Обзор
Развертывание Socket — это первый критически важный шаг по подключению сайта к облаку Cato. Неудача при регистрации сокета в облаке представляет собой первое препятствие в использовании функционала, который предлагает Cato. Этот план действий помогает администраторам в устранении любых проблем, с которыми они могут столкнуться при развертывании Socket.
Симптомы
Неудача при регистрации сокета может проявиться несколькими способами. Администратор может заметить следующие симптомы:
- Нет нового уведомления о сокете при подключении сокета к интернету
- Получено уведомление о новом сокете, но первоначальное обновление прошивки не удалось
- При назначении Socket сайт не найден
- Сокет успешно зарегистрирован на сайте, но вскоре после этого сайт уходит в оффлайн
- Сокет после отмены назначения по сайту не поддаётся назначению
Возможные причины
Большинство случаев отказа в регистрации относятся к следующим причинам:
- Несоответствие регистрации между Socket и CMA
- Проблемы с подключением DTLS туннеля
- Запланированная лицензия отключает сайт.
Устранение проблемы
Шаги по устранению неполадок симптомов, которые администратор может столкнуться, указаны ниже. Эти шаги предназначены для выявления возможных причин возникших проблем. Шаги по устранению неполадок будут подробно описаны позже в плане действий.
Устранение проблем с отсутствием нового уведомления о сокете при подключении сокета
Когда новый сокет подключается к интернету в первый раз, он обращается к Cato и начинает обновление до соответствующей прошивки. Это отображается как уведомление на аккаунте, к которому сокет был присоединен при покупке.
Отсутствие получения этого уведомления предполагает, что соединение не было успешно завершено.
Проверка подключения сокета
Убедитесь, что вы знакомы с требованиями для подключения Сокета Cato.
Статус подключения сокета можно увидеть через его локальный Веб-интерфейс. См. Локальный вход в веб-интерфейс сокета. Для успешной регистрации порт WAN, используемый для обслуживания подключения к облаку Cato, должен отображать зеленый значок статуса. Индикатор отличного от зеленого цвета указывает на проблему с подключением. Значение различных цветов значков состояния описано в Понимание значков состояния связи
Для красного значка убедитесь, что есть работающая физическая связь между сокетом и устройством ISP.
Значок предупреждения будет указывать на другие проблемы с подключением, такие как конфликт IP-адресов. Если WebUI сообщает о проблеме конфликта IP, смотрите Сообщение о конфликте IP-адресов
В случае возникновении проблемы с подключением, мы можем использовать вкладку Инструменты для дальнейшего тестирования. Для регистрации в Cato сокет требует L3 доступа к CMA, используя имя хоста cc2.catonetworks.com или жестко прописанный IP-адрес. Чтобы определить IP-адрес, см. IP-адрес источника для Приложения Управления Cato (вы должны войти, чтобы просмотреть эту статью). Используйте инструмент ping, чтобы удостовериться, что это имя хоста и IP-адрес доступны через порт WAN напрямую. Если ни один из них не достигается, пожалуйста, посмотрите раздел решение проблем с подключением.
Убедитесь, что IP-адрес WAN исключен из инспекции SSL/TLS, выполняемой любым устройством в исходящем направлении.
Если эти тесты проходят, можно также выполнить захват пакетов, чтобы убедиться, что на запрос регистрации сокета в CMA есть ответ. При захвате на соответствующем порту WAN необходимо видеть двунаправленные пакеты на TCP/443 к CMA и UDP/443 к PoP.
TCP соединение с cc2.catonetworks.com
UDP соединение с PoP
Если обнаружены только исходящие DTLS-пакеты, пожалуйста, перейдите в раздел решение проблем с односторонним DTLS-трафиком.
Проверка статуса регистрации сокета
Чтобы новый сокет с подключением к интернету создал уведомление в вашем аккаунте, он должен быть назначен соответствующему аккаунту. Чтобы проверить статус регистрации всех сокетов, назначенных учетной записи, посмотрите инвентарь сокетов в разделе Аккаунт > Инвентарь сокетов.
