Limitations et directives d’utilisation de NetScaler BLX

Les limitations et directives d’utilisation suivantes concernent NetScaler BLX.

• Haute disponibilité

• La haute disponibilité n’est pas prise en charge sur les plateformes de cloud public, telles qu’Amazon Web Services (AWS) et Oracle Cloud Infrastructure (OCI).

• La haute disponibilité n’est pas prise en charge si la connexion de l’utilisateur nsinternal est désactivée.

Cluster NetScaler BLX

• La distribution du trafic basée sur CLAG n’est pas prise en charge.

• NetScaler Gateway

• Les clients VPN SSO pour MAC et Linux ne sont pas pris en charge.

• La fonctionnalité de proxy RDP n’est pas prise en charge.

• Canaux LA et LACP

• Les canaux LA/LACP sont pris en charge uniquement entre les interfaces NIC dédiées ou les interfaces NIC DPDK.

• Les canaux LA/LACP ne sont pas pris en charge pour les interfaces virtuelles blx1 et ns1.

• Pare-feu d’applications Web (WAF)

• Lorsque le pare-feu d’applications Web (WAF) est activé, la passerelle BLX n’est pas accessible.

• NetScaler BLX avec ports DPDK

• BLX avec ports DPDK peut ne pas démarrer si l’hôte Linux exécute d’anciens modèles de CPU, tels que Intel(R) Xeon(R) CPU E5-2690 v4 @ 2.60 GHz et CPU E5504 @ 2.00 GHz.

• L’hôte Linux peut planter si vous déliez les ports NIC liés au module DPDK lorsque BLX est en cours d’exécution.

• BLX avec ports DPDK prend un peu plus de temps à redémarrer que BLX sans ports DPDK.

• Tous les ports Linux liés à DPDK sont automatiquement dédiés à BLX et ne peuvent pas être utilisés par d’autres applications Linux DPDK.

• Pour les ports DPDK VMXNET3 pris en charge par BLX, vous devez spécifier le nombre de processus de travail sous forme de puissance de 2 (2ⁿ). Par exemple, 1, 2, 4, 8, etc.

• BLX prend en charge le mode trunk ou le marquage VLAN uniquement pour les ports DPDK.

• Ports Mellanox

• BLX ne prend en charge qu’un seul type de port DPDK à la fois. Par exemple, tous les ports Mellanox ou tous les ports Intel.

• BLX prend en charge uniquement le pilote DPDK MLX5 pour les ports Mellanox.

• Pour plus d’informations sur le pilote DPDK MLX5 et ses limitations, consultez la documentation officielle de MLX5 DPDK.

  • Pour plus d’informations sur les cartes réseau Mellanox et leurs limitations, consultez la documentation officielle de Mellanox.

Autres limitations et directives

-  Lorsque vous redémarrez BLX configuré avec la fonctionnalité d'hôte géré BLX, toutes les sessions SSH actives vers l'hôte Linux sont fermées. Pour restaurer la connexion, vous devez tenter de vous reconnecter à l'hôte.

• En mode dédié, le port HTTP ou HTTPS de gestion (mgmt-http-port ou mgmt-https-port) spécifié dans le fichier blx.conf est ignoré. Par défaut, les numéros de port 80 et 443 sont dédiés à l’accès de gestion HTTP et HTTPS. Pour modifier ces ports pour BLX en mode dédié, vous devez utiliser la commande CLI NetScaler suivante :

  set ns param (-mgmthttpport <value> | -mgmthttpsport <value>)

  Exemple : La commande suivante modifie le port HTTP de gestion en 2080.

  set ns param -mgmthttpport 2080

• Si le pare-feu est activé sur l’hôte Linux, vous devrez peut-être ajouter des exceptions pour les ports de gestion BLX et SYSLOG.

• BLX peut prendre jusqu’à 45 secondes pour démarrer.

• La configuration BLX est stockée dans le fichier /nsconfig/ns.conf. Pour que la configuration soit disponible entre les sessions, vous devez l’enregistrer après chaque modification de configuration.

  • Pour afficher la configuration en cours d’exécution à l’aide de l’interface CLI NetScaler®

• À l’invite de commande, tapez ce qui suit :

• show ns runningConfig

  • Pour enregistrer les configurations à l’aide de l’interface CLI NetScaler

    À l’invite de commande, tapez ce qui suit :

    save ns config

• La configuration BLX dans le fichier /nsconfig/ns.conf a priorité sur la configuration dans le fichier /etc/blx/blx.conf.

• BLX ne démarre pas si la mémoire allouée est inférieure à 1 Go par processus de travail.

• Lorsque vous installez BLX, le paramètre ip_forward est défini sur 1 sur l’hôte Linux.

• Après la désinstallation de BLX, le fichier de configuration (blx.conf) est conservé et sauvegardé sous le nom blx.conf.rpmsave. Pour appliquer ce fichier de configuration de sauvegarde à une nouvelle installation de BLX sur le même hôte Linux, vous devez renommer manuellement le fichier en blx.conf.

• Nous ne recommandons pas d’exécuter BLX sur la version Ubuntu suivante, car BLX pourrait rencontrer des problèmes liés à la perte de paquets.

