Configurer l'optimisation du trafic Youtube avec Akamai Connect
Table des matières
Introduction
Ce document décrit les étapes requises pour configurer l'accélération Youtube sur Cisco Wide Area Application Services (WAAS) à l'aide de la fonctionnalité Akamai Connect.
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Cisco WAAS
- Infrastructure à clé publique
- Certificat SSL (Secure Sockets Layer)
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :
- Cisco WAAS version 5.5.1
- Cisco WAAS version 6.2.1
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Informations générales
Akamai Connect et WAAS
La fonctionnalité Akamai Connect est un composant de cache d'objets HTTP/S ajouté à Cisco WAAS. Il est intégré à la pile logicielle WAAS existante et est exploité via HTTP Application Optimizer. Akamai Connect permet de réduire la latence du trafic HTTP/S pour les applications professionnelles et Web et peut améliorer les performances de nombreuses applications, notamment les points de vente (POS), la vidéo HD, la signalisation numérique et le traitement des commandes en magasin. Il assure un délestage significatif et mesurable des données WAN et est compatible avec les fonctions WAAS existantes telles que DRE (déduplication), LZ (compression), TFO (Transport Flow Optimization) et l'accélération SSL (sécurisée/chiffrée) pour l'accélération de premier et de second passage.
Ces termes sont utilisés avec Akamai Connect et WAAS :
- Akamai Connect - Akamai Connect est un composant de cache d'objets HTTP/S ajouté à Cisco WAAS, intégré à la pile logicielle WAAS existante et exploité via HTTP Application Optimizer. WAAS avec Akamai Connect permet de réduire la latence du trafic HTTP/S pour les applications métier et Web.
- Akamai Connected Cache : Akamai Connected Cache est un composant d'Akamai Connect, qui permet au moteur de cache (CE) de mettre en cache le contenu fourni par un serveur Edge sur la plate-forme intelligente Akamai.
Configurer
Étape 1. Vous avez besoin d'un certificat SSL signé par votre autorité de certification interne/publique.
Le certificat doit inclure le paramètre SubjectAltName suivant :
*.youtube.com
*.googlevideo.com
*.ytimg.com
*.ggpht.com
youtube.com
Voici un exemple de certificat :
Étape 2. Vous devez faire confiance à l'intermédiaire et/ou à l'autorité de certification racine de votre entreprise.
Pour ce faire, vous pouvez utiliser la stratégie de groupe sur le domaine Active Directory.
Si vous testez cette configuration dans un TP, vous pouvez installer l'autorité de certification intermédiaire et/ou racine dans le périphérique client en tant qu'autorité de certification de confiance.
Étape 3. Créez un service accéléré SSL sur le périphérique WAAS à l'aide de l'interface utilisateur graphique du Gestionnaire central WAAS.
Sur Akamai double face (antérieur à WAAS 6.2.3), configurez le service SSL accéléré sur le WAAS principal. Pour l'Akamai simple face (WAAS 6.2.3 ou version ultérieure), configurez le serveur SSL accéléré sur le WAAS de la filiale et activez l'interposeur SSL. Il s'agit de la seule différence entre une configuration double face et une configuration simple face.
Accédez à Devices > Configure > Acceleration > SSL Accelerated Service, comme indiqué dans l'image :
Étape 4. Configurez le service accéléré SSL.
Si vous utilisez un proxy explicite, le chaînage de protocole doit être activé. L'AO HTTP doit être appliqué au port TCP utilisé pour le proxy du trafic (par exemple, 80 ou 8080).
L'indication du nom du serveur de correspondance doit être vérifiée. Dans cette configuration, lorsque le WAAS principal reçoit le trafic SSL, il compare le champ SNI dans le paquet Hello du client avec le champ SubjectAltName dans le certificat téléchargé. Si le champ SNI correspond à SubjectAltName, le WAAS principal proxie ce trafic SSL.
Lorsque le champ Match Server Name Indication est coché, utilisez Any pour IPAddress et 443 pour Server Port. Cliquez sur Add pour ajouter cette entrée.
Indication du nom du serveur (SNI)
Étape 5. Téléchargez le certificat et la clé privée.
Vous devez fournir un certificat et une clé privée. L'exemple présenté dans l'image utilise le format PEM :
Étape 6. Vérifiez les informations de certificat téléchargées.
