Administrar la capacidad de cifrado
A partir de la versión 12.1 48.13, la interfaz para gestionar la capacidad de cifrado ha cambiado. El servicio de administración proporciona unidades criptográficas asimétricas (ACU), unidades criptográficas simétricas (SCU) e interfaces criptovirtuales para representar la capacidad SSL en el dispositivo Citrix ADC SDX. La capacidad criptográfica anterior se asignaba en unidades de chips SSL, núcleos SSL y funciones virtuales SSL. Consulte la tabla de conversión de chips SSL heredados a ACU y SCU para obtener más información sobre cómo los chips SSL heredados se traducen en unidades ACU y SCU.
Mediante la GUI de Management Service, puede asignar capacidad de cifrado a la instancia de Citrix ADC VPX en unidades de ACU y SCU.
En la siguiente tabla se proporcionan descripciones breves sobre las ACU, las SCU y las instancias virtuales criptográficas.
Mesa. Unidades criptográficas unitarias
| Nuevas unidades criptográficas | Descripción |
|---|---|
| Unidad criptográfica asimétrica (ACU) | 1 ACU = 1 operación por segundo (operaciones) de descifrado (RSA) 2K (tamaño de clave de 2048 bits). Para obtener más información, consulte la tabla de conversión de recursos de ACU a PKE. |
| Unidad criptográfica simétrica (SCU) | 1 SCU = 1 Mbps de AES-128-CBC+SHA256-HMAC a 1024B. Esta definición se aplica a todas las plataformas SDX. |
| Interfaces virtuales criptográficas | También conocidas como funciones virtuales, las interfaces virtuales criptográficas representan la unidad básica del hardware SSL. Una vez agotadas estas interfaces, el hardware SSL ya no se puede asignar a una instancia VPX. Las interfaces virtuales criptográficas son entidades de solo lectura y el dispositivo SDX asigna automáticamente estas entidades. |
Ver la capacidad criptográfica del dispositivo SDX
Puede ver la capacidad de cifrado del dispositivo SDX en el panel de la GUI de SDX. El panel muestra las ACU, las SCU y las interfaces virtuales usadas y disponibles en el dispositivo SDX. Para ver la capacidad criptográfica, vaya a Panel de control > Capacidad criptográfica.
Asigna la capacidad de cifrado mientras se aprovisiona la instancia
Al aprovisionar una instancia VPX en el dispositivo SDX, en Asignación criptográfica, puede asignar el número de ACU y SCU para la instancia VPX. Para obtener instrucciones sobre cómo aprovisionar una instancia VPX, consulte Aprovisionamiento de instancias de Citrix ADC.
Para asignar capacidad de cifrado mientras se aprovisiona una instancia VPX, siga estos pasos.
-
Inicie sesión en Management Service.
-
Vaya a Configuración > Citrix ADC > Instanciasy haga clic en Agregar.
-
En Asignación criptográfica, puede ver las ACU, SCU e interfaces virtuales criptográficas disponibles. La forma de asignar las ACU y las SCU varía según el dispositivo SDX:
a. Para los dispositivos enumerados en la tabla Valor mínimo de un contador de ACU disponible para diferentes dispositivos SDX, puede asignar ACU en múltiplos de un número especificado. Las SCU se asignan automáticamente y el campo de asignación de SCU no se puede modificar. Puede aumentar la asignación de ACU en los múltiplos de la ACU mínima disponible para ese modelo. Por ejemplo, si la ACU mínima es 4375, el incremento de la ACU es 8750, 13125, etc.
Un ejemplo. Asignación criptográfica en la que las SCU se asignan automáticamente y las ACU se asignan en múltiplos de un número específico.
Tabla del valor mínimo de un contador ACU disponible para diferentes dispositivos SDX
| Plataforma SDX | Valor mínimo del contador ACU |
|---|---|
| 22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 puertos | 2187 |
| 8400, 8600, 8010, 8015 | 2812 |
| 17500, 19500, 21500 | 2812 |
| 17550, 19550, 20550, 21550 | 2812 |
| 11500, 13500, 14500, 16500, 18500, 20500 | 2812 |
| 11515, 11520, 11530, 11540, 11542 | 4375 |
| 14xxx | 4375 |
| 14xxx 40S | 4375 |
| 14xxx 40G | 4375 |
| 14xxx FIPS | 4375 |
| 25xxx | 4375 |
| 25xxx A | 4575 |
b. Para el resto de plataformas SDX, que no se enumeran en la tabla anterior, puede asignar ACU y SCU libremente. El dispositivo SDX asigna automáticamente interfaces virtuales criptográficas.