  Ubuntu version 16.04.5 with kernel version 4.4.0-131-generic

• BLX prend en charge un maximum de neuf ports NIC (ports NIC DPDK, ports NIC non-DPDK ou une combinaison des deux).

• BLX peut ne pas démarrer ou fonctionner correctement si la condition suivante est remplie :

  • La politique SELinux est activée sur l’hôte Linux. SELinux empêche le processus systemd d’exécuter certains fichiers système BLX.

    Solution de contournement : Désactivez SELinux sur l’hôte Linux.

  Remarque :

  À partir de NetScaler BLX 14.1-17.x, lorsque vous installez BLX sur un hôte Linux basé sur Red Hat, une politique SELinux est appliquée si le module SELinux est disponible sur l’hôte Linux. Cette politique permet à BLX de s’exécuter sur l’hôte Linux. Pour plus d’informations sur la politique SELinux.

• NetScaler BLX 14.1-25.x ne peut pas démarrer en mode tunnel complet car le fichier pluginlist.xml n’est pas présent dans le répertoire /var/netscaler/gui/vpn. Solution de contournement : Exécutez les commandes suivantes :

  1. 
         enable ns feature RESPONDER
     
     <!--NeedCopy-->
     

  2. 
         add responder action pluginlist_respond respondwith q{"HTTP/1.1 200 OK\r\nDate: Thu, 30 May 2024 12:00:51 GMT\r\nServer: Apache\r\nX-Frame-Options: SAMEORIGIN\r\nLast-Modified: Thu, 30 May 2024 11:45:52 GMT\r\nETag: \"60b-619aa68c07aea\"\r\nAccept-Ranges: bytes\r\nContent-Length: 1547\r\nFeature-Policy: camera 'none'; microphone 'none'; geolocation 'none'\r\nReferrer-Policy: no-referrer\r\nX-XSS-Protection: 1; mode=block\r\nX-Content-Type-Options: nosniff\r\nContent-Type: application/xml; charset=utf-8\r\nKeep-Alive: timeout=15, max=100\r\nConnection: Keep-Alive\r\nCache-Control: no-cache, no-store\r\nPlugin-Upgrade: epa_win:Never;epa_mac:Never;epa_linux:Never;vpn_win:Never;vpn_mac:Never;vpn_linux:Never;\r\n\r\n<repositories>\n\t<repository name=\"default\" >\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Windows (32 bit)\" type=\"WIN-EPA\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/nsepa_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Windows (64 bit)\" type=\"WIN-EPA64\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/nsepa_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway VPN plug-in for Windows\" type=\"WIN-VPN\"\n\t\t\tversion=\"23.8.1.11\" path=\"/vpns/scripts/vista/AGEE_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"EPA scanning Engine (Opswat) for Windows\" type=\"WIN-EPA-ENGINE\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/epaPackage.exe\" opswatVersion=\"4.3.3635.0\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Mac\" type=\"MAC-EPA\"\n\t\t\tversion=\"22.11.3\" path=\"/epa/scripts/mac/Citrix_Endpoint_Analysis.dmg\"\n\t\t\tcompatibleFrom=\"22.11.3\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway VPN plug-in for Mac\" type=\"MAC-VPN\"\n\t\t\tversion=\"4.4.8 (518)\" path=\"/vpns/scripts/mac/Citrix_Access_Gateway.dmg\"\n\t\t\tcompatibleFrom=\"4.4.8 (518)\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"EPA scanning Engine (Opswat) for Mac\" type=\"MAC-EPA-ENGINE\"\n\t\t\tversion=\"1.3.5.7\" path=\"/epa/scripts/mac/MacLibs.zip\" opswatVersion=\"4.3.2138.0\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway RfWeb GUI\" type=\"RFWEB-GUI\"\n\t\t\tversion=\"23.8.1.11\" path=\"/logon/logonPoint/\"\n\t\t/>\n\t</repository>\n</repositories>\n"}
     
     <!--NeedCopy-->
     

  3.     
     add responder policy pluginlist_respond_pol "HTTP.REQ.URL.CONTAINS(\"pluginlist.xml\")" pluginlist_respond
     <!--NeedCopy-->
     

  4.     
     bind vpn vserver <VSERVER_NAME> -policy pluginlist_respond_pol -priority 1 -gotoPriorityExpression END -type AAA_REQUEST
     <!--NeedCopy-->
     

  5. Une fois que vous avez démarré BLX en mode utilisateur non-root nsroot, vous ne pouvez plus revenir au mode utilisateur root nsroot. Pour ce faire, vous devez réinstaller BLX. Pour exécuter la commande showtechsupport, vous devez vous connecter à un hôte en tant que root, puis exécuter le script showtechsupport.pl.

Fonctionnalités NetScaler non prises en charge dans NetScaler BLX

• Partition d’administration
• Optimisation du contenu
• Déchargement SSL matériel
• Protocole de routage intermédiaire système à intermédiaire système (IS-IS)
• IPsec

• Trames Jumbo

  Remarque :

  À partir de la version 14.1-66.x de NetScaler, BLX prend en charge les trames Jumbo sur les cartes réseau Intel XL710 (pilote DPDK i40e).

• Protocole de temps de précision (PTP)
• Qualité de service (QoS)
• Protocole d’informations de routage (RIP)
• Protocole d’informations de routage nouvelle génération (RIPng)
• Filtrage d’URL