Akamai ConnectでYouTubeトラフィック最適化を設定
内容
はじめに
このドキュメントでは、Akamai Connect機能を使用してCisco Wide Area Application Services(WAAS)でYoutubeアクセラレーションを設定するために必要な手順について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco WAAS
- 公開キーインフラストラクチャ
- Secure Sockets Layer(SSL)証明書
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。
- Cisco WAASバージョン5.5.1
- Cisco WAASバージョン6.2.1
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
背景説明
Akamai ConnectとWAAS
Akamai Connect機能は、Cisco WAASに追加されるHTTP/Sオブジェクトキャッシュコンポーネントです。これは既存のWAASソフトウェアスタックに統合され、HTTP Application Optimizerを介して利用されます。Akamai Connectは、ビジネスアプリケーションやWebアプリケーションのHTTP/Sトラフィックの遅延を軽減し、POS(Point of Sale)、HDビデオ、デジタルサイネージ、店舗内注文処理などの多くのアプリケーションのパフォーマンスを向上させます。WANデータの大幅な測定が可能なオフロードを提供し、DRE(重複排除)、LZ(圧縮)、TFO(トランスポートフロー最適化)、およびSSLアクセラレーション(セキュア/暗号化)などの既存のWAAS機能と互換性を備え、第1および第2のパスを高速化します。
Akamai ConnectおよびWAASでは、次の用語が使用されます。
- Akamai Connect:Akamai Connectは、Cisco WAASに追加されるHTTP/Sオブジェクトキャッシュコンポーネントで、既存のWAASソフトウェアスタックに統合され、HTTPアプリケーションオプティマイザを介して活用されます。Akamai Connectを使用したWAASは、ビジネスおよびWebアプリケーションのHTTP/Sトラフィックの遅延を軽減します。
- Akamai Connected Cache - Akamai Connected Cacheは、キャッシュエンジン(CE)がAkamai Intelligent Platform上のエッジサーバーによって配信されるコンテンツをキャッシュすることを可能にするAkamai Connectのコンポーネントです。
設定
ステップ 1:内部/パブリックCAによって署名されたSSL証明書が必要です。
証明書には、次のSubjectAltNameを含める必要があります。
*.youtube.com
*.googlevideo.com
*.ytimg.com
*.ggpht.com
youtube.com
次に証明書の例を示します。
ステップ 2:組織全体の中間認証局(CA)やルート認証局(CA)を信頼する必要があります。
これは、Active Directoryドメイン全体でグループポリシーを使用することで実現できます。
この設定をラボでテストする場合は、中間CAまたはルートCAを信頼できるCAとしてクライアントデバイスにインストールできます。
ステップ 3:WAAS Central Manager GUIを使用して、WAASデバイス上にSSLアクセラレーテッドサービスを作成します。
デュアルサイドのAkamai(WAAS 6.2.3よりも前)で、コアWAASにSSLアクセラレーテッドサービスを設定します。片面Akamai(WAAS 6.2.3以降)の場合は、ブランチWAASにSSLアクセラレーテッドサーバを設定し、SSLインターポーザを有効にします。これは、デュアルサイド設定とシングルサイド設定の唯一の違いです。
図に示すように、Devices > Configure > Acceleration > SSL Accelerated Serviceの順に移動します。
ステップ 4:SSLアクセラレーテッドサービスを設定します。
明示的なプロキシを使用する場合は、プロトコルチェーンを有効にする必要があります。HTTP AOは、トラフィックのプロキシに使用されるTCPポート(80や8080など)に適用する必要があります。
Match Server Name Indicationをチェックする必要があります。この設定では、コアWAASがSSLトラフィックを受信すると、Client HelloのSNIフィールドと、アップロードされた証明書内のSubjectAltNameを比較します。SNIフィールドがSubjectAltNameと一致する場合、コアWAASはこのSSLトラフィックをプロキシします。
Match Server Name Indicationフィールドがチェックされている場合、IPAddressにはAnyを、Server Portには443を使用します。Addをクリックして、このエントリを追加します。
サーバ名表示(SNI)
ステップ 5:証明書と秘密キーをアップロードします。
証明書と秘密キーを指定する必要があります。図に示す例では、PEM形式を使用しています。
手順 6:アップロードされた証明書情報を確認します。
手順 7:「SUBMIT」ボタンをクリックすると、最終結果が表示されます。
ステップ 8:Akamai Connectを有効にします。
Devices > Configure > Caching > Akamai Connectの順に移動します。
ステップ 9:ブランチWAASでSSLインターポーザを有効にします(片側設定の場合のみ必要)。
確認
ステップ 1:ブランチWAASでAkamai Connectを有効にする必要があります。
WAAS-BRANCH# show accelerator http object-cache(登録ユーザ専用)
HTTP Object-cache
..........
