Zum Inhalt springen
Soft-WOC-Tests, Teil 2: Blue Coat SG-Proxy-Client

Mehr Schub für mobile Mitarbeiter

Damit auch mobile Mitarbeiter in den Genuss der WAN-Beschleunigung kommen, bietet Blue Coat für seine SG-Appliances einen kostenlosen Proxy-Client an. Im LANline-Test musste diese Software zur Zugriffsoptimierung ihre Praxistauglichkeit unter verschiedenen WAN-Bedingungen nachweisen.

Autor:Christoph Lange/wg • 12.11.2008 • ca. 10:50 Min

Die wichtigste Produktlinie von Blue Coat Systems sind die Proxy-SG-Appliances, wobei "SG" für "
Secure Gateway" steht. Diese Geräte beschleunigen eine breite Palette von Anwendungen über
WAN-Verbindungen hinweg und sorgen gleichzeitig für eine hohe Zugriffssicherheit. Mittlerweile ist
auch ein Software-Client für mobile Anwender erhältlich, der WAN-Zugriffe auf das Firmennetz von
beliebigen Orten aus beschleunigt, ohne dass dafür eine zweite SG-Appliance erforderlich ist. Der
SG-Proxy-Client lässt sich auf Notebooks oder PCs mit Windows XP und Windows Vista
installieren.

Mehr zum Thema:

– Soft-WOC-Tests, Teil 1 – Riverbed Steelhead Mobile: Schneller mit dem Notebook:
www.lanline.de/kn31628116

– Riverbed präsentiert Soft-WOC Steelhead Mobile:
www.lanline.de/kn31169610

– Citrix präsentiert Soft-WOC:
www.lanline.de/kn31246140

– Software-Client für WAN-Optimierung und Zugriffssicherheit:
www.lanline.de/kn31376927

Die Verwaltung der SG-Proxy-Clients erfolgt über die SG-Appliance am jeweiligen Standort. Für
ein zentrales Management einer größeren Zahl von SG-Appliances bietet Blue Coat den so genannten
Director an. Zwei weitere Hardwarelösungen sind die Proxy-AV-Appliances, die vor Viren, Würmern,
Trojanern und Spyware schützen sollen, sowie die Proxy-RA-Geräte für den Aufbau von SSL-VPNs ohne
zusätzliche Client-Software. Für die SG-Lösungen sind zudem ein Webfilter und ein Reporting-Modul
für Netzverkehrsanalysen erhältlich.

Spezialisiertes Betriebssystem

Das Betriebssytem für die WAN-Beschleunigung SGOS hat Blue Coat von Grund auf selbst entwickelt
und darauf getrimmt, eine möglichst hohe Performance für das Proxy-Caching und für Webanwendungen
zu erzielen. SGOS ist ein Multi-Threading-fähiges, objektbasiertes Betriebssystem mit integriertem
Caching, das Webobjekte sehr effizient verarbeiten kann. Der TCP-Stack wurde ebenfalls dafür
optimiert, Webkommunikationsströme möglichst schnell zu verarbeiten. Ein besonderes Augenmerk lag
dabei auf niedrigen Latenzzeiten und einer guten Skalierbarkeit.

Eine wichtige Rolle für eine gute Performance spielt auch das Ablagesystem für die Daten. SGOS
verwendet für das Speichern der Objekte kein normales Dateisystem, sondern einen so genannten
Object Store mit einer Hash-Tabelle, die im Arbeitsspeicher vorgehalten wird. Dadurch lassen sich
Schreib- und Lesevorgänge direkt aus dem RAM durchführen, ohne mehrfache Zugriffe auf die
Festplatte zu erfordern. Bei normalen Dateisystemen muss zunächst das Directory auf der Platte
durchsucht werden, bevor die eigentliche Daten-I/O-Operation ausführbar ist.

