Intel Coleto およびIntel Lewisburg SSL チップベースのプラットフォームのサポート
以下のアプライアンスには、Intel Coleto チップが搭載されています。
- MPX 5900
- MPX/SDX 8900
- MPX/SDX 15000
- MPX/SDX 15000-50G
- MPX/SDX 26000
- MPX/SDX 26000-50S
- MPX/SDX 26000-100G
以下のアプライアンスには、Intel Lewisburg チップが搭載されています:
- MPX/SDX 9100
- MPX/SDX 16000
アプライアンスに Coleto(COL)チップとルイスバーグ(LBG)チップのどちらが搭載されているかを識別するには、「show hardware」コマンドを使用します。
> sh hardware
Platform: NSMPX-8900 8*CPU+4*F1X+6*E1K+1*E1K+1*COL 8955 30010
Manufactured on: 10/18/2016
CPU: 2100MHZ
Host Id: 0
Serial no: CRAC5CR8UA
Encoded serial no: CRAC5CR8UA
Done
> sh hardware
Platform: NSMPX-9100 10*CPU+64GB+8*F2X+E1K+1*LBG C627 35000
Manufactured on: 10/1/2021
CPU: 2300MHZ
Host Id: 161644678
Serial no: N2Z3ZD9S21
Encoded serial no: N2Z3ZD9S21
Netscaler UUID: 41a26261-227e-11ec-b4db-3cecef56f86b
BMC Revision: 1.00
Done
制限事項
次の暗号、プロトコル、および機能はサポートされていません。
- DH 512 暗号
- SSLv3 プロトコル
- Azure Key Vault
- GnuTLS
- ECC カーブ P_224 および P521 を含む ECDSA 証明書
- DNSSEC オフロード
注:Thales Luna Network ハードウェアセキュリティモジュール (HSM)
のサポートは、リリース 13.1 ビルド 33.x 以降で利用できます。
NetScaler MPXおよびSDXプラットフォームでのソフトウェアベースのSSLチップ使用率をご覧ください
ソフトウェアベースの SSL チップ使用率の詳細は、次のプラットフォームで確認できます。
- Intel Coleto チップに同梱されている MPX および SDX プラットフォーム
- Intel Lewisburg チップに同梱されている MPX プラットフォーム。
注
:この機能は次のプラットフォームではサポートされていません。
- SDX 9100
- MPX/SDX 16000
コマンドプロンプトで入力します:
> stat ssl
SSL Summary
1. SSL cards present 4
2. SSL cards UP 4
SSL engine status 1
SSL sessions (Rate) 19849
SSL Crypto Utilization Asym (%) 88
SSL Crypto Utilization Symm (%) 1
Crypto Utilization(%)
Asymmetric Crypto Utilization 86.30
Symmetric Crypto Utilization 0.97
System
Transactions Rate (/s) Total
SSL transactions 19849 45900312
SSLv2 transactions 0 0
SSLv3 transactions 0 0
TLSv1 transactions 0 0
TLSv1.1 transactions 0 0
TLSv1.2 transactions 19849 45900312
TLSv1.3 transactions 0 0
DTLSv1 transactions 0 0
DTLSv1.2 transactions 0 0
Front End
Sessions Rate (/s) Total
SSL sessions 19849 45937019
SSLv2 sessions 0 0
SSLv3 sessions 0 0
TLSv1 sessions 0 0
TLSv1.1 sessions 0 0
TLSv1.2 sessions 19849 45937019
TLSv1.3 sessions 0 0
DTLSv1 sessions 0 0
DTLSv1.2 sessions 0 0
New SSL sessions 19881 50722628
SSL session misses 0 0
SSL session hits 0 0
Back End
Sessions Rate (/s) Total
SSL sessions 0 137
SSLv3 sessions 0 0
TLSv1 sessions 0 0
TLSv1.1 sessions 0 0
TLSv1.2 sessions 0 137
DTLSv1 sessions 0 0
Session multiplex attempts 0 0
Session multiplex successes 0 0
Session multiplex failures 0 0
Encryption/Decryption statistics
Crypto Operation Rate (bytes/s) Total Bytes
