Konfigurieren von Youtube Traffic Optimization mit Akamai Connect
Inhalt
Einleitung
In diesem Dokument werden die erforderlichen Schritte zum Konfigurieren von YouTube Acceleration auf Cisco Wide Area Application Services (WAAS) mithilfe der Akamai Connect-Funktion beschrieben.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Cisco WAAS
- Public-Key-Infrastruktur
- Secure Sockets Layer (SSL)-Zertifikat
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:
- Cisco WAAS Version 5.5.1
- Cisco WAAS 6.2.1
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Hintergrundinformationen
Akamai Connect und WAAS
Die Akamai Connect-Funktion ist eine Komponente des HTTP/S-Objekt-Caches, die Cisco WAAS hinzugefügt wurde. Sie ist in den bestehenden WAAS-Software-Stack integriert und wird über den HTTP Application Optimizer genutzt. Akamai Connect reduziert die Latenz für HTTP/S-Datenverkehr für Geschäfts- und Webanwendungen und kann die Leistung für zahlreiche Anwendungen verbessern, darunter POS (Point of Sale), HD-Video, digitale Beschilderung und die Auftragsbearbeitung im Geschäft. Es bietet einen signifikanten und messbaren WAN-Daten-Offload und ist kompatibel mit bestehenden WAAS-Funktionen wie DRE (Deduplizierung), LZ (Komprimierung), TFO (Transport Flow Optimization) und SSL-Beschleunigung (sicher/verschlüsselt) für die Beschleunigung des ersten und zweiten Durchgangs.
Diese Begriffe werden bei Akamai Connect und WAAS verwendet:
- Akamai Connect - Akamai Connect ist eine Komponente des HTTP/S-Objekt-Cache, die der Cisco WAAS-Lösung hinzugefügt, in den vorhandenen WAAS-Software-Stack integriert und über den HTTP Application Optimizer genutzt wird. WAAS mit Akamai Connect reduziert die Latenz für HTTP/S-Datenverkehr für Geschäfts- und Webanwendungen.
- Akamai Connected Cache - Akamai Connected Cache ist eine Komponente von Akamai Connect, mit der die Cache-Engine (CE) Inhalte zwischenspeichern kann, die von einem Edge-Server auf der Akamai Intelligent Platform bereitgestellt werden.
Konfigurieren
Schritt 1: Sie benötigen ein von Ihrer internen/öffentlichen Zertifizierungsstelle signiertes SSL-Zertifikat.
Das Zertifikat muss folgenden SubjectAltName enthalten:
* .youtube.com
* .googlevideo.com
* .ytimg.com
* .ggpht.com
youtube.com
Dies ist ein Beispielzertifikat:
Schritt 2: Sie müssen der zwischengeschalteten Zertifizierungsstelle und/oder der Stammzertifizierungsstelle in Ihrer Organisation vertrauen.
Dies kann durch die Verwendung von Gruppenrichtlinien in der gesamten Active Directory-Domäne erreicht werden.
Wenn Sie diese Konfiguration in einer Übung testen, können Sie die Zwischen- und/oder Stammzertifizierungsstelle als vertrauenswürdige Zertifizierungsstelle auf dem Client-Gerät installieren.
Schritt 3: Erstellen eines SSL-beschleunigten Diensts auf dem WAAS-Gerät mithilfe der Benutzeroberfläche von WAAS Central Manager
Auf Dual Sided Akamai (vor WAAS 6.2.3) den SSL-beschleunigten Dienst auf dem WAAS-Core konfigurieren. Konfigurieren Sie für einseitige Akamai-Verbindungen (WAAS 6.2.3 oder höher) den SSL-beschleunigten Server auf der WAAS-Außenstelle, und aktivieren Sie die SSL-Zwischenverbindung. Dies ist der einzige Unterschied zwischen der Konfiguration auf zwei Seiten und der Konfiguration auf einer Seite.
Navigieren Sie zu Devices (Geräte) > Configure (Konfigurieren) > Acceleration (Beschleunigung) > SSL Accelerated Service (SSL-beschleunigter Dienst), wie im Bild gezeigt:
Schritt 4: Konfigurieren Sie den SSL Accelerated-Dienst.
Wenn Sie einen expliziten Proxy verwenden, muss die Protokollverkettung aktiviert sein. HTTP AO muss auf den TCP-Port angewendet werden, der für das Proxying des Datenverkehrs verwendet wird (z. B. 80 oder 8080).
Übereinstimmung mit Angabe des Servernamens muss überprüft werden. Wenn in dieser Konfiguration die WAAS-Core-Instanz SSL-Datenverkehr empfängt, vergleicht sie das SNI-Feld im Client Hello mit dem SubjectAltName im hochgeladenen Zertifikat. Wenn das SNI-Feld mit SubjectAltName (BetreffAltName) übereinstimmt, proxyiert die WAAS-Kernschnittstelle diesen SSL-Datenverkehr.
