Algumas conexões TCP, especialmente as de longa distância, frequentemente apresentam alta latência que tem um impacto negativo na experiência do usuário. O recurso de aceleração TCP da Cato Networks acelera as conexões TCP na WAN e melhora a eficiência e velocidade da rede para o tráfego TCP.
Este artigo explica como a Cato implementa a aceleração TCP e lista algumas melhores práticas para otimizar a aceleração TCP para aplicações específicas que são baseadas em tráfego TCP.
A Cato realiza a aceleração TCP designando os PoPs da Cato para atuar como um servidor proxy intermediário entre o cliente e o servidor de destino. O proxy elimina uma conexão de longa distância e, em vez disso, a divide em três conexões curtas. A vantagem é que, em vez de manter uma conexão de longa distância, o Socket mantém uma conexão curta com o PoP mais próximo. O tráfego entre os PoPs é transferido pela espinha dorsal privada da Cato Cloud que garante a velocidade da nuvem e baixa latência. O PoP mais próximo do destino envia o tráfego para o servidor.
Se houver perda de pacotes, os PoPs são responsáveis por retransmitir os pacotes, e isso permite uma reação rápida e reduz o tempo de resposta. Essa técnica melhora o desempenho do TCP e reduz o tempo de recuperação se um túnel se desconectar. Cada conexão curta tem um tempo de ida e volta (RTT) mais curto por pacote em comparação a uma conexão de longa distância. As conexões curtas melhoram o desempenho e garantem uma entrega de dados mais rápida ao destino. Uma conexão de longa distância com um RTT alto significa que os pacotes estão viajando por mais tempo até chegarem ao destino. O tempo de viagem mais longo e as conexões lentas podem criar uma experiência de usuário ruim.
O diagrama a seguir mostra uma conexão do cliente para o servidor onde PoP A e PoP B atuam como servidores proxy:
O proxy divide a conexão de longa distância entre o cliente e o servidor em três conexões curtas:
-
Primeiro, a conexão é do Socket para o PoP A.
-
A segunda conexão é do PoP A para o PoP B, sobre a Cato Cloud.
-
A terceira conexão é do PoP B para o servidor de destino.
Cada PoP mantém sua própria pilha TCP e reduz as retransmissões de pacotes TCP de toda a janela no caso de perda de pacotes. Em alguns cenários, por exemplo, com tráfego TLS e Inspeção TLS habilitada ou uma regra de rede de saída que é avaliada, quando o PoP recebe mensagens SYN do cliente, ele rapidamente retorna respostas ACK para o cliente, em vez de esperar pela resposta do servidor. Enquanto isso, o Socket continua a enviar o tráfego TCP, o que torna a conexão mais rápida. O PoP aloca um tamanho maior de janela de pilha TCP de acordo com a fórmula a seguir: tamanho da janela = RTT * largura de banda. Por exemplo, para conexões com um RTT de 200MS e largura de banda de 20MBS, o tamanho da janela TCP é de 4 MB (0,2 Seg * 20 MB). No entanto, há outros cenários onde o PoP aguarda uma resposta do servidor antes de enviar respostas ACK para o cliente.
Nota: A aceleração TCP não é suportada para os transportes Alternative-WAN e Fora da Nuvem.
Do ponto de vista do PoP, o comportamento explicado na seção anterior é visto como proxy TCP. A aceleração TCP é o recurso que pode ser habilitado ou desabilitado no Aplicativo de Gerenciamento Cato, enquanto o Proxy TCP é o mecanismo real de divisão de conexão TCP que ocorre nos PoPs. A aceleração TCP aciona o proxy TCP quando está ativada. Fazemos essa distinção porque, em alguns casos, o proxy TCP pode ainda ocorrer mesmo se a aceleração TCP estiver desativada no Aplicativo de Gerenciamento Cato.
Para tráfego WAN sobre a Cato Cloud, dois modos de proxy TCP estão disponíveis:
-
Proxy TCP de WAN completo
-
Preservando a negociação TCP WAN original e atrasando o proxy TCP
Para tráfego WAN que usa o modo Proxy TCP de WAN completo, o proxy TCP começa imediatamente nos primeiros pacotes SYN para cada conexão. Este modo força o Proxy TCP no tráfego independentemente das Configurações de aceleração. Existem algumas situações em que esse modo não é uma configuração ideal, por exemplo, SIP trunk e tráfego Fora da Nuvem.
Com o modo Preservando a negociação TCP WAN original e atrasando o Proxy TCP, o proxy TCP é atrasado e começa somente após o handshake TCP ser concluído. O Proxy TCP não é aplicado independentemente das configurações de aceleração. Recomendamos este modo para tráfego ALT WAN e failover Fora da Nuvem, já que o PoP preserva a mesma sequência TCP através do túnel. No entanto, ao usar este modo os parâmetros da sessão TCP como Window Scaling, MSS e outros, já estão definidos antes de o proxy TCP começar, e podem ter parâmetros TCP diferentes dos PoPs da Cato.
A partir de novembro de 2023, o Proxy TCP de WAN completo é o modo padrão para novos contas. Para contas criadas antes dessa data, o modo Proxy TCP de WAN completo é desativado por padrão.
Você pode alterar o modo Proxy TCP para WAN na página de Configuração Avançada tanto em nível de conta quanto em nível de site.
