Limitations et directives d’utilisation de NetScaler BLX

Les limitations et directives d’utilisation suivantes sont liées à NetScaler BLX.

Haute disponibilité

  • La haute disponibilité n’est prise en charge sur aucune plateforme de cloud public, telle qu’Amazon Web Services (AWS) et Oracle Cloud Infrastructure (OCI).

  • La haute disponibilité n’est pas prise en charge si la connexion utilisateur nsinternal est désactivée.

  • La haute disponibilité est prise en charge uniquement en mode dédié.

Cluster NetScaler BLX

  • La distribution du trafic basée sur CLAG n’est pas prise en charge.

Passerelle NetScaler

  • Les clients VPN SSO MAC et Linux ne sont pas pris en charge.
  • La fonctionnalité Proxy RDP n’est pas prise en charge.

Chaînes LA et LACP

  • Les canaux LA/LACP ne sont pas pris en charge en mode partagé.

  • Les canaux LA/LACP sont pris en charge uniquement entre les interfaces NIC dédiées ou les interfaces NIC DPDK.

  • Les canaux LA/LACP ne sont pas pris en charge pour les interfaces virtuelles blx1 et ns1 .

SNMP

  • SNMP est pris en charge uniquement pour BLX en mode dédié.

Pare-feu d’application Web (WAF)

  • Le pare-feu d’application Web (WAF) est pris en charge uniquement pour NetScaler BLX en mode dédié.
  • Lorsque le pare-feu d’application Web (WAF) est activé, la passerelle BLX n’est pas accessible.

NetScaler BLX avec ports DPDK

  • BLX avec ports DPDK peut ne pas démarrer si l’hôte Linux s’exécute sur certains modèles de processeur plus anciens, tels que le processeur Intel(R) Xeon(R) E5-2690 v4 à 2,60 GHz et le processeur E5504 à 2,00 GHz.

  • L’hôte Linux peut planter si vous dissociez les ports NIC liés au module DPDK lorsque BLX est en cours d’exécution.

  • BLX avec ports DPDK prend un peu plus de temps à redémarrer que BLX sans ports DPDK.

  • Tous les ports Linux liés à DPDK sont automatiquement dédiés à BLX et ne peuvent pas être utilisés pour d’autres applications DPDK Linux.

  • Pour les ports DPDK VMXNET3 pris en charge par BLX, vous devez spécifier le nombre de processus de travail à la puissance 2 (2ⁿ). Par exemple, 1, 2, 4, 8, etc.

  • BLX prend en charge le mode trunk ou le balisage VLAN uniquement pour les ports DPDK.

Ports Mellanox

  • BLX ne prend en charge qu’un seul type de port DPDK à la fois. Par exemple, soit tous les ports Mellanox, soit tous les ports Intel.

  • BLX prend en charge uniquement le pilote MLX5 DPDK pour les ports Mellanox.

  • Pour plus d’informations sur le pilote MLX5 DPDK et ses limitations, consultez la documentation officielle MLX5 DPDK.

  • Pour plus d’informations sur les cartes réseau Mellanox et leurs limitations, consultez la documentation officielle Mellanox.

Autres limitations et directives

  • Lorsque vous définissez le nom d’hôte de BLX à l’aide de la commande set ns hostname , le nom d’hôte de l’hôte Linux est également modifié.

  • Lorsque vous redémarrez BLX configuré avec la fonctionnalité d’hôte géré BLX, toutes les sessions SSH actives sur l’hôte Linux sont fermées. Pour restaurer la connexion, vous devez réessayer de vous connecter à l’hôte.

  • En mode dédié, le port de gestion HTTP ou HTTPS (mgmt-http-port ou mgmt-https-port) spécifié dans le fichier blx.conf est ignoré. Par défaut, les numéros de port 80 et 443 sont dédiés à l’accès à la gestion HTTP et HTTPS. Pour modifier ces ports pour BLX en mode dédié, vous devez utiliser la commande CLI NetScaler suivante :

    set ns param (-mgmthttpport <value> | -mgmthttpsport <value>)

    Exemple: La commande suivante modifie le port HTTP de gestion sur 2080.

    set ns param -mgmthttpport 2080

  • Si le pare-feu est activé sur l’hôte Linux, vous devrez peut-être ajouter des exceptions pour les ports de gestion BLX et SYSLOG.

  • BLX peut prendre jusqu’à 45 secondes pour démarrer.

  • La configuration BLX est stockée dans le fichier /nsconfig/ns.conf . Pour que la configuration soit disponible dans toutes les sessions, vous devez enregistrer la configuration après chaque modification de configuration.

    • Pour afficher la configuration en cours d’exécution à l’aide de la CLI NetScaler

      À l’invite de commande, saisissez ce qui suit :

      show ns runningConfig

    • Pour enregistrer les configurations à l’aide de la CLI NetScaler

      À l’invite de commande, saisissez ce qui suit :

      save ns config

  • La configuration BLX dans le fichier /nsconfig/ns.conf a priorité sur la configuration dans le fichier /etc/blx/blx.conf .

  • BLX ne démarre pas si la mémoire allouée est inférieure à 1 Go par processus de travail.

  • Lorsque vous installez BLX, le paramètre ip_forward est défini sur 1 sur l’hôte Linux.

  • Après avoir désinstallé BLX, le fichier de configuration (blx.conf) est conservé et sauvegardé sous blx.conf.rpmsave. Pour appliquer ce fichier de configuration de sauvegarde à un BLX nouvellement installé sur le même hôte Linux, vous devez renommer manuellement le fichier en blx.conf.

