Dagens handelsfartyg är väldigt it-intensiva. Besättningen brukar ha flera nätverk att välja mellan, ofta finns det ett manskapsnät och ett kontorsnät. De båda näten har delvis olika egenskaper. Saker som är förbjudna på det ena kan vara tillåtna på det andra. Det ena nätet kan skyddas av en brandvägg, medan det andra kan vara oskyddat.
Olika rederier kan dessutom ha olika policy, såtillvida att data till de olika nätverken antingen överförs okrypterat eller i vpn-tunnlar.
Gemensamt för dem alla är att överföringen till land är dyr, mycket dyr. Alla åtgärder som kan få en vanlig länk på 384 kilobit per sekund att verka betydligt snabbare är guld värda. Kan man sedan bre på extra med metoder för att sila bort innehåll som inte behöver överföras blir det löken på laxen. 70 000 kronor för utrustning är försumbart jämfört med en länkkostnad på upp till 25 000 kronor per månad.
Dataöverföring från ett fartyg till ett rederi går till så att fartyget har en satellitlänk och ett avtal med en satellitägare. Data flyter från fartygen genom länken till satellitägarens markstation, där de packas in i en tunnel och går via wan till rederiets huvudkontor. I andra fall kan man till exempel köra data från fartyget rakt ut på internet och vidare till rederiet den vägen. Då måste data kapslas in i ett vpn redan ute på fartyget.
Satellitantennerna. Alla fartyg har två följeparaboler som följer kommunikationssatelliterna. En är alltid reserv.
Den norska it-leverantören Ipnett har försett många norska rederier med komprimerad dataförbindelse med moduler från Blue Coat. Företaget använder två olika lösningar, beroende på vilken av metoderna ovan rederiet väljer att arbeta med.
Blue Coat på hög. Diverse Blue Coat-moduler av olika datum hos Ipnett i Oslo. De hanterar Ipnetts egna wan-länkar över hela Norge.
Fartygens kontorsnät brukar ofta tunnlas separat till huvudkontoret, medan manskapsnätet kan gå direkt ut på internet. Den senare varianten är för det mesta orealistisk och man låter därför en Blue Coat ombord agera proxy och komprimera och märka utgående trafik som förs till huvudkontorets proxy. Den packar upp trafiken och skickar ut den på internet.
Offshoretillämpning. 384 kilobit per sekund är inte mycket, men det är vad man normalt får med en satellitlänk som inte ska vara allt för dyr. All trafik som kan komprimeras, kommer att komprimeras. Http-trafiken tas om hand av Blue Coat ombord och tunnlas till Blue Coat på land, där den vänder ut mot internet. Enheterna ombord cachar alla objekt som kan cachas för att åtkomsten ska bli omedelbar nästa gång.
En vanlig landbaserad tillämpning med Blue Coat är när ett huvudkontor har all datakraften och alla tillämpningar och lokalkontoren inte har några servrar alls, utan bara en växel. Det blir allt vanligare i dag. Med datakomprimering à la Blue Coat verkar kopplingen till och från lokalkontoren vara betydligt snabbare än den egentligen är. Surfning på internet via huvudkontoret blir då inte betungande för systemet.Komprimera, optimera och spara
Blue Coat har fyra huvudsakliga metoder för att pressa ihop trafiken: komprimering, byte caching, object caching och protokolloptimering.
Byte caching innebär att en algoritm letar efter bitmönster som kan ersättas med kortare sekvenser, ungefär som i PKZIP. Tankar man hem en Wordfil, redigerar lite och sparar kommer endast ändringarna att sändas tillbaka till land. Det spelar ingen roll om man har bytt filnamn under tiden, det är bitmönstren som räknas. På samma sätt snabbas överföringen på om den skulle råka brytas i mitten. Det som har cachats är redan överfört och hämtas ur bytecachen vid omförsök. Hade man inte bytt namn på filen, skulle även object cache ha gripit in.
Lotus Notes har visat sig passa mycket bra för byte caching. Notesinnehållet kan som standard komprimeras med 60 till 80 procent. Ett praktiskt prov visade att en databasreplikering i råläge tog tio minuter. När man slog på cachen och replikerade för första gången tog det sex minuter. Andra gången tog det tio sekunder. Notes egen komprimering är inte på långt när lika effektiv.
Kärlek. Ipnetts tekniker är barnsligt förtjusta i Blue Coats proxy.
Livstider för objekten
Alla välordnade nyhetssidor på webben har livstider utsatta på sina objekt. Sålunda kan man ange att exempelvis logotypen (logo.gif) ska leva i en månad. Den ligger då kvar i Blue Coat en månad och behöver aldrig uppdateras. Objekt med kort levnadstid, till exempel index.htm, kommer däremot att uppdateras automatiskt av Blue Coat med kortare intervall enligt en viss algoritm.
Får fart på cifs
Windows cifs är inte bra över wan, eftersom det klipper upp filerna i paket om fyra kilobyte och väntar på godkännande efter varje. Antag att fördröjningen mellan Syd- och Nordnorge är 30 millisekunder och filen är på fyra megabyte. Det blir tusen paket med totalt 30 sekunder bara i fördröjning och det spelar här ingen roll hur snabb ledning man har. Med Blue Coat kan man i stället samla ihop flera paket åt gången och kan då minska fördröjningen till en åttondel.
trafik i nätverket som kunden
inte ens känner till.”
Ett annat problem är trafik som kunden inte ens känner till. Ipnett upplever samma sak vid nästan varje installation, att det finns okänd trafik och felinställningar överallt. Blue Coat innehåller en sniffarfunktion kallad PCAP som kan fånga trafik för analys.
