Объяснение ускорения TCP от Cato и лучших практик

Некоторые соединения TCP, особенно на большие расстояния, часто испытывают высокую задержку, что негативно сказывается на качестве работы пользователей. Функция ускорения TCP Cato Networks ускоряет соединения TCP через WAN и улучшает эффективность сети и скорость передачи TCP-трафика.

Эта статья объясняет, как Cato реализует ускорение TCP, и перечисляет некоторые лучшие практики для оптимизации ускорения TCP для специфических приложений, использующих TCP-трафик.

Объяснение ускорения TCP

Cato достигает ускорения TCP, назначая точки присутствия PoP Cato выполнять роль промежуточного прокси-сервера между клиентом и сервером назначения. Прокси устраняет подключение на длинные расстояния и вместо этого разделяет его на три коротких соединения. Преимущество в том, что вместо поддержания длинного соединения сокет поддерживает короткое соединение с ближайшим PoP. Трафик между PoP передается через частный канал Cato Cloud, что гарантирует скорость облака и низкую задержку. PoP, который ближе всего к назначению, отправляет трафик на сервер.

Если происходит потеря пакетов, PoP отвечает за их повторную передачу, что позволяет быстро реагировать и сокращает время ответа. Эта техника улучшает производительность TCP и сокращает время восстановления в случае обрыва туннеля. Каждое короткое соединение имеет более короткое время круговой поездки (RTT) на пакет по сравнению с длинным соединением. Короткие соединения повышают производительность и обеспечивают более быструю доставку данных до пункта назначения. Длинное соединение с высоким RTT означает, что пакеты путешествуют дольше, прежде чем достичь пункта назначения. Большее время в пути и медленные соединения могут создать плохое качество работы.

Следующая диаграмма показывает соединение от клиента к серверу, где PoP A и PoP B выступают в роли прокси-серверов:

mceclip0.png

Прокси разделяет длинное соединение между клиентом и сервером на три коротких соединения:

  1. Первое соединение - от сокета к PoP A.

  2. Второе соединение - от PoP A к PoP B через Cato Cloud.

  3. Третье соединение - от PoP B к серверу назначения.

Каждый PoP поддерживает собственный стек TCP и снижает повторные передачи TCP-пакетов всего окна в случае потери пакетов. В некоторых сценариях, например, с TLS-трафиком и включенной инспекцией TLS или правилом исходящей сети, PoP, получая SYN-сообщения от клиента, быстро возвращает ACK-ответы клиенту, а не ожидает ответа от сервера. Тем временем сокет продолжает отправлять TCP-трафик, что увеличивает скорость соединения. PoP выделяет больший размер окна TCP-стака по следующей формуле: размер окна = RTT * пропускная способность. Например, для соединений с RTT 200 мс и пропускной способностью 20 МБс, размер окна TCP составляет 4 МБ (0.2 секунды * 20 МБ). Однако есть и другие сценарии, где PoP ждет ответа от сервера, прежде чем отправить ACK-ответы клиенту.

Примечание: Ускорение TCP не поддерживается для транспортиов Alternative-WAN и Вне Облака.

Ускорение TCP против TCP-прокси

С точки зрения PoP, поведение, описанное в предыдущем разделе, рассматривается как TCP-прокси. Ускорение TCP — это функция, которую можно включить или отключить в Приложении Управления Cato, тогда как TCP-прокси — это фактический механизм разделения TCP-соединения, который осуществляется на PoP. Ускорение TCP активирует TCP-прокси, когда оно включено. Мы проводим это различие, потому что в некоторых случаях TCP-прокси может все же происходить, даже если ускорение TCP отключено в Приложении Управления Cato.

TCP-прокси для WAN-трафика

Для WAN-трафика через Cato Cloud доступны два режима TCP-прокси:

  • Полный WAN TCP-прокси

  • Сохранение оригинального согласования WAN TCP и задержка TCP-прокси

Для WAN-трафика, использующего режим Полный WAN TCP-прокси, TCP-прокси начинается сразу с первых SYN-пакетов для каждого соединения. Этот режим применяет TCP-прокси для трафика, независимо от настроек Ускорения. Есть некоторые ситуации, когда этот режим не является оптимальной настройкой, например, SIP-транк и трафик Вне Облака.

В режиме Сохранения оригинального согласования WAN TCP и задержки TCP-прокси, TCP-прокси задерживается и начинается только после завершения TCP рукопожатия. TCP-прокси не применяется независимо от настроек ускорения. Мы рекомендуем этот режим для трафика ALT WAN и аварийного переноса Вне Облака, так как PoP сохраняет ту же последовательность TCP через туннель. Однако при использовании этого режима параметры TCP-сессии, такие как масштабирование окна, MSS и другие, уже устанавливаются до начала TCP-прокси и могут иметь отличия от параметров TCP PoP Cato.

Начиная с ноября 2023 года, полный WAN TCP прокси будет стандартным режимом для новых учетных записей. Для учетных записей, созданных до этой даты, режим полного WAN TCP прокси по умолчанию отключен.

Вы можете изменить режим WAN TCP прокси на странице расширенной конфигурации как на уровне учетной записи, так и на уровне сайта.

Принудительное использование TCP прокси

Следующие разделы описывают обстоятельства, при которых TCP прокси автоматически включается и переопределяет настройки ускорения TCP.

