ADC

Unterstützung für Intel Coleto und Intel Lewisburg SSL-Chip-basierte Plattformen

Die folgenden Appliances werden mit Intel Coleto-Chips geliefert:

  • MPX 5900
  • MPX/SDX 8900
  • MPX/SDX 15000
  • MPX/SDX 15000-50 G
  • MPX/SDX 26000
  • MPX/SDX 26000-50S
  • MPX/SDX 26000-100G

Die folgenden Geräte werden mit Intel Lewisburg-Chips geliefert:

  • MPX/SDX 9100
  • MPX/SDX 16000

Verwenden Sie den Befehl “Hardware anzeigen”, um festzustellen, ob Ihre Appliance über Coleto- (COL) - oder Lewisburg (LBG) -Chips verfügt.

> sh hardware

    Platform: NSMPX-8900 8*CPU+4*F1X+6*E1K+1*E1K+1*COL 8955 30010
    Manufactured on: 10/18/2016
    CPU: 2100MHZ
    Host Id: 0
    Serial no: CRAC5CR8UA
    Encoded serial no: CRAC5CR8UA
 Done
<!--NeedCopy-->
> sh hardware
        Platform: NSMPX-9100 10*CPU+64GB+8*F2X+E1K+1*LBG C627 35000
        Manufactured on: 10/1/2021
        CPU: 2300MHZ
        Host Id: 161644678
        Serial no: N2Z3ZD9S21
        Encoded serial no: N2Z3ZD9S21
        Netscaler UUID: 41a26261-227e-11ec-b4db-3cecef56f86b
        BMC Revision: 1.00
Done
<!--NeedCopy-->

Einschränkungen

Die folgenden Verschlüsselungen, Protokolle und Funktionen werden nicht unterstützt:

  • DH 512-Verschlüsselung
  • SSLv3-Protokoll
  • Azure Key Vault
  • GnuTLS
  • ECDSA-Zertifikate mit ECC-Kurven P_224 und P521
  • DNSSEC-Offload

Hinweis: Die

Unterstützung für das Thales Luna Network Hardware Security Module (HSM) ist ab Version 13.1 Build 33.x verfügbar.

Sehen Sie sich die softwarebasierte SSL-Chip-Auslastung auf NetScaler MPX- und SDX-Plattformen an

Weitere Informationen zur softwarebasierten SSL-Chip-Nutzung finden Sie auf den folgenden Plattformen:

  • MPX- und SDX-Plattformen, die mit Intel Coleto-Chips geliefert werden.
  • MPX-Plattformen, die mit Intel Lewisburg-Chips geliefert werden.

Hinweis

Diese Funktion wird auf den folgenden Plattformen nicht unterstützt:

  • SDX 9100
  • MPX/SDX 16000

Geben Sie in der Befehlszeile Folgendes ein:

> stat ssl

SSL Summary

1.  SSL cards present 4
2.  SSL cards UP 4
    SSL engine status 1
    SSL sessions (Rate) 19849
    SSL Crypto Utilization Asym (%) 88
    SSL Crypto Utilization Symm (%) 1

Crypto Utilization(%)
Asymmetric Crypto Utilization 86.30
Symmetric Crypto Utilization 0.97

System
Transactions Rate (/s) Total
SSL transactions 19849 45900312
SSLv2 transactions 0 0
SSLv3 transactions 0 0
TLSv1 transactions 0 0
TLSv1.1 transactions 0 0
TLSv1.2 transactions 19849 45900312
TLSv1.3 transactions 0 0
DTLSv1 transactions 0 0
DTLSv1.2 transactions 0 0

Front End
Sessions Rate (/s) Total
SSL sessions 19849 45937019
SSLv2 sessions 0 0
SSLv3 sessions 0 0
TLSv1 sessions 0 0
TLSv1.1 sessions 0 0
TLSv1.2 sessions 19849 45937019
TLSv1.3 sessions 0 0
DTLSv1 sessions 0 0
DTLSv1.2 sessions 0 0
New SSL sessions 19881 50722628
SSL session misses 0 0
SSL session hits 0 0

Back End
Sessions Rate (/s) Total
SSL sessions 0 137
SSLv3 sessions 0 0
TLSv1 sessions 0 0
TLSv1.1 sessions 0 0
TLSv1.2 sessions 0 137
DTLSv1 sessions 0 0
Session multiplex attempts 0 0
Session multiplex successes 0 0
Session multiplex failures 0 0

Encryption/Decryption statistics
Crypto Operation Rate (bytes/s) Total Bytes
Bytes encrypted 24338213 27705995030
Bytes decrypted 24664169 27942280990
Done
<!--NeedCopy-->

Werte für die folgenden Zähler werden durch Abfrage der Hardware erreicht:

-  SSL Crypto Utilization Asym (%) 88
-  SSL Crypto Utilization Symm (%) 1
<!--NeedCopy-->

Werte für die folgenden Zähler werden mit der Software erreicht. Die Werte können geringfügig von den von der Hardware abgefragten Werten abweichen.

