Citrix ADC SDX

Administrar la capacidad de cifrado

A partir de la versión 12.1 48.13, la interfaz para gestionar la capacidad de cifrado ha cambiado. El servicio de administración proporciona unidades criptográficas asimétricas (ACU), unidades criptográficas simétricas (SCU) e interfaces criptovirtuales para representar la capacidad SSL en el dispositivo Citrix ADC SDX. La capacidad criptográfica anterior se asignaba en unidades de chips SSL, núcleos SSL y funciones virtuales SSL. Consulte la tabla de conversión de chips SSL heredados a ACU y SCU para obtener más información sobre cómo los chips SSL heredados se traducen en unidades ACU y SCU.

Mediante la GUI de Management Service, puede asignar capacidad de cifrado a la instancia de Citrix ADC VPX en unidades de ACU y SCU.

En la siguiente tabla se proporcionan descripciones breves sobre las ACU, las SCU y las instancias virtuales criptográficas.

Mesa. Unidades criptográficas unitarias

Nuevas unidades criptográficas Descripción
Unidad criptográfica asimétrica (ACU) 1 ACU = 1 operación por segundo (operaciones) de descifrado (RSA) 2K (tamaño de clave de 2048 bits). Para obtener más información, consulte la tabla de conversión de recursos de ACU a PKE.
Unidad criptográfica simétrica (SCU) 1 SCU = 1 Mbps de AES-128-CBC+SHA256-HMAC a 1024B. Esta definición se aplica a todas las plataformas SDX.
Interfaces virtuales criptográficas También conocidas como funciones virtuales, las interfaces virtuales criptográficas representan la unidad básica del hardware SSL. Una vez agotadas estas interfaces, el hardware SSL ya no se puede asignar a una instancia VPX. Las interfaces virtuales criptográficas son entidades de solo lectura y el dispositivo SDX asigna automáticamente estas entidades.

Ver la capacidad criptográfica del dispositivo SDX

Puede ver la capacidad de cifrado del dispositivo SDX en el panel de la GUI de SDX. El panel muestra las ACU, las SCU y las interfaces virtuales usadas y disponibles en el dispositivo SDX. Para ver la capacidad criptográfica, vaya a Panel de control > Capacidad criptográfica.

Ver capacidad criptográfica

Asigna la capacidad de cifrado mientras se aprovisiona la instancia

Al aprovisionar una instancia VPX en el dispositivo SDX, en Asignación criptográfica, puede asignar el número de ACU y SCU para la instancia VPX. Para obtener instrucciones sobre cómo aprovisionar una instancia VPX, consulte Aprovisionamiento de instancias de Citrix ADC.

Para asignar capacidad de cifrado mientras se aprovisiona una instancia VPX, siga estos pasos.

  1. Inicie sesión en Management Service.

  2. Vaya a Configuración > Citrix ADC > Instanciasy haga clic en Agregar.

  3. En Asignación criptográfica, puede ver las ACU, SCU e interfaces virtuales criptográficas disponibles. La forma de asignar las ACU y las SCU varía según el dispositivo SDX:

    a. Para los dispositivos enumerados en la tabla Valor mínimo de un contador de ACU disponible para diferentes dispositivos SDX, puede asignar ACU en múltiplos de un número especificado. Las SCU se asignan automáticamente y el campo de asignación de SCU no se puede modificar. Puede aumentar la asignación de ACU en los múltiplos de la ACU mínima disponible para ese modelo. Por ejemplo, si la ACU mínima es 4375, el incremento de la ACU es 8750, 13125, etc.

    Un ejemplo. Asignación criptográfica en la que las SCU se asignan automáticamente y las ACU se asignan en múltiplos de un número específico.

    Asignación criptográfica

Tabla del valor mínimo de un contador ACU disponible para diferentes dispositivos SDX

Plataforma SDX Valor mínimo del contador ACU
22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 puertos 2187
8400, 8600, 8010, 8015 2812
17500, 19500, 21500 2812
17550, 19550, 20550, 21550 2812
11500, 13500, 14500, 16500, 18500, 20500 2812
11515, 11520, 11530, 11540, 11542 4375
14xxx 4375
14xxx 40S 4375
14xxx 40G 4375
14xxx FIPS 4375
25xxx 4375
25xxx A 4575

b. Para el resto de plataformas SDX, que no se enumeran en la tabla anterior, puede asignar ACU y SCU libremente. El dispositivo SDX asigna automáticamente interfaces virtuales criptográficas.

