Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configura la descarga de hardware TLS de ONTAP

PDF

A partir de ONTAP 9.19.1, puedes configurar la descarga de TLS para mejorar el rendimiento de TLS post-apretón de manos aprovechando los recursos de las tarjetas Ethernet compatibles. Esta función descarga el cifrado y el descifrado, lo que reduce la sobrecarga de la CPU y mejora el rendimiento.

Acerca de esta tarea

  • La descarga TLS está desactivada por defecto.

  • Sólo se descargan las suites de cifrado AES-GCM (TLSv1.2/TLSv1.3, 128/256-bit).

  • La fase de apretón de manos TLS no se descarga. Solo se descarga la fase de datos posterior al apretón de manos.

  • La migración de interfaz lógica de red (LIF) a puertos que no admiten descarga provoca una reversión automática del software.

    En el caso de las conexiones TLS offloaded, las operaciones criptográficas TLS normalmente omiten el software y son gestionadas por una NIC con capacidad de offload. Si la LIF asociada con esta conexión migra a un puerto de red sin capacidad de TLS offload, las operaciones criptográficas pasan a software y son gestionadas por el kernel del sistema.

  • Las interfaces de gestión (HTTPS, API de REST) no se ven afectadas por esta configuración.

  • La configuración de la descarga de hardware TLS es a nivel de clúster.

La descarga de hardware TLS requiere una tarjeta de red compatible. Se admiten las siguientes tarjetas de red:

  • CX7 de 4 puertos 10/25 GbE

  • CX6-Dx de 2 puertos 40/100 GbE

  • 2 puertos CX7 40/100 GbE

  • CX7 de 2 puertos 40/100/200

Las tarjetas CX7 10/25 GbE de 4 puertos, CX6-Dx 40/100 GbE de 2 puertos y CX7 40/100 GbE de 2 puertos son compatibles con las siguientes plataformas AFF:

  • AFF A20

  • AFF A30

  • AFF A50

  • AFF C30

  • AFF C60

Las tarjetas CX6-Dx 40/100 GbE de 4 puertos, CX7 40/100 GbE de 2 puertos y CX7 40/100/200 GbE de 2 puertos son compatibles con las siguientes plataformas AFF y FAS:

  • AFF A70-90

  • AFF C80

  • FAS70

  • FAS90

  • AFF A1K

Antes de empezar

  • Debes ser administrador de ONTAP en el admin Nivel de privilegios para realizar las siguientes tareas.

  • Todos los nodos deben ejecutar ONTAP 9.19.1 o posterior.

Activar o desactivar la descarga de TLS

Pasos

  1. Ver el estado actual de la descarga TLS:

    security config show

    Este comando muestra la configuración de descarga TLS en todo el clúster:

    cluster1::*> security config show
Cluster    Supported Offload
FIPS Mode  Protocols Enabled Supported Cipher Suites
---------- --------- ------- --------------------------------------------------
false      TLSv1.3,  false   TLS_RSA_WITH_AES_128_CCM,
           TLSv1.2           TLS_RSA_WITH_AES_128_CCM_8,
                             TLS_RSA_WITH_AES_128_GCM_SHA256,
                             TLS_RSA_WITH_AES_128_CBC_SHA,
                             TLS_RSA_WITH_AES_128_CBC_SHA256,
                             TLS_RSA_WITH_AES_256_CCM,
[...]

  2. Activa o desactiva la descarga TLS:

    security config modify -is-offload-enabled {true|false}

    Este comando habilita o deshabilita la descarga de hardware para la fase de datos TLS en conexiones nuevas. Las conexiones existentes creadas antes de habilitar la función de descarga TLS no se descargan hasta que esas conexiones se eliminan y se vuelven a crear.

    Al activar la descarga TLS, debe especificarse la interfaz:

    security config modify -is-offload-enabled true -interface SSL
Información relacionada