  • Crypto Utilization(%)
  • Asymmetric Crypto Utilization 85.92
  • RSA Crypto Utilization 11.43 RSA_4K 0.00 RSA_2K 11.43 RSA_1K 0.00 RSA_Others 0.00
  • DH Crypto Utilization 74.50 ECDH Crypto Utilization 0.00 ECDH_P224 0.00 ECDH_P256 0.00 ECDH_P384 0.00 ECDH_P521 0.00
  • ECDSA Crypto Utilization 0.00 ECDSA_P224 0.00 ECDSA_P256 0.00 ECDSA_P384 0.00 ECDSA_P521 0.00
  • Symmetric Crypto Utilization 0.72

Führen Sie für eine granulare Nutzung pro Verschlüsselung den folgenden Befehl aus.

> stat ssl -detail

SSL Offloading

1.  SSL cards present 4
2.  SSL cards UP 4
    SSL engine status 1
    SSL sessions (Rate) 19862
    SSL Crypto Utilization Asym (%) 88
    SSL Crypto Utilization Symm (%) 1

Crypto Utilization(%)

Asymmetric Crypto Utilization 85.92

RSA Crypto Utilization 11.43
RSA_4K 0.00
RSA_2K 11.43
RSA_1K 0.00
RSA_Others 0.00

DH Crypto Utilization 74.50

ECDH Crypto Utilization 0.00
ECDH_P224 0.00
ECDH_P256 0.00
ECDH_P384 0.00
ECDH_P521 0.00

ECDSA Crypto Utilization 0.00
ECDSA_P224 0.00
ECDSA_P256 0.00
ECDSA_P384 0.00
ECDSA_P521 0.00

