ADC

Support pour les plates-formes basées sur des puces SSL Intel Coleto et Intel Lewisburg

Les appliances suivantes sont livrées avec des puces Intel Coleto :

  • MPX 5900
  • MPX/SDX 8900
  • MPX/SDX 15000
  • MPX/SDX 15000-50G
  • MPX/SDX 26000
  • MPX/SDX 26000-50S
  • MPX/SDX 26000-100 G

Les appareils suivants sont fournis avec des puces Intel Lewisburg :

  • MPX/SDX 9100
  • MPX/SDX 16000

Utilisez la commande « show hardware » pour déterminer si votre appareil possède des puces Coleto (COL) ou Lewisburg (LBG).

> sh hardware

    Platform: NSMPX-8900 8*CPU+4*F1X+6*E1K+1*E1K+1*COL 8955 30010
    Manufactured on: 10/18/2016
    CPU: 2100MHZ
    Host Id: 0
    Serial no: CRAC5CR8UA
    Encoded serial no: CRAC5CR8UA
 Done
<!--NeedCopy-->
> sh hardware
        Platform: NSMPX-9100 10*CPU+64GB+8*F2X+E1K+1*LBG C627 35000
        Manufactured on: 10/1/2021
        CPU: 2300MHZ
        Host Id: 161644678
        Serial no: N2Z3ZD9S21
        Encoded serial no: N2Z3ZD9S21
        Netscaler UUID: 41a26261-227e-11ec-b4db-3cecef56f86b
        BMC Revision: 1.00
Done
<!--NeedCopy-->

Limitations

Les algorithmes de chiffrement, protocoles et fonctionnalités suivants ne sont pas pris en charge :

  • Chiffrement DH 512
  • protocole SSLv3
  • Coffre-fort à clés Azure
  • GnuTLS
  • Certificats ECDSA avec courbes ECC P_224 et P521
  • Déchargement par DNSSEC

Remarque La

prise en charge du module de sécurité matérielle (HSM) de Thales Luna Network est disponible dans la version 13.1 build 33.x et les versions ultérieures.

Afficher l’utilisation logicielle des puces SSL sur les plateformes NetScaler MPX et SDX

Vous pouvez obtenir plus de détails sur l’utilisation de la puce SSL logicielle sur les plateformes suivantes :

  • Plates-formes MPX et SDX livrées avec des puces Intel Coleto.
  • Plates-formes MPX livrées avec des puces Intel Lewisburg.

Remarque

Cette fonctionnalité n’est pas prise en charge sur les plateformes suivantes :

  • SDX 9100
  • MPX/SDX 16000

À l’invite de commandes, tapez :

> stat ssl

SSL Summary

1.  SSL cards present 4
2.  SSL cards UP 4
    SSL engine status 1
    SSL sessions (Rate) 19849
    SSL Crypto Utilization Asym (%) 88
    SSL Crypto Utilization Symm (%) 1

Crypto Utilization(%)
Asymmetric Crypto Utilization 86.30
Symmetric Crypto Utilization 0.97

System
Transactions Rate (/s) Total
SSL transactions 19849 45900312
SSLv2 transactions 0 0
SSLv3 transactions 0 0
TLSv1 transactions 0 0
TLSv1.1 transactions 0 0
TLSv1.2 transactions 19849 45900312
TLSv1.3 transactions 0 0
DTLSv1 transactions 0 0
DTLSv1.2 transactions 0 0

Front End
Sessions Rate (/s) Total
SSL sessions 19849 45937019
SSLv2 sessions 0 0
SSLv3 sessions 0 0
TLSv1 sessions 0 0
TLSv1.1 sessions 0 0
TLSv1.2 sessions 19849 45937019
TLSv1.3 sessions 0 0
DTLSv1 sessions 0 0
DTLSv1.2 sessions 0 0
New SSL sessions 19881 50722628
SSL session misses 0 0
SSL session hits 0 0

Back End
Sessions Rate (/s) Total
SSL sessions 0 137
SSLv3 sessions 0 0
TLSv1 sessions 0 0
TLSv1.1 sessions 0 0
TLSv1.2 sessions 0 137
DTLSv1 sessions 0 0
Session multiplex attempts 0 0
Session multiplex successes 0 0
Session multiplex failures 0 0

