使用硬件和软件提高ECDHE和ECDSA密码性能

注意： 此增强功能仅适用于以下平台：

• MPX /有关11000
• MPX /有关14000
• MPX 22000, MPX 24000和MPX 25000
• MPX /有关14000 FIPS

以前,Citrix ADC设备上的ECDHE和ECDSA计算仅在硬件(Cavium芯片)上执行,这限制了在任何给定时间的SSL会话数量。通过此增强功能，还可以在软件中执行一些操作。也就是说,在Cavium芯片和CPU内核上进行处理,以提高ECDHE和ECDSA密码性能。

处理首先在软件中执行，直到配置的软件加密阈值。达到此阈值后，操作将卸载到硬件。因此,这种混合模型使用硬件和软件来提高SSL性能。您可以通过设置“softwareCryptoThreshold”参数来启用混合模型,以满足您的需求。要禁用混合模型，请将此参数设置为 0。

如果当前CPU利用率不太高,则优势最大,因为CPU阈值并不是ECDHE和ECDSA计算的专用。例如,如果设备上的当前工作负载消耗了50%的CPU周期,并且阈值设置为80%,则ECDHE和ECDSA计算只能使用30%。在配置的软件加密阈值达到80%后,进一步的ECDHE和ECDSA计算被卸载到硬件上。在这种情况下,实际CPU利用率可能超过80%,因为在硬件中执行ECDHE和ECDSA计算会消耗一些CPU周期。

使用CLI启用混合模型

在命令提示符下，键入：

set ssl parameter - softwarerecryptothreshold  Synopsis: softwarerecryptothreshold: Citrix ADC CPU利用率阈值(以百分比表示)，超过这个阈值软件就不会进行加密操作。值为0表示CPU不用于软件加密。默认= 0 Min = 0 Max = 100 

示例：

ssl参数设置- softwareCryptoThreshold 80显示完成ssl参数先进ssl参数ssl量子尺寸:8 KB马克斯CRL内存大小:256 MB严格CA检查:没有加密触发超时:100发送Close-Notify女士:是的加密触发包c: 45否认ssl重新谈判:所有科目/发行人名称插入格式:Unicode OCSP缓存大小:10 MB把国旗:0 x0(汽车)严格的主机头检查SNI启用SSL会话:没有把加密触发超时:1 ms加密设备禁用限制:0全球undef行动控制策略:CLIENTAUTH全球undef行动数据政策:无操作默认的配置:DISABLED禁用TLS 1.1/1.2 for SSL_BRIDGE secure monitors: NO禁用TLS 1.1/1.2 for dynamic and VPN: NO软件加密加速CPU Threshold: 80 TLS1.2支持的签名和哈希算法:ALL 

通过使用GUI启用混合模型

1. 导航到流量管理>SSL>更改高级SSL设置。
2. 输入软件加密阈值 (%)的值。

为ECDHE汇率设置SNMP警报

基于ECDHE的密钥交换可能会导致设备上的每秒交易丢失。从13.0版本生成52。x,您可以为基于ECDHE的交易配置SNMP警报。在此警报中,您可以设置ECDHE汇率的阈值和正常限制。添加了一个新nsssl_tot_sslInfo_ECDHE_Tx计数器。此计数器是设备前端和后端所有基于ECDHE的交易计数器的总和。当基于ECDHE的密钥交换超过配置的限制时,将发送SNMP陷阱。当该值恢复到配置的正常值时，会发送另一个陷阱。

使用CLI为ECDHE汇率设置SNMP警报

在命令提示符下，键入：

set snmp alarm ecdshe - exchange - rate -logging (ENABLED | DISABLED) -severity  -state (ENABLED | DISABLED) -thresholdValue  [-normalValue ] time  

示例：

set snmp alarm ECDHE-EXCHANGE-RATE -logging eNABLED -severity critical -state eNABLED -thresholdValue 100 -normalValue 50