As seções a seguir descrevem as circunstâncias em que o Proxy TCP é ativado automaticamente e sobrescreve a configuração Aceleração TCP Ativa.
Ao escolher um IP de saída ou localização em uma regra de rede, os PoPs atuam como servidores proxy para a conexão e a Cato ativa automaticamente o proxy TCP. Você não pode desativar a aceleração TCP para regras de saída no Aplicativo de Gerenciamento Cato. A captura de tela a seguir mostra uma regra de rede de saída onde a opção Aceleração TCP Ativa está desativada (Rede > Regras de Rede > Editar Regra).
Para mais informações sobre regras de saída, consulte Melhores Práticas para o Tráfego de Saída em uma Regra de Rede.
Uma regra de rede complexa é uma regra de rede que o Socket não pode avaliar por si só. Portanto, o Socket precisa enviar o tráfego para o PoP para escolher a regra de rede correta, o que por sua vez habilita o Proxy TCP. Uma regra complexa pode conter Aplicações, Categorias de Aplicações, Serviços, Aplicações Personalizadas ou objetos de Domínio/FQDN.
Desativar a Aceleração TCP em uma regra de rede não desativará o proxy TCP quando:
-
Existe uma regra de rede complexa acima da regra de rede com Aceleração TCP desativada
-
A regra de rede que tem a Aceleração TCP desativada é, por si só, uma regra complexa
O exemplo abaixo mostra a regra de rede nº 2 com a Aceleração TCP desativada. Porque a regra nº 1 é uma regra complexa contendo Aplicações, o tráfego que corresponde à regra de rede nº 2 terá o proxy TCP aplicado. Para desativar o proxy TCP neste cenário, a regra de rede nº 2 deve ser colocada acima da regra complexa (regra nº 1).
No caso de o túnel do Socket para o PoP se desconectar, o Socket então tenta se reconectar ao mesmo PoP. Se o Socket conseguir se reconectar, a conexão é recuperada, pois o PoP mantém o estado do túnel. No caso de o Socket não conseguir se conectar ao mesmo PoP, e a aceleração TCP estar ativada para uma regra de rede, o estado das conexões existentes é perdido. Como o PoP atua como o servidor proxy TCP, quando o Socket perde a conectividade com o PoP, o estado da conexão é perdido, e o cliente deve iniciar uma nova conexão. Portanto, recomendamos habilitar o proxy TCP para aplicações que podem sobreviver a desconexões momentâneas, como aplicativos web e compartilhamento de arquivos.
Esta seção descreve as melhores práticas para quando habilitar a aceleração TCP para tipos específicos de aplicações.
Geralmente, as aplicações web são sem cliente e usam um navegador web para se conectar a um servidor. O motor de aceleração TCP da Cato melhora significativamente o desempenho deste tráfego. Recomendamos que você habilite a aceleração TCP para regras de rede com aplicações web.
Aplicações de compartilhamento de arquivos, como SMB, podem sofrer com latência de rede ou retransmissões em caso de perda de pacotes. Se você usar o compartilhamento de arquivos entre computadores na sua rede (ou seja, protocolo SMB para o compartilhamento de recursos), a aceleração TCP da Cato pode melhorar significativamente a velocidade de transferência de arquivos. Recomendamos que você habilite a aceleração TCP para as regras de rede dessas aplicações.
Existem algumas aplicações que são sensíveis a desconexões de rede, e é difícil para elas se recuperarem após uma desconexão. Essas aplicações são geralmente aplicações legadas de desktop em uma arquitetura cliente-servidor. Após uma desconexão, elas forçam o cliente a iniciar uma nova conexão e então perdem o estado da conexão. Por exemplo, para clientes Citrix que já usam um protocolo otimizado, recomendamos que você desative a aceleração TCP para regras de rede com esse tráfego.
A funcionalidade de inspeção TLS descriptografa o tráfego HTTPS para recursos de segurança, como Anti-Malware e IPS. Esta funcionalidade usa os PoPs como servidores proxy para inspecionar o tráfego em busca de arquivos maliciosos e ameaças. Ao habilitar a Inspeção TLS para sua conta, a Cato ativa o proxy TCP para todo o tráfego TLS. Para mais sobre a inspeção TLS, consulte Configurando a Política de Inspeção TLS para a Conta.
Habilitar ou desativar a Aceleração TCP não está relacionado a habilitar a Inspeção TLS.
Esta seção discute como otimizar a configuração TCP para computadores Windows para melhorar a aceleração TCP para suas regras de rede.
Alguns sistemas operacionais Windows são configurados para usar um tamanho de janela padrão de 64KB. Esse tamanho de janela é limitado e pode causar problemas de desempenho e latência. Os PoPs da Cato alocam uma pilha TCP que é maior que o tamanho de janela padrão para uma transferência de dados mais eficiente. Portanto, recomendamos fortemente que você habilite a opção de escalonamento de janela TCP em seus computadores Windows.
Nota: Geralmente, a opção de escalonamento da janela TCP é habilitada por padrão.
A configuração padrão dos sistemas operacionais Windows não suporta a opção de timestamp TCP. Habilitar a opção de timestamp TCP para melhorar as medições RTT dos pacotes e ajudar a identificar a perda de pacotes. Esta opção também ajuda a pilha TCP a ajustar o temporizador de retransmissão em caso de perda de pacotes. Recomendamos habilitar o timestamp TCP em seus computadores Windows.
0 comentário
Por favor, entre para comentar.