Um die Festplattenzugriffe zu optimieren, verwenden die SG-Systeme spezielle Algorithmen, mit
deren Hilfe die Daten so platziert werden, dass sie möglichst schnell abrufbar sind. Für hohe
Zugriffsgeschwindigkeiten sorgt zudem das parallele Einlesen und Schreiben von Objekten, das bei
Blue Coat als "Object Pipelining" bezeichnet wird. Die Zugriffe auf den Objekt-Cache werden zudem
automatisch auf alle Festplatten der SG-Appliance verteilt. Ein RAID-Verbund kommt aus
Performance-Gründen nicht zum Einsatz.

Aufbau des Testnetzes

Für den LANline-Test kam eine Proxy-SG-Appliance des Typs SG210 zum Einsatz. Die Box wurde im
Testnetzwerk auf der Seite der Zentrale mit dem LAN-Switch verbunden. Der getestete Proxy-Client
hatte die Version SGOS 5.3.0.6 Proxy Edition und wurde auf einem Windows-XP-Notebook mit 512 MByte
RAM und 1,5-GHz-CPU installiert. Die meisten Unternehmen setzen auf ihren Desktop-Rechnern und
Notebooks nach wie vor XP ein, weshalb die komplette Testreihe unter diesem Betriebssystem
durchgeführt wurde. Um zu überprüfen, ob die Beschleunigung auch unter Vista funktioniert, wurden
einige Messungen zusätzlich auf einem Vista-PC mit 1 GByte RAM und 1,2-GHz-CPU durchgeführt.

Die Kommunikation des Notebooks mit den Windows-2003-Servern in der Zentrale, darunter ein
Domänen-Controller, ein File-, ein Web- und ein Exchange-Server, erfolgte über zwei Router und
einen WAN-Simulator von Network Nightmare hinweg, der zwischen die beiden Router geschaltet
war.

Schnell in Betrieb

Die SG-Appliances von Blue Coat lassen sich in der In-Path- wie auch in der
Out-of-Path-Konfiguration einsetzen. Bei der In-Path-Variante wird die Box zwischen LAN-Switch und
Router geschaltet, bei der Out-of-Path-Variante direkt mit dem LAN-Switch verbunden. Für den
LANline-Test wurde die Out-of-Path-Konfiguration gewählt, da auf der Gegenseite keine zweite SG-Box
stand, sondern die SG-Proxy-Client-Software auf dem XP-Notebook als Gegenstelle diente.

Ist im Netzwerk ein DHCP-Server vorhanden, erhält die SG-Box von diesem automatisch eine
IP-Adresse. Da im LANline-Testnetz statische IP-Adressen zum Einsatz kommen, musste die
IP-Konfiguration auf anderem Weg erfolgen. Der Administrator konfiguriert dafür ein Notebook mit
einer IP-Adresse aus demselben Subnetz wie die werkseitig eingestellte IP-Adresse der SG-Box. Dann
verbindet er das Notebook per Cross-Connect-Kabel mit dem LAN-Port der Appliance und gibt im
Browser deren IP-Adresse an, woraufhin sich die webgestützte Managementanwendung öffnet. Hier
ändert der Administrator dann unter den Netzwerkeinstellungen die IP-Adresse der SG-Box. Im Test
wurden die IP-Einstellungen der Appliance auf diesem Weg für das LANline-Testnetz angepasst. Es ist
auch möglich, das Notebook per seriellem Kabel mit dem SG-System zu verbinden und die
IP-Konfiguration über eine Terminalsession, zum Beispiel per Windows Hyperterminal,
vorzunehmen.

Die Webseiten der Managementoberfläche haben sich zunächst nur sehr zäh aufgebaut. Wie sich
herausstellte, war der LAN-Port der SG-Appliance auf Halbduplexbetrieb eingestellt. Nachdem der
Port auf Vollduplexkommunikation umgestellt war, klappten die Zugriffe mit normaler
Geschwindigkeit.

Beschleunigung scharf schalten

Damit die Anwendungsbeschleunigung funktioniert, muss der Administrator auf der SG-Appliance
einige Optionen aktivieren. Unter dem Menüpunkt "ADN" (Application Delivery Network) ist ein Haken
zu setzen. Zudem trägt der Systemverwalter unter dem Punkt "ADN Routing" das IP-Subnetz ein, das
optimiert werden soll. Beim Menüpunkt "Proxy Client" aktiviert er sowohl die Option "Enable Client
Manager" als auch den Punkt "Enable Acceleration" und die CIFS-Option.

