Certaines connexions TCP, notamment celles sur de longues distances, subissent souvent une forte latence qui a un impact négatif sur l'expérience utilisateur. La fonction d'accélération TCP de Cato Networks accélère les connexions TCP sur le WAN et améliore l'efficacité et la vitesse du réseau pour le trafic TCP.
Cet article explique comment Cato implémente l'accélération TCP et liste quelques meilleures pratiques pour optimiser l'accélération TCP pour les applications spécifiques qui reposent sur le trafic TCP.
Cato accomplit l'accélération TCP en désignant les PoPs de Cato pour agir comme serveur proxy intermédiaire entre le client et le serveur de destination. Le proxy élimine une connexion de longue distance et la divise à la place en trois courtes. L'avantage est que, au lieu de maintenir une connexion de longue distance, le Socket maintient une connexion courte avec le PoP le plus proche. Le trafic entre les PoPs est transféré sur le backbone privé de Cato Cloud qui garantit la vitesse du cloud et une faible latence. Le PoP le plus proche de la destination envoie le trafic au serveur.
En cas de perte de paquets, les PoPs sont responsables de retransmettre les paquets, ce qui permet une réaction rapide et réduit le temps de réponse. Cette technique améliore les performances TCP et réduit le temps de récupération si un tunnel se déconnecte. Chaque connexion courte a un temps aller-retour (RTT) plus court par paquet comparé à une connexion longue distance. Les connexions courtes améliorent les performances et garantissent une livraison plus rapide des données à la destination. Une connexion de longue distance avec un RTT élevé signifie que les paquets voyagent pendant une plus longue période jusqu'à atteindre la destination. Le temps de trajet plus long et les connexions lentes peuvent créer une mauvaise expérience utilisateur.
Le diagramme suivant montre une connexion du client au serveur où les PoP A et PoP B agissent comme serveurs proxy :
Le proxy divise la connexion longue distance entre le client et le serveur en trois connexions courtes :
-
La première connexion est du Socket au PoP A.
-
La deuxième connexion va du PoP A au PoP B, via le Cato Cloud.
-
La troisième connexion va du PoP B au serveur de destination.
Chaque PoP maintient sa propre pile TCP et réduit les retransmissions de paquets TCP de toute la fenêtre en cas de perte de paquets. Dans certains scénarios, par exemple, avec trafic TLS et l'inspection TLS est activée ou une règle de réseau de sortie est évaluée, lorsque le PoP reçoit des messages SYN du client, il renvoie rapidement des réponses ACK au client, au lieu d'attendre la réponse du serveur. Pendant ce temps, le Socket continue d'envoyer le trafic TCP ce qui rend la connexion plus rapide. Le PoP alloue une taille de fenêtre de pile TCP plus grande selon la formule suivante : taille de fenêtre = RTT * bande passante. Par exemple, pour des connexions avec un RTT de 200MS et une bande passante de 20MBS, la taille de la fenêtre TCP est de 4 MB (0,2 sec * 20 MB). Cependant, il y a d'autres scénarios où le PoP attend une réponse du serveur avant d'envoyer des réponses ACK au client.
Note : L'accélération TCP n'est pas prise en charge pour Alternative-WAN et les transports Off-Cloud.
Du point de vue des PoP, le comportement expliqué dans la section précédente est considéré comme un proxy TCP. L'accélération TCP est la fonctionnalité qui peut être activée ou désactivée dans l'application de gestion Cato, tandis que le proxy TCP est le mécanisme réel de division de la connexion TCP qui a lieu sur les PoP. L'accélération TCP déclenche le proxy TCP lorsqu'elle est activée. Nous faisons cette distinction car dans certains cas, le proxy TCP peut toujours se produire même si l'accélération TCP est désactivée dans l'application de gestion Cato.
Pour le trafic WAN sur le Cato Cloud, deux modes de proxy TCP sont disponibles :
-
Proxy TCP WAN complet
-
Préservation de la négociation TCP WAN d'origine et retardant le proxy TCP
Pour le trafic WAN qui utilise le mode Proxy TCP WAN complet, le proxy TCP commence immédiatement sur les premiers paquets SYN pour chaque connexion. Ce mode impose le proxy TCP sur le trafic quel que soit les configurations de l'Accélération. Il existe certaines situations où ce mode n'est pas une configuration optimale, comme le trunk SIP et le trafic Off-Cloud.
Avec le mode Préservation de la négociation TCP WAN d'origine et retardant le Proxy TCP, le proxy TCP est retardé et ne commence que lorsque la poignée de main TCP est terminée. Le proxy TCP n'est pas imposé indépendamment des configurations d'accélération. Nous recommandons ce mode pour le trafic Alt WAN, et le basculement Off-Cloud, car le PoP conserve la même séquence TCP à travers le tunnel. Cependant, lorsque vous utilisez ce mode, les paramètres de session TCP tels que la mise à l'échelle de la fenêtre, MSS, et d'autres, sont déjà définis avant que le proxy TCP ne commence, et peuvent avoir des paramètres TCP différents de ceux des PoP de Cato.
À partir de novembre 2023, le mode Proxy TCP WAN complet est le mode par défaut pour les nouveaux comptes. Pour les comptes créés avant cette date, le mode Proxy TCP WAN complet est désactivé par défaut.
Vous pouvez changer le mode de proxy TCP WAN dans la page de Configuration Avancée aussi bien à l'échelle du compte qu'à l'échelle du site.
Les sections suivantes décrivent les circonstances où le Proxy TCP est activé automatiquement et annule le paramètre Accélération TCP Active.
