El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe los pasos necesarios para configurar la aceleración de Youtube en Cisco Wide Area Application Services (WAAS) mediante la función Akamai Connect.
Nota: A lo largo de este artículo, el término dispositivo WAAS se utiliza para referirse de forma colectiva a los WAAS Central Manager y WAEs de su red. El término WAE (Wide Area Application Engineer) hace referencia a los dispositivos WAE y WAVE, los módulos SM-SRE que ejecutan WAAS y las instancias de vWAAS.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en estas versiones de software:
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
La función Akamai Connect es un componente de caché de objetos HTTP/S agregado a Cisco WAAS. Se integra en la pila de software WAAS existente y se aprovecha mediante el Optimizador de aplicaciones HTTP. Akamai Connect ayuda a reducir la latencia del tráfico HTTP/S para aplicaciones empresariales y web y puede mejorar el rendimiento de muchas aplicaciones, como POS (punto de venta), vídeo HD, señalización digital y procesamiento de pedidos en la tienda. Proporciona descargas de datos WAN significativas y cuantificables y es compatible con las funciones WAAS existentes, como DRE (deduplicación), LZ (compresión), TFO (optimización del flujo de transporte) y aceleración SSL (segura/cifrada) para la aceleración de primer y segundo paso.
Estos términos se utilizan con Akamai Connect y WAAS:
El certificado debe incluir el nombreAsuntoAltName siguiente:
*.youtube.com
*.googlevideo.com
*.ytimg.com
*.ggpht.com
youtube.com
Este es un ejemplo de certificado:
Esto se puede lograr mediante la política de grupo en el dominio de Active Directory.
Si está probando esta configuración en un laboratorio, puede instalar la CA intermedia o raíz en el dispositivo cliente como una CA de confianza.
En Akamai de doble cara (antes de WAAS 6.2.3) configure el servicio acelerado SSL en el WAAS principal. Para Akamai de un solo lado (WAAS 6.2.3 o posterior), configure el servidor acelerado SSL en la sucursal WAAS y habilite el transmisor SSL. Esta es la única diferencia entre la configuración de dos lados y la configuración de un solo lado.
Nota: WAAS que ejecuta la versión de software anterior a la 6.2.3 necesita una configuración de Akamai de doble cara para acelerar el tráfico de Youtube El WAAS de núcleo proxies la conexión SSL que va a Youtube. WAAS que ejecuta la versión de software 6.2.3 o posterior admite SSL AO v2 (SAKE). Esto permite que la sucursal WAAS proxy la conexión SSL cuando la sucursal envía tráfico directamente a Internet sin ser dirigida a través de la infraestructura del Data Center.
Vaya a Dispositivos > Configurar > Aceleración > Servicio SSL Acelerado, como se muestra en la imagen:
Si utiliza un proxy explícito, el encadenamiento de protocolo debe estar habilitado. HTTP AO se debe aplicar al puerto TCP utilizado para proxizar el tráfico (por ejemplo, 80 u 8080).
Debe activarse la indicación de nombre de servidor coincidente. En esta configuración, cuando el WAAS central recibe tráfico SSL, compara el campo SNI en el Hello del cliente con el SubjectAltName en el certificado cargado. Si el campo SNI coincide con SubjectAltName, el WAAS de núcleo proxies este tráfico SSL.
Cuando el campo Match Server Name Indication esté activado, utilice Any para IPAddress y 443 para Server Port. Haga clic en Agregar para agregar esta entrada.
Indicación de nombre de servidor (SNI)
Debe proporcionar un certificado y una clave privada. El ejemplo que se muestra en la imagen utiliza el formato PEM:
Navegue hasta Dispositivos > Configurar > Almacenamiento en caché > Akamai Connect.
WAAS-BRANCH# show Accelerator http object-cache
HTTP Object-cache .......... Status -------- Operational State ----------------- Running Akamai Connected Cache State ------------------------ Connected
Asegúrese de que el estado operativo esté en ejecución y de que el estado de conexión esté conectado.