Использование выходного IP в сетевом правиле

При выборе исходящего IP или местоположения в сетевом правиле, Точки присутствия действуют как прокси-серверы для Соединения, и Cato Автоматически активирует TCP прокси. Вы не можете отключить ускорение TCP для выходных правил в Приложении Управления Cato. Следующий скриншот показывает выходное сетевое правило, где опция ускорения TCP недоступна (Сеть > Сетевые правила > Редактировать правило).

TCP_Acceleration.png

Дополнительную информацию о выходных правилах см. в разделе Лучшие практики для выходящего трафика в сетевом правиле.

Работа с комплексными сетевыми правилами

Комплексное сетевое правило — это правило сети, которое сам Socket не может оценить. Поэтому Socket должен отправить трафик в PoP, чтобы выбрать правильное сетевое правило, что, в свою очередь, включает TCP прокси. Комплексное правило может содержать приложения, категории приложений, сервисы, пользовательские приложения или объекты доменов/FQDN.

Отключение ускорения TCP в сетевом правиле не отключает TCP прокси, когда:

  • Над сетевым правилом с отключенным ускорением TCP существует комплексное сетевое правило

  • Сетевое правило, в котором отключено ускорение TCP, само по себе является комплексным правилом

Ниже приведен пример, показывающий сетевое правило №2 с отключенным ускорением TCP. Поскольку правило №1 является комплексным правилом, содержащим приложения, трафик, соответствующий сетевому правилу №2, будет иметь применённый TCP прокси. Для отключения TCP прокси в этом сценарии сетевое правило №2 должно быть размещено выше комплексного правила (правило №1).

tcp_complex_networkRule.png

Восстановление после отключения от PoP

В случае, если туннель от Socket к PoP отключается, Socket пытается переподключиться к тому же PoP. Если Socket удаётся переподключиться, соединение восстанавливается, так как PoP сохраняет состояние туннеля. Если Socket не может подключиться к тому же PoP, и для сетевого правила включено ускорение TCP, состояние существующих соединений теряется. Поскольку PoP действует как сервер TCP прокси, когда Socket теряет подключение к PoP, состояние соединения теряется, и клиент должен инициировать новое соединение. Поэтому мы рекомендуем включать TCP прокси для приложений, которые могут выдерживать кратковременные отключения, таких как веб-приложения и обмен файлами.

Лучшие практики для ускорения TCP

В этом разделе описаны лучшие практики для включения ускорения TCP для определённых типов приложений.

Включение ускорения TCP для веб-приложений

Часто веб-приложения не имеют клиента и используют веб-браузер для подключения к серверу. Движок ускорения TCP от Cato значительно улучшает производительность этого трафика. Рекомендуем включить ускорение TCP для сетевых правил с веб-приложениями.

Включение ускорения TCP для приложений обмена файлами

Приложения для обмена файлами, такие как SMB, могут страдать от сетевых задержек или повторных отправок в случае потери пакетов. Если вы используете обмен файлами между компьютерами в вашей сети (например, протокол SMB для обмена ресурсами), ускорение TCP от Cato может значительно улучшить скорость передачи файлов. Рекомендуем включить ускорение TCP для сетевых правил этих приложений.

Отключение ускорения TCP для чувствительных приложений

Некоторые приложения чувствительны к отключению сети, и им трудно восстанавливаться после потери соединения. Эти приложения обычно работают на настольных устройствах в архитектуре клиент-сервер. После отключения они заставляют клиента установить новое соединение и теряют состояние соединения. Например, для клиентов Citrix, которые уже используют оптимизированный протокол, мы рекомендуем отключить ускорение TCP для сетевых правил с этим трафиком.

Прокси TCP и инспекция TLS

Функция инспекции TLS расшифровывает HTTPS трафик для функций безопасности, таких как Антивирус и IPS. Эта функция использует точки присутствия как прокси-сервера для инспекции трафика на наличие вредоносных файлов и угроз. Когда вы активируете инспекцию TLS для своего аккаунта, Cato активирует прокси TCP для всего трафика TLS. Для получения дополнительной информации об инспекции TLS смотрите Политика настройки инспекции TLS для аккаунта.

Включение или отключение ускорения TCP не связано с включением инспекции TLS.

Тонкая настройка ускорения TCP для операционных систем Windows

В этом разделе рассматривается, как оптимизировать настройки TCP для компьютеров Windows, чтобы улучшить ускорение TCP для ваших сетевых правил.

Включение опции масштабирования окна TCP

Некоторые операционные системы Windows настроены на использование размера окна по умолчанию 64KB. Этот размер окна ограничен и может вызывать проблемы с производительностью и задержки. Точки присутствия Cato выделяют стек TCP, который больше размера окна по умолчанию для более эффективной передачи данных. Поэтому мы настоятельно рекомендуем включить опцию масштабирования окна TCP на ваших Windows-компьютерах.

Примечание: Обычно опция масштабирования окна TCP включена по умолчанию.

Включение опции временной метки TCP

Настройки по умолчанию для операционных систем Windows не поддерживают опцию временной метки TCP. Включите опцию временной метки TCP, чтобы улучшить измерения RTT пакетов и помочь выявить потерю пакетов. Эта опция также помогает стеку TCP скорректировать таймер повторной передачи в случае потери пакетов. Мы рекомендуем включить временную метку TCP на ваших Windows-компьютерах.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 4 из 4

0 комментариев