Die SG-Systeme von Blue Coat unterstützen ein umfangreiches Regelwerk, mit dem sich die
Beschleunigungsfunktionen gezielt einsetzen lassen. Der Administrator kann über das Menü "ADN Rules"
mithilfe so genannter Include-Regeln festlegen, ob nur bestimmte Ports optimiert werden sollen.
Exclude-Regeln dagegen geben vor, dass generell alle Ports beschleunigt werden und nur die unter
der Exclude-Regel aufgeführten Ports ausgeklammert bleiben. Damit lassen sich zum Bespiel
diejenigen Ports ausschließen, die nicht beschleunigt werden können, beispielsweise weil über sie
eine verschlüsselte Kommunikation läuft. Der Systemverwalter hat zudem die Möglichkeit, bestimmte
IP-Subnetze wie zum Beispiel lokale Netzsegmente von der Optimierung auszunehmen.

Um das Firmennetz vor unerlaubten Zugriffen zu schützen, nutzen die SG-Appliances vorhandene
Sicherheitsmechanismen wie das Active Directory und Access Control Lists. Dies stellt sicher, dass
nur berechtigte Benutzer Verbindungen aufbauen dürfen. Sobald die Identität einer
Kommunikationsanfrage überprüft und als zulässig klassifiziert wurde, gewährt das SG-System genau
die Zugriffsrechte, die in der für den jeweiligen Benutzer geltenden Policy festgelegt sind. Zudem
werden in der Folge sämtliche Aktionen protokolliert, was ein Auditing aller Zugriffe
ermöglicht.

Client-Installation

Die Installation des SG-Proxy-Clients auf den Notebooks oder PCs der Mitarbeiter ist auf
mehreren Wegen möglich. So kann der Administrator den Anwendern einen Download-Link schicken, über
den sie die Client-Software von der SG-Appliance herunterladen und installieren können. Als
Alternative ist es vom Client-Rechner aus möglich, über den Port 8048 direkt auf die Download-Seite
des SG-Systems zuzugreifen und den SG-Proxy-Client auf diesem Weg aufzuspielen. Um die Software
ohne Mitwirkung der Anwender automatisch auf die Client-Rechner auszubringen, ist der
SG-Proxy-Client auch als MSI-Paket erhältlich. Dieses lässt sich mithilfe einer
Softwareverteilungslösung von zentraler Stelle aus auf allen Rechnern installieren.

Bislang handelt es sich beim SG-Proxy-Client um einen so genannten "Persistent Service Agent",
der auf dem Client-Rechner lokal installiert wird. In der Zukunft soll ein "On-Demand Service Agent"
hinzukommen, der bei der Installation des VPN-Clients von Blue Coat automatisch mit eingerichtet
wird. Eine Besonderheit von Blue Coat ist das Webfiltering. Es funktioniert sogar dann, wenn der
Client nicht mit dem Firmennetz verbunden ist. Für die Filterung von Webinhalten definiert der
Systemverwalter die von der Unternehmensführung vorgegebenen Allow-, Block- und Deny-Regeln.

Die Verwaltung der SG-Proxy-Clients erfolgt über die SG-Appliances. Diese wiederum lassen sich
vom Blue Coat Director aus zentral managen, sodass ein zentrales Management aller Clients möglich
ist. Der Director kann entweder auf der SG-Beschleunigungsbox installiert werden oder auf einer
eigenständigen Appliance laufen.

Im LANline-Test wurde der SG-Proxy-Client über Port 8048 des SG-Managers heruntergeladen und
manuell installiert. Dabei ist anzugeben, wie viel Prozent des lokalen Plattenplatzes für den
Byte-Cache genutzt werden. Nach Abschluss des Setups ließ sich zunächst die Webseite des
SG-Proxy-Clients im Internet Explorer nicht öffnen. Eine Nachfrage bei Blue Coat ergab, dass sich
diese Seite durch Eingabe der Localhost-Adresse 127.0.0.1 und Port 8000 aufrufen lässt.

