利用硬件和软件提高ECDHE和ECDSA密码性能
注意:
此增强仅适用于以下平台:
- MPX /有关11000
- MPX /有关14000
- MPX 22000, MPX 24000和MPX 25000
- MPX /有关14000 FIPS
以前,Citrix ADC设备上的ECDHE和ECDSA计算仅在硬件(Cavium芯片)上执行,这限制了任何给定时间的SSL会话数量。通过这种增强,一些操作也可以在软件中执行。也就是说,在Cavium芯片和CPU内核上都进行处理,以提高ECDHE和ECDSA密码性能。
处理首先在软件中执行,直到配置的软件加密阈值。达到此阈值后,操作将被卸载到硬件上。因此,这种混合模型同时使用硬件和软件来提高SSL性能。您可以通过设置“softwarerecryptothreshold”参数来满足您的需求来启用混合模型。如果要禁用混合模式,请将该参数设置为0。
如果当前CPU利用率不是太高,那么好处是最大的,因为CPU阈值并不只适用于ECDHE和ECDSA计算。例如,如果设备上的当前工作负载消耗50%的CPU周期,并且阈值设置为80%,那么ECDHE和ECDSA计算只能使用30%。达到配置的软件加密阈值80%后,进一步将ECDHE和ECDSA计算卸载到硬件上。在这种情况下,实际CPU利用率可能超过80%,因为在硬件中执行ECDHE和ECDSA计算会消耗一些CPU周期。
2 .通过CLI使能hybrid模式
在命令提示符处,输入:
set ssl parameter - softwarerecryptothreshold Synopsis: softwarerecryptothreshold: Citrix ADC CPU利用率阈值(以百分比表示),超过这个阈值软件就不会进行加密操作。值为0表示CPU不用于软件加密。默认= 0 Min = 0 Max = 100 例子:
ssl参数设置- softwareCryptoThreshold 80显示完成ssl参数先进ssl参数ssl量子尺寸:8 KB马克斯CRL内存大小:256 MB严格CA检查:没有加密触发超时:100发送Close-Notify女士:是的加密触发包c: 45否认ssl重新谈判:所有科目/发行人名称插入格式:Unicode OCSP缓存大小:10 MB把国旗:0 x0(汽车)严格的主机头检查SNI启用SSL会话:没有把加密触发超时:1 ms加密设备禁用限制:0全球undef行动控制策略:CLIENTAUTH全球undef行动数据政策:无操作默认的配置:DISABLED禁用TLS 1.1/1.2 for SSL_BRIDGE secure monitors: NO禁用TLS 1.1/1.2 for dynamic and VPN: NO软件加密加速CPU Threshold: 80 TLS1.2支持的签名和哈希算法:ALL 通过使用GUI启用混合模型
- 导航到交通管理>SSL>更改高级SSL设置.
- 为…输入值软件加密阈值(%).
设置ECDHE汇率的SNMP告警
基于ecdhe的密钥交换可能导致设备上每秒的事务减少。从release 13.0 build 52开始。,可以为基于ecdhe的事务配置SNMP告警。您可以设置ECDHE汇率的阈值和正常阈值。一个新的计数器nsssl_tot_sslInfo_ECDHE_Tx是补充道。该计数器是设备前端和后端所有基于ecdhe的事务计数器的总和。当基于ecdhe的密钥交换越过配置的限制时,就会发送一个SNMP trap。当该值恢复到配置的正常值时,发送另一个trap。
该任务指导管理员通过命令行,设置ECDHE exchange rate的SNMP告警
在命令提示符处,输入:
set snmp alarm ecdshe - exchange - rate -logging (ENABLED | DISABLED) -severity -state (ENABLED | DISABLED) -thresholdValue [-normalValue ] time 例子:
set snmp alarm ECDHE-EXCHANGE-RATE -logging eNABLED -severity critical -state eNABLED -thresholdValue 100 -normalValue 50