Wenn das Feld Match Server Name Indication (Servernamensangabe abgleichen) aktiviert ist, verwenden Sie Any (Beliebig) für die IP-Adresse und 443 für den Serverport. Klicken Sie auf Hinzufügen, um diesen Eintrag hinzuzufügen.
Server Name Indication (SNI)
Schritt 5: Zertifikat und privaten Schlüssel hochladen.
Sie müssen ein Zertifikat und einen privaten Schlüssel bereitstellen. Im folgenden Beispiel wird das PEM-Format verwendet:
Schritt 6: Überprüfen Sie die hochgeladenen Zertifikatinformationen.
Schritt 7. Klicken Sie auf die Schaltfläche SUBMIT (Senden). Dies ist das Endergebnis.
Schritt 8: Aktivieren Sie Akamai Connect.
Navigieren Sie zu Devices > Configure > Caching > Akamai Connect.
Schritt 9. Aktivieren Sie den SSL-Interposer auf der WAAS-Außenstelle (nur für Single-Side-Einrichtung erforderlich).
Überprüfung
Schritt 1: Akamai Connect muss auf dem WAAS der Außenstelle aktiviert sein.
WAAS-BRANCH# show accelerator http object-cache
HTTP Object-cache
..........
Status
--------
Operational State
-----------------
Running
Akamai Connected Cache State
------------------------
Connected
Sicherstellen, dass der Betriebsstatus aktiv ist und der Verbindungsstatus verbunden ist.
Schritt 2: Überprüfen der YouTube-Beschleunigung auf dem Client
Wenn Sie auf Youtube zugreifen, müssen Sie das von Ihrer eigenen Zertifizierungsstelle signierte Zertifikat sehen:
Schritt 3: Verifizieren auf WAAS.
Überprüfen Sie, ob SSL AO ordnungsgemäß auf den Datenverkehr angewendet wurde:
Beispiel-Ausgabe über die CLI bei Ausführung der WAAS-Software vor 6.2.3 (SSL AO v1 und Dual Site Setup)
WAAS-BRANCH# Statistikverbindung anzeigen
ConnID Source IP:Port Dest IP:Port PeerID Accel RR 6859 10.66.86.90:13110 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 51.9% 6839 10.66.86.90:13105 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 16.6% 6834 10.66.86.90:13102 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 93.5% 6733 10.66.86.90:13022 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 72.7% 6727 10.66.86.90:13016 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 03.9%
Beispiel: Ausgabe von CLI bei Ausführung der WAAS-Software 6.2.3 oder höher (SSL AO v2 und Single Site Setup)
WAAS-BRANCH# Statistikverbindung anzeigen
ConnID Source IP:Port Dest IP:Port PeerID Accel RR 3771 10.66.86.66:60730 58.162.61.183:443 N/A THs 50.9% 3770 10.66.86.66:60729 58.162.61.183:443 N/A THs 52.1% 3769 10.66.86.66:60728 58.162.61.183:443 N/A THs 03.0% 3752 10.66.86.66:60720 208.117.242.80:443 N/A THs 54.8% 3731 10.66.86.66:60705 203.37.15.29:443 N/A THs 13.8% 3713 10.66.86.66:60689 58.162.61.142:443 N/A THs 40.4% 3692 10.66.86.66:60669 144.131.80.15:443 N/A THs 10.4%
Überprüfen Sie das ce-access-errorlog auf dem WAAS der Außenstelle. Protokolleinträge für optimierten Datenverkehr sind mit dem Code 10000 verknüpft (als OTT-Youtube klassifiziert angeben) und h - - - 200 gibt an, dass der Objekt-Cache aufgerufen und der Datenverkehr lokal übermittelt wird. Die größte Beschleunigung wird auf Google Video erwartet. Sie können mehrere Browser auf dem Testgerät öffnen und das gleiche Video gleichzeitig abspielen, um das Setup zu testen:
Beispielausgabe aus ce-errorlog:
08/09/2016 01:49:26.612 (fl=5948) 10000 0.002 0.033 1356 - - 148814 10.66.86.90 10.66.85.121 2905 h - - - 200 GET https://r5---sn-uxanug5-ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3 300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946%2C9435526%2C9437 066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwndbps=6383750&gir= yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms %2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E582132.DEB68217D77D25 F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-ntqk&keepalive=yes&key=yt6 &ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSaUqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass =yes&c=WEB&cver=1.20160804&range=136064-284239&rn=4&rbuf=8659 - - 08/09/2016 01:49:26.899 (fl=5887) 10000 0.003 0.029 1357 - - 191323 10.66.86.90 10.66.85.121 2905 h - - - 200 GET
https://r5---sn-uxanug5-ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3 300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946%2C9435526%2C9437 066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwndbps=6383750&gir= yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms %2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E582132.DEB68217D77D25 F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-ntqk&keepalive=yes&key=yt6 &ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSaUqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass =yes&c=WEB&cver=1.20160804&range=284240-474924&rn=6&rbuf=17442 - -
Die Ausgabe von show statistics beschleunigung http object-cache muss auch zeigen, dass ott-youtube-Treffer zunehmen:
WAAS-BRANCH# show statistics accelerator http object-cache
.......... Object Cache Caching Type: ott-youtube Object cache transactions served from cache: 52 Object cache request bytes for cache-hit transactions: 68079 Object cache response bytes for cache-hit transactions: 14650548 ..........
