NetScaler BLX 限制和使用指南

以下是与 NetScaler BLX 相关的限制和使用指南。

• 高可用性

• 在任何公共云平台（例如 Amazon Web Services (AWS) 和 Oracle Cloud Infrastructure (OCI)）中均不支持高可用性。

• 如果禁用 nsinternal 用户登录，则不支持高可用性。

NetScaler BLX 群集

• 不支持基于 CLAG 的流量分发。

• NetScaler Gateway

• 不支持 MAC 和 Linux SSO VPN 客户端。

• 不支持 RDP 代理功能。

• LA 和 LACP 通道

• LA/LACP 通道仅在专用 NIC 接口或 DPDK NIC 接口之间受支持。

• blx1 和 ns1 虚拟接口不支持 LA/LACP 通道。

• Web Application Firewall (WAF)

• 启用 Web Application Firewall (WAF) 后，BLX Gateway 将无法访问。

• 带有 DPDK 端口的 NetScaler BLX

• 如果 Linux 主机在某些较旧的 CPU 型号（例如 Intel(R) Xeon(R) CPU E5-2690 v4 @ 2.60 GHz 和 CPU E5504 @ 2.00 GHz）上运行，则带有 DPDK 端口的 BLX 可能会启动失败。

• 如果在 BLX 运行时取消绑定绑定到 DPDK 模块的 NIC 端口，Linux 主机可能会崩溃。

• 带有 DPDK 端口的 BLX 重新启动所需的时间比不带 DPDK 端口的 BLX 稍长。

• 所有绑定到 DPDK 的 Linux 端口都会自动专用于 BLX，不能用于其他 DPDK Linux 应用程序。

• 对于 BLX 支持的 VMXNET3 DPDK 端口，您必须以 2 的幂 (2ⁿ) 指定工作进程的数量。例如，1、2、4、8 等。

• BLX 仅支持 DPDK 端口的 trunk 模式或 VLAN 标记。

• Mellanox 端口

• BLX 一次仅支持一种类型的 DPDK 端口。例如，所有 Mellanox 端口或所有 Intel 端口。

• BLX 仅支持 Mellanox 端口的 MLX5 DPDK 驱动程序。

• 有关 MLX5 DPDK 驱动程序及其限制的更多信息，请参阅官方 MLX5 DPDK 文档。

  • 有关 Mellanox NIC 及其限制的更多信息，请参阅官方 Mellanox 文档。

其他限制和指南

-  当您重新启动配置了 BLX 托管主机功能的 BLX 时，所有到 Linux 主机的活动 SSH 会话都将关闭。要恢复连接，您必须重试连接到主机。

• 在专用模式下，blx.conf 文件中指定的管理 HTTP 或 HTTPS 端口（mgmt-http-port 或 mgmt-https-port）将被忽略。默认情况下，80 和 443 端口号专用于 HTTP 和 HTTPS 管理访问。要在专用模式下更改 BLX 的这些端口，您必须使用以下 NetScaler CLI 命令：

  set ns param (-mgmthttpport <value> | -mgmthttpsport <value>)

  示例：以下命令将管理 HTTP 端口更改为 2080。

  set ns param -mgmthttpport 2080

• 如果 Linux 主机上启用了防火墙，您可能需要为 BLX 管理和 SYSLOG 端口添加例外。

• BLX 可能需要长达 45 秒才能启动。

• BLX 配置存储在 /nsconfig/ns.conf 文件中。要使配置在会话之间可用，您必须在每次配置更改后保存配置。

  • 使用 NetScaler® CLI 查看正在运行的配置

• 在命令提示符下，键入以下内容：

• show ns runningConfig

  • 使用 NetScaler CLI 保存配置

    在命令提示符下，键入以下内容：

    save ns config

• /nsconfig/ns.conf 文件中的 BLX 配置优先于 /etc/blx/blx.conf 文件中的配置。

• 如果每个工作进程分配的内存少于 1 GB，BLX 将无法启动。

• 安装 BLX 时，Linux 主机上的 ip_forward 参数设置为 1。

• 卸载 BLX 后，配置文件 (blx.conf) 将保留并备份为 blx.conf.rpmsave。要将此备份配置文件应用于同一 Linux 主机上新安装的 BLX，您必须手动将文件重命名回 blx.conf。

• 我们不建议在以下 Ubuntu 版本上运行 BLX，因为 BLX 可能会遇到一些与数据包丢失相关的问题。

  Ubuntu version 16.04.5 with kernel version 4.4.0-131-generic

• BLX 最多支持九个 NIC 端口（DPDK NIC 端口、非 DPDK NIC 端口或两者的组合）。

• 如果满足以下条件，BLX 可能无法启动或正常运行：

  • Linux 主机上启用了 SELinux 策略。SELinux 阻止 systemd 进程运行某些 BLX 系统文件。

    解决方法：在 Linux 主机上禁用 SELinux。

  注意：

  从 NetScaler BLX 14.1-17.x 开始，当您在基于 Red Hat 的 Linux 主机上安装 BLX 时，如果 Linux 主机上提供了 SELinux 模块，它将应用 SELinux 策略。此策略允许 BLX 在 Linux 主机上运行。有关 SELinux 策略的更多信息，请参阅 SELinux 策略。

