Предварительные условия подключения Сокетов и известные ограничения

Примечание

Примечание: Облако Cato поддерживает только IPv4-адреса.

Эта статья описывает предварительные условия для подключения Sockets к Cato Cloud и известные ограничения для Sockets.

Предварительные условия подключения Socket

Чтобы безопасно подключиться и получить доступ к ресурсам в вашей частной сети за Cato Cloud, убедитесь, что ваши сетевые устройства и межсетевые экраны соответствуют следующим требованиям:

На межсетевых экранах открыты следующие порты:
- UDP порт 53
- UDP порт 443
- TCP порт 443
Устройства могут разрешить эти URL-адреса:
- vpn.catonetworks.net
- cc2.us1.catonetworks.com
- cc2.in1.catonetworks.com
- cc2.catonetworks.com
  
  Примечание: Если этот URL недоступен, используйте фактический IP-адрес, см. CMA IP Allowlist (вам необходимо войти в Базу Знаний Cato для просмотра этой статьи).
- steering.catonetworks.com
- Для Sockets с прошивкой версии 11.x и ранее они должны иметь возможность разрешить следующие домены:
  - c-me.catonetworks.net
  - d-me.catonetworks.net
Проверка TLS и проверки безопасности отключены для IP-адреса Socket
Sockets используют ICMP-пакеты для данных мониторинга последней мили
NTP используется для синхронизации времени

Спецификации MTBF

Это спецификации среднего времени наработки на отказ (MTBF) для Сокетов:

X1500: 808,959 часов
X1600: 143,940 часов
X1700: 157,565 часов

Доля возврата для Сокетов составляет менее 0,5%.

Известные ограничения Socket

Все Sockets

Для Sockets, которые используют несколько WAN-ссылок, если между Socket и PoP есть NAT-устройство, возможно, что одна или несколько WAN-ссылок не могут подключиться к PoP. Это может создавать проблемы с подключением, такие как статус HA сайта Не готово.

PoP использует исходный порт каждого входящего DTLS-соединения для подключения каждой WAN-ссылки к одному и тому же логическому туннелю. Устройство NAT может изменить исходный порт и предотвратить подключение WAN-связи к тому же логическому туннелю, что и другие WAN-каналы.
Когда несколько сайтов Socket подключены к одному и тому же местоположению PoP, иногда вы не можете использовать WebUI Socket для проверки подключения другого сайта Socket к тому же PoP.

Поведение Ping Socket

При тестировании подключения с помощью ping-запросов Sockets отвечают только на определенные IP-адреса в зависимости от источника:

От устройств за сайтом Socket: Ответы на ping принимаются только при нацеливании на IP-адрес шлюза в той же подсети, что и исходное устройство
От удаленных пользователей (через клиента): Ответы на ping принимаются только при нацеливании на локальный IP-адрес нативного диапазона
Для Azure vSockets в режиме HA: Плавающий IP отвечает на все ping-запросы

Сокет X1600 и Сокет X1600 LTE

Устройства с моделью NIC Intel® Ethernet Connection I219-LM не могут подключаться напрямую к порту MGMT Сокета, используя настройки NIC по умолчанию. Этот NIC распространен в ноутбуках Dell и HP.
- Обходные решения: Существует два способа подключения к порту MGMT Сокета с этим NIC:
  - Подключитесь напрямую, изменив настройки NIC следующим образом:
    
    Установите Скорость/Дуплекс на 100 Полный
    
    Установите Совместимость с Legacy Switch как Включено
    
    Примечание: После настройки этих параметров NIC может подключаться напрямую к Socket, однако, Socket распознает соединение как 100 Мбит/с полудуплекс вместо полного дуплекса.
  - Подключитесь через стороннее устройство, такое как коммутатор. Устройство и Сокет должны находиться в одной подсети.
X1600 LTE Sockets не могут ping локальный IP-адрес нативного диапазона другого сайта Socket.
Сокеты X1600 LTE не поддерживаются для сайтов, расположенных в Китае. Пожалуйста, свяжитесь с вашим авторизованным представителем Cato для получения дополнительной информации.