Citrix ADC SDX

Gérer la capacité crypto

À partir de la version 12.1 48.13, l’interface de gestion de la capacité de chiffrement a changé. Le service de gestion fournit des unités de chiffrement asymétriques (ACU), des unités de chiffrement symétriques (SCU) et des interfaces virtuelles de chiffrement pour représenter la capacité SSL sur l’appliance Citrix ADC SDX. Auparavant, la capacité de chiffrement était attribuée en unités de puces SSL, de cœurs SSL et de fonctions virtuelles SSL. Consultez le tableau de conversion des puces SSL héritées en unités ACU et SCU pour plus d’informations sur la façon dont les puces SSL héritées se traduisent en unités ACU et SCU.

À l’aide de l’interface graphique du service de gestion, vous pouvez allouer la capacité de chiffrement à l’instance Citrix ADC VPX en unités d’ACU et de SCU.

Le tableau suivant fournit de brèves descriptions des ACU, des SCU et des instances virtuelles de chiffrement.

Tableau. Unités cryptographiques unitaires

Nouvelles unités cryptographiques Description
Unité cryptographique asymétrique (ACU) 1 ACU = 1 opération par seconde (ops) de déchiffrement (RSA) 2 K (taille de clé 2048 bits). Pour plus de détails, voir Tableau de conversion des ressources ACU en PKE.
Unité cryptographique symétrique (SCU) 1 SCU = 1 Mbits/s d’AES-128-CBC + SHA256-HMAC à 1 024 B. Cette définition s’applique à toutes les plateformes SDX.
Interfaces virtuelles Crypto Également appelées fonctions virtuelles, les interfaces virtuelles cryptographiques représentent l’unité de base du matériel SSL. Une fois ces interfaces épuisées, le matériel SSL ne peut plus être affecté à une instance VPX. Les interfaces virtuelles de chiffrement sont des entités en lecture seule, et l’appliance SDX alloue automatiquement ces entités.

Afficher la capacité de chiffrement de l’appliance SDX

Vous pouvez afficher la capacité de chiffrement de l’appliance SDX dans le tableau de bord de l’interface graphique SDX. Le tableau de bord affiche les ACU, les unités de traitement et les interfaces virtuelles utilisées et disponibles sur l’appliance SDX. Pour afficher la capacité de chiffrement, accédez à Tableau de bord > Capacité de chiffrement.

Afficher la capacité cryptographique

Allouer la capacité de chiffrement lors du provisionnement de l’instance VPX

Lors du provisionnement d’une instance VPX sur l’appliance SDX, sous Allocation de chiffrement, vous pouvez allouer le nombre d’ACU et de SCU pour l’instance VPX. Pour obtenir des instructions sur la mise en service d’une instance VPX, consultez Provisioning d’instances Citrix ADC.

Pour allouer la capacité de chiffrement lors du provisionnement d’une instance VPX, procédez comme suit.

  1. Ouvrez une session sur le service de gestion.

  2. Accédez à Configuration > Citrix ADC > Instances, puis cliquez sur Ajouter.

  3. Sous Allocation cryptographique, vous pouvez afficher les interfaces virtuelles ACU, SCU et cryptographiques disponibles. La façon d’allouer les ACU et les SCU diffère selon l’appliance SDX :

    a. Pour les matériels répertoriés dans le tableau Valeur minimale d’un compteur ACU disponible pour différents matériels SDX, vous pouvez attribuer des ACU par multiples d’un nombre spécifié. Les SCU sont automatiquement allouées et le champ d’allocation des SCU n’est pas modifiable. Vous pouvez augmenter l’allocation d’ACU dans les multiples de l’ACU minimum disponible pour ce modèle. Par exemple, si l’ACU minimum est 4375, l’incrément d’ACU est 8750, 13125, etc.

    Exemple. Allocation cryptographique où les SCU sont automatiquement attribuées et les ACU sont attribuées en multiples d’un nombre spécifié.

    Allocation cryptographique

Valeur minimale d’un compteur ACU disponible pour différents appareils SDX

Plateforme SDX Valeur minimale du compteur ACU
22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 ports) 2187
8400, 8600, 8010, 8015 2812
17500, 19500, 21500 2812
17550, 19550, 20550, 21550 2812
11500, 13500, 14500, 16500, 18500, 20500 2812
11515, 11520, 11530, 11540, 11542 4375
14xxx 4375
14xxx 40S 4375
14xxx 40G 4375
14xxx FIPS 4375
25xxx 4375
25xxx A 4575

b. Pour les autres plates-formes SDX, qui ne sont pas répertoriées dans le tableau précédent, vous pouvez attribuer librement des ACU et des SCU. L’appliance SDX alloue automatiquement les interfaces virtuelles de chiffrement.

