Einschränkungen und Nutzungsrichtlinien für NetScaler BLX

Die folgenden Einschränkungen und Nutzungsrichtlinien beziehen sich auf NetScaler BLX.

Hohe Verfügbarkeit

• Hohe Verfügbarkeit wird auf keiner öffentlichen Cloud-Plattform wie Amazon Web Services (AWS) und Oracle Cloud Infrastructure (OCI) unterstützt.

• Hohe Verfügbarkeit wird nicht unterstützt, wenn die Benutzeranmeldung nsinternal deaktiviert ist.

• Hohe Verfügbarkeit wird nur im dedizierten Modus unterstützt.

NetScaler BLX-Cluster

• Eine CLAG-basierte Verkehrsverteilung wird nicht unterstützt.

NetScaler Gateway

• MAC- und Linux-SSO-VPN-Clients werden nicht unterstützt.
• Die RDP-Proxy-Funktionalität wird nicht unterstützt.

LA- und LACP-Kanäle

• LA/LACP-Kanäle werden im gemeinsamen Modus nicht unterstützt.

• LA/LACP-Kanäle werden nur zwischen den dedizierten NIC-Schnittstellen oder DPDK-NIC-Schnittstellen unterstützt.

• LA/LACP-Kanäle werden für die virtuellen Schnittstellen blx1 und ns1 nicht unterstützt.

SNMP

• SNMP wird nur für BLX im dedizierten Modus unterstützt.

Webanwendungs-Firewall (WAF)

• Web Application Firewall (WAF) wird nur für NetScaler BLX im dedizierten Modus unterstützt.
• Wenn die Web Application Firewall (WAF) aktiviert ist, ist auf das BLX-Gateway nicht zugegriffen werden kann.

NetScaler BLX mit DPDK-Ports

• Der Start von BLX mit DPDK-Ports schlägt möglicherweise fehl, wenn der Linux-Host auf bestimmten älteren CPU-Modellen läuft, wie etwa Intel(R) Xeon(R) CPU E5-2690 v4 @ 2,60 GHz und CPU E5504 @ 2,00 GHz.

• Der Linux-Host stürzt möglicherweise ab, wenn Sie die an das DPDK-Modul gebundenen NIC-Ports trennen, während BLX ausgeführt wird.

• Der Neustart von BLX mit DPDK-Ports dauert etwas länger als der von BLX ohne DPDK-Ports.

• Alle DPDK-gebundenen Linux-Ports sind automatisch BLX gewidmet und können nicht für andere DPDK-Linux-Anwendungen verwendet werden.

• Für von BLX unterstützte VMXNET3 DPDK-Ports müssen Sie die Anzahl der Arbeitsprozesse in einer Zweierpotenz (2ⁿ) angeben. Zum Beispiel 1, 2, 4, 8 und so weiter.

• BLX unterstützt den Trunk-Modus oder VLAN-Tagging nur für DPDK-Ports.

Mellanox-Anschlüsse

• BLX unterstützt jeweils nur einen DPDK-Porttyp. Beispielsweise entweder alle Mellanox-Ports oder alle Intel-Ports.

• BLX unterstützt nur den MLX5 DPDK-Treiber für Mellanox-Ports.

• Weitere Informationen zum MLX5 DPDK-Treiber und seinen Einschränkungen finden Sie in der offiziellen MLX5 DPDK-Dokumentation.

• Weitere Informationen zu Mellanox-NICs und ihren Einschränkungen finden Sie in der offiziellen Mellanox-Dokumentation.

Weitere Einschränkungen und Richtlinien

• Wenn Sie den Hostnamen von BLX mit dem Befehl set ns hostname festlegen, wird auch der Hostname des Linux-Hosts geändert.

• Wenn Sie BLX neu starten, das mit der Funktion „Verwalteter BLX-Host“ konfiguriert ist, werden alle aktiven SSH-Sitzungen zum Linux-Host geschlossen. Um die Verbindung wiederherzustellen, müssen Sie erneut versuchen, eine Verbindung zum Host herzustellen.

