Требования и известные ограничения для подключения к Кейто Сокету

Примечание

Примечание: Кейто Облако поддерживает только IPv4-адреса.

Эта статья описывает требования для Сокетов к подключению к Кейто Облаку и известные ограничения для Сокетов.

Требования к подключению Сокетов

Чтобы безопасно подключаться и получать доступ к ресурсам в вашей частной сети за Кейто Облаком, убедитесь, что ваши сетевые устройства и межсетевые экраны соответствуют этим требованиям:

Эти порты открыты на межсетевых экранах:
- UDP порт 53
- UDP порт 443
- TCP порт 443
Устройства могут разрешать эти URL-адреса:
- vpn.catonetworks.net
- cc2.us1.catonetworks.com
- cc2.in1.catonetworks.com
- cc2.jp1.catonetworks.com
- cc2.catonetworks.com
  
  Примечание: Если этот URL недоступен, тогда используйте фактический IP-адрес, см.Списки разрешенных IP для CMA (вы должны войти в Базу Знаний Кейто, чтобы просмотреть эту статью).
- steering.catonetworks.com
- Для Сокетов с прошивкой версии 11.x и ранее они должны уметь разрешать эти домены:
  - c-me.catonetworks.net
  - d-me.catonetworks.net
Инспекция TLS и проверки безопасности отключены для Socket IP
Сокеты используют ICMP пакеты для данных мониторинга последней мили
NTP используется для синхронизации времени

Спецификации MTBF

Вот спецификации среднего времени между отказами (MTBF) для Сокетов:

X1500: 808,959 часов
X1600: 143,940 часов
X1700: 157,565 часов

RMA для Сокетов менее 0.5%.

Известные ограничения Сокетов

Все Сокеты

Для Сокетов, использующих несколько WAN-соединений, если между Сокетом и PoP находится устройство NAT, то возможно, что одно или несколько WAN-соединений не могут подключиться к PoP. Это может создавать проблемы с подключением, такие как статус HA площадки Недоступен.

PoP использует исходный порт каждого входящего соединения DTLS для подключения каждого WAN-соединения к одному логическому туннелю. Устройство NAT может изменять исходный порт и предотвращать подключение WAN-соединения к тому же логическому туннелю, что и другие WAN-соединения.
Когда несколько сайтов Socket подключены к одному местоположению PoP, иногда вы не можете использовать Веб-интерфейс сокета для пингирования другого сайта Socket, подключенного к тому же PoP.
Начиная с Socket v25.0, при настройке Политика развертывания NAT для Сайт, IP-адрес ЛВС сокета не может использоваться как Преобразованный IP-адрес источника.
Примечание : Начиная с Socket v25.0.22177, мы продолжаем поддерживать устаревшие конфигурации, использующие IP-адрес ЛВС как Преобразованный IP-адрес источника. Однако это доступно только для этих устаревших конфигурации.

Поведение пинга Сокета

При проверке подключений с помощью запросов пинга Сокеты отвечают только на определенные IP-адреса в зависимости от источника:

Из устройств за сайтом Socket: Ответы на пинг получены только при целевом IP шлюза в той же подсети, что и исходное устройство
От удаленных пользователей (через клиента): Ответы на пинг получены только при целевом локальном IP-адресе собственного диапазона
Для Azure vSockets в режиме HA: Плавающий IP отвечает на все запросы пинга

Сокет X1600 и Сокет X1600 LTE

Устройства с моделью NIC Intel® Ethernet Connection I219-LM не могут подключаться напрямую к порту MGMT Сокета с использованием стандартных настроек NIC. Этот NIC распространен в ноутбуках Dell и HP.
- Решения: Есть два способа подключения к порту MGMT Сокета с этим NIC:
  - Подключиться напрямую, изменив настройки NIC следующим образом:
    
    Установить Speed/Duplex на 100 Full
    
    Установить Legacy Switch Compatibility на Включено
    
    Примечание: После настройки этих параметров NIC может подключаться напрямую к Сокету, однако Сокет будет распознавать подключение как 100 Мбит/c полудуплекс, а не полный дуплекс.
  - Подключение через стороннее устройство, такое как переключатель. Устройство и Socket должны быть в одной подсети.
X1600 LTE Сокеты не могут пинговать Локальный IP адрес собственного диапазона другого сайта Socket.
Сокеты X1600 LTE не поддерживаются для площадок, расположенных в Китае. Пожалуйста, свяжитесь с вашим уполномоченным представителем Кейто для получения дополнительной информации.
X1600 LTE Сокеты в настоящее время не поддерживают автоматическое переключение между SIM-картами. Для информации о выполнении переключения вручную, при необходимости, смотрите Устранение неполадок подключения LTE.