Las arquitecturas WAN tradicionales son difíciles de escalar para las empresas modernas que dependen de múltiples sitios sucursales, recursos en la nube, aplicaciones SaaS y conectividad basada en Internet. El enrutamiento estático, la visibilidad limitada en el rendimiento del último tramo y la dependencia de enlaces WAN gestionados manualmente dificultan mantener el rendimiento y la resiliencia de las aplicaciones. SD-WAN aborda estos desafíos utilizando enrutamiento centralizado basado en políticas para dirigir el tráfico según las condiciones de los enlaces en tiempo real, los requisitos de las aplicaciones y las prioridades empresariales. Esto te permite utilizar múltiples transportes WAN más eficientemente mientras se mejora la disponibilidad y se simplifican las operaciones.
Cato SD-WAN extiende estas capacidades centrales con una arquitectura nativa en la nube que conecta sitios a la Cato Cloud mediante túneles de superposición cifrados. Las Cato Sockets monitorean continuamente la salud de los enlaces y calculan la mejor ruta para el tráfico en función de métricas como la latencia, fluctuación, pérdida de paquetes y tiempo. Esto te permite optimizar el tráfico para aplicaciones sensibles y mantener la continuidad del servicio cuando la calidad del enlace se degrada o una ruta se vuelve no disponible. Cato también apoya el manejo activo/activo del tráfico, la mitigación de pérdida de paquetes, la optimización de MTU, la aceleración TCP y la gestión de ancho de banda para mejorar el rendimiento del último tramo.
Esta solución reduce la complejidad operativa común en las implementaciones WAN tradicionales. En lugar de gestionar dispositivos y políticas separados para enrutamiento, optimización y conectividad, maneja el comportamiento SD-WAN desde la Aplicación de Gestión de Cato (CMA) como parte de una única plataforma convergente. Esto proporciona visibilidad centralizada en el rendimiento de sitios y enlaces y te permite aplicar políticas de seguridad y redes consistentes a través de sitios, ambientes en la nube y usuarios remotos.
Existen múltiples maneras para que los sitios y dispositivos de borde se conecten a PoPs en la Nube Cato:
-
Sitios de borde físicos con Sockets
-
Sitios de borde con interoperabilidad de dispositivos de terceros usando IPSec
-
Acceso basado en software, como el Cliente ZTNA de Cato, Navegador Empresarial o Extensión de Navegador
Para obtener más información sobre la comparación de sitios Socket vs. IPsec, consulte Conectando Sitios a la Nube de Cato.
Cato utiliza DTLS para establecer túneles seguros y de baja latencia entre sitios y la espina dorsal de la Nube Cato. El uso de UDP permite transporte eficiente para tráfico sensible a la latencia, mientras que el cifrado asegura la integridad y confidencialidad de los datos a través de redes públicas.
La dirección es el algoritmo utilizado para determinar a cuál de los muchos PoPs de Cato dispersos globalmente intenta conectar un Socket para un flujo óptimo de tráfico.
La mayoría de los sitios pueden conectarse a casi cualquier PoP en la infraestructura de la Nube Cato, exceptuando consideraciones regionales específicas y limitadas. Hay algunos factores de equilibrio definidos algorítmicamente diseñados para garantizar que cualquier usuario o sitio dado esté conectado al PoP óptimo, basado en:
-
Distancias físicas y lógicas entre el sitio y el PoP
-
Salud del PoP y estado de carga
-
PoPs en el mismo país que los sitios conectores
-
Calidad de conexión de subyacente entre el sitio y el PoP
Las topologías SD-WAN admiten múltiples enlaces, combinados con monitoreo en tiempo real para proporcionar resiliencia de múltiples enlaces y redundancia basada en precedencia y SLA.
Para más información sobre la redundancia de enlaces de Socket y comportamientos de precedencia, consulte Arquitectura de SLA de Enlace Socket de Cato.
Cato monitorea la salud de la conexión a través de todos los enlaces WAN en tiempo real. Esto permite a los Sockets cambiar entre múltiples enlaces activos o activar enlaces pasivos. Por ejemplo, el Socket puede activar un enlace celular de respaldo si hay un problema con los cables cableados.
Cuando el SLA de conectividad está dentro de los umbrales aceptables, el Socket permanece conectado al mismo PoP y utiliza los algoritmos de selección de ruta en tiempo real para seleccionar el mejor enlace para cada nuevo flujo.
Cuando hay un SLA no aceptable para el enlace primario en un sitio, el Socket activa el enlace pasivo secundario y envía tráfico a través de él al PoP. Si ningún enlace tiene buenas métricas de SLA, el sitio se conecta a un PoP alternativo. Cuando el enlace primario vuelve a un SLA aceptable, el Socket mueve los flujos de regreso al enlace primario y el enlace secundario se desactiva.