• NetScaler BLX 14.1-25.x 无法在完整隧道模式下启动，因为 /var/netscaler/gui/vpn 目录中不存在 pluginlist.xml 文件。 解决方法：运行以下命令：

  1. 
         enable ns feature RESPONDER
     
     <!--NeedCopy-->
     

  2. 
         add responder action pluginlist_respond respondwith q{"HTTP/1.1 200 OK\r\nDate: Thu, 30 May 2024 12:00:51 GMT\r\nServer: Apache\r\nX-Frame-Options: SAMEORIGIN\r\nLast-Modified: Thu, 30 May 2024 11:45:52 GMT\r\nETag: \"60b-619aa68c07aea\"\r\nAccept-Ranges: bytes\r\nContent-Length: 1547\r\nFeature-Policy: camera 'none'; microphone 'none'; geolocation 'none'\r\nReferrer-Policy: no-referrer\r\nX-XSS-Protection: 1; mode=block\r\nX-Content-Type-Options: nosniff\r\nContent-Type: application/xml; charset=utf-8\r\nKeep-Alive: timeout=15, max=100\r\nConnection: Keep-Alive\r\nCache-Control: no-cache, no-store\r\nPlugin-Upgrade: epa_win:Never;epa_mac:Never;epa_linux:Never;vpn_win:Never;vpn_mac:Never;vpn_linux:Never;\r\n\r\n<repositories>\n\t<repository name=\"default\" >\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Windows (32 bit)\" type=\"WIN-EPA\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/nsepa_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Windows (64 bit)\" type=\"WIN-EPA64\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/nsepa_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway VPN plug-in for Windows\" type=\"WIN-VPN\"\n\t\t\tversion=\"23.8.1.11\" path=\"/vpns/scripts/vista/AGEE_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"EPA scanning Engine (Opswat) for Windows\" type=\"WIN-EPA-ENGINE\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/epaPackage.exe\" opswatVersion=\"4.3.3635.0\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Mac\" type=\"MAC-EPA\"\n\t\t\tversion=\"22.11.3\" path=\"/epa/scripts/mac/Citrix_Endpoint_Analysis.dmg\"\n\t\t\tcompatibleFrom=\"22.11.3\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway VPN plug-in for Mac\" type=\"MAC-VPN\"\n\t\t\tversion=\"4.4.8 (518)\" path=\"/vpns/scripts/mac/Citrix_Access_Gateway.dmg\"\n\t\t\tcompatibleFrom=\"4.4.8 (518)\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"EPA scanning Engine (Opswat) for Mac\" type=\"MAC-EPA-ENGINE\"\n\t\t\tversion=\"1.3.5.7\" path=\"/epa/scripts/mac/MacLibs.zip\" opswatVersion=\"4.3.2138.0\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway RfWeb GUI\" type=\"RFWEB-GUI\"\n\t\t\tversion=\"23.8.1.11\" path=\"/logon/logonPoint/\"\n\t\t/>\n\t</repository>\n</repositories>\n"}
     
     <!--NeedCopy-->
     

  3.     
     add responder policy pluginlist_respond_pol "HTTP.REQ.URL.CONTAINS(\"pluginlist.xml\")" pluginlist_respond
     <!--NeedCopy-->
     

  4.     
     bind vpn vserver <VSERVER_NAME> -policy pluginlist_respond_pol -priority 1 -gotoPriorityExpression END -type AAA_REQUEST
     <!--NeedCopy-->
     

  5. 一旦您以非 root nsroot 模式启动 BLX，就无法返回到 root nsroot 用户模式。 为此，您必须重新安装 BLX。 要运行 showtechsupport 命令，您必须以 root 身份登录到主机，然后运行 showtechsupport.pl 脚本。

NetScaler BLX 中不支持的 NetScaler 功能

• 管理分区
• 内容优化
• 硬件 SSL 卸载
• 中间系统到中间系统 (IS-IS) 路由协议
• IPsec

• 巨型帧

  注意：

  从 NetScaler 14.1-66.x 版本开始，BLX 支持 Intel XL710 NIC（i40e DPDK 驱动程序）上的巨型帧。

• 精确时间协议 (PTP)
• 服务质量 (QoS)
• 路由信息协议 (RIP)
• 下一代路由信息协议 (RIPng)
• URL 过滤