Cato TCP 가속 및 모범 사례 설명

일부 TCP 연결, 특히 장거리 연결은 종종 높은 지연 시간을 경험하여 사용자 경험에 부정적인 영향을 미칩니다. Cato Networks의 TCP 가속 기능은 WAN 상의 TCP 연결을 가속하여 TCP 트래픽의 네트워크 효율성과 속도를 향상시킵니다.

이 글에서는 Cato가 TCP 가속을 어떻게 구현하는지 설명하고 TCP 트래픽 기반 특정 애플리케이션에 대한 TCP 가속을 최적화하기 위한 모범 사례를 나열합니다.

TCP 가속 설명

Cato는 Cato PoPs를 클라이언트와 목적지 서버 사이의 중간 프록시 서버로 지명하여 TCP 가속을 수행합니다. 프록시는 장거리 연결을 제거하고 대신 세 개의 짧은 연결로 나눕니다. 이점은 장거리 연결을 유지하는 대신 소켓이 가장 가까운 PoP에 대한 짧은 연결을 유지한다는 점입니다. PoP 간의 트래픽은 클라우드 속도와 낮은 지연 시간을 보장하는 Cato Cloud 사설 백본을 통해 전송됩니다. 목적지에 가장 가까운 PoP가 트래픽을 서버에 전송합니다.

패킷 손실이 있는 경우 PoP가 패킷을 재전송할 책임이 있으며, 이는 빠른 반응을 허용하고 응답 시간을 줄입니다. 이 기술은 TCP 성능을 향상시키고 터널이 연결 해제되면 복구 시간을 줄입니다. 각 짧은 연결은 하나의 장거리 연결에 비해 패킷당 짧은 왕복 시간(RTT)을 가집니다. 짧은 연결은 성능을 향상시키고 목적지에 더 빠른 데이터 전송을 보장합니다. 높은 RTT를 가진 장거리 연결은 패킷이 목적지에 도달하기까지 더 오랜 시간 동안 이동하고 있다는 것을 의미합니다. 긴 이동 시간과 느린 연결은 열악한 사용자 경험을 초래할 수 있습니다.

다음 다이어그램은 PoP A와 PoP B가 프록시 서버로 작동하는 클라이언트에서 서버로의 연결을 보여줍니다:

mceclip0.png

프록시는 클라이언트와 서버 사이의 장거리 연결을 세 개의 짧은 연결로 나눕니다:

  1. 첫 번째 연결은 소켓에서 PoP A로의 연결입니다.

  2. 두 번째 연결은 Cato Cloud를 통한 PoP A에서 PoP B로의 연결입니다.

  3. 세 번째 연결은 PoP B에서 목적지 서버로의 연결입니다.

각 PoP는 자체 TCP 스택을 유지하고 패킷 손실이 발생할 경우 전체 창의 TCP 패킷 재전송을 줄입니다. 일부 시나리오에서는, 예를 들어 TLS 트래픽과 TLS 검사가 활성화되었거나 송신 네트워크 규칙이 평가될 때, PoP가 클라이언트로부터 SYN 메시지를 수신할 때 서버의 응답을 기다리지 않고 클라이언트에게 ACK 응답을 빠르게 반환합니다. 그동안 소켓은 TCP 트래픽을 보내 계속하여 연결 속도를 높입니다. PoP는 다음과 같은 공식에 따른 더 큰 TCP 스택 윈도우 크기를 할당합니다: 윈도우 크기 = RTT * 대역폭. 예를 들어, RTT가 200MS이고 대역폭이 20MBS인 연결의 경우, TCP 윈도우 크기는 4 MB입니다 (0.2 초 * 20 MB). 그러나 다른 시나리오에서는 PoP가 클라이언트에게 ACK 응답을 보내기 전에 서버로부터의 응답을 기다립니다.

참고: TCP 가속은 Alternative-WAN 및 클라우드 외부 전송에서는 지원되지 않습니다.

TCP 가속 대 TCP 프록시

PoP의 관점에서, 이전 섹션에서 설명한 행동은 TCP 프록시로 여겨집니다. TCP 가속은 Cato 관리 애플리케이션에서 활성화 또는 비활성화할 수 있는 기능인 반면, TCP 프록시는 PoP에서 발생하는 실제 TCP 연결 분할 메커니즘입니다. TCP 가속이 활성화되면 TCP 프록시를 트리거합니다. 우리는 이 구분을 하는 이유는, 일부 경우에는 Cato 관리 애플리케이션에서 TCP 가속이 비활성화되더라도 TCP 프록시가 여전히 발생할 수 있기 때문입니다.