Bytes encrypted 24338213 27705995030
Bytes decrypted 24664169 27942280990
Done
ハードウェアをポーリングすると、次のカウンタの値が得られます。
- SSL Crypto Utilization Asym (%) 88
- SSL Crypto Utilization Symm (%) 1
次のカウンタの値は、ソフトウェアを使用して取得されます。この値は、ハードウェアでポーリングされた値と若干異なる場合があります。
- 暗号使用率 (%)
- 非対称暗号使用率 85.92
- RSA 暗号使用率 11.43 RSA_4K 0.00 RSA_2K 11.43 RSA_1K 0.00 RSA_Others 0.00
- DH 暗号使用率 74.50 ECDH 暗号使用率 0.00 ECDH_P224 0.00 ECDH_P256 0.00 ECDH_P384 0.00 ECDH_P521 0.00
- ECDSA 暗号使用率 0.00 ECDSA_P224 0.00 ECDSA_P256 0.00 ECDSA_P384 0.00 ECDSA_P521 0.00
- 対称暗号使用率 0.72
暗号ごとに細かく使用するには、次のコマンドを実行します。
> stat ssl -detail
SSL Offloading
1. SSL cards present 4
2. SSL cards UP 4
SSL engine status 1
SSL sessions (Rate) 19862
SSL Crypto Utilization Asym (%) 88
SSL Crypto Utilization Symm (%) 1
Crypto Utilization(%)
Asymmetric Crypto Utilization 85.92
RSA Crypto Utilization 11.43
RSA_4K 0.00
RSA_2K 11.43
RSA_1K 0.00
RSA_Others 0.00
DH Crypto Utilization 74.50
ECDH Crypto Utilization 0.00
ECDH_P224 0.00
ECDH_P256 0.00
ECDH_P384 0.00
ECDH_P521 0.00
ECDSA Crypto Utilization 0.00
ECDSA_P224 0.00
ECDSA_P256 0.00
ECDSA_P384 0.00
ECDSA_P521 0.00
Symmetric Crypto Utilization 0.72
System
Transactions Rate (/s) Total
SSL transactions 19861 46039342
SSLv2 transactions 0 0
SSLv3 transactions 0 0
TLSv1 transactions 0 0
TLSv1.1 transactions 0 0
TLSv1.2 transactions 19861 46039342
TLSv1.3 transactions 0 0
DTLSv1 transactions 0 0
DTLSv1.2 transactions 0 0
Server in record 117437 277622634
Front End
Sessions Rate (/s) Total
SSL sessions 19862 46076050
SSLv2 sessions 0 0
SSLv3 sessions 0 0
TLSv1 sessions 0 0
TLSv1.1 sessions 0 0
TLSv1.2 sessions 19862 46076050
TLSv1.3 sessions 0 0
DTLSv1 sessions 0 0
DTLSv1.2 sessions 0 0
New SSL sessions 19801 50861234
SSL session misses 0 0
SSL session hits 0 0
Session Renegotiation
SSL session renegotiations 0 0
SSLv3 session renegotiations 0 0
TLSv1 session renegotiations 0 0
TLSv1.1 session renegotiations 0 0
TLSv1.2 session renegotiations 0 0
DTLSv1 session renegotiations 0 0
DTLSv1.2 session renegotiations 0 0
Key Exchanges
RSA 512-bit key exchanges 0 0
RSA 1024-bit key exchanges 0 2032658
RSA 2048-bit key exchanges 0 143
RSA 3072-bit key exchanges 0 7757028
RSA 4096-bit key exchanges 0 2238698
DH 512-bit key exchanges 0 0
DH 1024-bit key exchanges 0 0
DH 2048-bit key exchanges 19862 5477702
DH 4096-bit key exchanges 0 0
ECDHE 521 curve key exchanges 0 0
ECDHE 384 curve key exchanges 0 0
ECDHE 256 curve key exchanges 0 28569821
ECDHE 224 curve key exchanges 0 0
