Limitaciones y directrices de uso de NetScaler BLX

Las siguientes limitaciones y directrices de uso están relacionadas con NetScaler BLX.

• Alta disponibilidad

• La alta disponibilidad no se admite en ninguna plataforma de nube pública, como Amazon Web Services (AWS) y Oracle Cloud Infrastructure (OCI).

• La alta disponibilidad no se admite si el inicio de sesión del usuario nsinternal está deshabilitado.

Clúster de NetScaler BLX

• La distribución de tráfico basada en CLAG no se admite.

• NetScaler Gateway

• Los clientes VPN SSO de MAC y Linux no se admiten.

• La funcionalidad de proxy RDP no se admite.

• Canales LA y LACP

• Los canales LA/LACP solo se admiten entre las interfaces NIC dedicadas o las interfaces NIC DPDK.

• Los canales LA/LACP no se admiten para las interfaces virtuales blx1 y ns1.

• Firewall de aplicaciones web (WAF)

• Cuando el Firewall de aplicaciones web (WAF) está habilitado, la puerta de enlace BLX no es accesible.

• NetScaler BLX con puertos DPDK

• BLX con puertos DPDK podría fallar al iniciarse si el host Linux se ejecuta en algunos modelos de CPU antiguos, como Intel(R) Xeon(R) CPU E5-2690 v4 @ 2.60 GHz y CPU E5504 @ 2.00 GHz.

• El host Linux podría bloquearse si desvinculas los puertos NIC vinculados al módulo DPDK mientras BLX se está ejecutando.

• BLX con puertos DPDK tarda un poco más en reiniciarse que BLX sin puertos DPDK.

• Todos los puertos Linux vinculados a DPDK se dedican automáticamente a BLX y no se pueden usar para otras aplicaciones Linux DPDK.

• Para los puertos DPDK VMXNET3 compatibles con BLX, debes especificar el número de procesos de trabajo en potencias de 2 (2ⁿ). Por ejemplo, 1, 2, 4, 8, etc.

• BLX admite el modo troncal o el etiquetado de VLAN solo para puertos DPDK.

• Puertos Mellanox

• BLX admite solo un tipo de puerto DPDK a la vez. Por ejemplo, todos los puertos Mellanox o todos los puertos Intel.

• BLX solo admite el controlador MLX5 DPDK para puertos Mellanox.

• Para obtener más información sobre el controlador MLX5 DPDK y sus limitaciones, consulta la documentación oficial de MLX5 DPDK.

  • Para obtener más información sobre las NIC Mellanox y sus limitaciones, consulta la documentación oficial de Mellanox.

Otras limitaciones y directrices

-  Cuando reinicias BLX configurado con la función de host administrado de BLX, todas las sesiones SSH activas al host Linux se cierran. Para restaurar la conexión, debes intentar conectarte al host de nuevo.

• En modo dedicado, el puerto HTTP o HTTPS de administración (mgmt-http-port o mgmt-https-port) especificado en el archivo blx.conf se ignora. Por defecto, los números de puerto 80 y 443 están dedicados para el acceso de administración HTTP y HTTPS. Para cambiar estos puertos para BLX en modo dedicado, debes usar el siguiente comando de la CLI de NetScaler:

  set ns param (-mgmthttpport <value> | -mgmthttpsport <value>)

  Ejemplo: El siguiente comando cambia el puerto HTTP de administración a 2080.

  set ns param -mgmthttpport 2080

• Si el firewall está habilitado en el host Linux, es posible que debas agregar excepciones para los puertos de administración y SYSLOG de BLX.

• BLX podría tardar hasta 45 segundos en iniciarse.

• La configuración de BLX se almacena en el archivo /nsconfig/ns.conf. Para que la configuración esté disponible en todas las sesiones, debes guardar la configuración después de cada cambio de configuración.

  • Para ver la configuración en ejecución usando la CLI de NetScaler®

• En el símbolo del sistema, escribe lo siguiente:

• show ns runningConfig

  • Para guardar configuraciones usando la CLI de NetScaler

    En el símbolo del sistema, escribe lo siguiente:

    save ns config

• La configuración de BLX en el archivo /nsconfig/ns.conf tiene prioridad sobre la configuración en el archivo /etc/blx/blx.conf.

• BLX no se inicia si la memoria asignada es inferior a 1 GB por proceso de trabajo.

• Cuando instalas BLX, el parámetro ip_forward se establece en 1 en el host Linux.

• Después de desinstalar BLX, el archivo de configuración (blx.conf) se conserva y se guarda como copia de seguridad con el nombre blx.conf.rpmsave. Para aplicar este archivo de configuración de copia de seguridad a un BLX recién instalado en el mismo host Linux, debes renombrar manualmente el archivo a blx.conf.

• No recomendamos ejecutar BLX en la siguiente versión de Ubuntu porque BLX podría encontrar algunos problemas relacionados con la pérdida de paquetes.

  Ubuntu version 16.04.5 with kernel version 4.4.0-131-generic

• BLX admite un máximo de nueve puertos NIC (puertos NIC DPDK, puertos NIC no DPDK o una combinación de ambos).