Encryption/Decryption statistics
Crypto Operation Rate (bytes/s) Total Bytes
Bytes encrypted 24338213 27705995030
Bytes decrypted 24664169 27942280990
Done
<!--NeedCopy-->

Les valeurs des compteurs suivants sont obtenues en interrogeant le matériel :

-  SSL Crypto Utilization Asym (%) 88
-  SSL Crypto Utilization Symm (%) 1
<!--NeedCopy-->

Les valeurs des compteurs suivants sont obtenues à l’aide du logiciel. Les valeurs peuvent varier légèrement par rapport aux valeurs interrogées sur le matériel.

  • Utilisation de la cryptographie (%)
  • Utilisation asymétrique de la cryptographie 85.92
  • RSA Crypto Utilization 11.43 RSA_4K 0.00 RSA_2K 11.43 RSA_1K 0.00 RSA_Others 0.00
  • DH Crypto Utilization 74.50 ECDH Crypto Utilization 0.00 ECDH_P224 0.00 ECDH_P256 0.00 ECDH_P384 0.00 ECDH_P521 0.00
  • ECDSA Crypto Utilization 0.00 ECDSA_P224 0.00 ECDSA_P256 0.00 ECDSA_P384 0.00 ECDSA_P521 0.00
  • Symmetric Crypto Utilization 0.72

Pour une utilisation granulaire par chiffrement, exécutez la commande suivante.

> stat ssl -detail

SSL Offloading

1.  SSL cards present 4
2.  SSL cards UP 4
    SSL engine status 1
    SSL sessions (Rate) 19862
    SSL Crypto Utilization Asym (%) 88
    SSL Crypto Utilization Symm (%) 1

Crypto Utilization(%)

Asymmetric Crypto Utilization 85.92

RSA Crypto Utilization 11.43
RSA_4K 0.00
RSA_2K 11.43
RSA_1K 0.00
RSA_Others 0.00

DH Crypto Utilization 74.50

ECDH Crypto Utilization 0.00
ECDH_P224 0.00
ECDH_P256 0.00
ECDH_P384 0.00
ECDH_P521 0.00

ECDSA Crypto Utilization 0.00
ECDSA_P224 0.00
ECDSA_P256 0.00
ECDSA_P384 0.00
ECDSA_P521 0.00