Cuando acceda a Youtube, debe ver el certificado firmado por su propia CA:
Verifique si SSL AO se aplica correctamente al tráfico:
Ejemplo de resultado de CLI al ejecutar el software WAAS anterior a 6.2.3 (SSL AO v1 y configuración de sitio dual)
WAAS-BRANCH# show statistics connection
ConnID Source IP:Port Dest IP:Port PeerID Accel RR 6859 10.66.86.90:13110 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 51.9% 6839 10.66.86.90:13105 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 16.6% 6834 10.66.86.90:13102 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 93.5% 6733 10.66.86.90:13022 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 72.7% 6727 10.66.86.90:13016 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 03.9%
Ejemplo de resultado de CLI al ejecutar el software WAAS 6.2.3 o posterior (SSL AO v2 y Single Site Setup)
WAAS-BRANCH# show statistics connection
ConnID Source IP:Port Dest IP:Port PeerID Accel RR 3771 10.66.86.66:60730 58.162.61.183:443 N/A THs 50.9% 3770 10.66.86.66:60729 58.162.61.183:443 N/A THs 52.1% 3769 10.66.86.66:60728 58.162.61.183:443 N/A THs 03.0% 3752 10.66.86.66:60720 208.117.242.80:443 N/A THs 54.8% 3731 10.66.86.66:60705 203.37.15.29:443 N/A THs 13.8% 3713 10.66.86.66:60689 58.162.61.142:443 N/A THs 40.4% 3692 10.66.86.66:60669 144.131.80.15:443 N/A THs 10.4%
Verifique el ce-access-errorlog en la rama WAAS. Las entradas de registro para el tráfico optimizado tienen un código de 10000 asociado a ellas (Indíqueles clasificados como OTT-Youtube) y h - - - 200 indica que la memoria caché de objetos se encuentra y el tráfico se atiende localmente. Se espera la mayor aceleración en googlevideo. Puede abrir varios exploradores en el equipo de prueba y reproducir el mismo vídeo al mismo tiempo para probar la configuración:
Ejemplo de resultado de ce-errorlog:
08/09/2016 01:49:26.612 (fl=5948) 10000 0.002 0.033 1356 - - 148814 10.66.86.90 10.66.85.121 2905 h - - - 200 GET https://r5---sn-uxanug5-ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3 300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946%2C9435526%2C9437 066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwndbps=6383750&gir= yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms %2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E582132.DEB68217D77D25 F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-ntqk&keepalive=yes&key=yt6 &ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSaUqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass =yes&c=WEB&cver=1.20160804&range=136064-284239&rn=4&rbuf=8659 - - 08/09/2016 01:49:26.899 (fl=5887) 10000 0.003 0.029 1357 - - 191323 10.66.86.90 10.66.85.121 2905 h - - - 200 GET
https://r5---sn-uxanug5-ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3 300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946%2C9435526%2C9437 066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwndbps=6383750&gir= yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms %2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E582132.DEB68217D77D25 F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-ntqk&keepalive=yes&key=yt6 &ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSaUqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass =yes&c=WEB&cver=1.20160804&range=284240-474924&rn=6&rbuf=17442 - -
El resultado del comando show statistics Accelertic http object-cache también debe mostrar resultados de ott-youtube en aumento:
WAAS-BRANCH# show statistics accelerator http object-cache
.......... Object Cache Caching Type: ott-youtube Object cache transactions served from cache: 52 Object cache request bytes for cache-hit transactions: 68079 Object cache response bytes for cache-hit transactions: 14650548 ..........
Solución:
Verifique si SSL AO coincide con el SNI en el WAAS principal con este comando debug:
Este es un ejemplo de un resultado exitoso de ssl-errorlog:
WAAS# debug accelerator ssl sni
08/09/2016 01:33:23.721sslao(20473 4.0) TRCE (721383) SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657] 08/09/2016 01:33:23.962sslao(20473 6.0) TRCE (962966) SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657]
Este es un ejemplo de un resultado fallido de ssl-errorlog:
WAAS# debug accelerator ssl sni
08/09/2016 01:19:35.929sslao(20473 5.0) NTCE (929983) Unknown SNI: youtube.com [sm.c:4312] 08/09/2016 01:20:58.913sslao(20473 3.0) TRCE (913804) Pipethrough connection unknown SNI:youtube.com IP:10.66.85.121 ID:655078 [c2s.c:663]
Solución:
Esto puede ser causado por el WAAS principal que no confía en el certificado enviado por Youtube.
Desactive esta opción en el servicio acelerado SSL.
Solución:
Esto puede ser causado por la aplicación del cheque "If-Modified-Since" (FMI) en la sucursal WAAS. La opción IMS puede verificar el registro forzado de la actividad de los usuarios en un servidor proxy o dispositivo de análisis de uso. Cuando se habilita la verificación IMS, en la versión actual de OTT, Youtube siempre solicita al cliente que obtenga la última copia del servidor de origen.
Esto se puede observar en ce-access-errorlog:
07/20/2016 00:41:49.420 (fl=36862) 10000 2.511 0.000 1312 1383 4194962 4194941 10.37.125.203 10.6.76.220 2f25 l-s s-ims-fv - - 200 GET https://r3---sn-jpuxj-coxe.googlevideo.com/videoplayback?signature=AACC537F02B652FEA0600C90 0B069CA3063C15CD.58BA962C80C0E7DFA9A6664ECDCCE6404A3E2C65&clen=601694377&pl=24&mv=m&mt=1468974801&ms=au&ei=a8iOV- HZG4u24gL-hpu4BQ&mn=sn-jpuxj-coxe&mm=31&key=yt6&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2C itag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&sver=3&gir=yes&fexp=9 416891%2C9422596%2C9428398%2C9431012%2C9433096%2C9433221%2C9433946%2C9435526%2C9435876%2C9437066%2C9437553%2C9437 742%2C9438662%2C9439652&expire=1468996811&initcwndbps=9551250&ipbits=0&mime=video%2Fmp4&upn=B-BbHfjKlaI&source=yo utube&dur=308.475&id=o-ABCCHl2_QzDMemZ8Eh7hbsSbhXZQ7yt325a-xfqNROk1&lmt=1389684805775554&itag=138&requiressl=yes& ip=203.104.11.77&keepalive=yes&cpn=4cIAF7ZEwNbfV7Cr&alr=yes&ratebypass=yes&c=WEB&cver=1.20160718&range=193174249- 197368552&rn=68&rbuf=23912 - -
Desmarque estas opciones en la sucursal WAAS para inhabilitar la verificación IMS:
Navegue hasta Configurar > Almacenar en caché > Akamai Connect.
Se espera que este problema se solucione en WAAS 6.3 y posteriores.
Solución:
Cuando necesita pasar por un proxy antes de ir a Internet y el proxy requiere autenticación, WAAS puede interrumpir la conexión HTTPS. La captura de paquetes tomada en la rama WAAS muestra la respuesta de HTTP 407 desde el sitio del servidor. Sin embargo, la captura se detiene después del primer paquete. Los paquetes subsiguientes no se envían y la respuesta está incompleta.
Esto se rastrea en el defecto CSCva26420 y es probable que se repare en la versión WAAS 6.3.