Exemple. Allocation cryptographique où l’ACU et les SCU sont assignés librement

Allocation cryptographique 8900

4./ Effectuez toutes les étapes de provisionnement de l’instance VPX, puis cliquez sur Terminé. Pour de plus amples informations, consultez Provisioning des instances Citrix ADC.

Afficher la santé du matériel cryptographique

Dans le service de gestion, vous pouvez afficher l’état du matériel de chiffrement fourni avec l’appliance SDX. La santé du matériel cryptographique est représentée par les périphériques cryptographiques et les fonctions virtuelles cryptographiques. Pour afficher l’état du matériel de chiffrement, accédez à Tableau de bord > Ressources.

Dispositifs cryptographiques et fonctions virtuelles

Points à noter

Gardez à l’esprit les points suivants lorsque vous mettez à niveau l’appliance SDX vers la dernière version.

  • Seule l’interface utilisateur SDX est mise à niveau, mais la capacité matérielle de l’appliance reste la même.

  • Le mécanisme d’allocation de chiffrement reste le même et seule la représentation sur l’interface graphique SDX change.

  • L’interface Crypto est rétrocompatible et n’affecte aucun mécanisme d’automatisation existant qui utilise l’interface NITRO pour gérer l’appliance SDX.

  • Lors de la mise à niveau de l’appliance SDX, le chiffrement attribué aux instances VPX existantes ne change pas ; seule sa représentation sur le service de gestion change.

Tableau de conversion des ressources ACU en PKE

Plateforme SDX ACU RSA-RSA1K RSA-RSA2K RSA-RSA4K ECDHE-RSA ECDHE-ECDSA
22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 ports) 2187 12497 2187 312 256 190
8400, 8600, 8010, 8015 2812 17000 2812 424 330 S.O.
11515, 11520, 11530, 11540, 11542 4375 25000 4375 625 512 381
22040, 22060, 22080, 22100, 22120 (24 ports) 4375 25000 4375 625 512 381
17500, 19500, 21500 2812 17000 2812 424 330 S.O.
17550, 19550, 20550, 21550 2812 17000 2812 424 330 S.O.
11500, 13500, 14500, 16500, 18500, 20500 2812 17000 2812 424 330 S.O.
14000, 14000-40G, 25000, 25000A 4375 25000 4375 625 512 381
14000 FIPS 4375 25000 4375 625 512 381
14000-40S 4375 25000 4375 625 512 381
*8900 (8910, 8920, 8930) 1 000 4615 1 000 136 397 494
*26000-100G (26100, 26160, 26200 et 26250) 1 000 4615 1 000 136 397 494
*15 000 1 000 4615 1 000 136 397 494
*15000-50G 1 000 4615 1 000 136 397 494
*26000-50S 1 000 4615 1 000 136 397 494

*Sur ces plateformes, les nombres PKE sont les valeurs minimales garanties.

Comment lire le tableau de conversion des ressources ACU en PKE

Le tableau de conversion des ressources ACU en PKE est basé sur les points suivants :

  • Le service de gestion permet d’allouer des ressources cryptographiques à chaque VPX individuel. Le service de gestion ne peut pas allouer ou promettre des

  • Les performances réelles varient en fonction de la taille du paquet, du chiffrement/keyex/hmac (ou de leurs variations) utilisés, etc.

L’exemple suivant vous permet de comprendre comment lire et appliquer l’ACU à la table de conversion des ressources PKE.

Exemple. Conversion de ressources ACU en PKE pour la plate-forme SDX 22040

L’allocation de 2187 ACU à une instance VPX sur une plate-forme SDX 22040 alloue des ressources cryptographiques équivalentes à 256 opérations ECDHE-RSA ou 2187 opérations RSA-2K, etc.

Tableau de conversion des puces SSL héritées en ACU et SCU

Pour plus d’informations sur la façon dont les puces SSL héritées sont converties en ACU et SCU, consultez le tableau suivant.

Tableau de conversion ACU et SCU

Gérer la capacité crypto