NetScaler BLX 限制和使用指南

以下限制和使用指南与 NetScaler BLX 相关。

高可用性

• 任何公共云平台（例如 Amazon Web Services (AWS) 和 Oracle Cloud Infrastructure (OCI)）都不支持高可用性。

• 如果禁用 nsinternal 用户登录，则不支持高可用性。

• 仅在专用模式下支持高可用性。

NetScaler BLX 群集

• 不支持基于 CLAG 的流量分配。

NetScaler 网关

• 不支持 MAC 和 Linux SSO VPN 客户端。
• 不支持 RDP 代理功能。

LA 和 LACP 通道

• 共享模式下不支持 LA/LACP 通道。

• LA/LACP 通道仅在专用 NIC 接口或 DPDK NIC 接口之间受支持。

• blx1 和 ns1 虚拟接口不支持 LA/LACP 通道。

简单网络管理协议

• SNMP 仅支持专用模式下的 BLX。

Web 应用程序防火墙 (WAF)

• Web 应用程序防火墙 (WAF) 仅在专用模式下受 NetScaler BLX 支持。
• 当启用 Web 应用程序防火墙 (WAF) 时，BLX 网关无法访问。

带有 DPDK 端口的 NetScaler BLX

• 如果 Linux 主机运行的是某些较旧的 CPU 型号，例如 Intel(R) Xeon(R) CPU E5-2690 v4 @ 2.60 GHz 和 CPU E5504 @ 2.00 GHz，则带有 DPDK 端口的 BLX 可能无法启动。

• 如果在 BLX 运行时取消绑定到 DPDK 模块的 NIC 端口，Linux 主机可能会崩溃。

• 带有 DPDK 端口的 BLX 重新启动所需的时间比没有 DPDK 端口的 BLX 要长一点。

• 所有与 DPDK 绑定的 Linux 端口都会自动专用于 BLX，不能用于其他 DPDK Linux 应用程序。

• 对于 BLX 支持的 VMXNET3 DPDK 端口，您必须指定 2 的幂 (2ⁿ) 的工作进程数。 例如，1、2、4、8等等。

• BLX 仅支持 DPDK 端口的中继模式或 VLAN 标记。

Mellanox 端口

• BLX 一次仅支持一种类型的 DPDK 端口。 例如，所有 Mellanox 端口或所有 Intel 端口。

• BLX 仅支持 Mellanox 端口的 MLX5 DPDK 驱动程序。

• 有关 MLX5 DPDK 驱动程序及其限制的更多信息，请参阅官方 MLX5 DPDK 文档。

• 有关 Mellanox NIC 及其限制的更多信息，请参阅官方 Mellanox 文档。

其他限制和指导原则

• 当您使用 set ns hostname 命令设置 BLX 的主机名时，Linux 主机的主机名也会发生变化。

• 当您重新启动配置了 BLX 托管主机功能的 BLX 时，到 Linux 主机的所有活动 SSH 会话都将关闭。 要恢复连接，您必须重试连接到主机。

• 在专用模式下， blx.conf 文件中指定的管理 HTTP 或 HTTPS 端口（mgmt-http-port 或 mgmt-https-port）将被忽略。 默认情况下，80 和 443 端口号专用于 HTTP 和 HTTPS 管理访问。 要在专用模式下更改 BLX 的这些端口，必须使用以下 NetScaler CLI 命令：

  set ns param (-mgmthttpport <value> | -mgmthttpsport <value>)

  示例：以下命令将管理 HTTP 端口更改为 2080。

  set ns param -mgmthttpport 2080

• 如果 Linux 主机上启用了防火墙，则可能必须为 BLX 管理和 SYSLOG 端口添加例外。

• BLX 可能需要最多 45 秒才能启动。

• BLX 配置存储在 /nsconfig/ns.conf 文件中。 为了使配置在会话之间可用，您必须在每次配置更改后保存配置。

  • 使用 NetScaler CLI 查看正在运行的配置

    在命令提示符下，键入以下命令：

    show ns runningConfig

  • 使用 NetScaler CLI 保存配置

    在命令提示符下，键入以下命令：

    save ns config

• /nsconfig/ns.conf 文件中的 BLX 配置优先于 /etc/blx/blx.conf 文件中的配置。

• 如果每个工作进程分配的内存少于 1 GB，则 BLX 将无法启动。

• 当您安装 BLX 时，Linux 主机上的 ip_forward 参数设置为 1。

• 卸载 BLX 后，配置文件（blx.conf）将被保留并备份为 blx.conf.rpmsave。 要将此备份配置文件应用于同一 Linux 主机上新安装的 BLX，您必须手动将文件重命名回 blx.conf。

