支持基于 Intel Coleto 和 Intel Lewisburg SSL 芯片的平台
以下设备配备 Intel Coleto 芯片:
- MPX 5900
- MPX/SDX 8900
- MPX/SDX 15000
- MPX/SDX 15000-50G
- MPX/SDX 26000
- MPX/SDX 26000-50S
- MPX/SDX 26000-100G
以下设备自带 Intel Lewisburg 芯片:
- MPX/SDX 9100
- MPX/SDX 16000
使用“show hardware”命令确定您的设备是配备 Coleto (COL) 或 Lewisburg (LBG) 芯片。
> sh hardware
Platform: NSMPX-8900 8*CPU+4*F1X+6*E1K+1*E1K+1*COL 8955 30010
Manufactured on: 10/18/2016
CPU: 2100MHZ
Host Id: 0
Serial no: CRAC5CR8UA
Encoded serial no: CRAC5CR8UA
Done
> sh hardware
Platform: NSMPX-9100 10*CPU+64GB+8*F2X+E1K+1*LBG C627 35000
Manufactured on: 10/1/2021
CPU: 2300MHZ
Host Id: 161644678
Serial no: N2Z3ZD9S21
Encoded serial no: N2Z3ZD9S21
Netscaler UUID: 41a26261-227e-11ec-b4db-3cecef56f86b
BMC Revision: 1.00
Done
限制
不支持以下密码、协议和功能:
- DH 512 密码
- SSLv3 协议
- Azure 密钥库
- GnuTLS
- 带有 ECC 曲线 P_224 和 P521 的 ECDSA 证书
- DNSSEC 卸载
注意版本 13.1 build 33.x 及更高版本中
支持泰雷兹露娜网络硬件安全模块 (HSM)。
查看 NetScaler MPX 和 SDX 平台上基于软件的 SSL 芯片利用率
您可以在以下平台上查看有关基于软件的 SSL 芯片利用率的更多详细信息:
- 随 Intel Coleto 芯片一起提供的 MPX 和 SDX 平台。
- 随 Intel Lewisburg 芯片一起提供的 MPX 平台。
注意
以下平台不支持此功能:
- SDX 9100
- MPX/SDX 16000
在命令提示符下,键入:
> stat ssl
SSL Summary
1. SSL cards present 4
2. SSL cards UP 4
SSL engine status 1
SSL sessions (Rate) 19849
SSL Crypto Utilization Asym (%) 88
SSL Crypto Utilization Symm (%) 1
Crypto Utilization(%)
Asymmetric Crypto Utilization 86.30
Symmetric Crypto Utilization 0.97
System
Transactions Rate (/s) Total
SSL transactions 19849 45900312
SSLv2 transactions 0 0
SSLv3 transactions 0 0
TLSv1 transactions 0 0
TLSv1.1 transactions 0 0
TLSv1.2 transactions 19849 45900312
TLSv1.3 transactions 0 0
DTLSv1 transactions 0 0
DTLSv1.2 transactions 0 0
Front End
Sessions Rate (/s) Total
SSL sessions 19849 45937019
SSLv2 sessions 0 0
SSLv3 sessions 0 0
TLSv1 sessions 0 0
TLSv1.1 sessions 0 0
TLSv1.2 sessions 19849 45937019
TLSv1.3 sessions 0 0
DTLSv1 sessions 0 0
DTLSv1.2 sessions 0 0
New SSL sessions 19881 50722628
SSL session misses 0 0
SSL session hits 0 0
Back End
Sessions Rate (/s) Total
SSL sessions 0 137
SSLv3 sessions 0 0
TLSv1 sessions 0 0
TLSv1.1 sessions 0 0
TLSv1.2 sessions 0 137
DTLSv1 sessions 0 0
Session multiplex attempts 0 0
Session multiplex successes 0 0
Session multiplex failures 0 0
Encryption/Decryption statistics
Crypto Operation Rate (bytes/s) Total Bytes
Bytes encrypted 24338213 27705995030
Bytes decrypted 24664169 27942280990
Done
以下计数器的值是通过轮询硬件来实现的:
- SSL Crypto Utilization Asym (%) 88
- SSL Crypto Utilization Symm (%) 1
以下计数器的值是使用软件实现的。这些值可能与硬件轮询的值略有不同。
- 加密货币利用率 (%)
- Asymmetric Crypto Utilization 85.92
- RSA Crypto Utilization 11.43 RSA_4K 0.00 RSA_2K 11.43 RSA_1K 0.00 RSA_Others 0.00
- DH Crypto Utilization 74.50 ECDH Crypto Utilization 0.00 ECDH_P224 0.00 ECDH_P256 0.00 ECDH_P384 0.00 ECDH_P521 0.00
- ECDSA Crypto Utilization 0.00 ECDSA_P224 0.00 ECDSA_P256 0.00 ECDSA_P384 0.00 ECDSA_P521 0.00
- Symmetric Crypto Utilization 0.72
要获得每个密码的精细利用率,请运行以下命令。
> stat ssl -detail