Étape 7. Cliquez sur le bouton SUBMIT (ENVOYER) et voici le résultat final.
Étape 8. Activez Akamai Connect.
Accédez à Devices > Configure > Caching > Akamai Connect.
Étape 9. Activez l'interposeur SSL sur le WAAS de la filiale (requis uniquement pour la configuration côté unique).
Vérifier
Étape 1. Akamai Connect doit être activé sur le WAAS de filiale.
WAAS-BRANCH# show accelerator http object-cache
HTTP Object-cache
..........
Status
--------
Operational State
-----------------
Running
Akamai Connected Cache State
------------------------
Connected
Vérifiez que l'état opérationnel est En cours et que l'état de connexion est Connecté.
Étape 2. Vérifiez l'accélération Youtube sur le client.
Lorsque vous accédez à Youtube, vous devez voir le certificat signé par votre propre autorité de certification :
Étape 3. Vérifiez sur WAAS.
Vérifiez si l'AO SSL est correctement appliqué au trafic :
Exemple de résultat de l'interface de ligne de commande lors de l'exécution du logiciel WAAS antérieur à 6.2.3 (SSL AO v1 et Dual Site Setup)
WAAS-BRANCH# show statistics connection
ConnID Source IP:Port Dest IP:Port PeerID Accel RR 6859 10.66.86.90:13110 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 51.9% 6839 10.66.86.90:13105 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 16.6% 6834 10.66.86.90:13102 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 93.5% 6733 10.66.86.90:13022 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 72.7% 6727 10.66.86.90:13016 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 03.9%
Exemple de résultat de l'interface de ligne de commande lors de l'exécution du logiciel WAAS 6.2.3 ou version ultérieure (SSL AO v2 et Configuration sur site unique)
WAAS-BRANCH# show statistics connection
ConnID Source IP:Port Dest IP:Port PeerID Accel RR 3771 10.66.86.66:60730 58.162.61.183:443 N/A THs 50.9% 3770 10.66.86.66:60729 58.162.61.183:443 N/A THs 52.1% 3769 10.66.86.66:60728 58.162.61.183:443 N/A THs 03.0% 3752 10.66.86.66:60720 208.117.242.80:443 N/A THs 54.8% 3731 10.66.86.66:60705 203.37.15.29:443 N/A THs 13.8% 3713 10.66.86.66:60689 58.162.61.142:443 N/A THs 40.4% 3692 10.66.86.66:60669 144.131.80.15:443 N/A THs 10.4%
Vérifiez le journal d'erreurs ce-access sur le WAAS de branche. Les entrées de journal pour le trafic optimisé ont un code de 10000 associé à eux (indiquer classé comme OTT-Youtube) et h - - - 200 indique que le cache d'objet est atteint et le trafic est servi localement. La plus grande accélération est attendue sur googlevideo. Vous pouvez ouvrir plusieurs navigateurs sur la machine de test et lire la même vidéo en même temps pour tester la configuration :
Exemple de résultat de ce-errorlog :
08/09/2016 01:49:26.612 (fl=5948) 10000 0.002 0.033 1356 - - 148814 10.66.86.90 10.66.85.121 2905 h - - - 200 GET https://r5---sn-uxanug5-ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3 300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946%2C9435526%2C9437 066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwndbps=6383750&gir= yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms %2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E582132.DEB68217D77D25 F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-ntqk&keepalive=yes&key=yt6 &ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSaUqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass =yes&c=WEB&cver=1.20160804&range=136064-284239&rn=4&rbuf=8659 - - 08/09/2016 01:49:26.899 (fl=5887) 10000 0.003 0.029 1357 - - 191323 10.66.86.90 10.66.85.121 2905 h - - - 200 GET
https://r5---sn-uxanug5-ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3 300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946%2C9435526%2C9437 066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwndbps=6383750&gir= yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms %2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E582132.DEB68217D77D25 F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-ntqk&keepalive=yes&key=yt6 &ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSaUqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass =yes&c=WEB&cver=1.20160804&range=284240-474924&rn=6&rbuf=17442 - -
Le résultat de show statistics acceleration http object-cache doit également montrer que les résultats de ott-youtube augmentent :
WAAS-BRANCH# show statistics accelerator http object-cache
.......... Object Cache Caching Type: ott-youtube Object cache transactions served from cache: 52 Object cache request bytes for cache-hit transactions: 68079 Object cache response bytes for cache-hit transactions: 14650548 ..........
