCP 헤더는 URG, RST, SYN 플래그 설정을 갖지 않을 것이고 긴급한 포인터는 0일 것이다.
만약 FIN 비트가 설정되면 최근에 보내진 세그먼트의 TCP 헤더는 FIN 비트 설정을 가질 것이다.
만약 PUSH 비트가 설정되면 최근에 보내진 세그먼트의 TCP 헤더는 그 비트 설정을 가질 것이다.
네트워크 어댑터는 패킷이 보내졌던 순서로 패킷을 보낸다. 작은 전송(일반적인 전송)들이 모여서 큰 전송이 될 수 있다.
IpOptions 혹은 TcpOptions, 아니면 둘 다를 지원하는 네트워크 어댑터는 프로토타입 TCP에서 발견된 값으로부터 그들의 값으로 고치지 않을 것이다. 구체적으로 말하면 타임 스탬프 옵션에서 타임스탬프를 증가시키지 않는다.

NOTE:TCP 세그먼테이션 오프로드는 윈도우즈 2000에 있지만 그것은 기본적으로 레지스트리에서 디스에이블로 되어 있다. 마이크로소프트는 레지스트리에서 그것을 인에이블하는 TCP 세그먼테이션 오프로드 어댑터에 대한 개발 플랫폼으로써 하드웨어 벤더들이 윈도우즈 2000을 사용하는 것을 추천한다. 요즘 마이크로소프트는 하드웨어와 드라이버의 베타 테스팅을 제외하고는 엔드유저 환경에서 TCP 세그먼테이션 오프로드의 사용을 추천하지 않는다.

IPSec 오프로드

IPSec 는 보안 협상과 암호 키 관리를 위한 인터넷 키 익스체인지(IKE; 이전에는 ISAKMP/Oakley) 를 사용함으로써 패킷(패킷당 데이터 무결성과 소스 인증)당 IP 트래픽의 암호화를 제공하는 IPv4의 확장이다. Windows 2000 IPSec은 네트워크 관리자들이 corporate 네트워크상에서 트래픽을 안전하게 하고, 존재하는 어플리케이션들에 대한 투명하게 한다. IPSec의 중앙 집중식 구성은 Windows 2000 Active Directory 와 Group Policy features에 의해서 제공된다.

IPSec는 두가지 모드들을 가지고 있다: 엔드-to-엔드 보안에 대한 전송 모드, 그리고 라우터-to-라우터 보안을 위한 터널 모드. 전송 모드는 어떤 두개의 호스트들 간의(클라이언트들과 서버들) 통신에서, 또는 클라이언트와 터널 서버--예를들면, 그리고 IPSec 전송 모드(L2TP/IPSec)에 의해서 안전화된 L2TP--터널 엔드-to-엔드 보안을 제공한다. IPSec 터널 모드는 단지 L2TP/IPSec 가 가능하지 않은 곳에서 게이트웨이-to-게이트웨이 VPN 각본에서 추천된다.

IPSec 정책은 IPSec 드라이버와 IKE 서비스의 구성을 제어한다. Security associations (SA)는 어플리케이션 데이터가 안전하게 송신되거나 수신되기전에 컴퓨터들사이에에서 IKE에 의해서 설립되어야한다. IKE 는 Diffie Hellman 테크닉을 사용함으로써 공유된 보안 키 자료(shared secret key material)를 발생시키고 3가지 방법들중의 하나를 사용함으로써 상호 인증을 수행한다.: Kerberos version 5.0, Public/Private key signatures with certificates, and pre-shared authentication key.

IKE 그런후에 어플리케이션 데이터를 보호하기 위해서 사용할 암호 알고리즘을 협상하고 패킷당 데이터 암호와 해싱 연산들을 위한 대량의 암호키들을 이끌어낸다. 만약 암호 알고리즘들이 일치하여 보내는 네트워크 아답터에 의해서 수행될 수 있다면, 그런 다음에 IPSec 드라이버는 네트워크 아답터에 협정된(agreed-upon) 파라미터들과 키들을 더해서 보안 association 을 추가한다.

