Prérequis de connexion au Cato Socket et limitations connues

Remarque

Remarque : Le Cato Cloud ne prend en charge que les adresses IPv4.

Cet article décrit les prérequis pour que les Sockets se connectent au Cato Cloud et les limitations connues pour les Sockets.

Prérequis de connexion du Socket

Pour se connecter en toute sécurité et accéder aux ressources de votre réseau privé derrière le Cato Cloud, assurez-vous que vos appareils réseau et pare-feu répondent à ces exigences :

Ces ports sont ouverts sur les pare-feu :
- UDP Port 53
- UDP Port 443
- TCP Port 443
Les appareils peuvent résoudre ces URL :
- vpn.catonetworks.net
- cc2.us1.catonetworks.com
- cc2.in1.catonetworks.com
- cc2.jp1.catonetworks.com
- cc2.catonetworks.com
  
  Remarque : Si cette URL est inaccessible, utilisez l'adresse IP réelle, voir Liste blanche IP pour CMA (vous devez être connecté à la base de connaissances Cato pour voir cet article).
- steering.catonetworks.com
- Pour les Sockets exécutant le firmware v11.x et antérieur, ils doivent pouvoir résoudre ces domaines :
  - c-me.catonetworks.net
  - d-me.catonetworks.net
Inspection TLS et contrôles de sécurité désactivés pour le Socket IP
Les sockets utilisent des paquets ICMP pour les données de Surveillance du Tunnel
NTP est utilisées pour la synchronisation du Temps

MTBF Specifications

Voici les spécifications du temps moyen entre pannes (MTBF) pour les Sockets :

X1500 : 808 959 heures
X1600 : 143 940 heures
X1700 : 157 565 heures

Le RMA pour les Sockets est inférieur à 0,5 %.

Limitations connues du Socket

Tous les Sockets

Pour les Sockets qui utilisent plusieurs liens WAN, s'il y a un appareil NAT entre le Socket et le PoP, il est possible que l'un ou plusieurs des liens WAN ne puissent pas se connecter au PoP. Cela peut créer des problèmes de connectivité, tels que le statut HA du site est Non prêt.

Le PoP utilise le port source de chaque connexion DTLS entrante pour connecter chaque lien WAN au même tunnel logique. L'appareil NAT peut modifier le port source et empêcher un lien WAN de se connecter au même tunnel logique que les autres liens WAN.
Lorsque plusieurs sites Socket sont connectés au même emplacement PoP, parfois vous ne pouvez pas utiliser l'Interface Web du Socket pour envoyer un ping à un autre site Socket connecté au même PoP.
À partir de Socket v25.0, lors de la configuration d'une politique NAT pour un site, l'adresse IP LAN du Socket ne peut pas être utilisée comme IP source traduite.
Note : À partir de Socket v25.0.22177, il existe des configurations héritées que nous continuons à supporter en utilisant l'adresse IP LAN du Socket comme IP source traduite. Cependant, ceci n'est disponible que pour ces configurations héritées.

Comportement du ping Socket

Lors des tests de connectivité avec des requêtes de ping, les Sockets ne répondent qu'à des adresses IP spécifiques selon la source :

Des appareils derrière le site Socket : Les réponses de ping sont reçues uniquement lorsqu'elles ciblent l'IP de la Passerelle dans le même Sous-réseau que l'appareil source.
Des utilisateurs distants (via le client) : Les réponses de ping sont reçues uniquement lorsqu'elles ciblent l'adresse IP locale de la Plage native
Pour Azure vSockets en mode HA : L'IP Flottante répond à toutes les demandes de ping

Socket X1600 et Socket X1600 LTE

Les appareils avec le modèle de NIC Intel® Ethernet Connection I219-LM ne peuvent pas se connecter directement au port MGMT du Socket en utilisant les paramètres par défaut de la NIC. Cette NIC est courante dans les ordinateurs portables Dell et HP.
- Solutions de contournement : Il y a deux manières de se connecter au port MGMT du Socket avec cette NIC :
  - Connectez-vous directement en modifiant les paramètres de la NIC comme suit :
    
    Définir Speed/Duplex vers 100 Full
    
    Définir Legacy Switch Compatibility vers Activé
    
    Remarque : Après avoir configuré ces paramètres, la NIC peut se connecter directement au Socket, cependant, le Socket reconnaîtra la connexion comme étant en mode semi-duplex 100 Mbps et non en mode full-duplex.
  - Connecté à travers un appareil tiers, comme un commutateur. L'appareil et le Socket doivent être dans le même Sous-réseau.
Les Prises LTE X1600 ne peuvent pas envoyer de ping à l'adresse IP locale de la Plage native d'un site Socket différent.
Les Sockets X1600 LTE ne sont pas pris en charge pour les sites situés en Chine. Veuillez contacter votre représentant Cato autorisé pour plus d'informations.
Les Prises LTE X1600 ne supportent actuellement pas le basculement automatique entre les cartes SIM. Pour des informations sur l'exécution d'un basculement manuel si nécessaire, voir Dépannage de la connectivité LTE.