power: fix frequency list buffer validation
[dpdk.git] / examples / ipsec-secgw / ipsec_process.c
1 /* SPDX-License-Identifier: BSD-3-Clause
2  * Copyright(c) 2016-2017 Intel Corporation
3  */
4 #include <sys/types.h>
5 #include <netinet/in.h>
6 #include <netinet/ip.h>
7
8 #include <rte_branch_prediction.h>
9 #include <rte_log.h>
10 #include <rte_cryptodev.h>
11 #include <rte_ethdev.h>
12 #include <rte_mbuf.h>
13
14 #include "ipsec.h"
15
16 #define SATP_OUT_IPV4(t)        \
17         ((((t) & RTE_IPSEC_SATP_MODE_MASK) == RTE_IPSEC_SATP_MODE_TRANS && \
18         (((t) & RTE_IPSEC_SATP_IPV_MASK) == RTE_IPSEC_SATP_IPV4)) || \
19         ((t) & RTE_IPSEC_SATP_MODE_MASK) == RTE_IPSEC_SATP_MODE_TUNLV4)
20
21
22 /* helper routine to free bulk of packets */
23 static inline void
24 free_pkts(struct rte_mbuf *mb[], uint32_t n)
25 {
26         uint32_t i;
27
28         for (i = 0; i != n; i++)
29                 rte_pktmbuf_free(mb[i]);
30 }
31
32 /* helper routine to free bulk of crypto-ops and related packets */
33 static inline void
34 free_cops(struct rte_crypto_op *cop[], uint32_t n)
35 {
36         uint32_t i;
37
38         for (i = 0; i != n; i++)
39                 rte_pktmbuf_free(cop[i]->sym->m_src);
40 }
41
42 /* helper routine to enqueue bulk of crypto ops */
43 static inline void
44 enqueue_cop_bulk(struct cdev_qp *cqp, struct rte_crypto_op *cop[], uint32_t num)
45 {
46         uint32_t i, k, len, n;
47
48         len = cqp->len;
49
50         /*
51          * if cqp is empty and we have enough ops,
52          * then queue them to the PMD straightway.
53          */
54         if (num >= RTE_DIM(cqp->buf) * 3 / 4 && len == 0) {
55                 n = rte_cryptodev_enqueue_burst(cqp->id, cqp->qp, cop, num);
56                 cqp->in_flight += n;
57                 free_cops(cop + n, num - n);
58                 return;
59         }
60
61         k = 0;
62
63         do {
64                 n = RTE_DIM(cqp->buf) - len;
65                 n = RTE_MIN(num - k, n);
66
67                 /* put packets into cqp */
68                 for (i = 0; i != n; i++)
69                         cqp->buf[len + i] = cop[k + i];
70
71                 len += n;
72                 k += n;
73
74                 /* if cqp is full then, enqueue crypto-ops to PMD */
75                 if (len == RTE_DIM(cqp->buf)) {
76                         n = rte_cryptodev_enqueue_burst(cqp->id, cqp->qp,
77                                         cqp->buf, len);
78                         cqp->in_flight += n;
79                         free_cops(cqp->buf + n, len - n);
80                         len = 0;
81                 }
82
83
84         } while (k != num);
85
86         cqp->len = len;
87 }
88
89 static inline int
90 fill_ipsec_session(struct rte_ipsec_session *ss, struct ipsec_ctx *ctx,
91         struct ipsec_sa *sa)
92 {
93         int32_t rc;
94
95         /* setup crypto section */
96         if (ss->type == RTE_SECURITY_ACTION_TYPE_NONE) {
97                 if (sa->crypto_session == NULL) {
98                         rc = create_session(ctx, sa);
99                         if (rc != 0)
100                                 return rc;
101                 }
102                 ss->crypto.ses = sa->crypto_session;
103         /* setup session action type */
104         } else {
105                 if (sa->sec_session == NULL) {
106                         rc = create_session(ctx, sa);
107                         if (rc != 0)
108                                 return rc;
109                 }
110                 ss->security.ses = sa->sec_session;
111                 ss->security.ctx = sa->security_ctx;
112                 ss->security.ol_flags = sa->ol_flags;
113         }
114
115         rc = rte_ipsec_session_prepare(ss);
116         if (rc != 0)
117                 memset(ss, 0, sizeof(*ss));
118
119         return rc;
120 }
121
122 /*
123  * group input packets byt the SA they belong to.
