管理加密容量
从版本12.1 48.13开始,管理加密容量的接口已经改变。管理服务提供非对称加密单元(ACU),对称加密单元(并)和加密虚拟接口,以表示Citrix ADC对有关设备上的SSL容量。早期的加密容量是以ssl芯片,ssl核心和ssl虚拟功能为单位分配的。有关传统ssl芯片如何转换为acu和scu单元的更多信息,请参阅传统SSL芯片到acu和scu的转换表。
通过使用管理服务GUI,您可以以ACU和地位并为单位向Citrix ADC VPX实例分配加密容量。
下表提供了有关acu, scu和加密虚拟实例的简要说明。
表。单位加密单位
| 新的加密单位 | 说明 |
|---|---|
| 非对称加密单元(acu) | 1 ACU = (RSA) 2 K(2048位密钥大小)解密的每秒1次操作(ops)。有关更多详细信息,请参阅Acu到pke的资源转换表。 |
| 对称加密单元(scu) | 1个SCU = 1 Mbps的AES-128-CBC + SHA256-HMAC @ 1024B。此定义适用于所有SDX平台。 |
| 加密虚拟接口 | 加密虚拟接口也称为虚拟函数,代表SSL硬件的基本单元。在这些接口用尽后,无法再将 SSL 硬件分配给 VPX 实例。加密虚拟接口是只读实体,SDX 设备会自动分配这些实体。 |
查看SDX设备的加密容量
您可以在SDX GUI的仪表板中查看SDX设备的加密容量。仪表板显示SDX设备上已使用和可用的acu, scu和虚拟接口。要查看加密容量,请导航到控制面板 > 加密容量。
在预配VPX实例时分配加密容量
在SDX设备上配置VPX实例时,您可以在加密分配下为VPX实例分配acu和scu的数量。有关预置VPX实例的说明,请参阅预配Citrix ADC实例。
要在预置VPX实例时分配加密容量,请执行以下步骤。
登录到管理服务。
导航到配置> Citrix ADC >实例,然后单击添加。
在加密分配下,您可以查看可用的acu, scu和加密虚拟接口。分配acu和scu的方式因SDX设备而异:
一个。对于不同SDX设备可用的acu计数器的最小值中列出的装置,您可以按指定数量的倍数分配acu。Scu会自动分配,Scu分配字段不可编辑。您可以使用该型号可用的最小acu的倍数来增加acu分配。例如,如果最小acu为4375,则acu增量为8750,13125,依此类推。
示例。加密分配,其中自动分配scu, acu以指定数量的倍数分配。
适用于不同SDX设备的acu计数器的最小值
| SDX平台 | Acu计数器最小值 |
|---|---|
| 22040、22060、22080、22100、22120、24100、24150(36 个端口) | 2187 |
| 8400,8600,8010,8015 | 2812 |
| 17500,19500,21500 | 2812 |
| 17550 195502055021550 | 2812 |
| 11500, 13500, 14500, 16500, 18500, 20500 | 2812 |
| 11515 11520 11530 11540 11542 | 4375 |
| 14 xxx | 4375 |
| 14 xxx 40年代 | 4375 |
| 14 xxx 40克 | 4375 |
| 14 xxx FIPS | 4375 |
| 25 xxx | 4375 |
| 25 xxx | 4575 |
b.对于上表中未列出的其余SDX平台,您可以自由分配ACU和SCU。SDX设备会自动分配加密虚拟接口。
示例。acu和scu均可自由分配的加密货币分配
4./完成配置VPX实例的所有步骤,然后单击完成。有关更多信息,请参阅预配Citrix ADC实例。
查看加密硬件运行状况
在管理服务中,您可以查看随SDX设备提供的加密硬件的运行状况。加密硬件的运行状况表示为加密设备和加密虚拟功能。要查看加密硬件的运行状况,请导航到控制板 > 资源。
注意事项
将SDX设备升级到最新版本时,请记住以下几点。
只有SDX用户界面得到升级,但设备的硬件容量保持不变。
加密分配机制保持不变,只有SDX GUI上的表示会发生变化。
加密接口向后兼容,不会影响使用硝基接口管理SDX设备的任何现有自动化机制。
SDX设备升级后,VPX实例的加密不会更改;只会更改其在管理服务中的表示形式。
Acu到pke资源转换表
| SDX平台 | ACU | RSA-RSA1K | RSA-RSA2K | RSA-RSA4K | ECDHE-RSA | ECDHE-ECDSA |
|---|---|---|---|---|---|---|
| 22040、22060、22080、22100、22120、24100、24150(36 个端口) | 2187 | 12497 | 2187 | 312 | 256 | 190 |
| 8400,8600,8010,8015 | 2812 | 17000 | 2812 | 424 | 330 | 不适用 |
| 11515 11520 11530 11540 11542 | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 22040、22060、22080、22100、22120(24个端口) | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 17500,19500,21500 | 2812 | 17000 | 2812 | 424 | 330 | 不适用 |
| 17550 195502055021550 | 2812 | 17000 | 2812 | 424 | 330 | 不适用 |
| 11500, 13500, 14500, 16500, 18500, 20500 | 2812 | 17000 | 2812 | 424 | 330 | 不适用 |
| 14000、14000- 40g、25000、25000a | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| FIPS 14000 | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| 14000 - 40年代 | 4375 | 25000 | 4375 | 625 | 512 | 381 |
| *8900 (8910,8920,8930) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| *9100 (9110, 9120, 9130) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| * 26000-100g(26100、26160、26200和26250) | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| * 15000 | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| * 15000 - 50 g | 1000 | 4615 | 1000 | 136 | 397 | 494 |
| * 26000 - 50 | 1000 | 4615 | 1000 | 136 | 397 | 494 |
*在这些平台上,pke数字是最低保证值。
如何读取acu到pke的资源转换表
acu到pke的资源转换表基于以下几点:
管理服务帮助将加密资源分配给每个单独的vpx。管理服务不能分配或承诺绩效。
实际性能因数据包大小,使用的cipher/Keyex/HMAC(或其变体)等而异
以下示例可帮助您了解如何读取acu并将其应用于pke资源转换表。
示例。SDX 22040平台的acu到pke资源转换
在对有关22040平台上向VPX实例分配2187个ACU会分配相当于256个ECDHE-RSA操作或2187个RSA-2K操作等同的加密资源。
传统ssl芯片到acu和scu的转换表
有关如何将旧版SSL芯片转换为acu和scu的更多信息,请参阅下表。