Fonctionnalités non prises en charge de l’outil NSPEPI
Cette rubrique fournit des informations sur les fonctionnalités qui ne sont pas prises en charge par l’outil NSPEPI.
Commandes ou fonctionnalités non gérées par l’outil de conversion nspepi
Voici quelques commandes qui ne sont pas gérées dans le cadre du processus de conversion automatique.
- Les expressions de sécurité client ne sont pas gérées.
- Authentification
- Authorization
- VPN
- Syslog
- Nslog
- Les expressions classiques basées sur des fichiers ne sont pas gérées.
Remarque :
Pour certaines fonctionnalités telles que PatClass/Filter, la syntaxe de la commande est modifiée. S’il existe des politiques de commande, il peut être nécessaire de les modifier en fonction des besoins du client.
Pour convertir les politiques classiques en politiques avancées pour les fonctionnalités suivantes, contactez le support client de NetScaler :
- SureConnect (SC)
- Priority Queuing (PQ)
- HTTP Denial of Service (HDOS)
- HTML Injection
Priorités liées
Les stratégies avancées n’autorisent pas l’entrelacement arbitraire par priorité entre global et non global et entre différents types de liaison. Si vous vous fiez à un tel entrelacement des priorités stratégiques classiques, vous devez ajuster les priorités pour les rendre conformes aux règles de stratégie avancées et obtenir le comportement souhaité. Les priorités des stratégies avancées sont locales à un point de liaison. Un point de liaison est une combinaison unique de protocole, de fonctionnalité, de direction et d’entité (les entités sont des serveurs virtuels spécifiques, des utilisateurs, des groupes, des services et soit un remplacement global, soit un défaut global). Les priorités stratégies ne sont pas suivies à travers les points de liaison.
Pour un protocole, une fonctionnalité et une direction donnés, l’ordre d’évaluation des stratégies avancées est le suivant :
- REMPLACEMENT GLOBAL.
- Authentification, autorisation et audit de l’utilisateur (Actuel).
- Groupes d’authentification, d’autorisation et d’audit (dont l’utilisateur est membre) par ordre de poids. L’ordre n’est pas défini si deux groupes ou plus ont le même poids.
- Serveur virtuel LB sur lequel la demande a été reçue ou que Content Switching a sélectionné.
- Serveur virtuel de commutation de contenu, serveur virtuel de redirection de cache sur lequel la demande a été reçue.
- Service sélectionné par l’équilibrage de charge.
- Valeur par défaut globale.
Pour l’évaluation de la stratégie d’autorisation, l’ordre est le suivant :
- Les systèmes sont priorisés.
- Serveur virtuel d’équilibrage de charge sur lequel la demande a été reçue ou sur lequel CS a été sélectionné.
- Serveur virtuel de commutation de contenu sur lequel la demande a été reçue.
- Valeur par défaut du système.
Dans chaque point de liaison, les stratégies sont évaluées par ordre de priorité, du numéro le plus bas au numéro le plus élevé. Les stratégies ne sont évaluées que pour le protocole utilisé et la direction d’où le message a été reçu.
Avertissement
Les scénarios suivants présentent les avertissements de lnspepi
’ outil :
- Si l’expression de la règle du serveur virtuel d’équilibrage de charge est une expression booléenne, l’expression avancée équivalente génère une valeur booléenne au format chaîne. Cela entraîne une modification des fonctionnalités lorsque la règle est utilisée pour
persistenceType
oulbMethod
. Pour éviter le changement de fonctionnalité, la commande est modifiée en supprimant lekeywords rule
etpersistenceType
. - Si le champ d’état de la commande de liaison est DÉSACTIVÉ. Si l’état est désactivé, la commande n’est pas utilisée. Le paramètre d’état n’est pas pris en charge par la configuration avancée. Donc, si nous convertissons cette configuration, la fonctionnalité change. Si la commande est requise, effectuez une sauvegarde car les commentaires ne seront pas enregistrés après le
ns.conf
déclenchementsave ns config
.
Avertissement lors de la conversion des fonctionnalités CMP :
- Si le type de stratégie d’un paramètre cmp global est défini sur CLASSIC et que les stratégies avancées sont liées au paramètre global. Sans conversion, les politiques avancées limitées ne seront pas évaluées car le type de politique globale est défini sur CLASSIC. Après la conversion, le type de politique serait converti en ADVANCED. Ainsi, si nous ne commentons pas les liaisons avancées globales existantes, ces liaisons sont évaluées et peuvent modifier les fonctionnalités.