Total ECDHE key exchanges 0 28569821
Ciphers Negotiated
RC4 40-bit encryptions 0 0
RC4 56-bit encryptions 0 0
RC4 64-bit encryptions 0 0
RC4 128-bit encryptions 0 0
DES 40-bit encryptions 0 0
DES 56-bit encryptions 0 0
3DES 168-bit encryptions 0 0
AES 128-bit encryptions 0 0
AES 256-bit encryptions 19862 17506229
RC2 40-bit encryptions 0 0
RC2 56-bit encryptions 0 0
RC2 128-bit encryptions 0 0
AES-GCM 128-bit encryptions 0 0
AES-GCM 256-bit encryptions 0 28569821
Null cipher encryptions 0 0
Hashes
MD5 hashes 0 0
SHA hashes 0 12028527
SHA256 hashes 19862 5477702
SHA384 hashes 0 0
Handshakes
SSLv2 SSL handshakes 0 0
SSLv3 SSL handshakes 0 0
TLSv1 SSL handshakes 0 0
TLSv1.1 SSL handshakes 0 0
TLSv1.2 SSL handshakes 19862 46076050
TLSv1.3 SSL handshakes 0 0
DTLSv1 SSL handshakes 0 0
DTLSv1.2 SSL handshakes 0 0
Client Authentications
SSLv2 client authentications 0 0
SSLv3 client authentications 0 0
TLSv1 client authentications 0 0
TLSv1.1 client authentications 0 0
TLSv1.2 client authentications 0 0
TLSv1.3 client authentications 0 0
DTLSv1 client authentications 0 0
DTLSv1.2 client authentications 0 0
Authentications
RSA authentications 19862 17506229
DH authentications 0 0
DSS (DSA) authentications 0 0
ECDSA authentications 0 28569821
Null authentications 0 0
Back End
Sessions Rate (/s) Total
SSL sessions 0 137
SSLv3 sessions 0 0
TLSv1 sessions 0 0
TLSv1.1 sessions 0 0
TLSv1.2 sessions 0 137
DTLSv1 sessions 0 0
Session multiplex attempts 0 0
Session multiplex successes 0 0
Session multiplex failures 0 0
Session Renegotiation
SSL session renegotiations 0 0
SSLv3 session renegotiations 0 0
TLSv1 session renegotiations 0 0
TLSv1.1 back-end session renegot 0 0
TLSv1.2 back-end session renegot 0 0
DTLSv1 session renegotiations 0 0
Key Exchanges
RSA 512-bit key exchanges 0 0
RSA 1024-bit key exchanges 0 0
RSA 2048-bit key exchanges 0 137
RSA 3072-bit key exchanges 0 0
RSA 4096-bit key exchanges 0 0
DH 512-bit key exchanges 0 0
DH 1024-bit key exchanges 0 0
DH 2048-bit key exchanges 0 0
DH 4096-bit key exchanges 0 0
ECDHE 521 curve key exchanges 0 0
ECDHE 384 curve key exchanges 0 0
ECDHE 256 curve key exchanges 0 0
ECDHE 224 curve key exchanges 0 0
Ciphers Negotiated
RC4 40-bit encryptions 0 0
RC4 56-bit encryptions 0 0
RC4 64-bit encryptions 0 0
RC4 128-bit encryptions 0 0
DES 40-bit encryptions 0 0
DES 56-bit encryptions 0 0
3DES 168-bit encryptions 0 0
AES 128-bit encryptions 0 0
AES 256-bit encryptions 0 137
RC2 40-bit encryptions 0 0
RC2 56-bit encryptions 0 0
