Administrar la capacidad de cifrado
A partir de la versión 12.1 48.13, la interfaz para gestionar la capacidad de cifrado ha cambiado. Con la nueva interfaz, Management Service proporciona unidades criptográficas asimétricas (ACU), unidades criptográficas simétricas (SCU) e interfaces criptovirtuales para representar la capacidad SSL en el dispositivo NetScaler SDX. La capacidad criptográfica anterior se asignaba en unidades de chips SSL, núcleos SSL y funciones virtuales SSL. Consulte la tabla de conversión de chips SSL heredados a ACU y SCU para obtener más información sobre cómo los chips SSL heredados se traducen en unidades ACU y SCU.
Mediante la GUI del Servicio de administración, puede asignar capacidad de cifrado a la instancia de NetScaler VPX en unidades de ACU y SCU.
En la siguiente tabla se proporcionan descripciones breves sobre las ACU, las SCU y las instancias virtuales criptográficas.
Tabla. Unidades criptográficas unitarias
Nuevas unidades criptográficas | Descripción |
---|---|
Unidad criptográfica asimétrica (ACU) | 1 ACU = 1 operación por segundo (operaciones) de descifrado (RSA) 2K (tamaño de clave de 2048 bits). Para obtener más información, consulte la tabla de conversión de recursos de ACU a PKE. |
Unidad criptográfica simétrica (SCU) | 1 SCU = 1 Mbps de AES-128-CBC+SHA256-HMAC a 1024B. Esta definición se aplica a todas las plataformas SDX. |
Interfaces virtuales criptográficas | También conocidas como funciones virtuales, las interfaces virtuales criptográficas representan la unidad básica del hardware SSL. Una vez agotadas estas interfaces, el hardware SSL ya no se puede asignar a una instancia VPX. Las interfaces virtuales criptográficas son entidades de solo lectura y el dispositivo NetScaler SDX asigna automáticamente estas entidades. |
Ver la capacidad criptográfica del dispositivo SDX
Puede ver la capacidad de cifrado del dispositivo SDX en el panel de la GUI de SDX. El panel muestra las ACU, las SCU y las interfaces virtuales usadas y disponibles en el dispositivo SDX. Para ver la capacidad criptográfica, vaya a Panel de control > Capacidad criptográfica.
Asignar capacidad criptográfica mientras se aprovisiona la instancia de NetScaler VPX
Al aprovisionar una instancia VPX en un dispositivo SDX, en Asignación criptográfica, puede asignar el número de ACU y SCU para la instancia VPX. Para obtener instrucciones sobre cómo aprovisionar una instancia VPX, consulte Aprovisionamiento de instancias de Citrix ADC.
Para asignar capacidad de cifrado mientras se aprovisiona una instancia VPX, siga estos pasos.
-
Inicie sesión en Management Service.
-
Vaya a Configuración > Citrix ADC > Instanciasy haga clic en Agregar.
-
En Asignación criptográfica, puede ver las ACU, SCU e interfaces virtuales criptográficas disponibles. La forma de asignar las ACU y las SCU varía según el dispositivo SDX:
a. Para los dispositivos enumerados en la tabla Valor mínimo de un contador de ACU disponible para diferentes dispositivos SDX, puede asignar ACU en múltiplos de un número especificado. Las SCU se asignan automáticamente y el campo de asignación de SCU no se puede modificar. Puede aumentar la asignación de ACU en los múltiplos de la ACU mínima disponible para ese modelo. Por ejemplo, si la ACU mínima es 4375, el incremento de ACU posterior es 8750, 13125, etc.
Un ejemplo. Asignación criptográfica en la que las SCU se asignan automáticamente y las ACU se asignan en múltiplos de un número específico.
Tabla del valor mínimo de un contador ACU disponible para diferentes dispositivos SDX
Plataforma SDX | Valor mínimo del contador ACU |
---|---|
22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 puertos) | 2187 |
8400, 8600, 8010, 8015 | 2812 |
17500, 19500, 21500 | 2812 |
17550, 19550, 20550, 21550 | 2812 |
11500, 13500, 14500, 16500, 18500, 20500 | 2812 |
11515, 11520, 11530, 11540, 11542 | 4375 |
14xxx | 4375 |
14xxx 40S | 4375 |
14xxx 40G | 4375 |
14xxx FIPS | 4375 |
25xxx | 4375 |
25xxx A | 4575 |
b. Para el resto de las plataformas SDX, que no figuran en la tabla anterior Valor mínimo de un contador de ACU disponible para diferentes dispositivos SDX, puede asignar libremente ACU y SCU. El dispositivo SDX asigna automáticamente interfaces virtuales criptográficas.