  • Nous ne recommandons pas d’exécuter BLX sur la version Ubuntu suivante, car BLX pourrait rencontrer des problèmes liés à la perte de paquets.

    Ubuntu version 16.04.5 with kernel version 4.4.0-131-generic

  • BLX prend en charge un maximum de neuf ports NIC (ports NIC DPDK, ports NIC non DPDK ou une combinaison des deux).

  • BLX peut ne pas démarrer ou fonctionner correctement si la condition suivante est remplie :

    • La stratégie SELinux est activée sur l’hôte Linux. SELinux empêche le processus systemd d’exécuter certains fichiers système BLX.

      Solution de contournement: Désactivez SELinux sur l’hôte Linux.

    Note:

    À partir de NetScaler BLX 14.1-17.x, lorsque vous installez BLX sur un hôte Linux basé sur Red Hat, il applique une politique SELinux si le module SELinux est disponible sur l’hôte Linux. Cette politique permet à BLX de s’exécuter sur l’hôte Linux. Pour plus d’informations sur la politique SELinux, voir Politique SELinux.

  • NetScaler BLX 14.1-25.x ne peut pas démarrer en mode tunnel complet car le fichier pluginlist.xml n’est pas présent dans le répertoire /var/netscaler/gui/vpn .
    Solution de contournement: Exécutez les commandes suivantes :

    1.        
          enable ns feature RESPONDER
      
      <!--NeedCopy-->
      
    2. 
          add responder action pluginlist_respond respondwith q{"HTTP/1.1 200 OK\r\nDate: Thu, 30 May 2024 12:00:51 GMT\r\nServer: Apache\r\nX-Frame-Options: SAMEORIGIN\r\nLast-Modified: Thu, 30 May 2024 11:45:52 GMT\r\nETag: \"60b-619aa68c07aea\"\r\nAccept-Ranges: bytes\r\nContent-Length: 1547\r\nFeature-Policy: camera 'none'; microphone 'none'; geolocation 'none'\r\nReferrer-Policy: no-referrer\r\nX-XSS-Protection: 1; mode=block\r\nX-Content-Type-Options: nosniff\r\nContent-Type: application/xml; charset=utf-8\r\nKeep-Alive: timeout=15, max=100\r\nConnection: Keep-Alive\r\nCache-Control: no-cache, no-store\r\nPlugin-Upgrade: epa_win:Never;epa_mac:Never;epa_linux:Never;vpn_win:Never;vpn_mac:Never;vpn_linux:Never;\r\n\r\n<repositories>\n\t<repository name=\"default\" >\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Windows (32 bit)\" type=\"WIN-EPA\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/nsepa_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Windows (64 bit)\" type=\"WIN-EPA64\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/nsepa_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway VPN plug-in for Windows\" type=\"WIN-VPN\"\n\t\t\tversion=\"23.8.1.11\" path=\"/vpns/scripts/vista/AGEE_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"EPA scanning Engine (Opswat) for Windows\" type=\"WIN-EPA-ENGINE\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/epaPackage.exe\" opswatVersion=\"4.3.3635.0\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Mac\" type=\"MAC-EPA\"\n\t\t\tversion=\"22.11.3\" path=\"/epa/scripts/mac/Citrix_Endpoint_Analysis.dmg\"\n\t\t\tcompatibleFrom=\"22.11.3\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway VPN plug-in for Mac\" type=\"MAC-VPN\"\n\t\t\tversion=\"4.4.8 (518)\" path=\"/vpns/scripts/mac/Citrix_Access_Gateway.dmg\"\n\t\t\tcompatibleFrom=\"4.4.8 (518)\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"EPA scanning Engine (Opswat) for Mac\" type=\"MAC-EPA-ENGINE\"\n\t\t\tversion=\"1.3.5.7\" path=\"/epa/scripts/mac/MacLibs.zip\" opswatVersion=\"4.3.2138.0\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway RfWeb GUI\" type=\"RFWEB-GUI\"\n\t\t\tversion=\"23.8.1.11\" path=\"/logon/logonPoint/\"\n\t\t/>\n\t</repository>\n</repositories>\n"}
      
      <!--NeedCopy-->
      
    3. 
      ajouter une politique de réponse pluginlist_respond_pol "HTTP.REQ.URL.CONTAINS(\"pluginlist.xml\")" pluginlist_respond
      <!--NeedCopy-->
      
    4. 
      bind vpn vserver <VSERVER_NAME> -policy pluginlist_respond_pol -priority 1 -gotoPriorityExpression END -type AAA_REQUEST
      <!--NeedCopy-->
      
    5. Une fois que vous démarrez BLX en mode nsroot non root, vous ne pouvez pas revenir au mode utilisateur nsroot root. Pour ce faire, vous devez réinstaller BLX. Pour exécuter la commande showtechsupport , vous devez vous connecter à un hôte en tant que root, puis exécuter le script showtechsupport.pl .

Fonctionnalités NetScaler non prises en charge dans NetScaler BLX

  • Partition d’administration
  • Optimisation du contenu
  • Déchargement SSL matériel
  • Protocole de routage de système intermédiaire à système intermédiaire (IS-IS)
  • IPSec
  • Cadres géants
  • Protocole de précision temporelle (PTP)
  • Qualité de service (QoS)
  • Protocole d’information de routage (RIP)
  • Protocole d’information de routage de nouvelle génération (RIPng)
  • Filtrage d’URL
Limitations et directives d’utilisation de NetScaler BLX