• 我们不建议在以下 Ubuntu 版本上运行 BLX，因为 BLX 可能会遇到一些与数据包丢失相关的问题。

  Ubuntu version 16.04.5 with kernel version 4.4.0-131-generic

• BLX 最多支持九个 NIC 端口（DPDK NIC 端口、非 DPDK NIC 端口或两者的组合）。

• 如果满足以下条件，BLX 可能无法启动或正常运行：

  • SELinux 策略在 Linux 主机上启用。 SELinux 阻止 systemd 进程运行某些 BLX 系统文件。

    解决方法：在 Linux 主机上禁用 SELinux 。

  笔记：

  从 NetScaler BLX 14.1-17.x 开始，当您在基于 Red Hat 的 Linux 主机上安装 BLX 时，如果 Linux 主机上具有 SELinux 模块，它会应用 SELinux 策略。 此策略允许 BLX 在 Linux 主机上运行。 有关 SELinux 策略的更多信息，请参阅 SELinux 策略。

• NetScaler BLX 14.1-25.x 无法在完整隧道模式下启动，因为 pluginlist.xml 文件不在 /var/netscaler/gui/vpn 目录中。
  解决方法：运行以下命令：

  1.        
         enable ns feature RESPONDER
     
     <!--NeedCopy-->
     

  2. 
         add responder action pluginlist_respond respondwith q{"HTTP/1.1 200 OK\r\nDate: Thu, 30 May 2024 12:00:51 GMT\r\nServer: Apache\r\nX-Frame-Options: SAMEORIGIN\r\nLast-Modified: Thu, 30 May 2024 11:45:52 GMT\r\nETag: \"60b-619aa68c07aea\"\r\nAccept-Ranges: bytes\r\nContent-Length: 1547\r\nFeature-Policy: camera 'none'; microphone 'none'; geolocation 'none'\r\nReferrer-Policy: no-referrer\r\nX-XSS-Protection: 1; mode=block\r\nX-Content-Type-Options: nosniff\r\nContent-Type: application/xml; charset=utf-8\r\nKeep-Alive: timeout=15, max=100\r\nConnection: Keep-Alive\r\nCache-Control: no-cache, no-store\r\nPlugin-Upgrade: epa_win:Never;epa_mac:Never;epa_linux:Never;vpn_win:Never;vpn_mac:Never;vpn_linux:Never;\r\n\r\n<repositories>\n\t<repository name=\"default\" >\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Windows (32 bit)\" type=\"WIN-EPA\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/nsepa_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Windows (64 bit)\" type=\"WIN-EPA64\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/nsepa_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway VPN plug-in for Windows\" type=\"WIN-VPN\"\n\t\t\tversion=\"23.8.1.11\" path=\"/vpns/scripts/vista/AGEE_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"EPA scanning Engine (Opswat) for Windows\" type=\"WIN-EPA-ENGINE\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/epaPackage.exe\" opswatVersion=\"4.3.3635.0\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Mac\" type=\"MAC-EPA\"\n\t\t\tversion=\"22.11.3\" path=\"/epa/scripts/mac/Citrix_Endpoint_Analysis.dmg\"\n\t\t\tcompatibleFrom=\"22.11.3\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway VPN plug-in for Mac\" type=\"MAC-VPN\"\n\t\t\tversion=\"4.4.8 (518)\" path=\"/vpns/scripts/mac/Citrix_Access_Gateway.dmg\"\n\t\t\tcompatibleFrom=\"4.4.8 (518)\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"EPA scanning Engine (Opswat) for Mac\" type=\"MAC-EPA-ENGINE\"\n\t\t\tversion=\"1.3.5.7\" path=\"/epa/scripts/mac/MacLibs.zip\" opswatVersion=\"4.3.2138.0\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway RfWeb GUI\" type=\"RFWEB-GUI\"\n\t\t\tversion=\"23.8.1.11\" path=\"/logon/logonPoint/\"\n\t\t/>\n\t</repository>\n</repositories>\n"}
     
     <!--NeedCopy-->
     

  3. 
     添加响应策略 pluginlist_respond_pol "HTTP.REQ.URL.CONTAINS(\"pluginlist.xml\")" pluginlist_respond
     <!--NeedCopy-->
     

  4. 
     bind vpn vserver <VSERVER_NAME> -policy pluginlist_respond_pol -priority 1 -gotoPriorityExpression END -type AAA_REQUEST
     <!--NeedCopy-->
     

  5. 一旦以非 root nsroot 模式启动 BLX，就无法返回到 root nsroot 用户模式。 为此，您必须重新安装 BLX。 要运行 showtechsupport 命令，您必须以 root 身份登录主机，然后运行 showtechsupport.pl 脚本。

NetScaler BLX 中不支持的 NetScaler 功能

• 管理分区
• 内容优化
• 硬件 SSL 卸载
• 中间系统到中间系统 (IS-IS) 路由协议
• IPSec
• 巨型帧
• 精确时间协议 (PTP)
• 服务质量 (QoS)
• 路由信息协议 (RIP)
• 下一代路由信息协议 (RIPng)
• URL 过滤