As arquiteturas de WAN tradicionais são difíceis de escalar para empresas modernas que dependem de múltiplos sites, recursos na nuvem, aplicações SaaS e conectividade baseada na Internet. O roteamento estático, a visibilidade limitada do desempenho do último quilômetro e a dependência de links WAN geridos manualmente, tornam mais difícil manter o desempenho e a resiliência das aplicações. O SD-WAN enfrenta esses desafios usando roteamento centralizado baseado em políticas para direcionar o tráfego de acordo com as condições do link em tempo real, os requisitos das aplicações e as prioridades de negócios. Isso permite que você use múltiplos transportes WAN de forma mais eficiente, enquanto melhora a disponibilidade e simplifica as operações.
O Cato SD-WAN amplia essas capacidades básicas com uma arquitetura nativa da nuvem que conecta sites ao Cato Cloud através de túneis de sobreposição criptografados. Os Sockets da Cato monitoram continuamente a saúde do link e calculam o melhor caminho para o tráfego com base em métricas como latência, variação, perda de pacotes e distância. Isso permite otimizar o tráfego para aplicações sensíveis e manter a continuidade do serviço quando a qualidade do link se degrada ou um caminho se torna indisponível. Cato também oferece suporte para manipulação de tráfego ativo/ativo, mitigação de perda de pacotes, otimização de MTU, aceleração de TCP e gerenciamento de largura de banda para melhorar o desempenho do último quilômetro.
Esta solução reduz a complexidade operacional comum em implantações tradicionais de WAN. Em vez de gerenciar dispositivos e políticas de roteamento, otimização e conectividade separadamente, você gerencia o comportamento do SD-WAN a partir do Aplicativo de Gerenciamento Cato (CMA) como parte de uma plataforma única e convergida. Isso fornece visibilidade centralizada do desempenho de sites e links e permite aplicar políticas de redes e segurança consistentes em sites, ambientes de nuvem e usuários remotos.
Existem várias maneiras para sites e dispositivos de borda se conectarem a PoPs no Cato Cloud:
-
Sites de borda física com Sockets
-
Sites de borda com interoperabilidade de dispositivos de terceiros usando IPSec
-
Acesso baseado em software, como Cliente ZTNA da Cato, Navegador Empresarial ou Extensão de Navegador
Para mais informações sobre a comparação de sites Socket vs. IPsec, veja Conectando Sites à Nuvem da Cato.
Cato usa DTLS para estabelecer túneis seguros de baixa latência entre sites e o backbone do Cato Cloud. Usar UDP permite transporte eficiente para tráfego sensível à latência, enquanto a criptografia garante a integridade e confidencialidade dos dados em redes públicas.
Gerenciamento de tráfego é o algoritmo usado para determinar a qual dos muitos PoPs Cato globalmente dispersos um Socket tenta se conectar para o fluxo de tráfego ideal.
A maioria dos sites pode se conectar a quase qualquer PoP na infraestrutura da Cato Cloud, exceto considerações regionais específicas e limitadas. Existem alguns fatores de balanceamento definidos algoritmicamente, projetados para garantir que qualquer dado usuário ou site esteja conectado ao PoP ideal, com base em:
-
Distâncias físicas e lógicas entre o site e o PoP
-
Saúde e status de carga do PoP
-
PoPs no mesmo país que os sites conectados
-
Qualidade da conexão subjacente entre o site e o PoP
As topologias SD-WAN suportam múltiplos links, combinados com monitoramento em tempo real para fornecer resiliência com múltiplos links e redundância direcionada por SLA de precedência.
Para mais informações sobre a redundância de links do Socket e comportamentos de precedência, veja Arquitetura de SLA do Link do Socket Cato.
Cato monitora a saúde da conexão em todos os links WAN em tempo real. Isso permite que os Sockets mudem entre múltiplos links ativos ou ativem links passivos. Por exemplo, o Socket pode ativar um link celular de backup se houver um problema com os cabos conectados.
Quando o SLA de conectividade está dentro dos limites aceitáveis, o Socket permanece conectado ao mesmo PoP e usa algoritmos de seleção de caminho em tempo real para selecionar o melhor link para cada novo fluxo.
Quando há um SLA inaceitável para o link primário em um site, o Socket ativa o link passivo secundário e envia tráfego sobre ele para o PoP. Se nenhum link tiver boas métricas de SLA, o site conecta-se a um PoP alternativo. Quando o link primário volta a um SLA aceitável, o Socket move os fluxos de volta para o link primário e o link secundário é desativado.