Un ejemplo. Asignación criptográfica en la que tanto la ACU como las SCU se asignan libremente
4./ Complete todos los pasos para aprovisionar la instancia VPX y haga clic en Listo. Para obtener más información, consulte Aprovisionamiento de instancias de Citrix ADC.
Ver el estado del hardware criptográfico
En Management Service, puede ver el estado del hardware criptográfico que se proporciona con el dispositivo SDX. La salud del hardware criptográfico se representa como dispositivos criptográficos y funciones virtuales criptográficas. Para ver el estado del hardware criptográfico, vaya a Panel de control > Recursos.
Puntos que tener en cuenta
Tenga en cuenta lo siguiente cuando actualice el dispositivo SDX a la versión más reciente.
-
Solo se actualiza la interfaz de usuario SDX, pero la capacidad del hardware del dispositivo sigue siendo la misma.
-
El mecanismo de asignación de criptomonedas sigue siendo el mismo y solo cambia la representación en la GUI de SDX.
-
La interfaz criptográfica es compatible con versiones anteriores y no afecta a ningún mecanismo de automatización existente que utilice la interfaz NITRO para administrar el dispositivo SDX.
-
Tras la actualización del dispositivo SDX, la criptografía asignada a las instancias VPX existentes no cambia; solo cambia su representación en Management Service.
Tabla de conversión de recursos ACU a PKE
| Plataforma SDX | ACU | RSA-RSA1K | RSA-RSA2K | RSA-RSA4K | ECDHE-RSA | ECDHE-ECDSA |
|---|---|---|---|---|---|---|
| 22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 puertos) | 2187 | 12497 | 2187 | 312 | 256 | 190 |
| 8400, 8600, 8010, 8015 | 2812 | 17000 | 2812 | 424 | 330 | N/D |
| 11515, 11520, 11530, 11540, 11542 | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 22040, 22060, 22080, 22100, 22120 (24 puertos) | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 17500, 19500, 21500 | 2812 | 17000 | 2812 | 424 | 330 | N/D |
| 17550, 19550, 20550, 21550 | 2812 | 17000 | 2812 | 424 | 330 | N/D |
| 11500, 13500, 14500, 16500, 18500, 20500 | 2812 | 17000 | 2812 | 424 | 330 | N/D |
| 14000, 14000-40G, 25000, 25000A | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 14000 FIPS | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 14000-40S | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| *8900 (8910, 8920, 8930) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| *26000-100G (26100, 26160, 26200 y 26250) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| *15000 | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| *15000-50G | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| *26000-50S | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*En estas plataformas, los números de PKE son los valores mínimos garantizados.
Cómo leer la tabla de conversión de recursos ACU a PKE
La tabla de conversión de recursos ACU a PKE se basa en los siguientes puntos:
-
El servicio de administración ayuda a asignar recursos criptográficos a cada VPX individual. El servicio de administración no puede asignar ni prometer rendimiento.
-
El rendimiento real varía según el tamaño del paquete, el cifrado/Keyex/HMAC (o sus variaciones) utilizado, etc.
El siguiente ejemplo le ayuda a entender cómo leer y aplicar la ACU a la tabla de conversión de recursos de PKE.
Un ejemplo. Conversión de recursos de ACU a PKE para la plataforma SDX 22040
La asignación de 2187 ACU a una instancia VPX en una plataforma SDX 22040 asigna recursos criptográficos equivalentes a 256 operaciones ECDHE-RSA u 2187 operaciones RSA-2K, etc.
Tabla de conversión de chips SSL heredados a ACU y SCU
Para obtener más información sobre cómo los chips SSL heredados se convierten en ACU y SCU, consulte la siguiente tabla.