• BLX podría no iniciarse o funcionar correctamente si se cumple la siguiente condición:

  • La política SELinux está habilitada en el host Linux. SELinux impide que el proceso systemd ejecute algunos archivos del sistema BLX.

    Solución alternativa: Deshabilita SELinux en el host Linux.

  Nota:

  A partir de NetScaler BLX 14.1-17.x, cuando instalas BLX en un host Linux basado en Red Hat, aplica una política SELinux si el módulo SELinux está disponible en el host Linux. Esta política permite que BLX se ejecute en el host Linux. Para obtener más información sobre la política SELinux, consulta política SELinux.

• NetScaler BLX 14.1-25.x no puede iniciarse en modo de túnel completo porque el archivo pluginlist.xml no está presente en el directorio /var/netscaler/gui/vpn. Solución alternativa: Ejecuta los siguientes comandos:

  1. 
         enable ns feature RESPONDER
     
     <!--NeedCopy-->
     

  2. 
         add responder action pluginlist_respond respondwith q{"HTTP/1.1 200 OK\r\nDate: Thu, 30 May 2024 12:00:51 GMT\r\nServer: Apache\r\nX-Frame-Options: SAMEORIGIN\r\nLast-Modified: Thu, 30 May 2024 11:45:52 GMT\r\nETag: \"60b-619aa68c07aea\"\r\nAccept-Ranges: bytes\r\nContent-Length: 1547\r\nFeature-Policy: camera 'none'; microphone 'none'; geolocation 'none'\r\nReferrer-Policy: no-referrer\r\nX-XSS-Protection: 1; mode=block\r\nX-Content-Type-Options: nosniff\r\nContent-Type: application/xml; charset=utf-8\r\nKeep-Alive: timeout=15, max=100\r\nConnection: Keep-Alive\r\nCache-Control: no-cache, no-store\r\nPlugin-Upgrade: epa_win:Never;epa_mac:Never;epa_linux:Never;vpn_win:Never;vpn_mac:Never;vpn_linux:Never;\r\n\r\n<repositories>\n\t<repository name=\"default\" >\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Windows (32 bit)\" type=\"WIN-EPA\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/nsepa_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Windows (64 bit)\" type=\"WIN-EPA64\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/nsepa_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway VPN plug-in for Windows\" type=\"WIN-VPN\"\n\t\t\tversion=\"23.8.1.11\" path=\"/vpns/scripts/vista/AGEE_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"EPA scanning Engine (Opswat) for Windows\" type=\"WIN-EPA-ENGINE\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/epaPackage.exe\" opswatVersion=\"4.3.3635.0\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Mac\" type=\"MAC-EPA\"\n\t\t\tversion=\"22.11.3\" path=\"/epa/scripts/mac/Citrix_Endpoint_Analysis.dmg\"\n\t\t\tcompatibleFrom=\"22.11.3\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway VPN plug-in for Mac\" type=\"MAC-VPN\"\n\t\t\tversion=\"4.4.8 (518)\" path=\"/vpns/scripts/mac/Citrix_Access_Gateway.dmg\"\n\t\t\tcompatibleFrom=\"4.4.8 (518)\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"EPA scanning Engine (Opswat) for Mac\" type=\"MAC-EPA-ENGINE\"\n\t\t\tversion=\"1.3.5.7\" path=\"/epa/scripts/mac/MacLibs.zip\" opswatVersion=\"4.3.2138.0\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway RfWeb GUI\" type=\"RFWEB-GUI\"\n\t\t\tversion=\"23.8.1.11\" path=\"/logon/logonPoint/\"\n\t\t/>\n\t</repository>\n</repositories>\n"}
     
     <!--NeedCopy-->
     

  3.     
     add responder policy pluginlist_respond_pol "HTTP.REQ.URL.CONTAINS(\"pluginlist.xml\")" pluginlist_respond
     <!--NeedCopy-->
     

  4.     
     bind vpn vserver <VSERVER_NAME> -policy pluginlist_respond_pol -priority 1 -gotoPriorityExpression END -type AAA_REQUEST
     <!--NeedCopy-->
     

  5. Una vez que inicias BLX en modo de usuario nsroot no root, no puedes volver al modo de usuario nsroot root. Para hacerlo, debes reinstalar BLX. Para ejecutar el comando showtechsupport, debes iniciar sesión en un host como root y luego ejecutar el script showtechsupport.pl.

Funciones de NetScaler no compatibles en NetScaler BLX

• Partición de administración
• Optimización de contenido
• Descarga de SSL de hardware
• Protocolo de enrutamiento de sistema intermedio a sistema intermedio (IS-IS)
• IPsec

• Jumbo frames

  Nota:

  A partir de la versión 14.1-66.x de NetScaler, BLX admite jumbo frames en NIC Intel XL710 (controlador DPDK i40e).

• Protocolo de tiempo de precisión (PTP)
• Calidad de servicio (QoS)
• Protocolo de información de enrutamiento (RIP)
• Protocolo de información de enrutamiento de próxima generación (RIPng)
• Filtrado de URL