124  */
125 static uint32_t
126 sa_group(struct ipsec_sa *sa_ptr[], struct rte_mbuf *pkts[],
127         struct rte_ipsec_group grp[], uint32_t num)
128 {
129         uint32_t i, n, spi;
130         void *sa;
131         void * const nosa = &spi;
132
133         sa = nosa;
134         for (i = 0, n = 0; i != num; i++) {
135
136                 if (sa != sa_ptr[i]) {
137                         grp[n].cnt = pkts + i - grp[n].m;
138                         n += (sa != nosa);
139                         grp[n].id.ptr = sa_ptr[i];
140                         grp[n].m = pkts + i;
141                         sa = sa_ptr[i];
142                 }
143         }
144
145         /* terminate last group */
146         if (sa != nosa) {
147                 grp[n].cnt = pkts + i - grp[n].m;
148                 n++;
149         }
150
151         return n;
152 }
153
154 /*
155  * helper function, splits processed packets into ipv4/ipv6 traffic.
156  */
157 static inline void
158 copy_to_trf(struct ipsec_traffic *trf, uint64_t satp, struct rte_mbuf *mb[],
159         uint32_t num)
160 {
161         uint32_t j, ofs, s;
162         struct traffic_type *out;
163
164         /*
165          * determine traffic type(ipv4/ipv6) and offset for ACL classify
166          * based on SA type
167          */
168         if ((satp & RTE_IPSEC_SATP_DIR_MASK) == RTE_IPSEC_SATP_DIR_IB) {
169                 if ((satp & RTE_IPSEC_SATP_IPV_MASK) == RTE_IPSEC_SATP_IPV4) {
170                         out = &trf->ip4;
171                         ofs = offsetof(struct ip, ip_p);
172                 } else {
173                         out = &trf->ip6;
174                         ofs = offsetof(struct ip6_hdr, ip6_nxt);
175                 }
176         } else if (SATP_OUT_IPV4(satp)) {
177                 out = &trf->ip4;
178                 ofs = offsetof(struct ip, ip_p);
179         } else {
180                 out = &trf->ip6;
181                 ofs = offsetof(struct ip6_hdr, ip6_nxt);
182         }
183
184         for (j = 0, s = out->num; j != num; j++) {
185                 out->data[s + j] = rte_pktmbuf_mtod_offset(mb[j],
186                                 void *, ofs);
187                 out->pkts[s + j] = mb[j];
188         }
189
190         out->num += num;
191 }
192
193 /*
194  * Process ipsec packets.
195  * If packet belong to SA that is subject of inline-crypto,
196  * then process it immediately.
197  * Otherwise do necessary preparations and queue it to related
198  * crypto-dev queue.
199  */
200 void
201 ipsec_process(struct ipsec_ctx *ctx, struct ipsec_traffic *trf)
202 {
203         uint64_t satp;
204         uint32_t i, j, k, n;
205         struct ipsec_sa *sa;
206         struct ipsec_mbuf_metadata *priv;
207         struct rte_ipsec_group *pg;
208         struct rte_ipsec_session *ips;
209         struct cdev_qp *cqp;
210         struct rte_crypto_op *cop[RTE_DIM(trf->ipsec.pkts)];
211         struct rte_ipsec_group grp[RTE_DIM(trf->ipsec.pkts)];
212
213         n = sa_group(trf->ipsec.saptr, trf->ipsec.pkts, grp, trf->ipsec.num);
214
215         for (i = 0; i != n; i++) {
216
217                 pg = grp + i;
218                 sa = pg->id.ptr;
219
220                 /* no valid SA found */
221                 if (sa == NULL)
222                         k = 0;
223
224                 ips = &sa->ips;
225                 satp = rte_ipsec_sa_type(ips->sa);
226
227                 /* no valid HW session for that SA, try to create one */
228                 if (ips->crypto.ses == NULL &&
229                                 fill_ipsec_session(ips, ctx, sa) != 0)
230                         k = 0;
231
232                 /* process packets inline */
233                 else if (sa->type == RTE_SECURITY_ACTION_TYPE_INLINE_CRYPTO ||
234                                 sa->type ==
235                                 RTE_SECURITY_ACTION_TYPE_INLINE_PROTOCOL) {
236
237                         /*
238                          * This is just to satisfy inbound_sa_check()
239                          * and get_hop_for_offload_pkt().