Der SG-Proxy-Client erkennt automatisch, ob sich ein Anwender in einer Unternehmensniederlassung
befindet, deren WAN-Verkehr bereits über eine SG-Appliance beschleunigt wird. In diesem Fall greift
der Client-Rechner nicht über den Software-Client auf die Zentrale zu, sondern über die SG-Box.
Befindet sich der Benutzer dagegen an einem Standort ohne SG-Gerät, stellt der SG-Proxy-Client
automatisch die Verbindung zur zentralen SG-Appliance her und beschleunigt anschließend die
Datenübertragungen.

Beschleuniger im Testbetrieb

Im Test haben wir die Dauer von Dateizugriffen, Kopier- und Speicheraktionen mit verschiedenen
Office-Anwendungen gemessen, und zwar jeweils mit einer WAN-Bandbreite von 2 MBit/s und 512 kBit/s
sowie Latenzzeiten von 50 und 250 ms. Die SG-Appliances beschleunigen Anwendungen und
Dateitransfers über HTTP, HTTPS, FTP, P2P, Telnet, Socks, DNS, IM und Streaming Media. Zudem ist es
möglich, für spezielle Anwendungen das Antwortverhalten über einen TCP-Tunnel zu optimieren.

Die SG-Systeme verstehen etwa 600 Webanfragen und -antworten. Auf Basis dieser Informationen zu
den Transaktionen lassen sich spezielle Regeln für die Verkehrsströme definieren. Zum Beispiel
können Inhalte geblockt oder durch Webobjekte der Proxy-Appliance ersetzt werden. Zudem kann der
Administrator eine Vielzahl an Reports generieren, zum Beispiel zur Bandbreitennutzung oder zu den
verwendeten Protokollen.

Die genannten Beschleunigungsmechanismen sind beim SG-Proxy-Client in das so genannte
Application Delivery Networking (ADN) integriert. In den Statistiken zur Beschleunigung des
Datenverkehrs wird deshalb nur die ADN-Kategorie erfasst. Die auf einer SG-Appliance verfügbare
detaillierte Aufschlüsselung nach einzelnen Protokollen wie HTTP oder FTP ist mit dem
Software-Client nicht möglich.

Den größten Beschleunigungseffekt erzielt der SG-Proxy-Client durch das Byte-Caching. Es
beschleunigt Transfers von Dateien, die bereits einmal über die WAN-Verbindung übertragen wurden ("
warme Transfers"), um ein Vielfaches. Bislang unterstützt Blue Coat mit dem SG-Proxy-Client noch
keine Beschleunigung von verschlüsseltem SSL-Traffic, sondern nur von Standard-HTTP-Traffic. Die
Optimierung von SSL-Verkehr ist derzeit nur zwischen zwei SG-Boxen möglich. Um dennoch einen
sicheren Remote-Zugriff zu gewährleisten, können Unternehmen ihre mobilen Mitarbeiter anstelle von
SSL-VPNs über IPSec-VPNs an die Zentrale anbinden. Laut Blue Coat ist geplant, dass künftig auch
der Software-Client eine Beschleunigung von SSL-Verkehr unterstützen soll.

Damit die Beschleunigung optimal funktioniert, sollte man zudem das SMB-Signing (Server Message
Block Protocol) von Windows deaktivieren, das die Kommunikation von Windows-Systemen verschlüsselt.
Dies ist vertretbar, wenn anderweitige Schutzmechanismen wie Firewalls oder
Intrusion-Detection-Systeme im Unternehmensnetz vorhanden sind und die WAN-Kommunikation über
sichere Verbindungen erfolgt.

