Explicación de la Aceleración TCP de Cato y Mejores Prácticas

Algunas conexiones TCP, especialmente las de larga distancia, a menudo experimentan alta latencia que tiene un impacto negativo en la experiencia del usuario. La característica de aceleración TCP de Cato Networks acelera las conexiones TCP en la WAN y mejora la eficiencia y velocidad de la red para el tráfico TCP.

Este artículo explica cómo Cato implementa la aceleración TCP y enumera algunas mejores prácticas para optimizar la aceleración TCP para aplicaciones específicas que se basan en el tráfico TCP.

Explicación de la Aceleración TCP

Cato logra la aceleración TCP designando a los PoPs de Cato para actuar como un servidor proxy intermediario entre el cliente y el servidor de destino. El proxy elimina una conexión de larga distancia y en su lugar la divide en tres cortas. La ventaja es que en lugar de mantener una conexión a larga distancia, el Socket mantiene una conexión corta al PoP más cercano. El tráfico entre los PoPs se transfiere a través del backbone privado de Cato Cloud que garantiza la velocidad de la nube y baja latencia. El PoP que está más cerca del destino envía el tráfico al servidor.

Si hay pérdida de paquetes, los PoPs son responsables de retransmitir los paquetes, lo que permite una reacción rápida y reduce el tiempo de respuesta. Esta técnica mejora el rendimiento de TCP y reduce el tiempo de recuperación si un túnel se desconecta. Cada conexión corta tiene un tiempo de ida y vuelta (RTT) más corto por paquete en comparación con una conexión de larga distancia. Las conexiones cortas mejoran el rendimiento y garantizan una entrega de datos más rápida al destino. Una conexión de larga distancia con un RTT alto significa que los paquetes están viajando por más tiempo hasta llegar al destino. El mayor tiempo de viaje y las conexiones lentas pueden crear una mala experiencia de usuario.

El siguiente diagrama muestra una conexión de cliente a servidor donde PoP A y PoP B actúan como servidores proxy:

mceclip0.png

El proxy divide la conexión de larga distancia entre el cliente y el servidor en tres conexiones cortas:

  1. La primera conexión es del Socket al PoP A.

  2. La segunda conexión es del PoP A al PoP B, a través de Cato Cloud.

  3. La tercera conexión es del PoP B al servidor de destino.

Cada PoP mantiene su propia pila TCP y reduce las retransmisiones de paquetes TCP de toda la ventana en caso de pérdida de paquetes. En algunos escenarios, por ejemplo, con tráfico TLS y se habilita la inspección TLS o se evalúa una regla de red de salida, cuando el PoP recibe mensajes SYN del cliente, rápidamente devuelve respuestas ACK al cliente, en lugar de esperar la respuesta del servidor. Mientras tanto, el Socket continúa enviando el tráfico TCP lo que hace que la conexión sea más rápida. El PoP asigna un tamaño de ventana de pila TCP más grande de acuerdo con la siguiente fórmula: tamaño de ventana = RTT * ancho de banda. Por ejemplo, para conexiones con un RTT de 200 MS y ancho de banda de 20 MBS, el tamaño de la ventana TCP es de 4 MB (0,2 Seg * 20 MB). Sin embargo, hay otros escenarios donde el PoP espera una respuesta del servidor antes de enviar respuestas ACK al cliente.

Nota: La aceleración TCP no es compatible con los transportes Alternative-WAN y Off-Cloud.

Aceleración TCP vs Proxy TCP

Desde el punto de vista de los PoP, el comportamiento explicado en la sección anterior se ve como un proxy TCP. La Aceleración TCP es la característica que se puede habilitar o deshabilitar en la Cato Management Application, mientras que el Proxy TCP es el mecanismo real de división de conexión TCP que ocurre en los PoPs. La Aceleración TCP activa el proxy TCP cuando está habilitada. Hacemos esta distinción porque en algunos casos, el proxy TCP puede seguir ocurriendo incluso si la aceleración TCP está desactivada en la Cato Management Application.