Para mais informações sobre a afinação dos limites usados para cada site, veja Configurações de Conexão de Configuração de SLA
Cato oferece uma gama de alertas de saúde de conexão que os administradores podem usar para informá-los sobre as condições dinâmicas de saúde da rede com diferentes gatilhos configuráveis. Para mais informações, consulte Trabalhando com Políticas.
Intrínseco ao modelo SD-WAN está a capacidade dos sites Socket de alavancar conexões WAN existentes para a Internet pública. Essas conexões são geralmente usadas para se conectar à infraestrutura global de backbone privada. No entanto, os sites também podem se comunicar entre si via túneis site-a-site diretamente sobre essas conexões usando o transporte fora da nuvem. Se o backbone privado da Cato estiver indisponível, os sites podem usar essas conexões para garantir resiliência para todos os dados.
Para ler mais sobre a resiliência do site Socket, veja Resiliência do Site com Recuperação WAN.
Entre os benefícios de ter Cato como uma sobreposição através de múltiplos links ISP está a capacidade de definir inteligentemente caminhos de saída e perfis de otimização para tráfego de saída.
O conjunto de políticas de gerenciamento de largura de banda da Cato permite que administradores controlem a priorização para classes de tráfego configuráveis quando os recursos subjacentes são limitados ou restritos. Em arquiteturas SD-WAN, a polícia de tráfego ou modelagem de ISP não pode ser confiável para descartar inteligentemente pacotes não críticos em caso de congestionamento. Use Perfis de Gerenciamento de Largura de Banda para garantir que serviços e aplicações críticas não sejam afetados e, ao contrário, tenham largura de banda garantida.
Monitorar o status de saúde de links ISP individuais é um componente crítico para tomar decisões de rede informadas e de melhor caminho para o tráfego. O CMA tem múltiplas páginas para ajudar você a monitorar o status de todos os links individuais que compõem a camada inferior entre um site e o Cato Cloud. Você pode rastrear uma variedade de indicadores de saúde através dos links subjacentes, bem como como aquele tráfego é dividido em classes de prioridade configuradas.
Para mais informações sobre monitoramento de links em tempo real, veja Analisando Dados para um Site em Tempo Real.
O tratamento de tráfego é regido por uma política centralizada de Regras de Rede que define o comportamento de roteamento, seleção de transporte e perfis de otimização com base no contexto de aplicação, fonte e destino. Defina regras para adaptar o tratamento do tráfego, bem como quaisquer políticas de otimização, como aceleração de TCP ou mitigação de perda de pacotes.
Modos de transporte adicionais disponíveis incluem:
-
Ignorar - O tráfego é roteado via um Socket local para a Internet através de uma conexão subjacente local, contornando a infraestrutura do Cato Cloud. O tráfego ignorado não é inspecionado por motores de segurança no PoP
-
Retorno - O tráfego é enviado através do Cato SD-WAN para um ponto de saída da Internet em um site Socket designado
-
Fora da Nuvem - O tráfego entre sites Socket é enviado por um túnel criptografado entre os sites sobre a internet pública. O tráfego fora da nuvem não é inspecionado por motores de segurança no PoP
Para mais informações, veja O que são Regras de Rede?
Cato permite uma transição gradual de sites de tecnologias de conexão em uso para um modelo completo de SD-WAN, alavancando um modelo WAN híbrido.
Configurações WAN híbridas permitem um fácil aumento da largura de banda ao inserir conexões de Internet ao lado de uma rede MPLS existente. Descarregar o tráfego do MPLS permite reduções nos custos mensais de largura de banda e ativar novas instalações mais rapidamente, utilizando links de acesso à Internet nativos.
Uma WAN híbrida pode ser uma solução permanente ou uma configuração temporária para permitir que o tráfego seja gradualmente movido da linha MPLS para o Cato SD-WAN. Por exemplo, configure a política de Regras de Rede para enviar apenas dados de vídeo e voz sobre MPLS.
Além disso, sites que utilizam IPSec para conectar-se a recursos corporativos podem terminar esses túneis diretamente para um PoP. Isso garante que a conectividade segura seja mantida à medida que os sites fazem a transição de forma gradual de conectividade de encaminhamento IPSec ou MPLS para o modelo Cato SD-WAN.
Para mais informações sobre a transição para o modelo SD-WAN usando uma configuração WAN híbrida, veja Integrando Cato com uma Rede Alt WAN e Configurando Sites com Conexões IPsec.
0 comentário
Artigo fechado para comentários.