Messergebnisse

Gemessen wurde zunächst, wie lange das Öffnen und das Kopieren einer Datei über die WAN-Strecke
beim ersten ("kalten") Transfer dauert. Hier findet durch die Protokolloptimierungsmechanismen der
SG-Appliance im Zusammenspiel mit dem SG-Proxy-Client bereits eine Beschleunigung statt. Die
erzielten Verbesserungen hängen allerdings stark vom Dateityp und der Art des Datentransfers ab. So
dauerte das Öffnen einer 12 MByte großen Powerpoint-Datei mit einer 2-MBit/s-WAN-Leitung und 50 ms
Latenzzeit nicht einmal halb so lang wie ohne Optimierung. Beim Kopieren dieser Datei war der kalte
Transfer dagegen nur etwa ein Drittel schneller. Mit einer 3 MByte großen Word-Datei und einer 2
MByte großen Excel-Datei verhielt es sich genau umgekehrt: Beim erstmaligen Öffnen war nur ein
relativ geringer Beschleunigungseffekt festzustellen; dagegen dauerte der erstmalige Kopiervorgang
nur etwa halb so lang wie ohne Optimierung. Vor der Messung des kalten Transfers wurde jeweils auf
der SG-Appliance und auf dem Notebook mit dem SG-Proxy-Client der Objekt-Cache und der Byte-Cache
gelöscht.

Anschließend haben wir gemessen, wie lange das Speichern der Datei dauert, nachdem eine Änderung
erfolgt ist. Auch diese Messungen zeigen, dass die Blue-Coat-Optimierung sehr gut funktioniert. Sie
reduzierte die Zeiten im schlechtesten Fall um die Hälfte, im besten Fall um das Fünfzehnfache.

Eine sehr gute Beschleunigung erzielte das SG-System dank seiner Caching-Funktion auch beim
Öffnen eines Exchange-Attachments in Form einer 8 MByte großen Word-Datei, die auf dem
Exchange-Server des Testnetzes lag. Für diesen Test hatten wir das Offline-Caching des
Exchange-Servers deaktiviert. Statt etwa 45 Sekunden benötigte der SG-Proxy-Client auf dem Notebook
hierfür nur noch gut vier Sekunden.

Zudem haben wir die Beschleunigung bei HTTP- und FTP-Übertragungen untersucht. Beim kalten
Transfer konnte der Proxy-Client die Übertragung von Word-Dateien über HTTP wie auch über FTP um
etwa die Hälfte verkürzen. Bei PDF-Dateien machte sich der Beschleunigungseffekt dagegen erst beim
warmen Transfer bemerkbar. Die Übertragungszeit betrug dann nur noch drei Sekunden im Vergleich zu
47 Sekunden beim kalten Transfer.

Um festzustellen, wie gut die WAN-Optimierung unter Windows Vista funktioniert, wurde der
SG-Proxy-Client zusätzlich auf einem Vista-PC installiert. Dabei trat das Problem auf, dass
zunächst überhaupt keine Beschleunigung stattfand. Wie sich herausstellte, lag dies an einem
Berechtigungsproblem. Der unter Vista eingerichtete Testbenutzer hatte kein Zugriffsrecht auf das
Cache-Verzeichnis des Proxy-Clients. Sobald dieses Recht vorhanden war, funktionierte die
Optimierung problemlos. Gemessen wurde die Beschleunigung mit einer 2-MBit/s-Verbindung und 50
Millisekunden Latenz. Vista erzielte hierbei etwa die gleichen Übertragungswerte wie der
XP-Client.

Ergebnisse bei schmalen Bandbreiten und hohen Latenzen

Die weiteren Messreihen mit 2 MBit/s und 250 ms Latenz sowie mit 512 kBit/s und 50 sowie 250 ms
Latenz zeigten, dass sich mit der Lösung auch über schmalere WAN-Bandbreiten und latenzreiche
Verbindungen vernünftig arbeiten lässt. Das Öffnen und das Kopieren von Dateien, die bereits im
Client-Cache vorliegen, wurde in allen Messreihen sehr stark beschleunigt. Am problematischsten war
das Speichern von Visio-Dateien, nachdem eine Änderung durchgeführt wurde. Bei einer Latenzzeit von
250 ms dauerte dieser Vorgang bereits mit der 2-MBit/s-WAN-Verbindung länger als fünf Minuten.

