概述
Socket 部署是将站点连接到 Cato 云的第一个关键步骤。 未能将 socket 注册到云端代表了使用 Cato 提供的功能集的第一个障碍。 本手册支持管理员故障排除他们在 socket 部署中可能遇到的任何问题。
症状
Socket 注册失败可能以多种方式表现出来。 管理员可能会注意到以下症状:
- 将 socket 连接到互联网时没有新 socket 通知
- 收到新 socket 通知但初始固件升级失败
- 分配 Socket 时找不到站点
- Socket 注册到站点成功,但站点很快下线
- 从站点取消分配后,Socket 不可分配
可能的原因
注册失败的大多数情况都归因于以下原因:
- Socket 与 CMA 之间的注册不匹配
- DTLS 隧道连接问题
- 计划的许可证导致站点下线。
故障排除问题
管理员可能遇到的症状的故障排除步骤列示如下。 这些步骤旨在识别所面临问题的可能原因。 解决步骤将在稍后的手册中突出显示。
故障排除连接 Socket 时没有新 Socket 通知
当一个新的 socket 首次连接到互联网时,它将访问 Cato 并开始升级到相关的固件。 这将显示为已购买分配 socket 的账户上的通知。
未收到此通知表示连接未成功完成。
检查 Socket 连接性
确保您熟悉Cato Socket 连接预备条件。
Socket 的连接状态可以通过其本地 WebUI 查看,请参见 本地登录到 Socket WebUI。为了注册成功,用来连接到 Cato 云的 WAN 端口应该显示绿色状态图标。 除了绿色以外的指示灯表明连接问题。 不同状态图标颜色的含义描述在了解链接状态图标。
对于红色图标,确保在 socket 和 ISP 设备之间有一个有效的物理连接。
警告图标将指示其他类型的连接问题,例如 IP 冲突。 如果 WebUI 报告 IP 冲突问题,请参阅IP 地址冲突报告
在连接性问题的情况下,我们可以利用工具选项卡进行进一步测试。 为了注册到 Cato,Socket 需要使用主机名 cc2.catonetworks.com 或硬编码 IP地址 访问 CMA 的 L3 权限。 要识别 IP 地址,请参阅Cato 管理应用程序的源 IP 地址(您必须登录才能查看此文章)。 使用 ping 工具确保此主机名和 IP 地址可以通过 WAN 端口直接访问。 如果都不可访问,请查看 解决连接问题部分。
确保 WAN IP 地址未被上行方向的任何设备执行 SSL/TLS 检查。
如果这些测试全部通过,还可以进行 数据包捕获 以确保对 Socket 建立 DTLS 隧道到 PoP 的请求响应。 在所述 WAN 端口上的捕获中,应该看到到 PoP 的 UDP/443 上的双向数据包。
如果只检测到出站 DTLS 数据包,请查看 仅解决单向 DTLS 流量。
检查 Socket 注册状态
为了使具有互联网连接的新 socket 在您的账户中生成通知,它必须分配给相关账户。 要验证分配的账户的所有sockets注册状态,请查看账户 > Sockets Inventory下的sockets库存。
通过搜索给定 socket 的 MAC 或序列号,可以确定 socket 是否正确分配到您的账户以及 CMA 对注册状态的当前观点。 管理员将新 Socket 连接到互联网时,可以期待该 Socket 从状态已交付变为已安装,如 显示账户中的所有 Socket(Socket 库存)中所述。
如果 Socket 未出现在库存中,或在连接到工作中的互联网连接时 Socket 注册状态未变为已安装,请查看 解决注册不匹配设置部分。
虚拟Socket注册
与物理sockets不同,vSockets不需要预先添加到账户的Socket库存中。 一旦在CMA中创建了vSocket站点,它将进入“待处理”状态,直到在云平台上的部署完成。
成功部署并通过WAN接口访问互联网后,vSocket会自动在Cato Cloud注册,在CMA中触发“检测到新socket”通知,包含vSocket的WAN公网IP。
如果此通知未出现,请执行以下故障排除步骤:
- 验证互联网访问 - 确保vSocket的WAN接口具有互联网访问权限。 检查网络安全组(NSG)规则和WAN子网路由表的任何限制。
- 重新启动vSocket - 尝试从云平台重新启动vSocket实例。
- 最后的手段是重新部署 - 如果问题仍然存在,从CMA注销vSocket → 站点配置 → Socket,然后重新部署。 重新部署后,监控CMA以获取通知。
故障排除固件初始化升级失败
当新部署 Socket 首次连接到互联网时,它将连续尝试通过其 WAN 端口使用 TCP/443 端口连接到 Cato,并尝试升级其固件版本。