Symmetric Crypto Utilization 0.72
System
Transactions Rate (/s) Total
SSL transactions 19861 46039342
SSLv2 transactions 0 0
SSLv3 transactions 0 0
TLSv1 transactions 0 0
TLSv1.1 transactions 0 0
TLSv1.2 transactions 19861 46039342
TLSv1.3 transactions 0 0
DTLSv1 transactions 0 0
DTLSv1.2 transactions 0 0
Server in record 117437 277622634
Front End
Sessions Rate (/s) Total
SSL sessions 19862 46076050
SSLv2 sessions 0 0
SSLv3 sessions 0 0
TLSv1 sessions 0 0
TLSv1.1 sessions 0 0
TLSv1.2 sessions 19862 46076050
TLSv1.3 sessions 0 0
DTLSv1 sessions 0 0
DTLSv1.2 sessions 0 0
New SSL sessions 19801 50861234
SSL session misses 0 0
SSL session hits 0 0
Session Renegotiation
SSL session renegotiations 0 0
SSLv3 session renegotiations 0 0
TLSv1 session renegotiations 0 0
TLSv1.1 session renegotiations 0 0
TLSv1.2 session renegotiations 0 0
DTLSv1 session renegotiations 0 0
DTLSv1.2 session renegotiations 0 0
Key Exchanges
RSA 512-bit key exchanges 0 0
RSA 1024-bit key exchanges 0 2032658
RSA 2048-bit key exchanges 0 143
RSA 3072-bit key exchanges 0 7757028
RSA 4096-bit key exchanges 0 2238698
DH 512-bit key exchanges 0 0
DH 1024-bit key exchanges 0 0
DH 2048-bit key exchanges 19862 5477702
DH 4096-bit key exchanges 0 0
ECDHE 521 curve key exchanges 0 0
ECDHE 384 curve key exchanges 0 0
ECDHE 256 curve key exchanges 0 28569821
ECDHE 224 curve key exchanges 0 0
Total ECDHE key exchanges 0 28569821
Ciphers Negotiated
RC4 40-bit encryptions 0 0
RC4 56-bit encryptions 0 0
RC4 64-bit encryptions 0 0
RC4 128-bit encryptions 0 0
DES 40-bit encryptions 0 0
DES 56-bit encryptions 0 0
3DES 168-bit encryptions 0 0
AES 128-bit encryptions 0 0
AES 256-bit encryptions 19862 17506229
RC2 40-bit encryptions 0 0
RC2 56-bit encryptions 0 0
RC2 128-bit encryptions 0 0
AES-GCM 128-bit encryptions 0 0
AES-GCM 256-bit encryptions 0 28569821
Null cipher encryptions 0 0
Hashes
MD5 hashes 0 0
SHA hashes 0 12028527
SHA256 hashes 19862 5477702
SHA384 hashes 0 0
Handshakes
SSLv2 SSL handshakes 0 0
SSLv3 SSL handshakes 0 0
TLSv1 SSL handshakes 0 0
TLSv1.1 SSL handshakes 0 0
TLSv1.2 SSL handshakes 19862 46076050
TLSv1.3 SSL handshakes 0 0
DTLSv1 SSL handshakes 0 0
DTLSv1.2 SSL handshakes 0 0
Client Authentications
SSLv2 client authentications 0 0
SSLv3 client authentications 0 0
TLSv1 client authentications 0 0
TLSv1.1 client authentications 0 0
TLSv1.2 client authentications 0 0
TLSv1.3 client authentications 0 0
DTLSv1 client authentications 0 0
DTLSv1.2 client authentications 0 0
Authentications
RSA authentications 19862 17506229
DH authentications 0 0
DSS (DSA) authentications 0 0
ECDSA authentications 0 28569821
Null authentications 0 0
Back End
Sessions Rate (/s) Total
SSL sessions 0 137
SSLv3 sessions 0 0
TLSv1 sessions 0 0
TLSv1.1 sessions 0 0
TLSv1.2 sessions 0 137
DTLSv1 sessions 0 0
Session multiplex attempts 0 0
Session multiplex successes 0 0
Session multiplex failures 0 0
Session Renegotiation
SSL session renegotiations 0 0
SSLv3 session renegotiations 0 0
TLSv1 session renegotiations 0 0
TLSv1.1 back-end session renegot 0 0
TLSv1.2 back-end session renegot 0 0
DTLSv1 session renegotiations 0 0
Key Exchanges
RSA 512-bit key exchanges 0 0
RSA 1024-bit key exchanges 0 0
RSA 2048-bit key exchanges 0 137
RSA 3072-bit key exchanges 0 0
RSA 4096-bit key exchanges 0 0
DH 512-bit key exchanges 0 0
DH 1024-bit key exchanges 0 0
DH 2048-bit key exchanges 0 0
DH 4096-bit key exchanges 0 0
ECDHE 521 curve key exchanges 0 0
ECDHE 384 curve key exchanges 0 0
ECDHE 256 curve key exchanges 0 0
ECDHE 224 curve key exchanges 0 0
Ciphers Negotiated
RC4 40-bit encryptions 0 0
RC4 56-bit encryptions 0 0
RC4 64-bit encryptions 0 0
RC4 128-bit encryptions 0 0
DES 40-bit encryptions 0 0
DES 56-bit encryptions 0 0
3DES 168-bit encryptions 0 0
AES 128-bit encryptions 0 0
AES 256-bit encryptions 0 137
RC2 40-bit encryptions 0 0
RC2 56-bit encryptions 0 0
RC2 128-bit encryptions 0 0
AES-GCM 128-bit encryptions 0 0
AES-GCM 256-bit encryptions 0 0
Null encryptions 0 0
Hashes
MD5 hashes 0 0
SHA hashes 0 137
SHA256 hashes 0 0
SHA384 hashes 0 0
Handshakes
SSLv3 handshakes 0 0
TLSv1 handshakes 0 0
TLSv1.1 handshakes 0 0
TLSv1.2 handshakes 0 137
DTLSv1 handshakes 0 0
Client Authentications
SSLv3 client authentications 0 0
TLSv1 client authentications 0 0
TLSv1.1 client authentications 0 0
TLSv1.2 client authentications 0 0
DTLSv1 client authentications 0 0
Authentications
RSA authentications 0 137
DH authentications 0 0
DSS authentications 0 0
ECDSA authentications 0 0
Null authentications 0 0
System Total
RSA key exchanges offloaded 0 0
RSA sign operations offloaded 0 0
DH key exchanges offloaded 19841 5481037
RC4 encryptions offloaded 0 0
DES encryptions offloaded 0 0
AES encryptions offloaded 0 0
AES-GCM 128-bit encryptions offl 0 0
AES-GCM 256-bit encryptions offl 0 0
Encryption/Decryption statistics
Crypto Operation Rate (bytes/s) Total Bytes
Bytes encrypted 12129801 27790903638
Bytes encrypted in hardware 12129801 27790903638
Bytes encrypted in software 0 0
Bytes encrypted on the front-end 5450907 13430410630
Bytes encrypted in hardware on t 5450907 13430410630
Bytes encrypted in software on t 0 0
Bytes encrypted on the back-end 6678894 14360493008
Bytes encrypted in hardware on t 6678894 14360493008
Bytes encrypted in software on t 0 0
Bytes decrypted 12449504 28029427518
Bytes decrypted in hardware 12449504 28029427518
Bytes decrypted in software 0 0
Bytes decrypted on the front-end 8190208 19876552670
Bytes decrypted in hardware on t 8190208 19876552670
Bytes decrypted in software on t 0 0
Bytes decrypted on the back-end 4259296 8152874848
Bytes decrypted in hardware on t 4259296 8152874848
Bytes decrypted in software on t 0 0
SSL
Rate (/s) Total
Total SPCB in use -87 84656
Active SSL sessions -30309 5615559
Current queue size -1 4153
CardQ
Rate (/s) Total
In Q count for current card -1 4153
In BulkQ count for current card 0 0
In KeyQ count for current card -1 4153
Done
<!--NeedCopy-->