Proxy TCP para Tráfico WAN

Para el tráfico WAN sobre Cato Cloud, están disponibles dos modos de proxy TCP:

  • Proxy TCP de WAN completo

  • Preservando la negociación TCP WAN original y retrasando el proxy TCP

Para el tráfico WAN que utiliza el modo Proxy TCP de WAN completo, el proxy TCP comienza inmediatamente en los primeros paquetes SYN para cada conexión. Este modo impone el Proxy TCP en el tráfico independientemente de las configuraciones de Aceleración. Hay algunas situaciones donde este modo no es una configuración óptima, por ejemplo, SIP trunk y tráfico Off-Cloud.

Con el modo Preservando la negociación TCP WAN original y retrasando el Proxy TCP, el proxy TCP se retrasa y comienza solo después de que se completa el protocolo de enlace TCP. El proxy TCP no se impone independientemente de las configuraciones de aceleración. Recomendamos este modo para el tráfico Alt WAN y la conmutación por error Off-Cloud, ya que el PoP conserva la misma secuencia TCP a través del túnel. Sin embargo, al usar este modo, los parámetros de la sesión TCP como el Escalado de Ventana, MSS y otros, ya están establecidos antes de que comience el proxy TCP, y pueden tener diferentes parámetros TCP de los PoP de Cato.

A partir de noviembre de 2023, el Proxy TCP de WAN completo es el modo predeterminado para las nuevas cuentas. Para las cuentas que se crearon antes de esta fecha, el modo Proxy TCP de WAN completo está desactivado de forma predeterminada.

Puedes cambiar el modo de Proxy TCP WAN en la página de Configuración Avanzada tanto a nivel de cuenta como a nivel de sitio.

Imposición del Proxy TCP

Las siguientes secciones describen las circunstancias en las que el Proxy TCP se habilita automáticamente y anula la configuración de Aceleración TCP Activa.

Uso de un IP de Salida en una Regla de Red

Al elegir una IP o ubicación de salida en una regla de red, los PoPs actúan como servidores proxy para la conexión y Cato activa automáticamente el proxy TCP. No puedes desactivar la aceleración TCP para reglas de salida en la Cato Management Application. La siguiente captura de pantalla muestra una regla de red de salida donde la opción Aceleración TCP Activa está desactivada (Network > Network Rules > Edit Rule).

TCP_Acceleration.png

Para más información sobre las reglas de salida, consulta Mejores Prácticas para el Tráfico de Salida en una Regla de Red.

Trabajando con Reglas de Red Complejas

Una regla de red compleja es una regla de red que el propio Socket no puede evaluar. Por lo tanto, el Socket necesita enviar el tráfico al PoP para elegir la regla de red correcta, lo que activa el Proxy TCP. Una regla compleja puede contener Aplicaciones, Categorías de Aplicaciones, Servicios, Aplicaciones Personalizadas u objetos de Dominio/FQDN.

Desactivar la Aceleración TCP en una regla de red no desactivará el proxy TCP cuando:

  • Existe una regla de red compleja por encima de la regla de red con Aceleración TCP desactivada

  • La regla de red que tiene la Aceleración TCP desactivada es en sí una regla compleja

El siguiente ejemplo muestra la regla de red n.º 2 con la aceleración TCP desactivada. Debido a que la regla n.º 1 es una regla compleja que contiene aplicaciones, el tráfico que coincide con la regla de red n.º 2 tendrá el proxy TCP aplicado. Para desactivar el proxy TCP en este escenario, la regla de red n.º 2 debe colocarse por encima de la regla compleja (regla n.º 1).

tcp_complex_networkRule.png

Recuperación de la Desconexión de PoP

En el caso de que el túnel desde el Socket al PoP se desconecte, el Socket intenta reconectarse al mismo PoP. Si el Socket logra reconectarse, la conexión se recupera ya que el PoP mantiene el estado del túnel. En el caso de que el Socket no pueda conectarse al mismo PoP y la aceleración TCP esté habilitada para una regla de red, el estado de las conexiones existentes se pierde. Dado que el PoP actúa como el servidor proxy TCP, cuando el Socket pierde conectividad con el PoP, el estado de la conexión se pierde y el cliente debe iniciar una nueva conexión. Por lo tanto, recomendamos habilitar el proxy TCP para aplicaciones que pueden sobrevivir a desconexiones momentáneas, como aplicaciones web y compartición de archivos.

