概要
ソケット配置は、サーバのクラウドへのオンボードのための最初の重要なステップです。 ソケットをクラウドに登録できないことは、Catoが提供する機能セットを利用する上での最初の障害となります。 このプレイブックは、ソケットの展開中に直面する可能性のある問題のトラブルシューティングを管理者にサポートします。
症状
ソケット登録の失敗は、いくつかの方法で現れることがあります。 管理者は次のような症状を確認するかもしれません:
- ソケットをインターネットに接続する際に新しいソケット通知がありません
- 新しいソケット通知を受信しましたが、初期ファームウェアアップグレードが失敗する
- ソケットを割り当てる際にサイトが見つかりません
- ソケットがサイトに正常に登録されましたが、その直後にサイトがオフラインになります
- サイトから割り当てを解除した後、ソケットを再度割り当てることができません
可能な原因
登録が失敗するケースの多くは、以下の原因によるものです:
- ソケットとCMA間の登録の不一致
- DTLSトンネルの接続問題
- スケジュールされたライセンスが原因で、サイトがオフラインになります。
問題解決
管理者が遭遇する可能性のある症状をトラブルシューティングする手順は以下に記載されています。 これらの手順は、直面する問題の可能性のある原因を特定することを目的としています。 解決手順はプレイブックで後述します。
ソケット接続時に新しいソケット通知がない場合のトラブルシューティング
新しいソケットが初めてインターネットに接続されると、Catoにアクセスし、関連するファームウェアへのアップグレードを開始します。 これは、購入時にソケットが割り当てられたアカウントで通知として表示されます。
この通知を受け取れないことは、接続が正常に完了していないことを示しています。
ソケット接続の確認
Cato ソケット接続の前提条件に精通していることを確認してください。
ソケットの接続状況は、そのローカルWebUIを通じて確認できます。ログインする.登録を成功させるためには、Catoクラウドへの接続をサービスするために使用中のWANポートが緑のステータスアイコンを表示する必要があります。 緑以外のインジケーターは、接続の問題を示唆しています。 異なるステータスアイコンの色の意味は、リンクステータスアイコンの理解で説明されています
赤いアイコンの場合は、ソケットとISPプロバイダー装置の間に動作する物理的リンクがあることを確認してください。
警告アイコンは、IPアドレス競合などの他のタイプの接続性問題を示します。 WebUIがIPアドレス競合問題を報告した場合は、IPアドレス競合が報告されたを参照してください
接続の問題が発生した場合は、さらなるテストのためにツールタブを利用できます。 Catoに登録するには、ソケットがホスト名cc2.catonetworks.comまたはハードコードされたIPアドレスを使用してCato管理アプリケーションへのL3アクセスが必要です。 IPアドレスを識別するには、Cato管理アプリケーションの送信元IPアドレスを参照してください(この記事を表示するにはサインインが必要です)。 このホスト名とIPアドレスがWANポートを介して直接到達可能であることを確認するために、pingツールを使用してください。 どちらも到達できない場合は、接続の問題の解決セクションをご覧ください。
WAN IPアドレスが、上り方向で任意のデバイスによって実行されるSSL/TLSインスペクションから除外されていることを確認してください。
これらのテストを通過した場合、ソケットのCMAへの登録要求に応答があることを確認するためにパケットキャプチャも実行できます。 該当のWANポートでキャプチャを行う際は、CMAへのTCP/443とPoPへのUDP/443の双方向パケットが確認される必要があります。
TCP接続 to cc2.catonetworks.com
UDP接続 to the PoP
発信DTLSパケットのみが検出される場合は、一方向のDTLSトラフィックを解決するを参照してください。
ソケット登録ステータスの確認
インターネット接続のある新規ソケットがアカウントに通知を生成するためには、関連するアカウントに割り当てられる必要があります。 アカウント に割り当てられたすべてのソケットの登録状態を確認するためには、アカウント > ソケットインベントリの下でソケットのインベントリを閲覧します。
特定のソケットのMACまたはシリアルを検索することで、ソケットがアカウントに正しく割り当てられているかどうか、CMAが登録ステータスを現在どのように見ているかを確認できます。 新しいソケットをインターネットに接続する管理者は、アカウントのソケットインベントリで説明されているように、ソケットのステータスが配達済みからインストール済みに移行することを期待できます。アカウントのすべてのソケットを表示する(ソケットインベントリ)
ソケットがインベントリに表示されない場合、または作業中のインターネット接続に接続しているときにソケット登録ステータスがインストール済みに移行しない場合は、登録のミスマッチ設定を解決するセクションを参照してください。
vSocket登録
物理ソケットと異なり、vSocket はアカウントのソケットインベントリに事前に追加する必要はありません。 一度 CMA でvSocketサ イトが作成されると、クラウドプラットフォームへの展開が完了するまで「保留中」状態に入ります。
展開が成功し、WANインターフェースを通じたインターネットアクセスが可能になると、vSocketは自動的にCato Cloudと通信し、CMAで「新しいソケットが検出されました」の通知がトリガーされ、vSocketのWANパブリック IPを含みます。
この通知が表示されない場合は、次のトラブルシューティング手順をお試しください:
- インターネットアクセスを確認する – vSocketのWANインターフェースにインターネットアクセスがあることを確認します。 ネットワークセキュリティグループ(NSG)のルールとWANサブネットのルーティングテーブルをチェックして、制限がないか確認してください。
- vSocketを再起動する – クラウドプラットフォームからvSocketのインスタンスを再起動してみます。
- 最終手段として再展開する – 問題が解決しない場合、CMAから登録解除します → サイト設定 → ソケット、その後再展開します。 再展開後、通知を監視するためにCMAを監視します。
初期ファームウェアアップグレード失敗のトラブルシューティング