240                          * Should be removed in future.
241                          */
242                         for (j = 0; j != pg->cnt; j++) {
243                                 priv = get_priv(pg->m[j]);
244                                 priv->sa = sa;
245                         }
246
247                         k = rte_ipsec_pkt_process(ips, pg->m, pg->cnt);
248                         copy_to_trf(trf, satp, pg->m, k);
249
250                 /* enqueue packets to crypto dev */
251                 } else {
252
253                         cqp = &ctx->tbl[sa->cdev_id_qp];
254
255                         /* for that app each mbuf has it's own crypto op */
256                         for (j = 0; j != pg->cnt; j++) {
257                                 priv = get_priv(pg->m[j]);
258                                 cop[j] = &priv->cop;
259                                 /*
260                                  * this is just to satisfy inbound_sa_check()
261                                  * should be removed in future.
262                                  */
263                                 priv->sa = sa;
264                         }
265
266                         /* prepare and enqueue crypto ops */
267                         k = rte_ipsec_pkt_crypto_prepare(ips, pg->m, cop,
268                                 pg->cnt);
269                         if (k != 0)
270                                 enqueue_cop_bulk(cqp, cop, k);
271                 }
272
273                 /* drop packets that cannot be enqueued/processed */
274                 if (k != pg->cnt)
275                         free_pkts(pg->m + k, pg->cnt - k);
276         }
277 }
278
279 static inline uint32_t
280 cqp_dequeue(struct cdev_qp *cqp, struct rte_crypto_op *cop[], uint32_t num)
281 {
282         uint32_t n;
283
284         if (cqp->in_flight == 0)
285                 return 0;
286
287         n = rte_cryptodev_dequeue_burst(cqp->id, cqp->qp, cop, num);
288         RTE_ASSERT(cqp->in_flight >= n);
289         cqp->in_flight -= n;
290
291         return n;
292 }
293
294 static inline uint32_t
295 ctx_dequeue(struct ipsec_ctx *ctx, struct rte_crypto_op *cop[], uint32_t num)
296 {
297         uint32_t i, n;
298
299         n = 0;
300
301         for (i = ctx->last_qp; n != num && i != ctx->nb_qps; i++)
302                 n += cqp_dequeue(ctx->tbl + i, cop + n, num - n);
303
304         for (i = 0; n != num && i != ctx->last_qp; i++)
305                 n += cqp_dequeue(ctx->tbl + i, cop + n, num - n);
306
307         ctx->last_qp = i;
308         return n;
309 }
310
311 /*
312  * dequeue packets from crypto-queues and finalize processing.
313  */
314 void
315 ipsec_cqp_process(struct ipsec_ctx *ctx, struct ipsec_traffic *trf)
316 {
317         uint64_t satp;
318         uint32_t i, k, n, ng;
319         struct rte_ipsec_session *ss;
320         struct traffic_type *out;
321         struct rte_ipsec_group *pg;
322         struct rte_crypto_op *cop[RTE_DIM(trf->ipsec.pkts)];
323         struct rte_ipsec_group grp[RTE_DIM(trf->ipsec.pkts)];
324
325         trf->ip4.num = 0;
326         trf->ip6.num = 0;
327
328         out = &trf->ipsec;
329
330         /* dequeue completed crypto-ops */
331         n = ctx_dequeue(ctx, cop, RTE_DIM(cop));
332         if (n == 0)
333                 return;
334
335         /* group them by ipsec session */
336         ng = rte_ipsec_pkt_crypto_group((const struct rte_crypto_op **)
337                 (uintptr_t)cop, out->pkts, grp, n);
338
339         /* process each group of packets */
340         for (i = 0; i != ng; i++) {
341
342                 pg = grp + i;
343                 ss = pg->id.ptr;
344                 satp = rte_ipsec_sa_type(ss->sa);
345
346                 k = rte_ipsec_pkt_process(ss, pg->m, pg->cnt);
347                 copy_to_trf(trf, satp, pg->m, k);
348
349                 /* free bad packets, if any */
350                 free_pkts(pg->m + k, pg->cnt - k);
351
352                 n -= pg->cnt;
353         }
354
355         /* we should never have packet with unknown SA here */
356         RTE_VERIFY(n == 0);
357 }