RC2 128-bit encryptions 0 0
AES-GCM 128-bit encryptions 0 0
AES-GCM 256-bit encryptions 0 0
Null encryptions 0 0
Hashes
MD5 hashes 0 0
SHA hashes 0 137
SHA256 hashes 0 0
SHA384 hashes 0 0
Handshakes
SSLv3 handshakes 0 0
TLSv1 handshakes 0 0
TLSv1.1 handshakes 0 0
TLSv1.2 handshakes 0 137
DTLSv1 handshakes 0 0
Client Authentications
SSLv3 client authentications 0 0
TLSv1 client authentications 0 0
TLSv1.1 client authentications 0 0
TLSv1.2 client authentications 0 0
DTLSv1 client authentications 0 0
Authentications
RSA authentications 0 137
DH authentications 0 0
DSS authentications 0 0
ECDSA authentications 0 0
Null authentications 0 0
System Total
RSA key exchanges offloaded 0 0
RSA sign operations offloaded 0 0
DH key exchanges offloaded 19841 5481037
RC4 encryptions offloaded 0 0
DES encryptions offloaded 0 0
AES encryptions offloaded 0 0
AES-GCM 128-bit encryptions offl 0 0
AES-GCM 256-bit encryptions offl 0 0
Encryption/Decryption statistics
Crypto Operation Rate (bytes/s) Total Bytes
Bytes encrypted 12129801 27790903638
Bytes encrypted in hardware 12129801 27790903638
Bytes encrypted in software 0 0
Bytes encrypted on the front-end 5450907 13430410630
Bytes encrypted in hardware on t 5450907 13430410630
Bytes encrypted in software on t 0 0
Bytes encrypted on the back-end 6678894 14360493008
Bytes encrypted in hardware on t 6678894 14360493008
Bytes encrypted in software on t 0 0
Bytes decrypted 12449504 28029427518
Bytes decrypted in hardware 12449504 28029427518
Bytes decrypted in software 0 0
Bytes decrypted on the front-end 8190208 19876552670
Bytes decrypted in hardware on t 8190208 19876552670
Bytes decrypted in software on t 0 0
Bytes decrypted on the back-end 4259296 8152874848
Bytes decrypted in hardware on t 4259296 8152874848
Bytes decrypted in software on t 0 0
SSL
Rate (/s) Total
Total SPCB in use -87 84656
Active SSL sessions -30309 5615559
Current queue size -1 4153
CardQ
Rate (/s) Total
In Q count for current card -1 4153
In BulkQ count for current card 0 0
In KeyQ count for current card -1 4153
Done
メモ
- 管理パーティションはサポートされていますが、すべてのパーティションの使用率はデフォルトパーティションに表示されます。デフォルト以外のパーティションでは、これらの値は 0 と表示されます。
- クラスタセットアップでは、CLIP アドレスには、クラスタ内のすべてのノードの平均使用率が表示されます。ノード固有の使用方法については、各ノードの CLI でコマンドを実行します。クラスタのノードが同じハードウェアでホストされている場合、SDX プラットフォームではこのデータが正しくない可能性があります。
- SDXプラットフォーム上のVPXインスタンスの場合、各VPXインスタンスの使用率が表示されます。
SSL 対称および非対称暗号利用のための SNMP OID とトラップ
注:
この機能は、NetScalerリリース14.1ビルド17.x以降で使用できます。