Ett företag med kontor i Aberdeen upplevde exempelvis att ledningen till Norge var för långsam. Ip-telefonin fungerade dåligt och det var stora variationer i fördröjning med mera. Man undersökte linjen och fann att all den internettrafik som skulle ha gått ut i Skottland (surfning, Windowsuppdateringar med mera) i stället gick via länken till Norge. Det åtgärdades, men ip-telefonin gick ändå dåligt under stora filöverföringar. Det visade sig att trafiken ena vägen var märkt för quality of service, qos, men att det inte var likadant andra vägen.
Det är Blue Coat som gör jobbet för kunden i det långa loppet, men det är Ipnetts obehagliga upptäckter strax efter installationen som får kunden att vilja ha lösningen.
I ett landnät visar sig cifs, alltså Windows filsystem, vara den stora boven (skärt i cirkeldiagrammet). Cifs hackar sönder sin så kallade handskakning i block på fyra kilobyte. En stor fil blir väldigt många små block och massor av overhead. Blue Coat förstår detta och sparar här upp till 86 procent av cifs-bandbredden.
Nästa bov är http. All surfning, som sker mot brandväggen på huvudkontoret i Oslo, får en avhyvling precis som i fallet med offshorelänken. Sedan är det inte mycket kvar, lite sql och dylikt. Tidsdiagrammet visar hur trafiken brakar igång måndag morgon efter en lugn helg, men den sanna trafiken på länken är bara hälften av den upplevda.
Allt kan man slippa
Andra metoder för att begränsa dataflödet är blockering, ren bortslängning och antiviruskontroll. All reklam, texter, bilder, banners, flashobjekt med mera slängs redan innan de har hunnit ut på satellitlänken. Ogiltiga certifikat kan spärras ovillkorligt. Samma sak gäller åtkomst till Windowsuppdateringar och webbplatser med känt illegalt innehåll, kända spridare av elak kod med mera.
Blue Coat har en spärrtjänst som går att prenumerera på och ständigt hålls uppdaterad. Tjänsten är indelad i hundratalet kategorier, där annonser är en och programuppdateringar en annan. Ett fartyg kan ha flera regeluppsättningar för olika nät. Kontorsnätet har kraftigare begränsningar, medan vågade webbplatser kan vara tillåtna på manskapsnätet. En uppdatering av tjänsten slår igenom på cirka två timmar och då är alla kunder uppdaterade samtidigt.
En övervakningsbild av en satellitlänk till ett fartyg (Traffic Mix). Bilden har tre viktiga delar. Fönstret till vänster visar den överförda trafiken som en blå linje och den trafik kunden upplever som ett grönt fält.
Det bruna fältet är trafik som är ”bypassed”, alltså trafik man inte kan göra något åt. Det kan vara Citrix, rdp, ssh med mera, som redan är optimerad eller krypterad.
Cirkeldiagrammet till höger är en kategorisering av trafiktyperna och som synes överväger det skära, http, alltså internetsurfning, markant med 91 procent. Som tur är kan man komprimera http tämligen hårt. Hur hårt visas i ett momentanvärde i det blå, liggande stapeldiagrammet. Besparingen blir upp emot 86 procent. Egentligen är besparingen ännu högre eftersom man dessutom har blockerat visst innehåll.
Ftp lyckas inte lika bra, där sparar man ”bara” cirka 74 procent. Även tunnlad trafik kan i viss mån komprimeras och här har man sparat cirka 11 procent av bandbredden.
Egna servrar ombord
Givetvis har fartygen egna servrar ombord för att inte all lokal trafik ska behöva köras in till land. Normal bestyckning utöver Blue Coat-modulerna brukar vara en terminalserver, Exchange, Oracle, SQL Server, Inet, ett par filservrar och diverse utrustning för att driva fibernätet ombord.
Möjligheterna med protokolloptimering och överföringspolicy är betydligt större än vad denna korta artikel kan återge. Hastighetsvinsten måste naturligtvis bli ett konglomerat av hur snabb linje man har och vilken blandning av tillämpningar man kör ombord. För fartyg som bara överför webbtrafik, till exempel när passagerarna surfar, kan besparingen bli enorm, medan besparingen blir noll om fartyget enbart kör Citrix. Så ensidigt är läget dock sällan, den faktiska besparingen växlar från kund till kund. Ett medeltal ligger på mellan 50 och 70 procent.
Trafikkontroll är framtiden. Blue Coat köpte nyligen företaget Packeteer, vars utrustning kan känna igen trafik samt märka, bandbreddsbegränsa, införa qos och prioritera trafik på ett helt annat sätt än vad Blue Coat kan i dag. Protokolligenkännaren klarar över 650 olika protokoll/tillämpningar och kan begränsa dem individuellt.
Internet är ett intressant ställe, men ännu intressantare är att man kan blockera större delen av det och ändå ha nöjda användare! Få av oss vill använda en internetledning på bara 384 kilobit per sekund, men med tillräckligt smarta algoritmer i vägen kan man försörja ett helt fartyg med en sådan uppkoppling.
Ombordutrustning. Ett kantstött rack ombord tar hand om datatrafiken till land. Överst ser du Telenors utrustning som riktar antennerna som följer satelliterna. Därunder sitter Blue Coat-proxyn som dekomprimerar datalänken och skickar ut allt på fartygets olika nätverk. Den är ansluten till nästa låda, Comtechs satellitmodem, som kodar av signalerna från satellitlänken. Under den ligger dubbla sändarmoduler för mikrovåg (redundanta antenner). I botten finns ett nätaggregat.
Foto & grafik: Jörgen Städje