Para más información sobre la afinación de los umbrales que se utilizan para cada sitio, consulte Configuración de los Parámetros de Conexión SLA
Cato ofrece una gama de disparadores de alertas de salud de conexión que los administradores pueden usar para informarles sobre las condiciones de salud de la red dinámica con diferentes disparadores configurables. Para más información, consulte Trabajar con las Reglas de Salud de Enlace.
Inherente en el modelo SD-WAN es la capacidad de los sitios Socket para aprovechar las conexiones WAN existentes a Internet público. Estas conexiones generalmente se utilizan para conectarse al espina dorsal privada global. Sin embargo, los sitios también pueden comunicarse entre sí a través de túneles de sitio a sitio directamente sobre estas conexiones utilizando transporte fuera de la nube. Si la espina dorsal privada de Cato no está disponible, los sitios pueden aprovechar estas conexiones para asegurar resiliencia para todos los datos.
Para más información sobre la resiliencia del sitio Socket, consulte Resiliencia de Sitios de Socket con Recuperación WAN.
Entre los beneficios de tener a Cato como superposición a través de múltiples enlaces ISP está la capacidad de definir inteligentemente rutas de salida y perfiles de optimización para el tráfico saliente.
El conjunto de políticas de gestión del ancho de banda de Cato permite a los administradores controlar la priorización para clases de tráfico configurables cuando los recursos de subyacente son limitados o restringidos. En arquitecturas SD-WAN, la política de tráfico de ISP no puede confiarse para descartar inteligentemente paquetes no críticos en caso de congestión. Usa Perfiles de Gestión de Ancho de Banda para asegurarte de que los servicios y aplicaciones críticos no se vean afectados y, en cambio, se garantice su ancho de banda.
Monitorizar el estado de salud de los enlaces individuales ISP es un componente crítico para tomar decisiones informadas sobre redes y rutas óptimas para el tráfico. El CMA tiene múltiples páginas para ayudarte a monitorear el estado de todos los enlaces individuales que conforman la subyacente entre un sitio y la Nube Cato. Puedes rastrear una variedad de indicadores de salud a través de los enlaces subyacentes, así como cómo ese tráfico se divide en las clases de prioridad configuradas.
Para más información sobre el monitoreo de enlaces en tiempo real, consulta Analizando Datos para un Sitio en Tiempo Real.
El manejo del tráfico está gobernado por una política de Reglas de Red centralizada que define el comportamiento de enrutamiento, selección de transporte y perfiles de optimización basado en aplicación, fuente y contexto de destino. Define reglas para ajustar el manejo del tráfico, así como cualquier política de optimización como aceleración TCP o mitigación de pérdida de paquetes.
Los modos de transporte adicionales disponibles incluyen:
-
Omitir - El tráfico se enruta a través de un Socket local a Internet mediante una conexión de subyacente local, omitiendo la infraestructura de la Nube Cato. El tráfico omitido no es inspeccionado por motores de seguridad en el PoP
-
Backhaul - El tráfico se envía a través de Cato SD-WAN a un punto de salida a Internet en un sitio Socket designado
-
Fuera de la Nube - El tráfico entre sitios Socket se envía sobre un túnel cifrado entre los sitios sobre el Internet público. El tráfico fuera de la nube no es inspeccionado por motores de seguridad en el PoP
Para más información, consulte Qué son las Reglas de Red?
Cato permite una transición gradual de los sitios desde tecnologías de conexión en uso a un modelo SD-WAN completo aprovechando un modelo WAN híbrido.
Las configuraciones WAN híbridas permiten un aumento fácil en el ancho de banda insertando conexiones a Internet junto a una red MPLS existente. Descargar tráfico de MPLS permite reducciones en los costos de ancho de banda mensual y activar nuevas instalaciones más rápido al aprovechar enlaces de acceso a Internet indígenas.
Un WAN híbrido puede ser una solución permanente o una configuración temporal para permitir que el tráfico se transfiera gradualmente de la línea MPLS al SD-WAN de Cato. Por ejemplo, configurar la política de Reglas de Red para enviar solo datos de vídeo y voz sobre MPLS.
Además, los sitios que utilizan IPSec para conectarse a recursos corporativos pueden terminar esos túneles directamente a un PoP. Esto asegura que la conectividad segura se mantenga mientras los sitios hacen la transición de manera gradual desde la conectividad hacia adelante IPSec o MPLS al modelo SD-WAN de Cato.
Para más información sobre la transición al modelo SD-WAN utilizando una configuración WAN híbrida, consulte Integrando Cato con una Red Alt WAN y Configuración de Sitios con Conexiones IPsec.
0 comentarios
El artículo está cerrado para comentarios.