Citrix ADC SDX 13.0

Administrar la capacidad de cifrado

A partir de la versión 12.1 48.13, la interfaz para administrar la capacidad de cifrado ha cambiado. Con la nueva interfaz, Management Service proporciona unidades criptográficas asimétricas (ACU), unidades criptográficas simétricas (SCU) e interfaces virtuales criptográficas para representar la capacidad SSL en el dispositivo Citrix ADC SDX. La capacidad criptográfica anterior se asignó en unidades de chips SSL, núcleos SSL y funciones virtuales SSL. Consulte laTablas de conversión de chips SSL heredados a ACU y SCUpara obtener más información acerca de cómo los chips SSL heredados se traducen en unidades ACU y SCU.

Mediante la GUI de Management Service, puede asignar capacidad de cifrado a la instancia de Citrix ADC VPX en unidades de ACU y SCU.

La siguiente tabla proporciona descripciones breves sobre las instancias virtuales de cifrado, SCU e unidades virtuales de cifrado.

Cuadro. Unidades criptográficas de unidades

Nuevas unidades criptográficas Descripción
Unidad criptográfica asimétrica (ACU) 1 ACU = 1 operación por segundo (operaciones) de descifrado (RSA) 2 K (tamaño de clave de 2048 bits). Para obtener más detalles, consulte Tabla de conversión de recursos ACU a PKE.
Unidad criptográfica simétrica (SCU) 1 SCU = 1 Mbps de AES-128-CBC + SHA256-HMAC @ 1024B. Esta definición es aplicable a todas las plataformas SDX.
Interfaces virtuales criptográficas También conocidas como funciones virtuales, las interfaces virtuales criptográficas representan la unidad básica del hardware SSL. Una vez agotadas estas interfaces, el hardware SSL no se puede asignar más a una instancia VPX. Las interfaces virtuales criptográficas son entidades de solo lectura y el dispositivo SDX asigna automáticamente estas entidades.

Ver la capacidad de cifrado del dispositivo SDX

Puede ver la capacidad de cifrado del dispositivo SDX en el panel de control de la GUI de SDX. El panel muestra las interfaces virtuales, SCU y usadas y disponibles en el dispositivo SDX. Para ver la capacidad de cifrado, vaya a Panel > Capacidad de cifrado.

Imagen localizada

Asigne capacidad criptográfica al aprovisionar la instancia VPX

Al aprovisionar una instancia VPX en el dispositivo SDX, en Asignación de cifrado, puede asignar el número de unidades de unidad y SCU para la instancia de VPX. Para obtener instrucciones para aprovisionar una instancia VPX, consulteAprovisionar instancias de Citrix ADC.

Para asignar capacidad de cifrado mientras se aprovisionan una instancia VPX, siga estos pasos.

  1. Inicie sesión en Management Service.

  2. Vaya a Configuración > Citrix ADC > Instanciasy haga clic en Agregar.

  3. En Asignación de cifrado, puede ver las interfaces virtuales de cifrado, SCU y ACU disponibles. La forma de asignar ACU y SCU difiere según el dispositivo SDX:

    a. Para los dispositivos enumerados enValor mínimo de un contador ACU disponible para diferentes mesas de dispositivos SDX, puede asignar ACs en múltiplos de un número especificado. Las SCU se asignan automáticamente y el campo de asignación de SCU no se puede modificar. Puede aumentar la asignación de ACU en los múltiplos de la ACU mínima disponible para ese modelo. Por ejemplo, si la ACU mínima es 4375, el incremento de ACU posterior es 8750, 13125, etc.

Ejemplo. Asignación de criptografía donde las SCU se asignan automáticamente y las CAU se asignan en múltiplos de un número especificado.

Imagen localizada

Valor mínimo de un contador ACU disponible para diferentes mesas de dispositivos SDX

Plataforma SDX Valor mínimo del contador ACU
22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 puertos 2187
8400, 8600, 8010, 8015 2812
17500, 19500, 21500 2812
17550, 19550, 20550, 21550 2812
11500, 13500, 14500, 16500, 18500, 20500 2812
11515, 11520, 11530, 11540, 11542 4375
14xxx 4375
14xxx 40S 4375
14xxx 40G 4375
14xxx FIPS 4375
25xxx 4375
25xxx A 4575

b. Para el resto de las plataformas SDX, que no figuran en la lista anteriorValor mínimo de un contador ACU disponible para diferentes mesas de dispositivos SDX, puede asignar libremente ACU y SCU. El dispositivo SDX asigna automáticamente interfaces virtuales criptográficas.