SSL Offloading
1. SSL cards present 4
2. SSL cards UP 4
SSL engine status 1
SSL sessions (Rate) 19862
SSL Crypto Utilization Asym (%) 88
SSL Crypto Utilization Symm (%) 1
Crypto Utilization(%)
Asymmetric Crypto Utilization 85.92
RSA Crypto Utilization 11.43
RSA_4K 0.00
RSA_2K 11.43
RSA_1K 0.00
RSA_Others 0.00
DH Crypto Utilization 74.50
ECDH Crypto Utilization 0.00
ECDH_P224 0.00
ECDH_P256 0.00
ECDH_P384 0.00
ECDH_P521 0.00
ECDSA Crypto Utilization 0.00
ECDSA_P224 0.00
ECDSA_P256 0.00
ECDSA_P384 0.00
ECDSA_P521 0.00
Symmetric Crypto Utilization 0.72
System
Transactions Rate (/s) Total
SSL transactions 19861 46039342
SSLv2 transactions 0 0
SSLv3 transactions 0 0
TLSv1 transactions 0 0
TLSv1.1 transactions 0 0
TLSv1.2 transactions 19861 46039342
TLSv1.3 transactions 0 0
DTLSv1 transactions 0 0
DTLSv1.2 transactions 0 0
Server in record 117437 277622634
Front End
Sessions Rate (/s) Total
SSL sessions 19862 46076050
SSLv2 sessions 0 0
SSLv3 sessions 0 0
TLSv1 sessions 0 0
TLSv1.1 sessions 0 0
TLSv1.2 sessions 19862 46076050
TLSv1.3 sessions 0 0
DTLSv1 sessions 0 0
DTLSv1.2 sessions 0 0
New SSL sessions 19801 50861234
SSL session misses 0 0
SSL session hits 0 0
Session Renegotiation
SSL session renegotiations 0 0
SSLv3 session renegotiations 0 0
TLSv1 session renegotiations 0 0
TLSv1.1 session renegotiations 0 0
TLSv1.2 session renegotiations 0 0
DTLSv1 session renegotiations 0 0
DTLSv1.2 session renegotiations 0 0
Key Exchanges
RSA 512-bit key exchanges 0 0
RSA 1024-bit key exchanges 0 2032658
RSA 2048-bit key exchanges 0 143
RSA 3072-bit key exchanges 0 7757028
RSA 4096-bit key exchanges 0 2238698
DH 512-bit key exchanges 0 0
DH 1024-bit key exchanges 0 0
DH 2048-bit key exchanges 19862 5477702
DH 4096-bit key exchanges 0 0
ECDHE 521 curve key exchanges 0 0
ECDHE 384 curve key exchanges 0 0
ECDHE 256 curve key exchanges 0 28569821
ECDHE 224 curve key exchanges 0 0
Total ECDHE key exchanges 0 28569821
Ciphers Negotiated
RC4 40-bit encryptions 0 0
RC4 56-bit encryptions 0 0
RC4 64-bit encryptions 0 0
RC4 128-bit encryptions 0 0
DES 40-bit encryptions 0 0
DES 56-bit encryptions 0 0
3DES 168-bit encryptions 0 0
AES 128-bit encryptions 0 0
AES 256-bit encryptions 19862 17506229
RC2 40-bit encryptions 0 0
RC2 56-bit encryptions 0 0
RC2 128-bit encryptions 0 0
AES-GCM 128-bit encryptions 0 0
AES-GCM 256-bit encryptions 0 28569821
Null cipher encryptions 0 0
Hashes
MD5 hashes 0 0
SHA hashes 0 12028527
SHA256 hashes 19862 5477702
SHA384 hashes 0 0
Handshakes
SSLv2 SSL handshakes 0 0
SSLv3 SSL handshakes 0 0
TLSv1 SSL handshakes 0 0
TLSv1.1 SSL handshakes 0 0
TLSv1.2 SSL handshakes 19862 46076050
TLSv1.3 SSL handshakes 0 0
DTLSv1 SSL handshakes 0 0
DTLSv1.2 SSL handshakes 0 0
Client Authentications
SSLv2 client authentications 0 0
SSLv3 client authentications 0 0
TLSv1 client authentications 0 0
TLSv1.1 client authentications 0 0
TLSv1.2 client authentications 0 0
TLSv1.3 client authentications 0 0