• Im dedizierten Modus wird der in der Datei blx.conf angegebene Verwaltungs-HTTP- oder HTTPS-Port (mgmt-http-port oder mgmt-https-port) ignoriert. Standardmäßig sind die Portnummern 80 und 443 für den HTTP- und HTTPS-Verwaltungszugriff reserviert. Um diese Ports für BLX im dedizierten Modus zu ändern, müssen Sie den folgenden NetScaler CLI-Befehl verwenden:

  set ns param (-mgmthttpport <value> | -mgmthttpsport <value>)

  Beispiel: Der folgende Befehl ändert den Verwaltungs-HTTP-Port auf 2080.

  set ns param -mgmthttpport 2080

• Wenn die Firewall auf dem Linux-Host aktiviert ist, müssen Sie möglicherweise Ausnahmen für die BLX-Verwaltungs- und SYSLOG-Ports hinzufügen.

• Der Start von BLX kann bis zu 45 Sekunden dauern.

• Die BLX-Konfiguration wird in der Datei /nsconfig/ns.conf gespeichert. Damit die Konfiguration sitzungsübergreifend verfügbar ist, müssen Sie nach jeder Konfigurationsänderung die Konfiguration speichern.

  • So zeigen Sie die laufende Konfiguration mithilfe der NetScaler-CLI an

    Geben Sie in der Eingabeaufforderung Folgendes ein:

    show ns runningConfig

  • So speichern Sie Konfigurationen mithilfe der NetScaler-CLI

    Geben Sie in der Eingabeaufforderung Folgendes ein:

    save ns config

• Die BLX-Konfiguration in der Datei /nsconfig/ns.conf hat Vorrang vor der Konfiguration in der Datei /etc/blx/blx.conf .

• BLX startet nicht, wenn der zugewiesene Speicher pro Arbeitsprozess weniger als 1 GB beträgt.

• Wenn Sie BLX installieren, wird der Parameter ip_forward auf dem Linux-Host auf 1 gesetzt.

• Nachdem Sie BLX deinstalliert haben, bleibt die Konfigurationsdatei (blx.conf) erhalten und als blx.conf.rpmsavegesichert. Um diese Sicherungskonfigurationsdatei auf ein neu installiertes BLX auf demselben Linux-Host anzuwenden, müssen Sie die Datei manuell wieder in blx.confumbenennen.

• Wir empfehlen nicht, BLX auf der folgenden Ubuntu-Version auszuführen, da bei BLX möglicherweise Probleme mit Paketverlusten auftreten können.

  Ubuntu version 16.04.5 with kernel version 4.4.0-131-generic

• BLX unterstützt maximal neun NIC-Ports (DPDK-NIC-Ports, Nicht-DPDK-NIC-Ports oder eine Kombination aus beiden).

• BLX startet möglicherweise nicht oder funktioniert nicht ordnungsgemäß, wenn die folgende Bedingung erfüllt ist:

  • SELinux -Richtlinie ist auf dem Linux-Host aktiviert. SELinux verhindert, dass der Prozess systemd einige BLX-Systemdateien ausführt.

    Problemumgehung: Deaktivieren Sie SELinux auf dem Linux-Host.

  Notiz:

  Ab NetScaler BLX 14.1-17.x wird bei der Installation von BLX auf einem Red Hat-basierten Linux-Host eine SELinux-Richtlinie angewendet, sofern das SELinux-Modul auf dem Linux-Host verfügbar ist. Diese Richtlinie ermöglicht die Ausführung von BLX auf dem Linux-Host. Weitere Informationen zur SELinux-Richtlinie finden Sie unter SELinux-Richtlinie.

