Administrar la capacidad de cifrado
A partir de la versión 12.1 48.13, la interfaz para administrar la capacidad de cifrado ha cambiado. Con la nueva interfaz, Management Service proporciona unidades criptográficas asimétricas (ACU), unidades criptográficas simétricas (SCU) e interfaces virtuales criptográficas para representar la capacidad SSL en el dispositivo Citrix ADC SDX. La capacidad criptográfica anterior se asignó en unidades de chips SSL, núcleos SSL y funciones virtuales SSL. Consulte laTablas de conversión de chips SSL heredados a ACU y SCUpara obtener más información acerca de cómo los chips SSL heredados se traducen en unidades ACU y SCU.
Mediante la GUI de Management Service, puede asignar capacidad de cifrado a la instancia de Citrix ADC VPX en unidades de ACU y SCU.
La siguiente tabla proporciona descripciones breves sobre las instancias virtuales de cifrado, SCU e unidades virtuales de cifrado.
Cuadro. Unidades criptográficas de unidades
| Nuevas unidades criptográficas | Descripción |
|---|---|
| Unidad criptográfica asimétrica (ACU) | 1 ACU = 1 operación por segundo (operaciones) de descifrado (RSA) 2 K (tamaño de clave de 2048 bits). Para obtener más detalles, consulte Tabla de conversión de recursos ACU a PKE. |
| Unidad criptográfica simétrica (SCU) | 1 SCU = 1 Mbps de AES-128-CBC + SHA256-HMAC @ 1024B. Esta definición es aplicable a todas las plataformas SDX. |
| Interfaces virtuales criptográficas | También conocidas como funciones virtuales, las interfaces virtuales criptográficas representan la unidad básica del hardware SSL. Una vez agotadas estas interfaces, el hardware SSL no se puede asignar más a una instancia VPX. Las interfaces virtuales criptográficas son entidades de solo lectura y el dispositivo SDX asigna automáticamente estas entidades. |
Ver la capacidad de cifrado del dispositivo SDX
Puede ver la capacidad de cifrado del dispositivo SDX en el panel de control de la GUI de SDX. El panel muestra las interfaces virtuales, SCU y usadas y disponibles en el dispositivo SDX. Para ver la capacidad de cifrado, vaya a Panel > Capacidad de cifrado.
Asigne capacidad criptográfica al aprovisionar la instancia VPX
Al aprovisionar una instancia VPX en el dispositivo SDX, en Asignación de cifrado, puede asignar el número de unidades de unidad y SCU para la instancia de VPX. Para obtener instrucciones para aprovisionar una instancia VPX, consulteAprovisionar instancias de Citrix ADC.
Para asignar capacidad de cifrado mientras se aprovisionan una instancia VPX, siga estos pasos.
-
Inicie sesión en Management Service.
-
Vaya a Configuración > Citrix ADC > Instanciasy haga clic en Agregar.
-
En Asignación de cifrado, puede ver las interfaces virtuales de cifrado, SCU y ACU disponibles. La forma de asignar ACU y SCU difiere según el dispositivo SDX:
a. Para los dispositivos enumerados enValor mínimo de un contador ACU disponible para diferentes mesas de dispositivos SDX, puede asignar ACs en múltiplos de un número especificado. Las SCU se asignan automáticamente y el campo de asignación de SCU no se puede modificar. Puede aumentar la asignación de ACU en los múltiplos de la ACU mínima disponible para ese modelo. Por ejemplo, si la ACU mínima es 4375, el incremento de ACU posterior es 8750, 13125, etc.
Ejemplo. Asignación de criptografía donde las SCU se asignan automáticamente y las CAU se asignan en múltiplos de un número especificado.
Valor mínimo de un contador ACU disponible para diferentes mesas de dispositivos SDX
| Plataforma SDX | Valor mínimo del contador ACU |
|---|---|
| 22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 puertos | 2187 |
| 8400, 8600, 8010, 8015 | 2812 |
| 17500, 19500, 21500 | 2812 |
| 17550, 19550, 20550, 21550 | 2812 |
| 11500, 13500, 14500, 16500, 18500, 20500 | 2812 |
| 11515, 11520, 11530, 11540, 11542 | 4375 |
| 14xxx | 4375 |
| 14xxx 40S | 4375 |
| 14xxx 40G | 4375 |
| 14xxx FIPS | 4375 |
| 25xxx | 4375 |
| 25xxx A | 4575 |
b. Para el resto de las plataformas SDX, que no figuran en la lista anteriorValor mínimo de un contador ACU disponible para diferentes mesas de dispositivos SDX, puede asignar libremente ACU y SCU. El dispositivo SDX asigna automáticamente interfaces virtuales criptográficas.
