Традиционная архитектура WAN сложно масштабируется для современных предприятий, которые зависят от множества филиалов, облачных ресурсов, SaaS-приложений и подключения на основе Интернета. Статическая маршрутизация, ограниченная видимость производительности последних миль и зависимость от вручную управляемых каналов WAN усложняют поддержку производительности и отказоустойчивости приложений. SD-WAN решает эти задачи с помощью централизованной маршрутизации на основе политик, направляя трафик в соответствии с реальными условиями канала, требованиями приложений и бизнес-приоритетами. Это позволяет использовать несколько транспортов WAN более эффективно, улучшая доступность и упрощая операции.
Cato SD-WAN расширяет эти ключевые возможности с помощью облачной архитектуры, которая подключает сайты к Cato Cloud через зашифрованные оверлейные туннели. Cato Sockets непрерывно следят за состоянием каналов и вычисляют лучший путь для трафика на основе таких метрик, как задержка, джиттер, потеря пакетов и расстояние. Это позволяет оптимизировать трафик для чувствительных приложений и поддерживать непрерывность сервиса, когда качество канала ухудшается или путь становится недоступным. Cato также поддерживает активное/активное управление трафиком, снижение потерь пакетов, оптимизацию MTU, ускорение TCP и управление пропускной способностью для улучшения производительности последних миль.
Это решение снижает операционную сложность, которая характерна для традиционных развертываний WAN. Вместо управления отдельными устройствами и политиками для маршрутизации, оптимизации и соединения, вы управляете поведением SD-WAN из Приложения Управления Cato (CMA) как частью единой конвергированной платформы. Это обеспечивает централизованную видимость производительности сайта и канала и позволяет применять одинаковые политические установления сетей и безопасности для сайтов, облачных сред и удаленных пользователей.
Существует несколько способов подключения сайтов и периферийных устройств к PoP в облаке Cato:
-
Физические периферийные сайты с сокетами
-
Периферийные сайты с совместимостью по устройствам через IPSec
-
Программный доступ, такой как клиент ZTNA Cato, корпоративный браузер или расширение для браузера
Для получения дополнительной информации о сравнении сокетов и сайтов IPsec посетите Подключение сайтов к облаку Cato.
Cato использует DTLS для установки безопасных, с низкой задержкой туннелей между сайтами и магистралью облака Cato. Использование UDP позволяет эффективно транспортировать трафик, чувствительный к задержкам, в то время как шифрование обеспечивает целостность и конфиденциальность данных в публичных сетях.
Маршрутизация - это алгоритм, используемый для определения, к какому из множества глобально распределенных PoP Cato пытается подключиться сокет для оптимального потока трафика.
Большинство сайтов могут подключаться почти к любому PoP в инфраструктуре облака Cato, за исключением специфических и ограниченных региональных условий. Существуют несколько алгоритмически определённых факторов балансировки, предназначенных для обеспечения того, чтобы любой пользователь или сайт были подключены к оптимальному PoP, основываясь на:
-
Физическое и логическое расстояние между сайтом и PoP
-
Состояние PoP и статус загрузки
-
PoP в той же стране, что и подключаемые сайты
-
Качество соединения промежуточного слоя между сайтом и PoP
Топологии SD-WAN поддерживают несколько каналов, в сочетании с мониторингом в режиме реального времени для обеспечения многоканальной устойчивости и избыточности, основанной на SLA.
Для получения дополнительной информации о поведении избыточности и приоритета канала сокета смотрите Cato Socket Link SLA Architecture.
Cato осуществляет мониторинг состояния соединения по всем каналам WAN в реальном времени. Это позволяет сокетам переключаться между несколькими активными соединениями или активировать пассивные соединения. Для примера, сокет может активировать резервный сотовый канал, если возникают проблемы с проводными кабелями.
Когда SLA для подключения находится в пределах допустимого порога SLA, сокет остаётся подключённым к тому же PoP и использует алгоритмы выбора пути в реальном времени для выбора наилучшего канала для каждого нового потока.
Когда SLA для основного канала в сайте становится недопустимым, сокет активирует вторичный пассивный канал и направляет трафик по нему в PoP. Если ни один канал не имеет хороших метрик SLA, сайт подключается к альтернативному PoP. Когда основной канал возвращается к допустимому уровню SLA, сокет возвращает потоки на основной канал, а вторичный канал отключается.