Status
--------
Operational State
-----------------
Running
Akamai Connected Cache State
------------------------
Connected
動作状態がRunningであり、接続状態がConnectedであることを確認します。
ステップ 2:クライアントでYouTubeアクセラレーションを確認します。
Youtubeにアクセスすると、自分のCAによって署名された証明書が表示されます。
ステップ 3:WAASでの確認
SSL AOがトラフィックに正しく適用されているかどうかを確認します。
6.2.3より前のWAASソフトウェアを実行している場合のCLIからの出力例(SSL AO v1およびデュアルサイト設定)
WAAS-BRANCH# show statistics connection(統計情報の接続を表示)
ConnID Source IP:Port Dest IP:Port PeerID Accel RR 6859 10.66.86.90:13110 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 51.9% 6839 10.66.86.90:13105 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 16.6% 6834 10.66.86.90:13102 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 93.5% 6733 10.66.86.90:13022 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 72.7% 6727 10.66.86.90:13016 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 03.9%
WAASソフトウェア6.2.3以降(SSL AO v2およびシングルサイト設定)を実行している場合のCLIの出力例
WAAS-BRANCH# show statistics connection(統計情報の接続を表示)
ConnID Source IP:Port Dest IP:Port PeerID Accel RR 3771 10.66.86.66:60730 58.162.61.183:443 N/A THs 50.9% 3770 10.66.86.66:60729 58.162.61.183:443 N/A THs 52.1% 3769 10.66.86.66:60728 58.162.61.183:443 N/A THs 03.0% 3752 10.66.86.66:60720 208.117.242.80:443 N/A THs 54.8% 3731 10.66.86.66:60705 203.37.15.29:443 N/A THs 13.8% 3713 10.66.86.66:60689 58.162.61.142:443 N/A THs 40.4% 3692 10.66.86.66:60669 144.131.80.15:443 N/A THs 10.4%
ブランチWAASのce-access-errorlogをチェックします。最適化されたトラフィックのログエントリには、10000のコードが関連付けられています(OTT-Youtubeとして分類されたことを示します)。h - - - 200は、オブジェクトキャッシュがヒットし、トラフィックがローカルで処理されることを示します。最も高速化が期待されるのはgoogleビデオです。テストマシンで複数のブラウザを開き、同じビデオを同時に再生して設定をテストできます。
ce-errorlogの出力例を次に示します。
08/09/2016 01:49:26.612 (fl=5948) 10000 0.002 0.033 1356 - - 148814 10.66.86.90 10.66.85.121 2905 h - - - 200 GET https://r5---sn-uxanug5-ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3 300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946%2C9435526%2C9437 066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwndbps=6383750&gir= yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms %2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E582132.DEB68217D77D25 F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-ntqk&keepalive=yes&key=yt6 &ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSaUqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass =yes&c=WEB&cver=1.20160804&range=136064-284239&rn=4&rbuf=8659 - - 08/09/2016 01:49:26.899 (fl=5887) 10000 0.003 0.029 1357 - - 191323 10.66.86.90 10.66.85.121 2905 h - - - 200 GET
https://r5---sn-uxanug5-ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3 300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946%2C9435526%2C9437 066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwndbps=6383750&gir= yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms %2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E582132.DEB68217D77D25 F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-ntqk&keepalive=yes&key=yt6 &ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSaUqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass =yes&c=WEB&cver=1.20160804&range=284240-474924&rn=6&rbuf=17442 - -
show statistic acceleration http object-cacheの出力でも、ott-youtubeのヒット数が増加していることが示されている必要があります。
WAAS-BRANCH# show statistics accelerator http object-cache
.......... Object Cache Caching Type: ott-youtube Object cache transactions served from cache: 52 Object cache request bytes for cache-hit transactions: 68079 Object cache response bytes for cache-hit transactions: 14650548 ..........