Symmetric Crypto Utilization 0.72
System
Transactions Rate (/s) Total
SSL transactions 19861 46039342
SSLv2 transactions 0 0
SSLv3 transactions 0 0
TLSv1 transactions 0 0
TLSv1.1 transactions 0 0
TLSv1.2 transactions 19861 46039342
TLSv1.3 transactions 0 0
DTLSv1 transactions 0 0
DTLSv1.2 transactions 0 0
Server in record 117437 277622634
Front End
Sessions Rate (/s) Total
SSL sessions 19862 46076050
SSLv2 sessions 0 0
SSLv3 sessions 0 0
TLSv1 sessions 0 0
TLSv1.1 sessions 0 0
TLSv1.2 sessions 19862 46076050
TLSv1.3 sessions 0 0
DTLSv1 sessions 0 0
DTLSv1.2 sessions 0 0
New SSL sessions 19801 50861234
SSL session misses 0 0
SSL session hits 0 0
Session Renegotiation
SSL session renegotiations 0 0
SSLv3 session renegotiations 0 0
TLSv1 session renegotiations 0 0
TLSv1.1 session renegotiations 0 0
TLSv1.2 session renegotiations 0 0
DTLSv1 session renegotiations 0 0
DTLSv1.2 session renegotiations 0 0
Key Exchanges
RSA 512-bit key exchanges 0 0
RSA 1024-bit key exchanges 0 2032658
RSA 2048-bit key exchanges 0 143
RSA 3072-bit key exchanges 0 7757028
RSA 4096-bit key exchanges 0 2238698
DH 512-bit key exchanges 0 0
DH 1024-bit key exchanges 0 0
DH 2048-bit key exchanges 19862 5477702
DH 4096-bit key exchanges 0 0
ECDHE 521 curve key exchanges 0 0
ECDHE 384 curve key exchanges 0 0
ECDHE 256 curve key exchanges 0 28569821
ECDHE 224 curve key exchanges 0 0
Total ECDHE key exchanges 0 28569821
Ciphers Negotiated
RC4 40-bit encryptions 0 0
RC4 56-bit encryptions 0 0
RC4 64-bit encryptions 0 0
RC4 128-bit encryptions 0 0
DES 40-bit encryptions 0 0
DES 56-bit encryptions 0 0
3DES 168-bit encryptions 0 0
AES 128-bit encryptions 0 0
AES 256-bit encryptions 19862 17506229
RC2 40-bit encryptions 0 0
RC2 56-bit encryptions 0 0
RC2 128-bit encryptions 0 0
AES-GCM 128-bit encryptions 0 0
AES-GCM 256-bit encryptions 0 28569821
Null cipher encryptions 0 0
Hashes
MD5 hashes 0 0
SHA hashes 0 12028527
SHA256 hashes 19862 5477702
SHA384 hashes 0 0
Handshakes
SSLv2 SSL handshakes 0 0
SSLv3 SSL handshakes 0 0
TLSv1 SSL handshakes 0 0
TLSv1.1 SSL handshakes 0 0
TLSv1.2 SSL handshakes 19862 46076050
TLSv1.3 SSL handshakes 0 0
DTLSv1 SSL handshakes 0 0
DTLSv1.2 SSL handshakes 0 0
Client Authentications
SSLv2 client authentications 0 0
SSLv3 client authentications 0 0
TLSv1 client authentications 0 0
TLSv1.1 client authentications 0 0
TLSv1.2 client authentications 0 0
TLSv1.3 client authentications 0 0
DTLSv1 client authentications 0 0
DTLSv1.2 client authentications 0 0
Authentications
RSA authentications 19862 17506229
DH authentications 0 0
DSS (DSA) authentications 0 0
ECDSA authentications 0 28569821
Null authentications 0 0
Back End
Sessions Rate (/s) Total
SSL sessions 0 137
SSLv3 sessions 0 0
TLSv1 sessions 0 0
TLSv1.1 sessions 0 0
TLSv1.2 sessions 0 137
DTLSv1 sessions 0 0
Session multiplex attempts 0 0
Session multiplex successes 0 0
Session multiplex failures 0 0
Session Renegotiation
SSL session renegotiations 0 0
SSLv3 session renegotiations 0 0
TLSv1 session renegotiations 0 0
TLSv1.1 back-end session renegot 0 0
TLSv1.2 back-end session renegot 0 0
DTLSv1 session renegotiations 0 0
Key Exchanges
RSA 512-bit key exchanges 0 0
RSA 1024-bit key exchanges 0 0
RSA 2048-bit key exchanges 0 137
RSA 3072-bit key exchanges 0 0
RSA 4096-bit key exchanges 0 0
DH 512-bit key exchanges 0 0
DH 1024-bit key exchanges 0 0
DH 2048-bit key exchanges 0 0
DH 4096-bit key exchanges 0 0
ECDHE 521 curve key exchanges 0 0
ECDHE 384 curve key exchanges 0 0
ECDHE 256 curve key exchanges 0 0
ECDHE 224 curve key exchanges 0 0
Ciphers Negotiated
RC4 40-bit encryptions 0 0
RC4 56-bit encryptions 0 0
RC4 64-bit encryptions 0 0
RC4 128-bit encryptions 0 0
DES 40-bit encryptions 0 0
DES 56-bit encryptions 0 0
3DES 168-bit encryptions 0 0
AES 128-bit encryptions 0 0
AES 256-bit encryptions 0 137
RC2 40-bit encryptions 0 0
RC2 56-bit encryptions 0 0
RC2 128-bit encryptions 0 0
AES-GCM 128-bit encryptions 0 0
AES-GCM 256-bit encryptions 0 0
Null encryptions 0 0
Hashes
MD5 hashes 0 0
SHA hashes 0 137
SHA256 hashes 0 0
SHA384 hashes 0 0
Handshakes
SSLv3 handshakes 0 0
TLSv1 handshakes 0 0
TLSv1.1 handshakes 0 0
TLSv1.2 handshakes 0 137
DTLSv1 handshakes 0 0
Client Authentications
SSLv3 client authentications 0 0
TLSv1 client authentications 0 0
TLSv1.1 client authentications 0 0
TLSv1.2 client authentications 0 0
DTLSv1 client authentications 0 0
Authentications
RSA authentications 0 137
DH authentications 0 0
DSS authentications 0 0
ECDSA authentications 0 0
Null authentications 0 0
System Total
RSA key exchanges offloaded 0 0
RSA sign operations offloaded 0 0
DH key exchanges offloaded 19841 5481037
RC4 encryptions offloaded 0 0
DES encryptions offloaded 0 0
AES encryptions offloaded 0 0
AES-GCM 128-bit encryptions offl 0 0
AES-GCM 256-bit encryptions offl 0 0
Encryption/Decryption statistics
Crypto Operation Rate (bytes/s) Total Bytes
Bytes encrypted 12129801 27790903638
Bytes encrypted in hardware 12129801 27790903638
Bytes encrypted in software 0 0
Bytes encrypted on the front-end 5450907 13430410630
Bytes encrypted in hardware on t 5450907 13430410630
Bytes encrypted in software on t 0 0
Bytes encrypted on the back-end 6678894 14360493008
Bytes encrypted in hardware on t 6678894 14360493008
Bytes encrypted in software on t 0 0
Bytes decrypted 12449504 28029427518
Bytes decrypted in hardware 12449504 28029427518
Bytes decrypted in software 0 0
Bytes decrypted on the front-end 8190208 19876552670
Bytes decrypted in hardware on t 8190208 19876552670
Bytes decrypted in software on t 0 0
Bytes decrypted on the back-end 4259296 8152874848
Bytes decrypted in hardware on t 4259296 8152874848
Bytes decrypted in software on t 0 0
SSL
Rate (/s) Total
Total SPCB in use -87 84656
Active SSL sessions -30309 5615559
Current queue size -1 4153
CardQ
Rate (/s) Total
In Q count for current card -1 4153
In BulkQ count for current card 0 0
In KeyQ count for current card -1 4153
Done
<!--NeedCopy-->