TCP/IP는 IP 패킷을 프래임화할 것이고, 그런다음 패킷이 보안 association 과 매치하는지를 결정하기 위해서 IPSec 드라이버에게 통과시킨다. IPSec 드라이버는 모든 IPSec 필터들에 대항하여 패킷들을 매치할 것이다. 만약 필터 매치가 있다면, 그리고 보안 association 이 존재한다면, 그리고 이 SA가 네트워크 아답터에 오프로드되었다면, 그런다음 패킷은 SA 컨텍스트로 네트워크 아답터에게 직접으로 주어져서, 아답터는 그 패킷들을 위해서 암호 연산들을 수행할 수 있다.

IPSec 오프로드 능력은 아래의 변환들과 알고리즘들을 네트워크 아답터가 수행할것을 가능하게할 것이다.:

전송과 터널모드 모두 오프로드될 수 있다
하나의 터널을 통한 전송모드의 사용은 오프로드될 수 있다
IPSec Encapsulating Security Payload (ESP) 변환(transform) algorithms
MD5 또는 SHA1 무결성을 가진 56bitDES 또는 3DES 또는 "null" 암호
IPSec Authentication Header (AH) transform algorithms: MD5 와 SHA-1
완벽한 패킷 무결성과 privacy를 위한 조합된 결합된 AH + ESP 변환

TCP/IP 오프로드 작업에 관한 노트들

같은 네트워크 아답터들은 이러한 작업들의 몇몇을 오프로드 할 수 있음에도 불구하고, IPSec 정책이 할당되었을때, 첵섬과 TCP large 보내기 오프로드들은 디스에이블된다.

NOTE: Windows 2000 에서 IPSec와 연관된 서비스들은 Microsoft and Cisco Systems, Inc 에 의해서 공동으로 개발되었다.

NDIS 태스크 오프로드를 위한 행동에 대한 호출:

PCMCIA 와 PCI 10/100 Mbit 이더넷 아답터들을 위한 100 이상의 IPSec 전송 security associations의 능력이 있는 클라이언트 IPSec 오프로드 아답터들 만들어라.
100Mbit 와 기가비트 이더넷 아답터들을 위해서 5000 이상의 IPSec 전송과 터널 모드 security associations의 능력이 있는 클라이언트 IPSec 오프로드 아답터들 만들어라.
첵섬 오프로드 아답터들과, 프로토타입 TCP 세그먼테이션 오프로드 아답터들을 만들어라.
태스크 오프로드 프로토타입들을 테스트하기 위해서 Microsoft Networking development team 과 함께 작업해라.
NDIS 드라이버 verifier를 사용함으로써 효율성과 scalability 스트레스 테스트 모두의 처신에 대한 계획, 추가하여 일반적인 프로토콜 기능적 테스트들.
NDIS Task Offload에 관한 더 많은 정보는, 주제 라인에 NDIS 태스크 오프로드로 ndisfb@microsoft.com 에게 이메일을 보내라. 당신의 이름, 직함, 회사이름, 회사종류(IHV 또는 OEM), 그리고 전화번호와 팩스번호를 확실히 포함해라.
IEFT 표준 프로토콜 사양들에 관해서는, 아래의 RFC를 봐라.:
http://www.ietf.org/html.charters/ipsec-charter.html
아래 정보는 Microsoft IPSec 과 관련된 VPN 문제에 관해서 웹상에서 가능하다.:
- Microsoft VPN 위치 white paper:
  http://www.microsoft.com/windows2000/library/howitworks/communications/
  remoteaccess/nwpriv.asp
- 보안 아래에서 Windows 2000 IPSec walkthrough:
  http://www.microsoft.com/windows2000/library/planning/default.asp
- IPSec 에 있는 강력한 암호 알고리즘 지원, 3DES, 는 아래에 있는 High Encryption Pack 설치에 의해서 획득된다.
  http://www.microsoft.com/windows2000/beta/downloads/default.asp