Accelerazione hardware

Modifica in linea

La scheda PCI Ethernet 10/100 Mbps II (codice caratteristica 4962) offre una sicurezza IP basata su standard ed è progettata per scaricare le funzioni di sicurezza IP dal sistema operativo AIX®.

Quando il PCI Adapter II Ethernet 10/100 Mbps è presente nel sistema AIX , lo stack di sicurezza IP utilizza le seguenti funzionalità dell'adattatore:

  • Crittografia e decodifica utilizzando algoritmi DES o Triple DES
  • Autenticazione tramite algoritmi MD5 o SHA-1
  • Archiviazione delle informazioni di associazione sicurezza

Le funzioni sull'adattatore vengono utilizzate invece degli algoritmi software. L'adattatore PCI Ethernet 10/100 Mbps è disponibile per i tunnel manuali e IKE.

La funzione di accelerazione hardware della sicurezza IP è disponibile in 5.1.0.25 o livello successivo delle serie di file bos.net.ipsec.rte e devices.pci.1410ff01.rte .

C'è un limite sul numero di associazioni di sicurezza che possono essere scaricate sull'adattatore di rete sul lato di ricezione (traffico in entrata). Sul lato di trasmissione (traffico in uscita), tutti i pacchetti che utilizzano una configurazione supportata vengono offcaricati all'adattatore. Alcune configurazioni di tunnel non possono essere offcaricate sull'adattatore.

L'adattatore PCI Ethernet PCI 10/100 Mbps supporta le seguenti funzioni:

  • Crittografia DES, 3DESo NULL tramite ESP
  • Autenticazione HMAC-MD5 o HMAC-SHA-1 tramite ESP o AH, ma non entrambi. (Se ESP e AH entrambi utilizzati, ESP deve essere eseguito per primo. Questo è sempre vero per i tunnel IKE, ma l'utente può selezionare l'ordine per i tunnel manuali.)
  • Modalità di trasporto e Tunnel
  • Offload di pacchetti IPV4
Nota: L'adattatore PCI Ethernet 10/100 Mbps II non può gestire i pacchetti con opzioni IP.

Per abilitare il PCI PCI Adapter II di 10/100 Mbps per la Sicurezza IP, potrebbe essere necessario staccare l'interfaccia di rete e quindi abilitare la funzione IPsec Offload.

Per staccare l'interfaccia di rete, effettuare le seguenti operazioni utilizzando l'interfaccia SMIT:

Per abilitare la funzione IPsec Offload, effettuare quanto segue utilizzando l'interfaccia SMIT:

  1. Accedere come utente root .
  2. Digitare smitty eadap alla riga di comando e premere Invio.
  3. Selezionare l'opzione Modifica / Mostra le Caratteristiche di un adattatore Ethernet e premere Invio.
  4. Selezionare l'adattatore PCI Ethernet PCI 10/100 Mbps e premere Invio.
  5. Cambiare il campo IPsec Offload su e premere Invio.
Per staccare l'interfaccia di rete, dalla riga di comando, digitare quanto segue:
# ifconfig enX detach
Per abilitare l'attributo di offload IPsec, dalla riga di comando, digitare quanto segue:
# chdev -l entX -a ipsec_offload=yes
Per verificare che l'attributo di offload IPsec sia stato abilitato, dalla riga di comando, digitare quanto segue:
# lsattr -El entX detach
Per disabilitare l'attributo di offload IPsec, dalla riga di comando, digitare quanto segue:
# chdev -l entX -a ipsec_offload=no
Utilizzare il comando enstat per accertarsi che la configurazione del tunnel stia sfruttando l'attributo offload IPsec. Il comando enstat mostra tutte le statistiche dei pacchetti IPsec di trasmissione e ricezione quando l'attributo offload IPsec è abilitato. Ad esempio, se l'interfaccia Ethernet è ent1, immettere il seguente comando:
# entstat -d ent1
L'output sarà simile al seguente esempio:
.
.
.
10/100 Mbps Ethernet PCI Adapter II (1410ff01) Specific Statistics: 
--------------------------------------------       
.
.
.
Transmit IPsec packets: 3
Transmit IPsec packets dropped: 0
Receive IPsec packets: 2
Receive IPsec packets dropped: 0