Hinweise

  • Admin-Partition wird unterstützt, aber die Nutzung für alle Partitionen wird in der Standardpartition angezeigt. Auf nicht standardmäßigen Partitionen werden diese Werte als 0 angezeigt.
  • In einem Cluster-Setup zeigt die CLIP-Adresse die durchschnittliche Auslastung für alle Knoten im Cluster an. Führen Sie zur knotenspezifischen Nutzung den Befehl auf der CLI jedes Knotens aus. Diese Daten sind möglicherweise für eine SDX-Plattform falsch, wenn die Knoten des Clusters auf derselben Hardware gehostet werden.
  • Für VPX-Instanzen auf der SDX-Plattform wird die Auslastung jeder VPX-Instanz angezeigt.

SNMP-OID und Trap für symmetrische und asymmetrische SSL-Kryptonutzung

Hinweis:

Diese Funktion ist in NetScaler Version 14.1 Build 17.x und höher verfügbar.

SNMP-OIDs werden zur Überwachung verwendet und SNMP-Alarme werden gesendet, wenn die Kryptoauslastung das konfigurierte Limit erreicht und wenn sie wieder normal ist. Ab Version 14.1 Build 17.x kann NetScaler Traps für die softwarebasierte symmetrische und asymmetrische Kryptonutzung senden, wenn die konfigurierten Schwellenwerte überschritten werden. Es bietet auch eine SNMP-OID zum Lesen dieser absoluten Werte für die Kryptonutzung. Zuvor verfügte NetScaler nur über CLIs, um diese Krypto-Nutzungswerte zu lesen.

Konfigurieren Sie SNMP-Alarme für die Kryptonutzung mithilfe der CLI

Geben Sie in der Befehlszeile Folgendes ein:

> set snmp alarm SSL-ASYM-CRYPTO-UTILIZATION
        -logging ( ENABLED | DISABLED )
        -severity <severity>
        -state ( ENABLED | DISABLED )
        -thresholdValue <positive_integer>  [-normalValue <positive_integer>]
        -time <secs>

> set snmp alarm SSL-SYM-CRYPTO-UTILIZATION
        -logging ( ENABLED | DISABLED )
        -severity <severity>
        -state ( ENABLED | DISABLED )
        -thresholdValue <positive_integer>  [-normalValue <positive_integer>]
        -time <secs>

<!--NeedCopy-->

Beispiel:

set snmp alarm SSL-ASYM-CRYPTO-UTILIZATION -thresholdValue 37 -normalValue 17

set snmp alarm SSL-SYM-CRYPTO-UTILIZATION -thresholdValue 25 -normalValue 15
<!--NeedCopy-->

