ADC

Utilice hardware y software para mejorar el rendimiento del cifrado ECDHE y ECDSA

Nota:

Esta mejora solo se aplica a las siguientes plataformas:

  • MPX/SDX 11000
  • MPX/SDX 14000
  • MPX 22000, MPX 24000 y MPX 25000
  • MPX/SDX 14000 FIPS

Anteriormente, el cálculo de ECDHE y ECDSA en un dispositivo NetScaler solo se realizaba en el hardware (chips Cavium), lo que limitaba el número de sesiones SSL en un momento dado. Con esta mejora, también se realizan algunas operaciones en el software. Es decir, el procesamiento se realiza tanto en los chips Cavium como en los núcleos de la CPU para mejorar el rendimiento del cifrado ECDHE y ECDSA.

El procesamiento se realiza primero en el software, hasta el umbral criptográfico del software configurado. Una vez alcanzado este umbral, las operaciones se transbordan al hardware. Por lo tanto, este modelo híbrido utiliza hardware y software para mejorar el rendimiento de SSL. Puede habilitar el modelo híbrido configurando el parámetro “SoftwareCryptoThreshold” según sus necesidades. Para inhabilitar el modelo híbrido, defina este parámetro en 0.

Los beneficios son mayores si la utilización actual de la CPU no es demasiado alta, ya que el umbral de la CPU no es exclusivo del cálculo del ECDHE y el ECDSA. Por ejemplo, si la carga de trabajo actual del dispositivo consume el 50% de los ciclos de la CPU y el umbral está establecido en el 80%, los cálculos del ECDHE y el ECDSA solo pueden utilizar el 30%. Una vez alcanzado el umbral criptográfico del software configurado del 80%, el cálculo adicional del ECDHE y el ECDSA se descargan al hardware. En ese caso, la utilización real de la CPU podría superar el 80%, ya que realizar cálculos de ECDHE y ECDSA en el hardware consume algunos ciclos de CPU.

Habilite el modelo híbrido mediante la CLI

En la línea de comandos, escriba:

set ssl parameter -softwareCryptoThreshold <positive_integer>

Synopsis:

softwareCryptoThreshold:

NetScaler CPU utilization threshold (as a percentage) beyond which crypto operations are not done in software. A value of zero implies that CPU is not utilized for doing crypto in software.

Default = 0

Min = 0

Max = 100
<!--NeedCopy-->

Ejemplo:

set ssl parameter - softwareCryptoThreshold 80
Done

show ssl parameter
Advanced SSL Parameters

SSL quantum size                  : 8 KB
Max CRL memory size               : 256 MB
Strict CA checks                  : NO
Encryption trigger timeout        : 100 ms
Send Close-Notify                 : YES
Encryption trigger packet c       : 45
Deny SSL Renegotiation            : ALL
Subject/Issuer Name Insertion Format : Unicode
OCSP cache size                   : 10 MB
Push flag                         : 0x0 (Auto)
Strict Host Header check for SNI enabled SSL sessions : NO
PUSH encryption trigger timeout   : 1 ms
Crypto Device Disable Limit       : 0
Global undef action for control policies : CLIENTAUTH
Global undef action for data policies : NOOP
Default profile                   : DISABLED
Disable TLS 1.1/1.2 for SSL_BRIDGE secure monitors    : NO
Disable TLS 1.1/1.2 for dynamic and VPN services : NO
Software Crypto acceleration CPU Threshold : 80
Signature and Hash Algorithms supported by TLS1.2 : ALL
<!--NeedCopy-->

Habilite el modelo híbrido mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > SSL > Cambiar la configuración avanzada de SSL.
  2. Introduzca un valor para Software Crypto Threshold (%).

Configure una alarma SNMP para el tipo de cambio del ECDHE

El intercambio de claves basado en el ECDHE puede provocar que se cancelen las transacciones por segundo en el dispositivo. A partir de la versión 13.0, compilación 52.x, puede configurar una alarma SNMP para las transacciones basadas en ECDHE. En esta alarma, puede establecer el umbral y los límites normales para el tipo de cambio del ECDHE. Se agrega un contador nsssl_tot_sslInfo_ECDHE_Tx nuevo. Este contador es la suma de todos los contadores de transacciones basados en ECDHE en el front-end y el back-end del dispositivo. Cuando el intercambio de claves basado en ECDHE cruza los límites configurados, se envía una captura SNMP. Se envía otra trampa cuando el valor vuelve al valor normal configurado.

Configure una alarma SNMP para el tipo de cambio del ECDHE mediante la CLI

En la línea de comandos, escriba:

set snmp alarm ECDHE-EXCHANGE-RATE -logging ( ENABLED | DISABLED ) -severity <severity>
 -state ( ENABLED | DISABLED ) -thresholdValue <positive_integer>  [-normalValue <positive_integer>] -time <secs>
<!--NeedCopy-->

Ejemplo:

set snmp alarm ECDHE-EXCHANGE-RATE -logging eNABLED -severity critical -state eNABLED -thresholdValue 100 -normalValue 50
<!--NeedCopy-->
Utilice hardware y software para mejorar el rendimiento del cifrado ECDHE y ECDSA