Для получения более подробной информации о порогах SLA см. Настройка параметров SLA соединения.
Cato предлагает ряд триггеров оповещений о состоянии соединения, которые администраторы могут использовать для информирования их о динамических состояниях сетевого здоровья с различными настраиваемыми триггерами. Для получения дополнительной информации смотрите Работа с правилами мониторинга связи.
В SD-WAN модели залажена возможность для сайтов сокетов использовать существующие WAN соединения с публичным Интернетом. Эти соединения, как правило, используются для подключения к глобальной частной магистрали. Однако, сайты также могут общаться друг с другом через туннели между сайтами напрямую через эти соединения, используя транспорт вне облака. Если магистраль Cato недоступна, сайты могут использовать эти соединения для обеспечения отказоустойчивости всех данных.
Для получения дополнительной информации об отказоустойчивости сайтов с использованием восстановления WAN см. Отказоустойчивость сайтов сокетов с восстановлением WAN.
Одним из преимуществ использования Cato в качестве оверлея поверх нескольких каналов ISP является возможность интеллигентного определения путей выхода и профилей оптимизации для исходящего трафика.
Набор политик управления пропускной способностью Cato позволяет администраторам управлять приоритетами для настраиваемых классов трафика, когда ресурсы промежуточного слоя ограничены или ограничены. В архитектурах SD-WAN не стоит рассчитывать на контроль или управление трафиком ISP для интеллектуального исключения некритических пакетов в случае перегрузки. Используйте Профили управления пропускной способностью, чтобы гарантировать, что критически важные услуги и приложения не были затронуты и обеспечены пропускной способностью.
Мониторинг статуса состояния отдельных каналов ISP - критически важная составляющая для принятия обоснованных сетевых и наилучших решений по маршрутам для трафика. CMA имеет множество страниц, которые помогут вам отслеживать статус всех отдельных соединений, составляющих промежуточный слой между сайтом и облаком Cato. Вы можете отслеживать различные индикаторы состояния в каналах промежуточного слоя, а также то, как этот трафик делится на настроенные приоритетные классы.
Для получения дополнительной информации о мониторинге каналов в реальном времени смотрите Анализ данных сайта в реальном времени.
Управление трафиком осуществляется через централизованную политику сетевых правил, определяющую поведение маршрутизации, выбор транспорта и профили оптимизации на основе приложения, источника и назначения. Определяйте правила для настройки управления трафиком, а также политики оптимизации, такие как ускорение TCP или снижение потерь пакетов.
Доступны дополнительные режимы транспорта, включая:
-
Обход - Трафик маршрутизируется через локальный сокет в Интернет через локальное соединение, обходя инфраструктуру облака Cato. Трафик обхода не осматривается двигателями безопасности в PoP.
-
Трафик обратного извлечения - Трафик отправляется через Cato SD-WAN на точку выхода в Интернет в определенном сайте сокета.
-
Трафик вне облака - Трафик между сайтами сокетов передается через зашифрованный туннель между сайтами по общественному интернету. Трафик вне облака не осматривается двигателями безопасности в PoP.
Для получения дополнительной информации смотрите Что такое сетевые правила?.
Cato позволяет постепенно переходить сайты от используемых технологий подключения к полной модели SD-WAN, используя гибридную модель WAN.
Гибридные конфигурации WAN позволяют легко увеличить пропускную способность за счёт добавления интернет-соединений к существующей MPLS сети. Перенос трафика с MPLS позволяет сократить ежемесячные расходы на пропускную способность и ускорить развёртывание новых установок за счёт использования местных интернет-каналов.
Гибридный WAN может быть постоянным решением или временной конфигурацией, позволяющей постепенно перенести трафик с линии MPLS на Cato SD-WAN. Например, настройте политику Сетевого правила, чтобы отправлять видео и голосовые данные только через MPLS.
Кроме того, сайты, использующие IPSec для подключения к корпоративным ресурсам, могут завершать эти туннели непосредственно на PoP. Это гарантирует, что безопасное соединение сохраняется, когда сайты постепенно переходят от подключения через IPSec или MPLS к модели Cato SD-WAN.
Для получения дополнительной информации о переходе на модель SD-WAN с использованием гибридной конфигурации WAN, см. Интеграция Cato с Alt WAN Network и Настройка сайтов с соединениями IPsec.
0 комментариев
Статья закрыта для комментариев.