Konfigurieren Sie SNMP-Alarme für die Verwendung von Krypto mithilfe der GUI

  1. Navigieren Sie zu System > SNMP > Alarme.
  2. Führen Sie einen der folgenden Schritte aus:
    • Um eine asymmetrische Kryptonutzung zu konfigurieren, suchen Sie nach SSL-ASYM-CRYPTO-UTILIZATION und klicken Sie darauf.
    • Um eine symmetrische Kryptonutzung zu konfigurieren, suchen Sie nach SSL-SYM-CRYPTO-UTILIZATION und klicken Sie darauf.
  3. Geben Sie auf der Seite SNMP-Alarm konfigurieren die Werte für die verschiedenen Parameter ein und klicken Sie auf OK.

Krypto-Nutzung auf NetScaler SDX

Die SNMP-OID- und Trap-Implementierung basiert auf der softwarebasierten Kryptonutzung. Die maximale Kryptozahl ist für MPX festgelegt, und die Software verwendet diese, um die Werte abzuleiten.

Für SDX kann jedem VPX eine vordefinierte Anzahl von Kryptoeinheiten zugewiesen werden. Die zugewiesenen Kryptoeinheiten sind die garantierten Mindestressourcen für das VPX, es können jedoch auch die kostenlosen Kryptoeinheiten verwendet werden, die auf SDX-Ebene verfügbar sind. Die für VPX auf SDX bereitgestellte softwarebasierte Kryptonutzung erfolgt auf SDX-Ebene.

Wenn Schwellenwerte für symmetrische oder asymmetrische SNMP-Alarme auf SDX konfiguriert werden, müssen Administratoren daher den Prozentsatz der für jeden VPX zugewiesenen Kryptoeinheiten berücksichtigen und einen Schwellenwert ableiten, der für diese Alarme konfiguriert werden soll.

Zum Beispiel, wenn die Gesamtzahl der Kryptoeinheiten auf SDX 100 K beträgt und drei VPX-Instanzen auf SDX bereitgestellt werden. Die VPX1, VPX2 und VPX3 zugewiesenen Kryptoeinheiten sind jeweils 50 K, 25 K und 25 K groß. Der Schwellenwert ist auf 80% festgelegt.

  Tatsächliche Auslastung auf VPX1 Tatsächliche Auslastung auf VPX2 Tatsächliche Auslastung auf VPX3 Kommentare
Szenario 1 80% 0% 0% Wenn die Auslastung auf VPX1 80% erreicht, wird eine Falle generiert. Da kein Verkehr zum anderen VPX stattfindet, zeigt der Trap von VPX1 auch die tatsächliche Auslastung bei SDX an.
Szenario 2 40% 25% 15% Keiner der VPX generiert eine Falle, obwohl die Gesamtauslastung bei 80% liegt.

Problem: In Szenario 2 wird der Trap nicht gesendet, obwohl die Gesamtauslastung auf SDX-Ebene den Schwellenwert überschritten hat.

Lösung: Administratoren müssen manuell eingreifen und den entsprechenden Prozentsatz auf der Grundlage der Zuweisung ableiten. In Szenario 2 berechnen Sie den entsprechenden Prozentsatz für jeden VPX, indem Sie den Prozentsatz der zugewiesenen Kryptoeinheiten und den festgelegten Schwellenwert in% multiplizieren.

  VPX1 VPX2 VPX3 Kommentare
Kryptoeinheiten = 100.000 50K 25K 25K  
Abgeleiteter Schwellenwert =% der zugewiesenen Kryptoeinheiten *% Schwellenwert (Gesamtschwellenwert = 80%) 40% 20% 20% VPX 1 sind beispielsweise 50% der Kryptoeinheiten zugewiesen. Daher beträgt der abgeleitete Schwellenwert 50% des Gesamtschwellenwerts. VPX2 und VPX3 sind jeweils 25% der Kryptoeinheiten zugewiesen. Daher beträgt der abgeleitete Schwellenwert 25% des Gesamtschwellenwerts.

Ein SNMP-Alarm wird jetzt gesendet, wenn der Schwellenwert für VPX1 40% überschreitet, anstatt wenn er 80% überschreitet. Auch wenn der Schwellenwert für SDX den konfigurierten Prozentsatz möglicherweise nicht überschritten hat, ist der Alarm ein Hinweis an den Administrator, den er überwachen muss.

Unterstützung für Intel Coleto und Intel Lewisburg SSL-Chip-basierte Plattformen