SNMP OIDは監視に使用され、暗号使用率が設定された制限に達して正常に戻ったときにSNMPアラームが送信されます。リリース14.1ビルド17.x以降、NetScalerは、構成されたしきい値を超えたときに、ソフトウェアベースの対称および非対称暗号利用のトラップを送信できます。また、これらの暗号使用率の絶対値を読み取るためのSNMP OIDも提供します。 以前は、NetScalerにはこれらの暗号使用率値を読み取るCLIしかありませんでした。
CLI を使用して暗号利用のための SNMP アラームの設定
コマンドラインで、次のように入力します:
> set snmp alarm SSL-ASYM-CRYPTO-UTILIZATION
-logging ( ENABLED | DISABLED )
-severity <severity>
-state ( ENABLED | DISABLED )
-thresholdValue <positive_integer> [-normalValue <positive_integer>]
-time <secs>
> set snmp alarm SSL-SYM-CRYPTO-UTILIZATION
-logging ( ENABLED | DISABLED )
-severity <severity>
-state ( ENABLED | DISABLED )
-thresholdValue <positive_integer> [-normalValue <positive_integer>]
-time <secs>
例:
set snmp alarm SSL-ASYM-CRYPTO-UTILIZATION -thresholdValue 37 -normalValue 17
set snmp alarm SSL-SYM-CRYPTO-UTILIZATION -thresholdValue 25 -normalValue 15
GUI を使用して暗号利用のための SNMP アラームの設定
- [ システム] > [SNMP] > [アラーム] に移動します。
- 次のいずれかを行います:
- 非対称暗号利用を設定するには、「SSL-ASYM-CRYPTO-ULIZATION」を検索してクリックします。
- 対称暗号利用を設定するには、「SSL-SYM-CRYPTO-ULIZATIONS」を検索してクリックします。
- 「 SNMP アラームの設定 」ページで、さまざまなパラメータの値を入力し、「 OK」をクリックします。
NetScaler SDX での暗号活用
SNMP OIDとトラップの実装は、ソフトウェアベースの暗号利用に基づいています。MPX の最大暗号値は固定されており、ソフトウェアはそれを使用して値を導き出します。
SDXの場合、各VPXには事前に定義された数の暗号ユニットを割り当てることができます。割り当てられた暗号ユニットはVPXの最低保証リソースですが、SDXレベルで利用可能な無料の暗号ユニットを使用することもできます。SDX上のVPXに提供されるソフトウェアベースの暗号利用は、SDXレベルです。
したがって、SDXで対称または非対称のSNMPアラームのしきい値を設定する場合、管理者は各VPXに割り当てられた暗号ユニットの割合を考慮し、これらのアラームに設定するしきい値を導き出す必要があります。
たとえば、SDXの暗号ユニットの合計が100Kで、3つのVPXインスタンスがSDXにプロビジョニングされているとします。VPX1、VPX2、VPX3に割り当てられる暗号ユニットは、それぞれ50K、25K、25Kです。しきい値は 80% に設定されています。
| VPX1 での実際の使用状況 | VPX2 での実際の使用状況 | VPX3 での実際の使用状況 | コメント | |
|---|---|---|---|---|
| シナリオ1 | 80% | 0% | 0% | VPX1の使用率が 80% に達すると、トラップが生成されます。他のVPXへのトラフィックはないため、VPX1からのトラップはSDXでの実際の使用率も示します。 |
| シナリオ2 | 40% | 25% | 15% | 全体的な使用率は 80% ですが、どのVPXもトラップを生成しません。 |
問題:シナリオ 2 では、SDX レベルでの全体的な使用率がしきい値を超えてもトラップが送信されません。
解決策: 管理者は手動で介入し、割り当てに基づいて同等のパーセンテージを算出する必要があります。シナリオ2では、割り当てられた暗号ユニットの割合と設定されたしきい値の%を掛けて、各VPXに対応するパーセンテージを計算します。
| VPX1 | VPX2 | VPX3 | コメント | |
|---|---|---|---|---|
| 暗号単位 = 10万 | 50K | 25K | 25K | |
| 派生しきい値 = 割り当てられた暗号ユニットの割合 x しきい値% (全体のしきい値 = 80%) | 40% | 20% | 20% | たとえば、VPX 1には暗号ユニットの 50% が割り当てられています。したがって、導出されたしきい値は全体のしきい値の 50% です。VPX2とVPX3にはそれぞれ 25% の暗号ユニットが割り当てられています。したがって、導出されたしきい値は全体のしきい値の 25% です。 |
VPX1のしきい値が80%を超えたときではなく、40%を超えたときにSNMPアラームが送信されるようになりました。SDX のしきい値が設定されたパーセンテージを超えていなくても、アラームは管理者に監視するように指示します。
このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。
Intel Coleto およびIntel Lewisburg SSL チップベースのプラットフォームのサポート
コピー完了
コピー失敗