ADC

NSPEPI 工具不支持的功能

本主题提供有关 NSPEPI 工具不支持的功能的信息。

nspepi 转换工具未处理的命令或功能

以下是一些未作为自动转换过程的一部分处理的命令。

  • 不处理客户端安全表达式。
  • 身份验证
  • Authorization(授权)
  • VPN
  • Syslog
  • Nslog
  • 不会处理基于文件的 Classic 表达式。

注意:

对于 Patclass/filter 之类的某些功能,命令语法已更改。如果有命令策略,则可能需要根据客户要求更改命令策略。

要将以下功能的经典策略转换为高级策略,请联系 NetScaler 客户支持:

  • 确定连接 (SC)
  • 优先级排队 (PQ)
  • HTTP 拒绝服务 (HDOS)
  • HTML 注入

绑定优先级

高级策略不允许在全局和非全局之间以及在不同绑定类型之间按优先级进行任意交错。如果您依赖传统策略优先级的这种交错方式,则需要调整优先级以符合高级策略规则并获得所需的行为。 高级策略中的优先级是绑定点的本地优先级。绑定点是协议、功能、方向和实体的唯一组合(实体是特定的虚拟服务器、用户、组、服务以及全局覆盖或全局默认值)。不会跨绑定点遵循策略优先级。

对于给定的协议、功能和方向,以下是高级策略的评估顺序:

  • 全局覆盖。
  • 身份验证、授权和审核用户(当前)。
  • 按权重顺序排列的身份验证、授权和审核组(用户是其中的一员)。如果两个或更多组的权重相同,则顺序未定义。
  • LB 虚拟服务器,要么是收到请求的虚拟服务器,要么是 CS 选择的。
  • 内容切换虚拟服务器,接收请求的缓存重定向虚拟服务器。
  • 通过负载平衡选择的服务。
  • 全局默认值。

对于授权策略评估,顺序为:

  • 系统覆盖。
  • 对收到请求的虚拟服务器或 CS 选择的虚拟服务器进行负载平衡。
  • 收到请求的内容切换虚拟服务器。
  • 系统默认值。

在每个绑定点内,将按照优先级从最低编号到最高编号的顺序对策略进行评估。仅针对所使用的协议和接收消息的方向评估策略。

警告

以下场景显示了 nspepi 工具中的警告:

  • 如果负载平衡虚拟服务器的规则表达式是布尔表达式,则等效的高级表达式会生成字符串格式的布尔值。当规则用于 persistenceType 或时,这会导致功能发生变化 lbMethod。为避免功能更改,通过删除 keywords rulepersistenceType 来修改命令。
  • 如果绑定命令的状态字段为“DISABLED”。如果状态为禁用,则命令未在使用中。高级配置不支持状态参数。所以,如果我们转换这个配置,那么功能就会改变。如果需要该命令,请进行备份,因为触发 save ns config 后注释不会保存在 ns.conf 中。

CMP 功能转换中的警告:

  • 如果全局 cmp 参数策略类型设置为 CLASSIC 且高级策略绑定到全局。如果不进行转换,则不会评估限定高级策略,因为全局策略类型设置为 CLASSIC。转换后,策略类型将转换为高级。因此,如果我们不注释掉现有的全局高级绑定,那么这些绑定就会被评估并可以改变功能。
  • 如果将全局 cmp 参数策略类型设置为 ADVANCED 且经典策略绑定到全局。如果不进行转换,将无法评估这些全局经典绑定,因为全局策略类型为 ADVANCED。因此,为了保留功能,我们会注释掉转换后的配置,否则将评估转换后的高级策略并可能更改功能。

注意:

禁用了-state 选项的所有经典策略绑定都会被注释掉。-state 选项不适用于高级策略绑定。

NSPEPI 工具的局限性

以下场景会导致 nspepi 工具出现错误:

  • 如果转换表达式时出现问题
  • 如果命名策略表达式使用 -clientSecurityMessage 参数,因为高级策略表达式不支持此参数
  • 如果负载平衡虚拟服务器规则表达式是一个复杂的表达式并且有多个基于内容的表达式
  • CMP 特征转换错误发生在以下场景中:
    • 传统和高级策略都受全球约束
    • 经典策略是全局绑定的,CMP 参数是高级的
    • 高级策略绑定在全局范围内,CMP 参数是经典的
    • 经典策略绑定到虚拟服务器,高级策略绑定到全局服务器
    • 高级策略绑定到虚拟服务器,经典策略绑定到全局服务器
    • 经典策略绑定到虚拟服务器,经典和高级策略都绑定到全局服务器
    • 高级策略绑定到虚拟服务器,经典和高级策略都绑定到全局服务器
  • 在以下情况下,转换过滤器功能策略时会出现错误:
    • 如果操作类型为 FORWARD
    • 如果操作是 HTMLInjection 功能的一部分,主要是以下命令: - add filter action <action name> ADD prebody - add filter action <action name> ADD postbody
    • 如果存在带有 gotoPriorityExpression ENDUSE_INNVOCATION 的重写或响应器策略绑定,则无法转换过滤器策略绑定。
  • 当经典和高级 SSL 策略都绑定时,无法转换经典 SSL 绑定。
  • 如果经典命名表达式与 callout 实体名称同名
  • 如果高级表达式的经典表达式名称无效
  • 如果转换后的表达式长度超过 1499 个字符
  • 如果经典表达式具有客户端安全性或基于文件的表达式

需要手动调整优先级的经典策略绑定

以下是一些需要手动调整优先级才能满足您的需求的经典策略绑定类型。所有这些都是针对给定要素和方向的。

  • 与上述实体类型列表的方向相反的优先级数增加的典型优先级。例如,内容切换虚拟服务器绑定低于负载平衡虚拟服务器绑定。
  • 交错身份验证、授权和审核组的传统优先级。一个组的一部分在另一个组之前,另一部分在另一个组的一部分之后。
  • 除身份验证、授权和审核组的权重顺序以外的数量增加的传统优先级。
  • 低于某些非全局优先级和相同全局优先级的传统全局优先级比其他一些非全局优先级更大(换言之,任何非全局优先级段,后跟一个或多个全局优先级,后跟一个非全局优先级)。
NSPEPI 工具不支持的功能