新しく展開されたソケットが最初にインターネットに接続されると、そのWANポートを使用してTCP/443ポートを介してCatoに到達しようとし、ファームウェアバージョンをアップグレードしようとします。
CMAに「ソケットのアップグレードが成功しました」または「新規ソケットを有効化」という通知が表示されない場合は、ソケット接続性の確認用のトラブルシューティング手順を表示して、ソケットのインターネット接続が適切にサービスされていることを確認してください
上記の手順でソケットの接続性が確認された場合は、登録ステータスの不一致を解決するセクションをご覧ください。
ソケットを割り当てるときに「サイトが見つかりません」エラーのトラブルシューティング
ソケットの管理で述べたように、CMAで「新しいソケット」の通知を受け取ったとき、次のステップはソケットをすでに構成されているサイトに割り当てることです。 ただし、設定されたサイトがリストに表示されない場合や、「該当する結果なし」と表示される場合は、サイトの一般設定で構成されている接続タイプがサイトにインストールされているソケットモデルと一致することを確認してください。
例として、サイトが接続タイプとしてソケット X1600 LTE に構成されている場合、サイトにインストールされたソケットモデルは X1600 LTE モデルでなければなりません。
ソケットは成功裏に登録された後にすぐにオフラインになりますが、そのトラブルシューティング方法
ソケットの接続性がまだ維持されていることを確認してください。
新しいソケットが検出された通知を受け取った後、初期ファームウェアのアップグレードが正常に完了し、しばらくしてソケットがオフラインになった場合、次のことを確認してください:
- CMA では、アカウント > ライセンス > 帯域幅で、プラン列に表示されるライセンスが試用版または商用であることを確認してください。
- ライセンスのステータスが予定されている場合、サイトに追加された後にソケットが切断される原因になります。 スケジュールされたライセンスに関する詳細については、アカウントとサイトのライセンスライフサイクルをご覧ください。
ライセンスが予定されているのを確認した場合は、接続解除を引き起こす予定されたライセンスの解決セクションをご覧ください。
ライセンスが正常である場合は、登録設定の不一致を解決するで概説されているリセットプロセスに従ってください
サイトから割り当てを解除した後に割り当て可能なソケットのトラブルシューティング
サイトからソケットの割り当てを解除することは、ソケットを別のサイトに割り当て可能にする主要な操作です。 ただし、これはソケットがオンラインのときに行う必要があります。 割り当てを解除した後、ソケットが通知内で新しいものとして検出されない場合、このトラブルシューティングフローに従ってください。
CMA とソケットにおける登録ステータスの確認
アカウントに割り当てられたすべてのソケットの登録ステータスを確認するために、アカウント > ソケットインベントリの下にあるソケットインベントリを表示してください。
与えられたソケットの MAC またはシリアルを検索することにより、CMA の観点からそのソケットがサイトから正しく割り当て解除されたかどうかを判断できます。 管理者は、割り当て解除されたソケットがインストール済み状態に移行することを期待すべきです。
CMA によるソケットの登録ステータスは、ソケットの自己ビューと一致している必要があります。 ソケットの表示は、ソケットWebUIにアクセスして確認できます。詳細については、ローカルでソケットWebUIにログイン。してください
ソケットの登録対象は、以下に示す位置でWebUIのメインページに ' | <sitename>.<accountname> | ' 形式で表示されます。
これではソケットの登録解除をカバーできない場合は、ソケット接続性の確認に記載されているトラブルシューティングフローを実行してください。
もし接続性が良好であれば、登録ステータスの不一致を解決するセクションをご覧ください。
発見された問題の解決
接続性の問題を解決する
接続性の問題がソケットだけに影響していないかを分離することが重要です。 同じISP接続にノートパソコンを接続した場合、DNSの解決やアドレスのピングに同じ問題が発生しますか? その場合、進行するためにISPにお問い合わせください。
接続性の問題がソケットに隔離されている場合は、WebUIのネットワーク設定タブでIP構成が正しいことを確認してください:
これらの設定が正しければ、プロバイダがUDPポート443でのDTLSトラフィックがインターネットへ出力を許可していることを確認してください。 必要に応じて、このポートはCato PoPに接続するための異なるポートの設定で説明されているように変更できます。
DTLSトラフィックを一方向のみ解決する
プロバイダーと確認して、UDPポート443でのDTLSトラフィックがインターネットへの出力を許可されていることを確認してください。 必要に応じて、このポートはCato PoPに接続するための別のポートを設定するに記載されているように変更できます。
登録ミスマッチ設定の解決
CMAとソケットの登録ステータスに不一致がある場合、登録プロセスを再起動するためにソケットをリセットすることができます。 リセットを実行する前に、ソケットが以前にサイトに登録されているかどうかを最初に確認してください。
情報タブで、以前にサイトに登録されていないソケットは、以下のように"まだCC2に登録されていません"というメッセージを表示します。
サイトに登録されていないソケットの場合、管理者パスワードのリセットとソケットのリセットに記載されているように、リセット/FDボタンを30~35秒間押してソケットをリセットします。
サイト登録済みのソケットには、ソケットがカトクラウドに接続されていない状態で、管理タブから「Unassign」をクリックしてソケットをリセットします。
両方の場合、ソケットがCMAの任意の割り当てられたサイトからも未割り当て状態であることを確認してください。
スケジュールされたライセンスが原因でサイトがオフラインになる問題の解決
ライセンスを更新するには、CatoのSEまたはCSMの担当者にご連絡ください。
Catoサポートに連絡する
このプレイブックに従っても問題が解決しない場合は、上記のトラブルシューティング手順の結果を添えてサポートチケットを提出してください。 接続テスト結果と、上記の指示に従ってリセットが実行されたことの確認を含めてください。
0件のコメント
サインインしてコメントを残してください。