DTLSv1 client authentications 0 0
DTLSv1.2 client authentications 0 0
Authentications
RSA authentications 19862 17506229
DH authentications 0 0
DSS (DSA) authentications 0 0
ECDSA authentications 0 28569821
Null authentications 0 0
Back End
Sessions Rate (/s) Total
SSL sessions 0 137
SSLv3 sessions 0 0
TLSv1 sessions 0 0
TLSv1.1 sessions 0 0
TLSv1.2 sessions 0 137
DTLSv1 sessions 0 0
Session multiplex attempts 0 0
Session multiplex successes 0 0
Session multiplex failures 0 0
Session Renegotiation
SSL session renegotiations 0 0
SSLv3 session renegotiations 0 0
TLSv1 session renegotiations 0 0
TLSv1.1 back-end session renegot 0 0
TLSv1.2 back-end session renegot 0 0
DTLSv1 session renegotiations 0 0
Key Exchanges
RSA 512-bit key exchanges 0 0
RSA 1024-bit key exchanges 0 0
RSA 2048-bit key exchanges 0 137
RSA 3072-bit key exchanges 0 0
RSA 4096-bit key exchanges 0 0
DH 512-bit key exchanges 0 0
DH 1024-bit key exchanges 0 0
DH 2048-bit key exchanges 0 0
DH 4096-bit key exchanges 0 0
ECDHE 521 curve key exchanges 0 0
ECDHE 384 curve key exchanges 0 0
ECDHE 256 curve key exchanges 0 0
ECDHE 224 curve key exchanges 0 0
Ciphers Negotiated
RC4 40-bit encryptions 0 0
RC4 56-bit encryptions 0 0
RC4 64-bit encryptions 0 0
RC4 128-bit encryptions 0 0
DES 40-bit encryptions 0 0
DES 56-bit encryptions 0 0
3DES 168-bit encryptions 0 0
AES 128-bit encryptions 0 0
AES 256-bit encryptions 0 137
RC2 40-bit encryptions 0 0
RC2 56-bit encryptions 0 0
RC2 128-bit encryptions 0 0
AES-GCM 128-bit encryptions 0 0
AES-GCM 256-bit encryptions 0 0
Null encryptions 0 0
Hashes
MD5 hashes 0 0
SHA hashes 0 137
SHA256 hashes 0 0
SHA384 hashes 0 0
Handshakes
SSLv3 handshakes 0 0
TLSv1 handshakes 0 0
TLSv1.1 handshakes 0 0
TLSv1.2 handshakes 0 137
DTLSv1 handshakes 0 0
Client Authentications
SSLv3 client authentications 0 0
TLSv1 client authentications 0 0
TLSv1.1 client authentications 0 0
TLSv1.2 client authentications 0 0
DTLSv1 client authentications 0 0
Authentications
RSA authentications 0 137
DH authentications 0 0
DSS authentications 0 0
ECDSA authentications 0 0
Null authentications 0 0
System Total
RSA key exchanges offloaded 0 0
RSA sign operations offloaded 0 0
DH key exchanges offloaded 19841 5481037
RC4 encryptions offloaded 0 0
DES encryptions offloaded 0 0
AES encryptions offloaded 0 0
AES-GCM 128-bit encryptions offl 0 0
AES-GCM 256-bit encryptions offl 0 0
Encryption/Decryption statistics
Crypto Operation Rate (bytes/s) Total Bytes
Bytes encrypted 12129801 27790903638
Bytes encrypted in hardware 12129801 27790903638
Bytes encrypted in software 0 0
Bytes encrypted on the front-end 5450907 13430410630
Bytes encrypted in hardware on t 5450907 13430410630
Bytes encrypted in software on t 0 0
Bytes encrypted on the back-end 6678894 14360493008
Bytes encrypted in hardware on t 6678894 14360493008
Bytes encrypted in software on t 0 0
Bytes decrypted 12449504 28029427518
Bytes decrypted in hardware 12449504 28029427518