Un ejemplo. Asignación criptográfica en la que tanto la ACU como las SCU se asignan libremente

Asignación criptográfica 8900

4./ Complete todos los pasos para aprovisionar la instancia VPX y haga clic en Listo. Para obtener más información, consulte Aprovisionamiento de instancias de Citrix ADC.

Ver el estado del hardware criptográfico

En Management Service, puede ver el estado del hardware criptográfico que se proporciona con el dispositivo SDX. La salud del hardware criptográfico se representa como dispositivos criptográficos y funciones virtuales criptográficas. Para ver el estado del hardware criptográfico, vaya a Panel de control > Recursos.

Dispositivos criptográficos y funciones virtuales

Puntos que tener en cuenta

Tenga en cuenta lo siguiente cuando actualice el dispositivo SDX a la versión más reciente.

  • Solo se actualiza la interfaz de usuario SDX, pero la capacidad del hardware del dispositivo sigue siendo la misma.

  • El mecanismo de asignación de criptomonedas sigue siendo el mismo y solo cambia la representación en la GUI de SDX.

  • La interfaz criptográfica es compatible con versiones anteriores y no afecta a ningún mecanismo de automatización existente que utilice la interfaz NITRO para administrar el dispositivo SDX.

  • Tras la actualización del dispositivo SDX, la criptografía asignada a las instancias VPX existentes no cambia; solo cambia su representación en Management Service.

Tabla de conversión de recursos ACU a PKE

Plataforma SDX ACU RSA-RSA1K RSA-RSA2K RSA-RSA4K ECDHE-RSA ECDHE-ECDSA
22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 puertos) 2187 12497 2187 312 256 190
8400, 8600, 8010, 8015 2812 17000 2812 424 330 N/D
11515, 11520, 11530, 11540, 11542 4375 25000 4375 625 512 381
22040, 22060, 22080, 22100, 22120 (24 puertos) 4375 25000 4375 625 512 381
17500, 19500, 21500 2812 17000 2812 424 330 N/D
17550, 19550, 20550, 21550 2812 17000 2812 424 330 N/D
11500, 13500, 14500, 16500, 18500, 20500 2812 17000 2812 424 330 N/D
14000, 14000-40G, 25000, 25000A 4375 25000 4375 625 512 381
14000 FIPS 4375 25000 4375 625 512 381
14000-40S 4375 25000 4375 625 512 381
*8900 (8910, 8920, 8930) 1000 4615 1000 136 397 494
*26000-100G (26100, 26160, 26200 y 26250) 1000 4615 1000 136 397 494
*15000 1000 4615 1000 136 397 494
*15000-50G 1000 4615 1000 136 397 494
*26000-50S 1000 4615 1000 136 397 494

*En estas plataformas, los números de PKE son los valores mínimos garantizados.

Cómo leer la tabla de conversión de recursos ACU a PKE

La tabla de conversión de recursos ACU a PKE se basa en los siguientes puntos:

  • El servicio de administración ayuda a asignar recursos criptográficos a cada VPX individual. El servicio de administración no puede asignar ni prometer rendimiento.

  • El rendimiento real varía según el tamaño del paquete, el cifrado/Keyex/HMAC (o sus variaciones) utilizado, etc.

El siguiente ejemplo le ayuda a entender cómo leer y aplicar la ACU a la tabla de conversión de recursos de PKE.

Un ejemplo. Conversión de recursos de ACU a PKE para la plataforma SDX 22040

La asignación de 2187 ACU a una instancia VPX en una plataforma SDX 22040 asigna recursos criptográficos equivalentes a 256 operaciones ECDHE-RSA u 2187 operaciones RSA-2K, etc.

Tabla de conversión de chips SSL heredados a ACU y SCU

Para obtener más información sobre cómo los chips SSL heredados se convierten en ACU y SCU, consulte la siguiente tabla.

Tabla de conversión de ACU y SCU

Administrar la capacidad de cifrado