Remarques

  • La partition d’administration est prise en charge, mais l’utilisation de toutes les partitions est indiquée dans la partition par défaut. Sur les partitions non définies par défaut, ces valeurs s’affichent sous la forme 0.
  • Dans une configuration de cluster, l’adresse CLIP affiche l’utilisation moyenne pour tous les nœuds du cluster. Pour une utilisation spécifique à un nœud, exécutez la commande sur l’interface de ligne de commande de chaque nœud. Ces données peuvent être incorrectes pour une plate-forme SDX si les nœuds du cluster sont hébergés sur le même matériel.
  • Pour les instances VPX sur la plate-forme SDX, l’utilisation de chaque instance VPX est affichée.

OID et trap SNMP pour une utilisation du chiffrement symétrique et asymétrique par SSL

Remarque :

Cette fonctionnalité est disponible dans NetScaler version 14.1 build 17.x et versions ultérieures.

Les OID SNMP sont utilisés pour la surveillance et des alarmes SNMP sont envoyées lorsque l’utilisation du chiffrement atteint la limite configurée et lorsqu’elle revient à la normale. À partir de la version 14.1 build 17.x, NetScaler peut envoyer des pièges pour une utilisation logicielle symétrique et asymétrique du chiffrement lorsque les seuils configurés sont franchis. Il fournit également un OID SNMP pour lire ces valeurs absolues d’utilisation du chiffrement. Auparavant, NetScaler ne disposait que d’interfaces de ligne de commande pour lire ces valeurs d’utilisation cryptographique.