Bytes decrypted in software 0 0
Bytes decrypted on the front-end 8190208 19876552670
Bytes decrypted in hardware on t 8190208 19876552670
Bytes decrypted in software on t 0 0
Bytes decrypted on the back-end 4259296 8152874848
Bytes decrypted in hardware on t 4259296 8152874848
Bytes decrypted in software on t 0 0
SSL
Rate (/s) Total
Total SPCB in use -87 84656
Active SSL sessions -30309 5615559
Current queue size -1 4153
CardQ
Rate (/s) Total
In Q count for current card -1 4153
In BulkQ count for current card 0 0
In KeyQ count for current card -1 4153
Done
备注
- 支持管理分区,但所有分区的利用率都显示在默认分区中。在非默认分区上,这些值显示为 0。
- 在群集设置中,CLIP 地址显示群集中所有节点的平均利用率。要获得特定于节点的使用率,请在每个节点的 CLI 上运行命令。如果群集的节点托管在同一硬件上,则对于 SDX 平台而言,此数据可能不正确。
- 对于 SDX 平台上的 VPX 实例,将显示每个 VPX 实例的利用率。
用于 SSL 对称和非对称加密利用的 SNMP OID 和陷阱
注意:
此功能在 NetScaler 版本 14.1 build 17.x 及更高版本中可用。
SNMP OID 用于监视,当加密利用率达到配置的限制并恢复正常时,将发送 SNMP 警报。从版本 14.1 build 17.x 开始,当超过配置的阈值时,NetScaler 可以发送陷阱以实现基于软件的对称和非对称加密利用。它还提供了一个 SNMP OID 来读取这些加密利用率的绝对值。 早些时候,NetScaler 只有 CLI 来读取这些加密利用率值。
使用 CLI 为加密利用率配置 SNMP 警报
在命令行中,键入:
> set snmp alarm SSL-ASYM-CRYPTO-UTILIZATION
-logging ( ENABLED | DISABLED )
-severity <severity>
-state ( ENABLED | DISABLED )
-thresholdValue <positive_integer> [-normalValue <positive_integer>]
-time <secs>
> set snmp alarm SSL-SYM-CRYPTO-UTILIZATION
-logging ( ENABLED | DISABLED )
-severity <severity>
-state ( ENABLED | DISABLED )
-thresholdValue <positive_integer> [-normalValue <positive_integer>]
-time <secs>
示例:
set snmp alarm SSL-ASYM-CRYPTO-UTILIZATION -thresholdValue 37 -normalValue 17
set snmp alarm SSL-SYM-CRYPTO-UTILIZATION -thresholdValue 25 -normalValue 15
使用 GUI 为加密利用率配置 SNMP 警报
- 导航到 系统 > SNMP > 警报。
- 执行以下操作之一:
- 要配置非对称加密利用率,请搜索 SSL-ASYM-CRYPTO-UTILIZATION 并单击。
- 要配置对称的加密利用率,请搜索 SSL-SYM-CRYPTO-UTILIZATION 并单击。
- 在“配置 SNMP 警报”页面中,输入不同参数的值,然后单击“确定”。
NetScaler SDX 上的加密使用情况
SNMP OID 和陷阱的实现基于软件的加密利用率。MPX 的最大加密值是固定的,软件使用它来推导值。
对于 SDX,可以为每个 VPX 分配预定义数量的加密单元。分配的加密单位是 VPX 的最低保证资源,但它也可以使用 SDX 级别上可用的免费加密单元。在 SDX 上为 VPX 提供的基于软件的加密利用率处于 SDX 级别。
因此,在 SDX 上为对称或非对称 SNMP 警报配置阈值时,管理员必须考虑为每个 VPX 分配的加密单元的百分比,并得出为这些警报配置的阈值。
例如,如果 SDX 上的加密单位总数为 100 K,并且在 SDX 上配置了三个 VPX 实例。分配给 VPX1、VPX2 和 VPX3 的加密单元分别为 50 K、25 K 和 25 K。阈值设置为 80%。
| VPX1 的实际使用率 | VPX2 的实际使用率 | VPX3 的实际使用率 | 注意 | |
|---|---|---|---|---|
| 场景 1 | 80% | 0% | 0% | 当 VPX1 的利用率达到 80% 时,它会生成一个陷阱。由于没有流向其他 VPX 的流量,因此来自 VPX1 的陷阱也表明 SDX 的实际利用率。 |
| 场景 2 | 40% | 25% | 15% | 尽管总体利用率为 80%,但所有 VPX 都不会生成陷阱。 |
问题: 在方案 2 中,即使 SDX 级别的总体利用率已超过阈值,也不会发送陷阱。
解决方案: 管理员必须手动干预,并根据分配得出等效百分比。在场景 2 中,通过将分配的加密单位百分比乘以设置的阈值百分比来计算每个 VPX 的相应百分比。
| VPX1 | VPX2 | VPX3 | 注意 | |
|---|---|---|---|---|
| 加密单位 = 100k | 50K | 25K | 25K | |
| 派生阈值 = 分配的加密单位百分比 *% 阈值(总体阈值 = 80%) | 40% | 20% | 20% | 例如,VPX 1 分配了 50% 的加密单元。因此,推导的阈值是总阈值的 50%。VPX2和VPX3各分配了25%的加密单元。因此,推导的阈值为总阈值的 25%。 |
现在,当VPX1的阈值超过40%而不是超过80%时,将发出SNMP警报。即使 SDX 的阈值可能没有超过配置的百分比,警报也表明管理员需要监视。
本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
支持基于 Intel Coleto 和 Intel Lewisburg SSL 芯片的平台
已复制!
失败!