Dass die WAN-Optimierung mit Visio-Dateien weniger gut funktioniert, war auch bei WOC-Lösungen
anderer Hersteller schon zu beobachten, die LANline getestet hat. Vor der Kaufentscheidung für eine
WAN-Optimierungslösung sollte ein Unternehmen deshalb eine Teststellung vereinbaren, um die
tatsächlich erzielbaren Beschleunigungswerte für die jeweils enutzten Anwendungen zu ermitteln. Nur
dadurch lassen sich unangenehme Überraschungen vermeiden.

Client als kostenfreie Zugabe

Blue Coat bietet den SG-Proxy-Client als kostenfreies Add-on für seine SG-Appliances an. Die
Einstiegspreise für das kleinste System SG210 für zehn Benutzer und eine unterstützte Bandbreite
von 512 kBit/s beginnen bei rund 3000 Euro. Mit Support für 2 MBit/s und unbegrenzter Nutzerzahl
kommt das gleiche System auf zirka 6000 Euro. Die Preise für die nächstgrößeren SG510-Systeme
liegen abhängig von unterstützer Bandbreite (2 oder 12 MBit/s) und Benutzerzahl zwischen 10.000 und
24.000 Euro. Das Flaggschiffprodukt SG8100 ist ab 50.000 Euro erhältlich. Es unterstützt
WAN-Verbindungen bis 100 MBit/s. Das URL-Filtering ist auf dem SG-Proxy-Client automatisch mit
enthalten, wenn ein Unternehmen für seine SG-Appliances den Blue Coat Webfilter lizensiert hat.

Fazit

Die WAN-Optimierungslösung von Blue Coat lässt sich schnell in Betrieb nehmen. In den Messreihen
zeigte die Lösung, dass sie mithilfe des SG-Proxy-Clients den Datenverkehr über WAN-Verbindungen
gut beschleunigen kann. Für Unternehmen, die bereits Proxy-SG-Appliances von Blue Coat einsetzen,
ist die Client-Software kostenlos erhältlich, sodass einer Evaluierung nichts im Wege steht.

Info: Blue Coat Systems Tel.: 089/36036750 Web:
www.bluecoat.de

transferErgebnisse Seite 2

transferFunktionen

Das könnte Sie auch interessieren
Porsche: Der schönste Arbeitsplatz der Welt
Mit Vollgas ins Homeoffice Porsche beschleunigt die mobile Arbeitswelt
LL03S02_Bild-1_0
Drahtlose Infrastruktur in Geschäftsgebäuden Gäste und mobile Mitarbeiter einplanen
LL02F02b
Mobile-Security-Management Mobilgerätepolizei
131209Lars_Kroll_Symantec
Gastkommentar von Symantec zu Mobile Security Mobile Mitarbeiter optimal absichern
Landesk: "Wavelink Mobile Enterprise Productivity Suite" vereinheitlicht die mobile Umgebung für die Unternehmens-IT Effizienz und Produktivität mobiler Mitarbeiter steigern
Kaspersky-Umfrage: 43 Prozent sehen mobile Mitarbeiter als großes Risiko Mobile Mitarbeiter bereiten Unternehmen mehr Sorgen als Facebook
Verizon Business stellt neues Fixed-Mobile-Convergence-Angebot in Europa vor Mobile Mitarbeiter überall unter einer Nummer erreichbar
Der neue MC55 von Motorola: Enterprise Digital Assistant im kompakten Design Motorola: Echtzeitzugriff auf Sprach- und Datendienste für mobile Mitarbeiter
Mehr passende Artikel
AV
NG-Video-Extender von Digitus 40 Kilometer in 4K und 253 Displays zur Video-Signalübertragung
Dockingstation
Konnektivität mit 8K-Übertragung Digitus: Dockingstation-Portfolio erweitert
Übernahme, Merge, Kooperation, Handshake
Akquisition Cloudera übernimmt Taikun
DoorBird
Kwikset und DoorBird Video-Call und Zutrittskontrolle kombiniert
WLAN
Netpeppers vertreibt Ekahau Plan WLAN-Planung als eigenständige SaaS-Lösung
Weiter zur Startseite