トラブルシュート
問題:SSL AOによってトラフィックが高速化されない。
解決方法:
次のdebugコマンドを使用して、SSL AOがコアWAAS上のSNIと一致するかどうかを確認します。
次に、ssl-errorlogからの正常な出力例を示します。
WAAS# debug accelerator ssl sni
08/09/2016 01:33:23.721sslao(20473 4.0) TRCE (721383) SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657] 08/09/2016 01:33:23.962sslao(20473 6.0) TRCE (962966) SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657]
ssl-errorlogからの出力失敗の例を次に示します。
WAAS# debug accelerator ssl sni
08/09/2016 01:19:35.929sslao(20473 5.0) NTCE (929983) Unknown SNI: youtube.com [sm.c:4312] 08/09/2016 01:20:58.913sslao(20473 3.0) TRCE (913804) Pipethrough connection unknown SNI:youtube.com IP:10.66.85.121 ID:655078 [c2s.c:663]
問題:ブラウザがYoutubeに接続できず、プッシュされた証明書がありません。
ソリューション:
これは、コアWAASがYoutubeによってプッシュされた証明書を信頼しないことが原因である可能性があります。
SSL高速化サービスでこれをオフにします。
問題:トラフィックはAkamai Connect Engineにヒットしますが、キャッシュヒットはありません。
ソリューション:
これは、ブランチWAASでIf-Modified-since(IMF)チェックを実行したことが原因である可能性があります。IMSオプションは、プロキシサーバまたは使用状況分析デバイスへのユーザアクティビティの強制ロギングをチェックします。IMSチェックが有効な場合、現在のOTTバージョンでは、Youtubeは常にクライアントに対して元のサーバから最新のコピーを取得するように要求します。
これは、ce-access-errorlogで確認できます。
07/20/2016 00:41:49.420 (fl=36862) 10000 2.511 0.000 1312 1383 4194962 4194941 10.37.125.203 10.6.76.220 2f25 l-s s-ims-fv - - 200 GET https://r3---sn-jpuxj-coxe.googlevideo.com/videoplayback?signature=AACC537F02B652FEA0600C90 0B069CA3063C15CD.58BA962C80C0E7DFA9A6664ECDCCE6404A3E2C65&clen=601694377&pl=24&mv=m&mt=1468974801&ms=au&ei=a8iOV- HZG4u24gL-hpu4BQ&mn=sn-jpuxj-coxe&mm=31&key=yt6&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2C itag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&sver=3&gir=yes&fexp=9 416891%2C9422596%2C9428398%2C9431012%2C9433096%2C9433221%2C9433946%2C9435526%2C9435876%2C9437066%2C9437553%2C9437 742%2C9438662%2C9439652&expire=1468996811&initcwndbps=9551250&ipbits=0&mime=video%2Fmp4&upn=B-BbHfjKlaI&source=yo utube&dur=308.475&id=o-ABCCHl2_QzDMemZ8Eh7hbsSbhXZQ7yt325a-xfqNROk1&lmt=1389684805775554&itag=138&requiressl=yes& ip=203.104.11.77&keepalive=yes&cpn=4cIAF7ZEwNbfV7Cr&alr=yes&ratebypass=yes&c=WEB&cver=1.20160718&range=193174249- 197368552&rn=68&rbuf=23912 - -
IMSチェックを無効にするには、ブランチWAASで次のチェックボックスをオフにします。
Configure > Caching > Akamai Connectの順に移動します。
この問題は、WAAS 6.3以降で修正される予定です。
問題:認証を使用してプロキシを経由する際に、Akamai CacheがHTTPS接続を切断します。
ソリューション:
インターネットに接続する前にプロキシを経由する必要があり、プロキシで認証が必要な場合、WAASはHTTPS接続を切断する場合があります。ブランチWAASで取得されたパケットキャプチャは、サーバサイトからのHTTP 407の応答を示します。ただし、キャプチャは最初のパケットの後で停止します。後続のパケットは送信されず、応答は不完全です。
この問題は不具合CSCva26420で追跡されており、WAAS 6.3リリースで修正される可能性があります。
フィードバック