Ejemplo. Asignación criptográfica donde tanto ACU como SCU se asignan libremente
4. / Complete todos los pasos para aprovisionar la instancia de VPX y haga clic en Listo. Para obtener más información, consulte Aprovisionar instancias de Citrix ADC.
Ver el estado del hardware de cifrado
En Management Service, puede ver el estado del hardware criptográfico proporcionado con el dispositivo SDX. El estado del hardware criptográfico se representa como dispositivos criptográficos y funciones virtuales de cifrado. Para ver el estado del hardware criptográfico, vaya a Panel > Recursos.
Puntos a tener en cuenta
Tenga en cuenta los siguientes puntos cuando actualice el dispositivo SDX a la versión más reciente.
-
Solo se actualiza la interfaz de usuario SDX, pero la capacidad del hardware del dispositivo sigue siendo la misma.
-
El mecanismo de asignación de criptografía sigue siendo el mismo, y solo cambia la representación en SDX GUI.
-
La interfaz criptográfica es compatible con versiones anteriores y no afecta a ningún mecanismo de automatización existente que utilice la interfaz NITRO para administrar el dispositivo SDX.
-
Al actualizar el dispositivo SDX, la criptografía asignada a las instancias VPX existentes no cambia; solo cambia su representación en Management Service.
Tabla de conversión de recursos ACU a PKE
| Plataforma SDX | ACU | RSA-RSA1K | RSA-RSA2K | RSA-RSA4K | ECDHE-RSA | ECDHE-ECDSA |
|---|---|---|---|---|---|---|
| 22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 puertos) | 2187 | 12497 | 2187 | 312 | 256 | 190 |
| 8400, 8600, 8010, 8015 | 2812 | 17000 | 2812 | 424 | 330 | N/D |
| 11515, 11520, 11530, 11540, 11542 | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 22040, 22060, 22080,22100, 22120 (24 puertos) | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 17500, 19500, 21500 | 2812 | 17000 | 2812 | 424 | 330 | N/D |
| 17550, 19550, 20550, 21550 | 2812 | 17000 | 2812 | 424 | 330 | N/D |
| 11500, 13500, 14500, 16500, 18500, 20500 | 2812 | 17000 | 2812 | 424 | 330 | N/D |
| 14xxx, 14xxx 40G, 25xxx, 25xxx A | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 14xxx FIPS | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 14xxx 40S | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| *89xx (8910, 8920, 8930) | 1000 | 4615 | 1000 | 136 | 397 | 4949 |
| * 26xxx (26100, 26160, 26200 y 26250) | 1000 | 4615 | 1000 | 136 | 397 | 4949 |
| *15000 50G | 1000 | 4615 | 1000 | 136 | 397 | 4949 |
* En estas plataformas los números de PKE son valores mínimos garantizados.
Cómo leer la tabla de conversión de recursos ACU a PKE
La tabla de conversión de recursos ACU a PKE se basa en los siguientes puntos:
-
Management Service ayuda a asignar Crypto Resources a cada VPX individual. Management Service no puede asignar ni prometer rendimiento.
-
El rendimiento real varía según el tamaño del paquete, Cipher/Keyex/HMac (o sus variaciones) utilizados, etc.
El siguiente ejemplo le ayuda a comprender cómo leer y aplicar la ACU a la tabla de conversión de recursos PKE.
Ejemplo. Conversión de recursos ACU a PKE para la plataforma SDX 22040
La asignación de 2187 ACU a una instancia VPX en una plataforma SDX 22040 asigna un recurso criptográfico equivalente a 256 operaciones ECDHE-RSA o 2187 operaciones RSA-2K y así sucesivamente.
Tablas de conversión de chips SSL heredados a ACU y SCU
Para obtener más información acerca de cómo los chips SSL heredados se convierten a ACU y SCU, consulte la tabla siguiente.