WAN을 위한 TCP 프록시

Cato Cloud를 통한 WAN 트래픽의 경우, 두 가지 TCP 프록시 모드가 제공됩니다:

  • 완전 WAN TCP 프록시

  • 원래 WAN TCP 협상을 유지하고 TCP 프록시를 지연시키기

완전 WAN TCP 프록시 모드를 사용하는 WAN 트래픽의 경우, TCP 프록시는 각 연결의 첫 번째 SYN 패킷에서 즉시 시작됩니다. 이 모드는 가속 설정과 관계없이 트래픽에 TCP 프록시를 적용합니다. SIP 트렁크 및 클라우드 외부 트래픽과 같은 경우, 이 모드가 최적의 설정이 아닌 상황이 있습니다.

원래 WAN TCP 협상 유지 및 TCP 프록시 지연 모드에서는 TCP 프록시가 지연되어 TCP 핸드셰이크가 완료된 후에만 시작됩니다. 가속화 설정에 관계없이 TCP 프록시는 강제되지 않습니다. 우리는 ALT WAN 트래픽 및 클라우드 외부 페일오버에 이 모드를 추천합니다. PoP가 터널을 통한 동일한 TCP 시퀀스를 유지하기 때문입니다. 하지만 이 모드를 사용할 때 TCP 프록시가 시작되기 전에 윈도우 스케일링, MSS 등과 같은 TCP 세션 파라미터가 이미 설정되며, CATO PoP와 다른 TCP 파라미터를 가질 수 있습니다.

2023년 11월부터 완전한 WAN TCP 프록시가 신규 계정의 기본 모드입니다. 이 날짜 이전에 생성된 계정의 경우, 완전한 WAN TCP 프록시 모드는 기본적으로 비활성화됩니다.

고급 구성 페이지에서 계정 수준과 사이트 수준 모두에 대해 WAN TCP 프록시 모드를 변경할 수 있습니다.

TCP 프록시 강제 적용

다음 섹션에서는 활성 TCP 가속 설정을 무시하고 자동으로 TCP 프록시가 활성화되는 상황을 설명합니다.

네트워크 규칙에서 송신 IP 사용

네트워크 규칙에서 송신 IP 또는 위치를 선택하면 PoP가 연결의 프록시 서버 역할을 하며 Cato가 TCP 프록시를 자동으로 활성화합니다. Cato 관리 애플리케이션의 송신 규칙에 대해 TCP 가속을 비활성화할 수 없습니다. 다음 스크린샷은 활성 TCP 가속 옵션이 회색으로 표시된 송신 네트워크 규칙(네트워크 > 네트워크 규칙 > 규칙 편집)을 보여줍니다.

TCP_Acceleration.png

송신 규칙에 대한 자세한 내용은 네트워크 규칙에서 송신 트래픽에 대한 모범 사례를 참조하십시오.

복잡한 네트워크 규칙 작업

복잡한 네트워크 규칙은 소켓 자체가 평가할 수 없는 네트워크 규칙입니다. 따라서 소켓은 PoP에 트래픽을 보내야 하며, 이는 올바른 네트워크 규칙을 선택하고 결국 TCP 프록시를 활성화합니다. 복잡한 규칙에는 애플리케이션, 애플리케이션 카테고리, 서비스, 사용자 정의 애플리케이션 또는 도메인/FQDN 객체를 포함할 수 있습니다.

네트워크 규칙에서 TCP 가속을 비활성화해도 다음 경우에는 TCP 프록시가 비활성화되지 않습니다:

  • TCP 가속이 비활성화된 네트워크 규칙 위에 복잡한 네트워크 규칙이 존재하는 경우

  • TCP 가속이 비활성화된 네트워크 규칙 자체가 복잡한 규칙인 경우

아래 예시는 TCP 가속이 비활성화된 네트워크 규칙 2를 보여줍니다. 규칙 1은 애플리케이션을 포함한 복잡한 규칙이므로, 네트워크 규칙 2와 일치하는 트래픽에 TCP 프록시가 적용됩니다. 이 시나리오에서 TCP 프록시를 비활성화하려면 네트워크 규칙 #2를 복잡한 규칙(규칙 #1) 위로 이동시켜야 합니다.

tcp_complex_networkRule.png

PoP 연결 해제에서 복구

소켓에서 PoP로의 터널이 끊어지면 소켓은 동일한 PoP에 다시 연결을 시도합니다. 소켓이 다시 연결되면 PoP가 터널 상태를 유지하기 때문에 연결이 복구됩니다. 소켓이 같은 PoP에 연결할 수 없고 네트워크 규칙에 대해 TCP 가속이 활성화된 경우, 기존 연결의 상태가 손실됩니다. PoP가 TCP 프록시 서버로 작동하므로, 소켓이 PoP에 연결성을 잃으면 연결 상태가 손실되며, 클라이언트가 새로운 연결을 시작해야 합니다. 따라서 웹 애플리케이션과 파일 공유와 같이 순간적인 연결 해제를 견딜 수 있는 애플리케이션에 TCP 프록시를 활성화하는 것을 권장합니다.