Lorsque vous choisissez une IP de sortie ou un emplacement dans une règle de réseau, les PoPs agissent comme serveurs proxy pour la connexion et Cato active automatiquement le proxy TCP. Vous ne pouvez pas désactiver l'accélération TCP pour les règles de sortie dans l'application de gestion Cato. La capture d'écran suivante montre une règle de réseau de sortie où l'option Accélération TCP Active est grisée (Réseau > Règles de Réseau > Modifier la Règle).
Pour en savoir plus sur les règles de sortie, voir Meilleures Pratiques pour le Trafic Sortant dans une Règle de Réseau.
Une règle de réseau complexe est une règle de réseau que le Socket lui-même ne peut pas évaluer. Par conséquent, le Socket doit envoyer le trafic au PoP pour choisir la règle de réseau correcte qui à son tour active le Proxy TCP. Une règle complexe peut contenir Applications, Catégories d'Applications, Services, Applications Personnalisées, ou objets Domaine/FQDN.
Désactiver l'Accélération TCP dans une règle de réseau ne désactivera pas le Proxy TCP quand :
-
Une règle de réseau complexe existe au-dessus de la règle de réseau avec Accélération TCP désactivée
-
La règle de réseau qui a l'Accélération TCP désactivée est elle-même une règle complexe
L'exemple ci-dessous montre la règle de réseau n°2 avec l'accélération TCP désactivée. Parce que la règle n°1 est une règle complexe contenant des Applications, le trafic correspondant à la règle de réseau n°2 aura le proxy TCP appliqué. Pour désactiver le proxy TCP dans ce scénario, la règle de réseau n°2 doit être placée au-dessus de la règle complexe (règle n°1).
Dans le cas où le tunnel du Socket au PoP se déconnecte, le Socket tente alors de se reconnecter au même PoP. Si le Socket parvient à se reconnecter, la connexion est récupérée puisque le PoP conserve l'état du tunnel. Dans le cas où le Socket ne peut pas se connecter au même PoP, et que l'accélération TCP est activée pour une règle de réseau, l'état des connexions existantes est perdu. Étant donné que le PoP agit comme le serveur proxy TCP, lorsque le Socket perd la connectivité avec le PoP, l'état de la connexion est perdu et le client doit initier une nouvelle connexion. Par conséquent, nous recommandons d'activer le proxy TCP pour les applications qui peuvent survivre à des déconnexions momentanées telles que les applications web et le partage de fichiers.
Cette section décrit les meilleures pratiques pour savoir quand activer l'accélération TCP pour des types spécifiques d'applications.
Généralement, les applications web sont sans client et utilisent un navigateur web pour se connecter à un serveur. Le moteur d'accélération TCP de Cato améliore considérablement les performances de ce trafic. Nous vous recommandons d'activer l'accélération TCP pour les règles de réseau avec des applications web.
Les applications de partage de fichiers, telles que SMB, peuvent souffrir de latence réseau ou de retransmissions en cas de perte de paquets. Si vous utilisez le partage de fichiers entre ordinateurs de votre réseau (c’est-à-dire le protocole SMB pour le partage de ressources), l'accélération TCP de Cato peut améliorer considérablement la vitesse de transfert des fichiers. Nous vous recommandons d’activer l’accélération TCP pour les règles réseau de ces applications.
Il existe certaines applications sensibles aux déconnexions réseau, et il leur est difficile de se rétablir après une déconnexion. Ces applications sont généralement des applications héritées de bureau en architecture client-serveur. Après une déconnexion, elles obligent le client à initier une nouvelle connexion et perdent alors l'état de la connexion. Par exemple, pour les clients Citrix qui utilisent déjà un protocole optimisé, nous recommandons de désactiver l'accélération TCP pour les règles réseau avec ce type de trafic.
La fonctionnalité d'inspection TLS déchiffre le trafic HTTPS pour des fonctionnalités de sécurité telles qu'Anti-Malware et IPS. Cette fonctionnalité utilise les PoPs comme serveurs proxy pour inspecter le trafic à la recherche de fichiers malveillants et de menaces. Lorsque vous activez l'inspection TLS pour votre compte, Cato active le proxy TCP pour tout le trafic TLS. Pour plus d'informations sur l'inspection TLS, voir Configuring TLS Inspection Policy for the Account.
Activer ou désactiver l'accélération TCP n'est pas lié à l'activation de l'inspection TLS.
Cette section aborde comment optimiser les réglages TCP pour les ordinateurs Windows afin d'améliorer l'accélération TCP pour vos règles réseau.
Certains systèmes d'exploitation Windows sont configurés pour utiliser une taille de fenêtre par défaut de 64KB. Cette taille de fenêtre est limitée et peut causer des problèmes de performance et de latence. Les PoPs de Cato allouent une pile TCP plus grande que la taille de fenêtre par défaut pour un transfert de données plus efficace. Ainsi, nous vous recommandons vivement d’activer l’option de mise à l’échelle de la fenêtre TCP sur vos ordinateurs Windows.
Remarque : Généralement, l'option de mise à l'échelle de la fenêtre TCP est activée par défaut.
Le paramètre par défaut des systèmes d’exploitation Windows ne prend pas en charge l’option d’horodatage TCP. Activez l'option d'horodatage TCP pour améliorer les mesures RTT des paquets et aider à identifier la perte de paquets. Cette option aide également la pile TCP à ajuster le minuteur de retransmission en cas de perte de paquets. Nous recommandons d'activer l'horodatage TCP sur vos ordinateurs Windows.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.