Поиск по MAC или серийному номеру заданного сокета позволяет определить, правильно ли сокет назначен вашему аккаунту и как CMA на данный момент видит статус регистрации. Администратор, подключающий новый сокет к интернету, может ожидать, что статус сокета изменится с Доставлено на Установлено, как описано в Показ всех сокетов в учетной записи (Инвентарь сокетов)
Если сокет не отображается в инвентаре или статус регистрации сокета не меняется на Установлено при подключении к рабочему интернет-соединению, перейдите в раздел решение проблем с настройками несоответствия регистрации.
Регистрация виртуального сокета
В отличие от физических сокетов, vSockets не нужно предварительно добавлять в инвентарь сокетов учетной записи. После создания площадки vSocket в CMA она переходит в состояние 'В ожидании' до завершения развертывания на облачной платформе.
После успешного развертывания и доступа в Интернет через интерфейс WAN vSocket автоматически регистрируется в Cato Cloud, вызывая уведомление 'Обнаружен новый сокет' в CMA, содержащее публичный IP-адрес WAN vSocket.
Если это уведомление не появляется, выполните следующие действия по устранению неполадок:
- Проверьте доступ в Интернет - Убедитесь, что у интерфейса WAN vSocket есть доступ в Интернет. Проверьте правила группы безопасности сети (NSG) и таблицу маршрутизации подсети WAN на наличие ограничений.
- Перезапустите vSocket - Попробуйте перезагрузить экземпляр vSocket с облачной платформы.
- Переразверните в качестве крайней меры – Если проблема сохраняется, отмените регистрацию vSocket в CMA → Настройки Сайта → Сокет, затем выполните его повторное развертывание. После повторного развертывания контролируйте появление уведомления в CMA.
Устранение неполадок при неудачной стартовой прошивке
Когда вновь развернутый сокет впервые подключается к интернету, он будет непрерывно пытаться установить связь с Cato через свой порт WAN, используя порт TCP/443, и попытается обновить свою версию микропрограммы.
Если в CMA нет уведомлений "Сокет успешно обновлён" или "Активация Нового Сокета", убедитесь, что подключение сокета к интернету обслуживается корректно, просмотрев шаги устранения неполадок для проверки подключения сокета
Если подключение сокета проверено в приведенных выше шагах, пожалуйста, посмотрите решение несоответствий в статусе регистрации раздел.
Поиск и устранение неисправностей: нет сайта, найденного при назначении Socket
Как упоминается в Управление Socket, когда в CMA поступает уведомление 'Новый Socket', следующий шаг - назначить Socket уже настроенному сайту. Однако, если настроенный сайт не отображается в списке или окно показывает «Нет результатов», убедитесь, что Тип соединения, настроенный в общих настройках сайта, соответствует модели Socket, установленной на сайте.
Например, если сайт настроен как Тип соединения Socket X1600 LTE, модель Socket, установленная на сайте, должна быть моделью X1600 LTE.
Поиск и устранение неисправностей: Socket выходит в оффлайн вскоре после успешной регистрации
Убедитесь, что ваш Socket по-прежнему имеет подключение.
Если после того, как получено уведомление о новом обнаруженном Socket и успешного завершения первоначального обновления прошивки, Socket уходит в оффлайн через короткое время, проверьте следующее:
- В CMA, Учетная запись > Лицензия > Пропускная способность, убедитесь, что лицензия, показанная в столбце План, является Пробным периодом или Коммерческой.
- Если Статус лицензии по расписанию, это вызовет отключение Socket после добавления на сайт. Просмотрите Жизненный цикл лицензий для аккаунтов и сайтов, чтобы узнать больше о лицензиях по расписанию.
Если вы видите, что лицензия по расписанию, пожалуйста, просмотрите раздел Решение проблем с лицензией по расписанию, вызывающей отключение сайта.