如果 CMA 中没有 "Socket 成功升级" 或 "激活新 Socket" 通知,请通过查看检查 Socket 连接性的疑难解答步骤,确保 Socket 的互联网连接得到正确的服务。
如果在上述步骤中验证了 Socket 的连接性,请查看 解决注册状态不匹配 部分。
分配 Socket 时遇到无站点问题的故障排除
如管理 Sockets中所述,当在 CMA 中收到 "新建 Socket" 通知时,下一步是将 Socket 分配到已配置的站点。 但是,如果已配置的站点没有列出或窗口显示 "没有结果",请验证站点常规设置中配置的连接类型是否与站点上安装的 Socket 型号匹配。
例如,如果站点被配置为连接类型为 Socket X1600 LTE,则站点上安装的 Socket 型号必须是 X1600 LTE 型号。
故障排除:Socket 在成功注册后不久下线
确保您的 Socket 仍然有连接性。
如果在收到新 Socket 检测通知后,初始固件升级成功完成,Socket 在短暂时间后下线,请检查以下内容:
- 在 CMA 中,账户 > 许可证 > 带宽,确保计划列中显示的许可证为试用版或商业版。
- 如果许可证状态为计划,将导致 Socket 在添加到站点后断开连接。 有关计划许可证的更多信息,请参阅账户和站点的许可证生命周期。
如果您看到许可证已计划,请查看解决计划中的许可证导致站点下线部分。
如果您的许可证正确,请按照 解决注册不匹配设置 中概述的重置流程进行操作。
故障排除:从站点取消分配后Socket不可分配
从站点取消分配 Socket 是使 Socket 可分配到不同站点的主要操作。 然而,这必须在 Socket 在线时完成。 如果取消分配后,Socket 没有在通知中检测为新,请按照此故障排除流程进行操作。
在 CMA 和 Socket 中检查注册状态
要验证分配给账户的所有 socket 的注册状态,请查看账户 > Socket 库存下的 socket 清单。
通过查找给定 Socket 的 MAC 或序列号,可以确定从 CMA 的角度观察到 Socket 是否已被从站点正确取消分配。 管理员应期望未分配的 Socket 会移动到 已安装 状态。
根据 CMA,Socket 的注册状态应与 Socket 自身的视图匹配。 通过访问 Socket 的 WebUI,可以检查 Socket 的查看,请参见 在本地登录到 Socket WebUI。
Socket 的注册目标在 WebUI 主页面的 " | <sitename>.<accountname> | " 格式中可见,在下述位置显示。
如果这不能解释 Socket 的取消注册,请按照 检查 Socket 连接性 中概述的故障排除流程进行操作。
如果连接性看起来不错,请查看 解决注册状态不匹配 部分。
解决已发现的问题
解决连接性问题
重要的是要隔离连接性问题是否仅影响 Socket。 如果将笔记本电脑插入同一 ISP 连接,是否遇到相同的 DNS 解析或 ping 地址问题? 如果是这样,请联系您的 ISP 以进行后续操作。
如果连接性问题仅限于您的 Socket,请确保 WebUI 的网络设置选项卡下的 IP 配置正确。
如果这些设置正确,请确保您的提供商允许 UDP 端口 443 上的 DTLS 流量向互联网出口。 如有必要,可以按照设置不同端口连接到 Cato PoP中的描述更改此端口。
解决 DTLS 流量单向问题
请确保您的提供商允许 UDP 端口 443 上的 DTLS 流量向互联网出口。 如有必要,可以按照设置不同端口连接到 Cato PoP中的描述来更改此端口。
解决注册不匹配设置
如果 CMA 和 Socket 的注册状态不匹配,则可以重置 Socket 以重新启动注册过程。 在进行重置之前,首先确定 Socket 是否曾注册到某个站点。
在关于选项卡中,未曾注册到站点的Socket将会显示如下信息"仍未在CC注册":
对于未注册到站点的Socket,按照重置管理员密码和重置Socket中的描述,按下重置/FD按钮 30-35秒以重置Socket。
对于已经注册到站点的Sockets,当Socket未连接到卡托云时,从管理标签页中点击“取消分配”以重置套接字。
在这两种情况下,确保Socket也是未分配到CMA中的任何已分配站点。
解决计划的许可证导致站点离线
请联系您的卡托SE或CSM代表以更新许可证。
联系卡托支持
如果按照此手册操作后问题仍未解决,请提交支持工单,并附上上述故障排除步骤的结果。 包括连接测试结果和确认已按照上述说明进行了重置。
0 条评论
请登录写评论。