TCP 가속을 위한 모범 사례

이 섹션에서는 특정 유형의 애플리케이션에 대해 TCP 가속을 활성화할 시점을 설명하는 모범 사례를 설명합니다.

웹 애플리케이션에 대한 TCP 가속 활성화

일반적으로 웹 애플리케이션은 클라이언트가 없으며, 웹 브라우저를 사용하여 서버에 연결합니다. Cato의 TCP 가속 엔진은 이러한 트래픽의 성능을 크게 향상시킵니다. 웹 애플리케이션이 있는 네트워크 규칙에 대해 TCP 가속을 활성화할 것을 권장합니다.

파일 공유 애플리케이션에 대한 TCP 가속 활성화

SMB와 같은 파일 공유 애플리케이션은 패킷 손실 시 네트워크 지연 시간이나 재전송의 영향을 받을 수 있습니다. 네트워크 내 컴퓨터 간에 파일 공유를 사용하는 경우(즉, 리소스 공유를 위한 SMB 프로토콜), Cato의 TCP 가속이 파일 전송 속도를 크게 향상시킬 수 있습니다. 이러한 애플리케이션의 네트워크 규칙에 대해 TCP 가속을 활성화하기를 권장합니다.

민감한 애플리케이션에 대한 TCP 가속 비활성화

일부 애플리케이션은 네트워크 연결 해제에 민감하며, 연결 해제 후 복구가 어렵습니다. 이러한 애플리케이션은 일반적으로 클라이언트-서버 아키텍처의 데스크탑 구형 애플리케이션입니다. 연결 해제 후, 클라이언트가 새 연결을 시작하도록 강제하여 연결 상태를 손실합니다. 예를 들어, 이미 최적화된 프로토콜을 사용하는 Citrix 클라이언트에 대해서는 이 트래픽에 대한 네트워크 규칙의 TCP 가속을 비활성화 할 것을 권장합니다.

TCP 프록시 및 TLS 검사

TLS 검사 기능은 안티 맬웨어 및 IPS와 같은 보안 기능을 위해 HTTPS 트래픽을 복호화합니다. 이 기능은 PoP를 프록시 서버로 사용하여 악성 파일 및 위협을 검사하기 위해 트래픽을 검사합니다. 계정에 대해 TLS 검사를 활성화하면, Cato는 모든 TLS 트래픽에 대해 TCP 프록시를 활성화합니다. TLS 검사에 대한 자세한 내용은 계정에 대한 TLS 검사 정책 구성을 참조하십시오.

TCP 가속 활성화 또는 비활성화는 TLS 검사 활성화와 관련이 없습니다.

Windows OS에 대한 TCP 가속 세부 조정

이 섹션에서는 Windows 컴퓨터의 TCP 설정을 최적화하여 네트워크 규칙의 TCP 가속을 개선하는 방법을 논의합니다.

TCP 윈도우 스케일링 옵션 활성화

일부 Windows 운영 체제는 기본 윈도우 크기를 64KB로 사용하도록 설정되어 있습니다. 이 윈도우 크기는 제한되어 있어 성능 문제 및 지연 시간을 초래할 수 있습니다. Cato PoPs는 기본 윈도우 크기보다 큰 TCP 스택을 할당하여 데이터 전송을 더 효율적으로 합니다. 따라서 Windows 컴퓨터에서 TCP 윈도우 스케일링 옵션을 활성화할 것을 강력히 권장합니다.

참고: 일반적으로 TCP 윈도우 스케일링 옵션은 기본적으로 활성화되어 있습니다.

TCP 타임스탬프 옵션 활성화

Windows 운영 체제의 기본 설정은 TCP 타임스탬프 옵션을 지원하지 않습니다. 패킷의 RTT 측정을 개선하고 패킷 손실을 식별하는 데 도움을 주기 위해 TCP 타임스탬프 옵션을 활성화하세요. 이 옵션은 또한 패킷 손실 시 재전송 타이머를 조정하는 데 TCP 스택을 지원합니다. Windows 컴퓨터에서 TCP 타임스탬프를 활성화하는 것을 권장합니다.

도움이 되었습니까?

4명 중 4명이 도움이 되었다고 했습니다.

댓글 0개