Если ваша лицензия верна, следуйте процессу сброса, изложенному в Решение проблем с несовпадением настроек регистрации.
Поиск и устранение неисправностей: Socket не может быть назначен после отмены назначения с сайта
Отмена назначения сокета с сайта является основным действием для того, чтобы сделать сокет доступным для назначения на другой сайт. Это, однако, должно быть выполнено, когда сокет находится в режиме онлайн. Если после снятия назначения сокет не обнаруживается как новый в ваших уведомлениях, следуйте этой инструкции по устранению неполадок.
Проверка статуса регистрации в CMA и Сокете
Чтобы проверить статус регистрации всех сокетов, назначенных учетной записи, просмотрите инвентарь сокетов в разделе Аккаунт > Инвентарь сокетов.
Поиск MAC-адреса или серийного номера заданного сокета может помочь определить, был ли сокет корректно удален с площадки с точки зрения CMA. Администратор должен ожидать, что нераспределенный сокет перейдет в состояние Установлено.
Статус регистрации сокета согласно CMA должен совпадать с собственным видом сокета. Просмотр сокета можно проверить, получив доступ к Веб-интерфейсу сокета. См. Локальный вход в веб-интерфейс сокета.
Цель регистрации Socket видна на основной странице веб-интерфейса в формате '| <sitename>.<accountname> |' в расположении, показанном ниже.
Если это не учитывает снятие регистрации сокета, следуйте указанному в Проверка подключения сокета процессу устранения неполадок.
Если соединение кажется нормальным, пожалуйста, посмотрите решение несоответствий в статусе регистрации раздел.
Решение обнаруженных проблем
Решение проблем с подключением
Важно изолировать, если проблемы с подключением касаются только сокета. Если вы подключите ноутбук к тому же подключению ISP, возникают ли те же проблемы с разрешением DNS или пингованием адресов? Если это так, обратитесь к вашему интернет-провайдеру для продолжения.
Если проблемы с подключением изолированы для вашего сокета, убедитесь, что IP-конфигурация правильная во вкладке Настройки сети WebUI:
Если эти настройки верны, убедитесь у вашего провайдера, что DTLS-трафик на UDP-порт 443 разрешен для выхода в Интернет. При необходимости этот порт может быть изменен как описано в Настройка другого порта для подключения к PoP Cato.
Решение одностороннего DTLS-трафика
Убедитесь у вашего провайдера, что DTLS-трафик на UDP-порт 443 разрешен для выхода в Интернет. При необходимости этот порт может быть изменен как описано в Настройка другого порта для подключения к PoP Cato.
Решение настроек несоответствия регистрации
Если есть несоответствие между CMA и сокетом в статусе регистрации, то можно выполнить сброс сокета для перезапуска процесса регистрации. Перед выполнением сброса сначала определите, был ли сокет раньше зарегистрирован на сайте.
На вкладке О программе сокет, который ранее не был зарегистрирован на сайте, отобразит сообщение "Еще не зарегистрировано в CC2", как показано ниже:
Для сокета, который не был зарегистрирован на сайте, сбросьте сокет, нажав накнопку Сброс/FD на 30-35 секунд, как описано в Сброс пароля администратора и сброс сокета.
Для сокетов с регистрацией сайта, пока сокет не подключен к облаку Cato, нажмите 'Unassign' во вкладке Администрирование для сброса сокета.
В обоих случаях убедитесь, что сокет также не назначен ни для какого сайта в CMA.
Решение проблемы запланированной лицензии, вызывающей переход сайта в офлайн
Пожалуйста, свяжитесь с вашим представителем Cato SE или CSM для обновления лицензии.
Обращение в поддержку Cato
Если следование этому плейбуку не решило проблему, отправьте тикет в поддержку с результатами вышеуказанных шагов по устранению неполадок. Включите результаты теста соединения и подтверждение выполнения сброса в соответствии с вышеуказанными инструкциями.
0 комментариев
Войдите в службу, чтобы оставить комментарий.