Accélération matérielle

Editer en ligne

L'adaptateur PCI Ethernet 10/100 Mbps II (code de fonctionnalité 4962) offre une sécurité IP basée sur des normes et est conçu pour décharger le système d'exploitation AIX des fonctions de sécurité IP.

Lorsque la carte PCI Ethernet 10/100 Mbps II est présente sur le système AIX , la pile de sécurité IP utilise les fonctions suivantes de la carte:

  • Chiffrement et déchiffrement à l'aide des algorithmes DES ou Triple DES
  • Authentification à l'aide des algorithmes MD5 ou SHA-1
  • Stockage des informations de l'association de sécurité

Les fonctions de la carte sont utilisées à la place des algorithmes logiciels. La carte PCI Ethernet 10/100 Mbps II est disponible pour les tunnels manuels et IKE.

La fonction d'accélération matérielle de la sécurité IP est disponible dans le niveau 5.1.0.25 ou ultérieur des ensembles de fichiers bos.net.ipsec.rte et devices.pci.1410ff01.rte.

Il existe une limite au nombre d'associations de sécurité pouvant être déchargées sur la carte de réseau du côté de réception (trafic entrant). Sur le côté de transmission (trafic sortant), tous les paquets utilisant une configuration prise en charge sont déchargés sur la carte. Certaines configurations de tunnel ne peuvent pas être déchargées sur la carte.

La carte PCI Ethernet 10/100 Mbps II prend en charge les fonctions suivantes :

  • Chiffrement DES, 3DES ou NULL via ESP
  • HMAC-MD5 ou HMAC-SHA-1 authentification via ESP ou AH, mais pas les deux. (Si ESP et AH sont tous les deux utilisés, ESP doit être effectué en premier. Cela est toujours vrai pour les tunnels IKE, mais l'utilisateur peut sélectionner la commande pour les tunnels manuels.)
  • Mode de transport et tunnel
  • Déchargement de paquets IPV4
Remarque: La carte Ethernet PCI II 10/100 Mbps ne peut pas gérer les paquets avec des options IP.

Pour activer la carte PCI Ethernet 10/100 Mbps II pour la sécurité IP, vous devrez peut-être détacher l'interface réseau, puis activer la fonction Déchargement IPsec.

Pour dissocier l'interface réseau, suivez les étapes suivantes à l'aide de l'interface SMIT :

Pour activer la fonction de Déchargement IPsec, procédez comme suit à l'aide de l'interface SMIT :

  1. Connectez-vous en tant qu'utilisateur root .
  2. Tapez smitty eadap sur la ligne de commande et appuyez sur Entrée.
  3. Sélectionnez l'option Modification/présentation des caractéristiques d'une carte Ethernet et appuyez sur Entrée.
  4. Sélectionnez la carte PCI Ethernet 10/100 Mbps II et appuyez sur Entrée.
  5. Remplacez le champ Déchargement IPsec par Oui et appuyez sur Entrée.
Pour dissocier l'interface réseau, à partir de la ligne de commande, entrez ce qui suit :
# ifconfig enX detach
Pour activer l'attribut de déchargement IPsec, à partir de la ligne de commande, entrez ce qui suit :
# chdev -l entX -a ipsec_offload=yes
Pour vérifier que l'attribut de déchargement IPsec a été activé à partir de la ligne de commande, entrez ce qui suit :
# lsattr -El entX detach
Pour désactiver l'attribut de déchargement IPsec, entrez ce qui suit à partir de la ligne de commande :
# chdev -l entX -a ipsec_offload=no
Utilisez la commande enstat pour vous assurer que votre configuration de tunnel tire parti de l'attribut de déchargement IPsec. La commande enstat affiche toutes les statistiques de transmission et de réception des paquets IPsec lorsque l'attribut de déchargement IPsec est activé. Par exemple, si l'interface Ethernet est ent1, entrez ce qui suit :
# entstat -d ent1
La sortie sera similaire à l'exemple suivant :
.
.
.
10/100 Mbps Ethernet PCI Adapter II (1410ff01) Specific Statistics: 
--------------------------------------------       
.
.
.
Transmit IPsec packets: 3
Transmit IPsec packets dropped: 0
Receive IPsec packets: 2
Receive IPsec packets dropped: 0