Fehlerbehebung
Problem: Der Datenverkehr wird nicht durch SSL AO beschleunigt.
Lösung:
Überprüfen Sie mithilfe des folgenden Debug-Befehls, ob SSL AO mit dem SNI auf dem WAAS-Core übereinstimmt:
Dies ist ein Beispiel für eine erfolgreiche Ausgabe von ssl-errorlog:
WAAS# debug accelerator ssl sni
08/09/2016 01:33:23.721sslao(20473 4.0) TRCE (721383) SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657] 08/09/2016 01:33:23.962sslao(20473 6.0) TRCE (962966) SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657]
Dies ist ein Beispiel für eine nicht erfolgreiche Ausgabe von ssl-errorlog:
WAAS# debug accelerator ssl sni
08/09/2016 01:19:35.929sslao(20473 5.0) NTCE (929983) Unknown SNI: youtube.com [sm.c:4312] 08/09/2016 01:20:58.913sslao(20473 3.0) TRCE (913804) Pipethrough connection unknown SNI:youtube.com IP:10.66.85.121 ID:655078 [c2s.c:663]
Problem: Der Browser kann keine Verbindung mit Youtube herstellen, und es wird kein Zertifikat weitergeleitet.
Lösung:
Dies kann darauf zurückzuführen sein, dass die Kern-WAAS dem von Youtube weitergeleiteten Zertifikat nicht vertrauen.
Deaktivieren Sie diese Option bei einem SSL-beschleunigten Dienst.
Problem: Der Datenverkehr trifft die Akamai Connect Engine, aber es gibt keinen Cache-Treffer.
Lösung:
Dies kann dadurch verursacht werden, dass die If-Modified-Since (IMF)-Prüfung auf der WAAS der Außenstelle durchgesetzt wird. Die IMS-Option kann die erzwungene Protokollierung der Benutzeraktivitäten auf einem Proxyserver oder einem Gerät zur Nutzungsanalyse überprüfen. Wenn die IMS-Prüfung aktiviert ist, fordert Youtube den Client in der aktuellen OTT-Version immer auf, die neueste Kopie vom Ursprungsserver abzurufen.
Dies kann im "ce-access-errorlog" beobachtet werden:
07/20/2016 00:41:49.420 (fl=36862) 10000 2.511 0.000 1312 1383 4194962 4194941 10.37.125.203 10.6.76.220 2f25 l-s s-ims-fv - - 200 GET https://r3---sn-jpuxj-coxe.googlevideo.com/videoplayback?signature=AACC537F02B652FEA0600C90 0B069CA3063C15CD.58BA962C80C0E7DFA9A6664ECDCCE6404A3E2C65&clen=601694377&pl=24&mv=m&mt=1468974801&ms=au&ei=a8iOV- HZG4u24gL-hpu4BQ&mn=sn-jpuxj-coxe&mm=31&key=yt6&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2C itag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&sver=3&gir=yes&fexp=9 416891%2C9422596%2C9428398%2C9431012%2C9433096%2C9433221%2C9433946%2C9435526%2C9435876%2C9437066%2C9437553%2C9437 742%2C9438662%2C9439652&expire=1468996811&initcwndbps=9551250&ipbits=0&mime=video%2Fmp4&upn=B-BbHfjKlaI&source=yo utube&dur=308.475&id=o-ABCCHl2_QzDMemZ8Eh7hbsSbhXZQ7yt325a-xfqNROk1&lmt=1389684805775554&itag=138&requiressl=yes& ip=203.104.11.77&keepalive=yes&cpn=4cIAF7ZEwNbfV7Cr&alr=yes&ratebypass=yes&c=WEB&cver=1.20160718&range=193174249- 197368552&rn=68&rbuf=23912 - -
Deaktivieren Sie diese auf dem WAAS der Außenstelle, um die IMS-Prüfung zu deaktivieren:
Navigieren Sie zu Konfigurieren > Zwischenspeichern > Akamai Connect.
Dieses Problem wird voraussichtlich in WAAS 6.3 und höher behoben.
Problem: Der Akamai-Cache bricht die HTTPS-Verbindung, wenn er einen Proxy mit Authentifizierung durchläuft.
Lösung:
Wenn Sie einen Proxy durchlaufen müssen, bevor Sie mit dem Internet verbunden werden, und der Proxy eine Authentifizierung erfordert, kann WAAS die HTTPS-Verbindung unterbrechen. Bei der Paketerfassung von WAAS in der Außenstelle wird die Antwort von HTTP 407 vom Serverstandort angezeigt. Die Erfassung wird jedoch nach dem ersten Paket beendet. Nachfolgende Pakete werden nicht gesendet, und die Antwort ist unvollständig.
Dies wird im Defekt CSCva26420 nachverfolgt und wird wahrscheinlich in WAAS 6.3 behoben werden.
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)