• NetScaler BLX 14.1-25.x kann nicht im Volltunnelmodus gestartet werden, da die Datei pluginlist.xml im Verzeichnis /var/netscaler/gui/vpn nicht vorhanden ist.
  Problemumgehung: Führen Sie die folgenden Befehle aus:

  1.        
         enable ns feature RESPONDER
     
     <!--NeedCopy-->
     

  2. 
         add responder action pluginlist_respond respondwith q{"HTTP/1.1 200 OK\r\nDate: Thu, 30 May 2024 12:00:51 GMT\r\nServer: Apache\r\nX-Frame-Options: SAMEORIGIN\r\nLast-Modified: Thu, 30 May 2024 11:45:52 GMT\r\nETag: \"60b-619aa68c07aea\"\r\nAccept-Ranges: bytes\r\nContent-Length: 1547\r\nFeature-Policy: camera 'none'; microphone 'none'; geolocation 'none'\r\nReferrer-Policy: no-referrer\r\nX-XSS-Protection: 1; mode=block\r\nX-Content-Type-Options: nosniff\r\nContent-Type: application/xml; charset=utf-8\r\nKeep-Alive: timeout=15, max=100\r\nConnection: Keep-Alive\r\nCache-Control: no-cache, no-store\r\nPlugin-Upgrade: epa_win:Never;epa_mac:Never;epa_linux:Never;vpn_win:Never;vpn_mac:Never;vpn_linux:Never;\r\n\r\n<repositories>\n\t<repository name=\"default\" >\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Windows (32 bit)\" type=\"WIN-EPA\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/nsepa_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Windows (64 bit)\" type=\"WIN-EPA64\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/nsepa_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway VPN plug-in for Windows\" type=\"WIN-VPN\"\n\t\t\tversion=\"23.8.1.11\" path=\"/vpns/scripts/vista/AGEE_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"EPA scanning Engine (Opswat) for Windows\" type=\"WIN-EPA-ENGINE\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/epaPackage.exe\" opswatVersion=\"4.3.3635.0\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Mac\" type=\"MAC-EPA\"\n\t\t\tversion=\"22.11.3\" path=\"/epa/scripts/mac/Citrix_Endpoint_Analysis.dmg\"\n\t\t\tcompatibleFrom=\"22.11.3\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway VPN plug-in for Mac\" type=\"MAC-VPN\"\n\t\t\tversion=\"4.4.8 (518)\" path=\"/vpns/scripts/mac/Citrix_Access_Gateway.dmg\"\n\t\t\tcompatibleFrom=\"4.4.8 (518)\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"EPA scanning Engine (Opswat) for Mac\" type=\"MAC-EPA-ENGINE\"\n\t\t\tversion=\"1.3.5.7\" path=\"/epa/scripts/mac/MacLibs.zip\" opswatVersion=\"4.3.2138.0\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway RfWeb GUI\" type=\"RFWEB-GUI\"\n\t\t\tversion=\"23.8.1.11\" path=\"/logon/logonPoint/\"\n\t\t/>\n\t</repository>\n</repositories>\n"}
     
     <!--NeedCopy-->
     

  3. 
     Responder-Richtlinie hinzufügen pluginlist_respond_pol "HTTP.REQ.URL.CONTAINS(\"pluginlist.xml\")" pluginlist_respond
     <!--NeedCopy-->
     

  4. 
     bind vpn vserver <VSERVER_NAME> -policy pluginlist_respond_pol -priority 1 -gotoPriorityExpression END -type AAA_REQUEST
     <!--NeedCopy-->
     

  5. Wenn Sie BLX im Nicht-Root-NSRoot-Modus starten, können Sie nicht in den Root-NSRoot-Benutzermodus zurückkehren. Dazu müssen Sie BLX neu installieren. Um den Befehl showtechsupport auszuführen, müssen Sie sich als Root bei einem Host anmelden und dann das Skript showtechsupport.pl ausführen.

Nicht unterstützte NetScaler-Funktionen in NetScaler BLX

• Admin-Partition
• Inhaltsoptimierung
• Hardware-SSL-Offload
• Intermediate System-to-Intermediate System (IS-IS) Routing-Protokoll
• IPSec
• Jumbo-Rahmen
• Präzisionszeitprotokoll (PTP)
• Dienstqualität (QoS)
• Routing Information Protocol (RIP)
• Routing Information Protocol der nächsten Generation (RIPng)
• URL-Filterung