Un ejemplo. Asignación criptográfica en la que tanto la ACU como las SCU se asignan libremente
4./ Complete todos los pasos para aprovisionar la instancia de Citrix ADC y haga clic en Listo. Para obtener más información, consulte Aprovisionamiento de instancias de Citrix ADC.
Ver el estado del hardware criptográfico
En Management Service, puede ver el estado del hardware criptográfico que se proporciona con el dispositivo SDX. La salud del hardware criptográfico se representa como dispositivos criptográficos y funciones virtuales criptográficas. Para ver el estado del hardware criptográfico, vaya a Panel de control > Recursos.
Puntos que tener en cuenta
Tenga en cuenta lo siguiente cuando actualice el dispositivo SDX a la versión más reciente.
-
Solo se actualiza la interfaz de usuario SDX, pero la capacidad del hardware del dispositivo sigue siendo la misma.
-
El mecanismo de asignación de criptomonedas sigue siendo el mismo y solo cambia la representación en la GUI de SDX.
-
La interfaz criptográfica es compatible con versiones anteriores y no afecta a ningún mecanismo de automatización existente que utilice la interfaz NITRO para administrar el dispositivo SDX.
-
Tras la actualización del dispositivo SDX, la criptografía asignada a las instancias VPX existentes no cambia; solo cambia su representación en Management Service.
Tabla de conversión de recursos ACU a PKE
Plataforma SDX | ACU | RSA-RSA1K | RSA-RSA2K | RSA-RSA4K | ECDHE-RSA | ECDHE-ECDSA |
---|---|---|---|---|---|---|
22040, 22060, 22080, 22100, 22120, 24100, 24150 (36 puertos) | 2187 | 12497 | 2187 | 312 | 256 | 190 |
8400, 8600, 8010, 8015 | 2812 | 17000 | 2812 | 424 | 330 | N/D |
11515, 11520, 11530, 11540, 11542 | 4375 | 25000 | 4375 | 625 | 512 | 381 |
22040, 22060, 22080, 22100, 22120 (24 puertos) | 4375 | 25000 | 4375 | 625 | 512 | 381 |
17500, 19500, 21500 | 2812 | 17000 | 2812 | 424 | 330 | N/D |
17550, 19550, 20550, 21550 | 2812 | 17000 | 2812 | 424 | 330 | N/D |
11500, 13500, 14500, 16500, 18500, 20500 | 2812 | 17000 | 2812 | 424 | 330 | N/D |
14xxx, 14xxx 40G, 25xxx, 25xxx A | 4375 | 25000 | 4375 | 625 | 512 | 381 |
14xxx FIPS | 4375 | 25000 | 4375 | 625 | 512 | 381 |
14xxx 40S | 4375 | 25000 | 4375 | 625 | 512 | 381 |
*89xx (8910, 8920, 8930) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*26xxx (26100, 26160, 26200 y 26250) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*15000 50G | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*26000-50S | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*En estas plataformas, los números de PKE son los valores mínimos garantizados.
Cómo leer la tabla de conversión de recursos ACU a PKE
La tabla de conversión de recursos ACU a PKE se basa en los siguientes puntos:
-
El Servicio de administración ayuda a asignar recursos criptográficos a cada VPX individual. El Servicio de administración no puede asignar ni prometer rendimiento.
-
El rendimiento real varía según el tamaño del paquete, el cifrado/Keyex/HMAC (o sus variaciones) utilizado, etc.
El siguiente ejemplo le ayuda a entender cómo leer y aplicar la tabla de conversión de recursos “ACU a PKE”.
Un ejemplo. Conversión de recursos de ACU a PKE para la plataforma SDX 22040
La asignación de 2187 ACU a una instancia VPX en una plataforma SDX 22040 asigna recursos criptográficos equivalentes a 256 operaciones ECDHE-RSA u 2187 operaciones RSA-2K, etc.
Tabla de conversión de chips SSL heredados a ACU y SCU
Para obtener más información sobre cómo los chips SSL heredados se convierten en ACU y SCU, consulte la siguiente tabla.