- Si le type de politique du paramètre global cmp est défini sur ADVANCED et que les politiques classiques sont liées à global. Sans conversion, ces liaisons classiques globales ne seraient pas évaluées car le type de stratégie globale est AVANCÉ. Pour préserver la fonctionnalité, nous commentons la configuration convertie. Dans le cas contraire, les stratégies avancées converties sont évaluées et peuvent modifier la fonctionnalité.
Remarque :
Toutes les liaisons de stratégie classiques avec l’option -state désactivée sont commentées. L’option -state n’est pas disponible pour les liaisons de stratégie avancées.
Limites de l’outil NSPEPI
Les scénarios suivants provoquent des erreurs dans lnspepi
’ outil :
- En cas de problème lors de la conversion d’une expression
- Si une expression de stratégie nommée utilise le paramètre -ClientSecurityMessage parce que ce paramètre n’est pas pris en charge dans l’expression de stratégie avancée
- Si l’expression de règle du serveur virtuel d’équilibrage de charge est une expression complexe et comporte plusieurs expressions basées sur le CONTENU
- Des erreurs de conversion des fonctionnalités CMP se produisent dans les scénarios suivants :
- Les stratégies classiques et avancées sont liées aux stratégies globales
- Les stratégies classiques sont liées au niveau global et le paramètre CMP est avancé
- Les stratégies avancées sont liées au niveau global et le paramètre CMP est classique
- Les stratégies classiques sont liées à un serveur virtuel et les stratégies avancées sont liées à un serveur global
- Les stratégies avancées sont liées à un serveur virtuel et les stratégies classiques sont liées à un serveur global
- Les stratégies classiques sont liées à un serveur virtuel et les stratégies classiques et avancées sont liées à un serveur global
- Les stratégies avancées sont liées à un serveur virtuel et les stratégies classiques et avancées sont liées à un serveur global
- Des erreurs de conversion de la stratégie de filtrage se produisent dans les scénarios suivants :
- Si l’action est de type FORWARD
- Si l’action fait partie de la fonctionnalité HTMLInjection, principalement les commandes suivantes :
-
add filter action <action name> ADD prebody
-add filter action <action name> ADD postbody
- S’il existe des liaisons de stratégie de réécriture ou de réponse avec
gotoPriorityExpression END
ouUSE_INNVOCATION
, les liaisons de stratégie de filtre ne peuvent pas être converties.
- Lorsque les stratégies SSL classiques et avancées sont liées, les liaisons SSL classiques ne peuvent pas être converties.
- Si l’expression nommée classique porte le même nom que le nom de l’entité de légende
- Si le nom de l’expression classique n’est pas valide pour l’expression avancée
- Si la longueur de l’expression convertie est supérieure à 1499 caractères
- Si l’expression classique comporte des expressions basées sur la sécurité du client ou des expressions basées sur des fichiers
Liaisons de stratégie classiques nécessitant une redéfinition manuelle des priorités
Voici quelques types de liaisons de stratégie classiques qui nécessitent une redéfinition manuelle des priorités pour répondre à vos besoins. Tous ces éléments sont destinés à un trait donné et à la direction.
- Priorités classiques dont le numéro de priorité augmente en sens inverse de la direction des listes de types d’entités ci-dessus. Par exemple, une liaison de serveur virtuel de commutation de contenu inférieure à une liaison de serveur virtuel d’équilibrage de charge.
- Priorités classiques qui entrelacent les groupes d’authentification, d’autorisation et d’audit. Une partie d’un groupe se trouve avant un autre groupe et une autre partie se trouve après une partie de cet autre groupe.
- Priorités classiques qui augmentent en nombre autre que l’ordre de pondération des groupes d’authentification, d’autorisation et d’audit.
- Les priorités mondiales classiques qui sont inférieures à certaines priorités non mondiales et les mêmes priorités mondiales sont supérieures à d’autres priorités non mondiales (en d’autres termes, tout segment de priorités non mondiales, suivi d’une ou de plusieurs priorités mondiales, suivi d’une ou de plusieurs priorités non mondiales).