Configurer les alarmes SNMP pour l’utilisation du chiffrement à l’aide de l’interface de ligne de commande

Sur la ligne de commande, tapez :

> set snmp alarm SSL-ASYM-CRYPTO-UTILIZATION
        -logging ( ENABLED | DISABLED )
        -severity <severity>
        -state ( ENABLED | DISABLED )
        -thresholdValue <positive_integer>  [-normalValue <positive_integer>]
        -time <secs>

> set snmp alarm SSL-SYM-CRYPTO-UTILIZATION
        -logging ( ENABLED | DISABLED )
        -severity <severity>
        -state ( ENABLED | DISABLED )
        -thresholdValue <positive_integer>  [-normalValue <positive_integer>]
        -time <secs>

<!--NeedCopy-->

Exemple :

set snmp alarm SSL-ASYM-CRYPTO-UTILIZATION -thresholdValue 37 -normalValue 17

set snmp alarm SSL-SYM-CRYPTO-UTILIZATION -thresholdValue 25 -normalValue 15
<!--NeedCopy-->

Configurer les alarmes SNMP pour l’utilisation du chiffrement à l’aide de l’interface graphique

  1. Accédez à Système > SNMP > Alarmes.
  2. Procédez comme suit :
    • Pour configurer une utilisation asymétrique du chiffrement, recherchez SSL-ASYM-CRYPTO-UTILIZATION et cliquez dessus.
    • Pour configurer une utilisation de chiffrement symétrique, recherchez SSL-SYM-CRYPTO-UTILIZATION et cliquez dessus.
  3. Sur la page Configurer l’alarme SNMP, entrez les valeurs des différents paramètres et cliquez sur OK.

Utilisation de la cryptographie sur NetScaler SDX

L’implémentation de l’OID et du trap SNMP est basée sur l’utilisation logicielle du chiffrement. Le chiffrement maximum est fixé pour MPX, et le logiciel l’utilise pour dériver les valeurs.

Pour SDX, chaque VPX peut avoir un nombre prédéfini d’unités cryptographiques allouées. Les unités cryptographiques allouées constituent les ressources minimales garanties pour le VPX, mais celui-ci peut également utiliser les unités cryptographiques gratuites disponibles au niveau SDX. L’utilisation logicielle du chiffrement fournie pour VPX sur SDX est au niveau SDX.

Par conséquent, lorsque des seuils sont configurés pour des alarmes SNMP symétriques ou asymétriques sur SDX, les administrateurs doivent prendre en compte le pourcentage d’unités cryptographiques allouées pour chaque VPX et en déduire un seuil à configurer pour ces alarmes.

Par exemple, si le nombre total d’unités cryptographiques sur SDX est de 100 000 et que trois instances VPX sont provisionnées sur SDX. Les unités cryptographiques allouées à VPX1, VPX2 et VPX3 sont respectivement de 50 K, 25 K et 25 K. Le seuil est fixé à 80 %.

  Utilisation réelle sur VPX1 Utilisation réelle sur VPX2 Utilisation réelle sur VPX3 Commentaires
Scénario 1 80% 0% 0% Lorsque le taux d’utilisation atteint 80 % sur VPX1, cela génère un piège. Comme il n’y a pas de trafic vers l’autre VPX, le trap de VPX1 indique également l’utilisation réelle sur SDX.
Scénario 2 40% 25% 15% Aucun des VPX ne génère de piège bien que l’utilisation globale soit de 80 %.

Problème: Dans le scénario 2, le piège n’est pas envoyé même si l’utilisation globale au niveau SDX a dépassé le seuil.

Solution: Les administrateurs doivent intervenir manuellement et calculer le pourcentage équivalent en fonction de l’allocation. Dans le scénario 2, calculez le pourcentage correspondant pour chaque VPX en multipliant le % d’unités cryptographiques allouées par le seuil % défini.

  VPX1 VPX2 VPX3 Commentaires
Unités cryptographiques = 100 000 50K 25K 25K  
Seuil dérivé = % d’unités cryptographiques allouées * % seuil (seuil global = 80 %) 40% 20% 20% Par exemple, 50 % des unités cryptographiques sont allouées à VPX 1. Le seuil dérivé est donc égal à 50 % du seuil global. VPX2 et VPX3 disposent chacun de 25 % des unités cryptographiques allouées. Par conséquent, le seuil dérivé est de 25 % du seuil global.

Une alarme SNMP est désormais envoyée lorsque le seuil de VPX1 dépasse 40 % au lieu de 80 %. Même si le seuil de SDX n’a peut-être pas dépassé le pourcentage configuré, l’alarme indique à l’administrateur qu’il doit surveiller.

Support pour les plates-formes basées sur des puces SSL Intel Coleto et Intel Lewisburg