kernel-netlink: Support configuring XFRM policy hashing thresholds
[strongswan.git] / conf / plugins / kernel-netlink.opt
index 0d465f6..77ba6ea 100644 (file)
@@ -51,6 +51,35 @@ charon.plugins.kernel-netlink.set_proto_port_transport_sa = no
        traffic, it also prevents the use of a single IPsec SA by more than one
        traffic selector.
 
+charon.plugins.kernel-netlink.spdh_thresh {}
+       XFRM policy hashing threshold configuration for IPv4 and IPv6.
+
+       XFRM policy hashing threshold configuration for IPv4 and IPv6.
+
+       The section defines hashing thresholds to configure in the kernel during
+       daemon startup. Each address family takes a threshold for the local subnet
+       of an IPsec policy (src in out-policies, dst in in- and forward-policies)
+       and the remote subnet (dst in out-policies, src in in- and
+       forward-policies).
+
+       If the subnet has more or equal net bits than the threshold, the first
+       threshold bits are used to calculate a hash to lookup the policy.
+
+       Policy hashing thresholds are not supported before Linux 3.18 and might
+       conflict with socket policies before Linux 4.8.
+
+charon.plugins.kernel-netlink.spdh_thresh.ipv4.lbits = 32
+       Local subnet XFRM policy hashing threshold for IPv4.
+
+charon.plugins.kernel-netlink.spdh_thresh.ipv4.rbits = 32
+       Remote subnet XFRM policy hashing threshold for IPv4.
+
+charon.plugins.kernel-netlink.spdh_thresh.ipv6.lbits = 128
+       Local subnet XFRM policy hashing threshold for IPv6.
+
+charon.plugins.kernel-netlink.spdh_thresh.ipv6.rbits = 128
+       Remote subnet XFRM policy hashing threshold for IPv6.
+
 charon.plugins.kernel-netlink.retries = 0
        Number of Netlink message retransmissions to send on timeout.