Remarque
Remarque : Le Cato Cloud ne prend en charge que les adresses IPv4.
Cet article décrit les conditions préalables pour que les Sockets se connectent au Cloud Cato et les limitations connues des Sockets.
Pour vous connecter en toute sécurité et accéder aux ressources de votre réseau privé derrière le Cloud Cato, veuillez vous assurer que vos appareils réseau et pare-feu répondent à ces exigences :
-
Ces ports sont ouverts sur les pare-feux :
-
Port UDP 53
-
Port UDP 443
-
Port TCP 443
-
-
Les appareils peuvent résoudre ces URL :
-
vpn.catonetworks.net
-
cc2.us1.catonetworks.com
-
cc2.in1.catonetworks.com
-
cc2.catonetworks.com
Remarque : Si cette URL est injoignable, utilisez alors l'adresse IP réelle, voir CMA IP Allowlist (vous devez être connecté à la Base de Connaissances de Cato pour voir cet article).
-
steering.catonetworks.com
-
Pour les Sockets avec firmware v11.x et antérieurs, ils doivent pouvoir résoudre ces domaines :
-
c-me.catonetworks.net
-
d-me.catonetworks.net
-
-
-
L'inspection TLS et les vérifications de sécurité sont désactivées pour l'IP Socket
-
Les Sockets utilisent des paquets ICMP pour les données de Last Mile Monitoring
-
NTP est utilisé pour la synchronisation de l'heure
Spécifications MTBF
Voici les spécifications du temps moyen entre pannes (MTBF) pour les Sockets :
- X1500 : 808,959 h
- X1600 : 143,940 h
- X1700 : 157,565 h
Le taux de RMA pour les Sockets est inférieur à 0,5 %.
Limitations Connues des Sockets
-
Pour les socket qui utilisent plusieurs liens WAN, s'il y a un dispositif NAT entre le socket et le PoP, il est possible qu'un ou plusieurs des liens WAN ne puissent pas se connecter au PoP. Cela peut créer des problèmes de connectivité, tels que l'état HA du site est Pas prêt.
Le PoP utilise le port source de chaque connexion DTLS entrante pour connecter chaque lien WAN au même tunnel logique. Le dispositif NAT peut changer le port source et empêcher un lien WAN de se connecter au même tunnel logique que les autres liens WAN.
-
Lorsque plusieurs sites Sockets sont connectés à la même localisation PoP, il arrive parfois que vous ne puissiez pas utiliser l'interface web Socket pour pinguer un autre site Socket connecté au même PoP.
Lors du test de connectivité avec des requêtes de ping, les Sockets ne répondent qu'à des adresses IP spécifiques basées sur la source :
-
Depuis des appareils derrière le site Socket : Les réponses de ping ne sont reçues que lorsqu'on cible l'IP de passerelle dans le même sous-réseau que l'appareil source
-
Depuis les utilisateurs distants (via le Client) : Les réponses de ping ne sont reçues que lorsqu'on cible l'adresse IP locale de la plage native
-
Pour les vSockets Azure en mode HA : L'IP flottante répond à toutes les demandes de ping
-
Les appareils avec le modèle NIC Intel® Ethernet Connection I219-LM ne peuvent pas se connecter directement au port MGMT du Socket en utilisant les paramètres par défaut du NIC. Ce NIC est courant dans les ordinateurs portables Dell et HP.
-
Solutions : Il y a deux façons de se connecter au port MGMT du Socket avec ce NIC :
-
Connecter directement en modifiant les paramètres du NIC comme suit :
-
Définir Vitesse/Duplex sur 100 Full
-
Définir Compatibilité avec le commutateur Legacy sur Activé
Remarque : Après avoir configuré ces paramètres, la NIC peut se connecter directement à la Socket, cependant, la Socket reconnaîtra la connexion comme 100 Mbps semi-duplex et non full-duplex.
-
-
Connecter via un appareil tiers, tel qu'un commutateur. L'appareil et le Socket doivent être dans le même sous-réseau.
-
-
-
Les Sockets X1600 LTE ne peuvent pas pinguer l'adresse IP Locale de la plage native d'un site Socket différent.
- Les Sockets X1600 LTE ne sont pas pris en charge pour les sites situés en Chine. Veuillez contacter votre représentant Cato autorisé pour plus d'informations.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.