Mejores Prácticas para la Aceleración TCP

Esta sección describe las mejores prácticas para cuándo habilitar la aceleración TCP para tipos específicos de aplicaciones.

Habilitación de la Aceleración TCP para Aplicaciones Web

Comúnmente, las aplicaciones web no tienen cliente y usan un navegador web para conectarse a un servidor. El motor de aceleración TCP de Cato mejora significativamente el rendimiento de este tráfico. Recomendamos que habilites la aceleración TCP para las reglas de red con aplicaciones web.

Habilitación de la Aceleración TCP para Aplicaciones de Compartición de Archivos

Las aplicaciones de compartición de archivos, como SMB, pueden sufrir de latencia de red o retransmisiones en caso de pérdida de paquetes. Si usas la compartición de archivos entre computadoras en tu red (es decir, el protocolo SMB para compartir recursos), la aceleración TCP de Cato puede mejorar significativamente la velocidad de transferencia de archivos. Recomendamos que habilites la aceleración TCP para las reglas de red de estas aplicaciones.

Desactivación de la Aceleración TCP para Aplicaciones Sensibles

Hay algunas aplicaciones que son sensibles a las desconexiones de red, y es difícil para ellas recuperarse después de una desconexión. Estas aplicaciones suelen ser aplicaciones heredadas de escritorio en una arquitectura cliente-servidor. Después de una desconexión, obligan al cliente a iniciar una nueva conexión y luego pierden el estado de la conexión. Por ejemplo, para los clientes de Citrix que ya utilizan un protocolo optimizado, recomendamos que desactives la aceleración TCP para las reglas de red con este tráfico.

Proxy TCP y Inspección TLS

La función de inspección TLS desencripta el tráfico HTTPS para funciones de seguridad como Anti-Malware e IPS. Esta función utiliza los PoPs como servidores proxy para inspeccionar el tráfico en busca de archivos maliciosos y amenazas. Cuando habilitas la Inspección TLS para tu cuenta, Cato activa el proxy TCP para todo el tráfico TLS. Para más información sobre la inspección TLS, consulta Configurar la Política de Inspección TLS para la Cuenta.

Habilitar o desactivar la Aceleración TCP no está relacionado con habilitar la Inspección TLS.

Ajuste Fino de la Aceleración TCP para Sistemas Operativos Windows

Esta sección discute cómo optimizar la configuración TCP para computadoras Windows para mejorar la aceleración TCP para tus reglas de red.

Habilitación de la Opción de Escalado de Ventana TCP

Algunos sistemas operativos Windows están configurados para usar un tamaño de ventana predeterminado de 64KB. Este tamaño de ventana es limitado y puede causar problemas de rendimiento y latencia. Los PoPs de Cato asignan una pila TCP que es mayor que el tamaño de ventana predeterminado para una transferencia de datos más eficiente. Por lo tanto, recomendamos encarecidamente que habilites la opción de escalado de ventana TCP en tus computadoras Windows.

Nota: Usualmente la opción de escalado de ventana TCP está habilitada por defecto.

Habilitación de la Opción de Sello de Tiempo TCP

La configuración predeterminada para los sistemas operativos Windows no admite la opción de sello de tiempo TCP. Habilita la opción de sello de tiempo TCP para mejorar las mediciones RTT de los paquetes y ayudar a identificar la pérdida de paquetes. Esta opción también ayuda a la pila TCP a ajustar el temporizador de retransmisión en caso de pérdida de paquetes. Recomendamos habilitar el sello de tiempo TCP en tus computadoras Windows.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 4 de 4

0 comentarios