Dépannage
Problème : le trafic n'est pas accéléré par l'AO SSL.
Solution:
Vérifiez si SSL AO correspond au SNI sur le WAAS principal avec la commande debug suivante :
Voici un exemple de résultat réussi de ssl-errorlog :
WAAS# debug accelerator ssl sni
08/09/2016 01:33:23.721sslao(20473 4.0) TRCE (721383) SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657] 08/09/2016 01:33:23.962sslao(20473 6.0) TRCE (962966) SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657]
Ceci est un exemple de sortie infructueuse de ssl-errorlog :
WAAS# debug accelerator ssl sni
08/09/2016 01:19:35.929sslao(20473 5.0) NTCE (929983) Unknown SNI: youtube.com [sm.c:4312] 08/09/2016 01:20:58.913sslao(20473 3.0) TRCE (913804) Pipethrough connection unknown SNI:youtube.com IP:10.66.85.121 ID:655078 [c2s.c:663]
Problème : le navigateur ne peut pas se connecter à Youtube et aucun certificat n'est envoyé.
Solution :
Cela peut être dû au fait que le WAAS principal ne fait pas confiance au certificat poussé par Youtube.
Décochez cette case sur le service SSL accéléré.
Problème : le trafic atteint le moteur de connexion Akamai, mais il n'y a pas de cache atteint.
Solution :
Cela peut être causé par l'application du contrôle If-Modified-Since (FMI) sur la branche WAAS. L'option IMS peut vérifier la consignation forcée de l'activité des utilisateurs sur un serveur proxy ou un périphérique d'analyse de l'utilisation. Lorsque la vérification IMS est activée, dans la version OTT actuelle, Youtube demande toujours au client de récupérer la dernière copie du serveur d'origine.
Ceci peut être observé dans ce-access-errorlog :
07/20/2016 00:41:49.420 (fl=36862) 10000 2.511 0.000 1312 1383 4194962 4194941 10.37.125.203 10.6.76.220 2f25 l-s s-ims-fv - - 200 GET https://r3---sn-jpuxj-coxe.googlevideo.com/videoplayback?signature=AACC537F02B652FEA0600C90 0B069CA3063C15CD.58BA962C80C0E7DFA9A6664ECDCCE6404A3E2C65&clen=601694377&pl=24&mv=m&mt=1468974801&ms=au&ei=a8iOV- HZG4u24gL-hpu4BQ&mn=sn-jpuxj-coxe&mm=31&key=yt6&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2C itag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&sver=3&gir=yes&fexp=9 416891%2C9422596%2C9428398%2C9431012%2C9433096%2C9433221%2C9433946%2C9435526%2C9435876%2C9437066%2C9437553%2C9437 742%2C9438662%2C9439652&expire=1468996811&initcwndbps=9551250&ipbits=0&mime=video%2Fmp4&upn=B-BbHfjKlaI&source=yo utube&dur=308.475&id=o-ABCCHl2_QzDMemZ8Eh7hbsSbhXZQ7yt325a-xfqNROk1&lmt=1389684805775554&itag=138&requiressl=yes& ip=203.104.11.77&keepalive=yes&cpn=4cIAF7ZEwNbfV7Cr&alr=yes&ratebypass=yes&c=WEB&cver=1.20160718&range=193174249- 197368552&rn=68&rbuf=23912 - -
Décochez les cases suivantes sur le WAAS de branche pour désactiver la vérification IMS :
Naviguez jusqu'à Configure > Caching > Akamai Connect.
Ce problème devrait être résolu dans WAAS 6.3 et versions ultérieures.
Problème : Akamai Cache interrompt la connexion HTTPS lorsqu'il passe par un proxy avec authentification.
Solution :
Lorsque vous devez passer par un proxy avant d'accéder à Internet et que le proxy nécessite une authentification, WAAS peut interrompre la connexion HTTPS. La capture de paquets effectuée sur le WAAS de branche affiche la réponse du HTTP 407 du site serveur. Cependant, la capture s'arrête après le premier paquet. Les paquets suivants ne sont pas envoyés et la réponse est incomplète.
Ceci est suivi dans le défaut CSCva26420 et est susceptible d'être corrigé dans la version WAAS 6.3.
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)