Ejemplo. Asignación criptográfica donde tanto ACU como SCU se asignan libremente

Imagen localizada

4. / Complete todos los pasos para aprovisionar la instancia de VPX y haga clic en Listo. Para obtener más información, consulte Aprovisionar instancias de Citrix ADC.

Ver el estado del hardware de cifrado

En Management Service, puede ver el estado del hardware criptográfico proporcionado con el dispositivo SDX. El estado del hardware criptográfico se representa como dispositivos criptográficos y funciones virtuales de cifrado. Para ver el estado del hardware criptográfico, vaya a Panel > Recursos.

Imagen localizada

Puntos a tener en cuenta

Tenga en cuenta los siguientes puntos cuando actualice el dispositivo SDX a la versión más reciente.

  • Solo se actualiza la interfaz de usuario SDX, pero la capacidad del hardware del dispositivo sigue siendo la misma.

  • El mecanismo de asignación de criptografía sigue siendo el mismo, y solo cambia la representación en SDX GUI.

  • La interfaz criptográfica es compatible con versiones anteriores y no afecta a ningún mecanismo de automatización existente que utilice la interfaz NITRO para administrar el dispositivo SDX.

  • Al actualizar el dispositivo SDX, la criptografía asignada a las instancias VPX existentes no cambia; solo cambia su representación en Management Service.

Tabla de conversión de recursos ACU a PKE

Plataforma SDX ACU RSA-RSA1K RSA-RSA2K RSA-RSA4K ECDHE-RSA ECDHE-ECDSA
22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 puertos) 2187 12497 2187 312 256 190
8400, 8600, 8010, 8015 2812 17000 2812 424 330 N/D
11515, 11520, 11530, 11540, 11542 4375 25000 4375 625 512 381
22040, 22060, 22080,22100, 22120 (24 puertos) 4375 25000 4375 625 512 381
17500, 19500, 21500 2812 17000 2812 424 330 N/D
17550, 19550, 20550, 21550 2812 17000 2812 424 330 N/D
11500, 13500, 14500, 16500, 18500, 20500 2812 17000 2812 424 330 N/D
14xxx, 14xxx 40G, 25xxx, 25xxx A 4375 25000 4375 625 512 381
14xxx FIPS 4375 25000 4375 625 512 381
14xxx 40S 4375 25000 4375 625 512 381
*89xx (8910, 8920, 8930) 1000 4615 1000 136 397 4949
* 26xxx (26100, 26160, 26200 y 26250) 1000 4615 1000 136 397 4949
*15000 50G 1000 4615 1000 136 397 4949

* En estas plataformas los números de PKE son valores mínimos garantizados.

Cómo leer la tabla de conversión de recursos ACU a PKE

La tabla de conversión de recursos ACU a PKE se basa en los siguientes puntos:

  • Management Service ayuda a asignar Crypto Resources a cada VPX individual. Management Service no puede asignar ni prometer rendimiento.

  • El rendimiento real varía según el tamaño del paquete, Cipher/Keyex/HMac (o sus variaciones) utilizados, etc.

El siguiente ejemplo le ayuda a comprender cómo leer y aplicar la ACU a la tabla de conversión de recursos PKE.

Ejemplo. Conversión de recursos ACU a PKE para la plataforma SDX 22040

La asignación de 2187 ACU a una instancia VPX en una plataforma SDX 22040 asigna un recurso criptográfico equivalente a 256 operaciones ECDHE-RSA o 2187 operaciones RSA-2K y así sucesivamente.

Tablas de conversión de chips SSL heredados a ACU y SCU

Para obtener más información acerca de cómo los chips SSL heredados se convierten a ACU y SCU, consulte la tabla siguiente.

Tabla de conversión ACU y SCU

Administrar la capacidad de cifrado