Akamai Connect로 Youtube 트래픽 최적화 구성
목차
소개
이 문서에서는 Akamai Connect 기능을 사용하여 Cisco WAAS(Wide Area Application Services)에서 Youtube 가속화를 구성하는 데 필요한 단계를 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Cisco WAAS
- 공개 키 인프라
- SSL(Secure Sockets Layer) 인증서
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.
- Cisco WAAS 버전 5.5.1
- Cisco WAAS 버전 6.2.1
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
Akamai Connect 및 WAAS
Akamai Connect 기능은 Cisco WAAS에 추가된 HTTP/S 개체 캐시 구성 요소입니다. 기존 WAAS 소프트웨어 스택에 통합되어 HTTP Application Optimizer를 통해 활용됩니다. Akamai Connect는 비즈니스 및 웹 애플리케이션의 HTTP/S 트래픽에 대한 레이턴시를 단축하고 POS(Point of Sale), HD 비디오, 디지털 사이니지, 매장 내 주문 처리 등 여러 애플리케이션의 성능을 향상시킬 수 있습니다. WAN 데이터 오프로드를 대폭적이고 측정 가능하며 DRE(데이터 중복 제거), LZ(압축), TFO(전송 흐름 최적화), SSL 가속화(보안/암호화) 등의 기존 WAAS 기능과 호환되어 첫 번째 및 두 번째 패스 가속화가 가능합니다.
이러한 용어는 Akamai Connect 및 WAAS와 함께 사용됩니다.
- Akamai Connect - Akamai Connect는 Cisco WAAS에 추가된 HTTP/S 객체 캐시 구성 요소로, 기존 WAAS 소프트웨어 스택에 통합되고 HTTP Application Optimizer를 통해 활용됩니다. WAAS with Akamai Connect는 비즈니스 및 웹 애플리케이션의 HTTP/S 트래픽에 대한 레이턴시를 단축합니다.
- Akamai Connected Cache - Akamai Connected Cache는 Akamai Connect의 구성 요소로, CE(Cache Engine)가 Akamai Intelligent Platform의 Edge 서버에서 제공하는 콘텐츠를 캐시할 수 있도록 합니다.
구성
1단계. 내부/공용 CA에서 서명한 SSL 인증서가 필요합니다.
인증서에는 다음 SubjectAltName이 포함되어야 합니다.
*.youtube.com
*.googlevideo.com
*.ytimg.com
*.ggpht.com
youtube.com
다음은 예제 인증서입니다.
2단계. 조직 전체에서 중간 기관 및/또는 루트 CA(Certificate Authority)를 신뢰해야 합니다.
이는 Active Directory 도메인 전체에서 그룹 정책을 사용하여 수행할 수 있습니다.
Lab에서 이 설정을 테스트하는 경우 클라이언트 디바이스에 중간 및/또는 루트 CA를 신뢰할 수 있는 CA로 설치할 수 있습니다.
3단계. WAAS Central Manager GUI를 사용하여 WAAS 장치에 SSL 가속 서비스를 생성합니다.
양면 Akamai(WAAS 6.2.3 이전)에서는 코어 WAAS에서 SSL 가속 서비스를 구성합니다. 단면 Akamai(WAAS 6.2.3 이상)의 경우 브랜치 WAAS에서 SSL 가속 서버를 구성하고 SSL 인터포저를 활성화합니다. 이것이 듀얼 사이드 설정과 싱글 사이드 설정의 유일한 차이입니다.
그림과 같이 Devices > Configure > Acceleration > SSL Accelerated Service로 이동합니다.
4단계. SSL Accelerated Service를 구성합니다.
명시적 프록시를 사용하는 경우 프로토콜 체인을 활성화해야 합니다. HTTP AO는 트래픽을 프록시하는 데 사용되는 TCP 포트에 적용되어야 합니다(예: 80 또는 8080).
Match Server Name Indication(서버 이름 표시 일치)을 선택해야 합니다. 이 설정에서는 코어 WAAS가 SSL 트래픽을 수신할 때 Client Hello의 SNI 필드를 업로드된 인증서의 SubjectAltName과 비교합니다. SNI 필드가 SubjectAltName과 일치할 경우 코어 WAAS는 이 SSL 트래픽을 프록시합니다.
Match Server Name Indication(서버 이름 표시 일치) 필드를 선택한 경우 IPAddress에 Any(모두)를 사용하고 Server Port(서버 포트)에는 443을 사용합니다. 이 항목을 추가하려면 Add를 클릭합니다.
SNI(Server Name Indication)
5단계. 인증서 및 개인 키 업로드
인증서 및 개인 키를 제공해야 합니다. 그림에 표시된 예에서는 PEM 형식을 사용합니다.
6단계. 업로드된 인증서 정보를 확인합니다.
7단계. SUBMIT(제출) 버튼을 클릭하면 최종 결과가 표시됩니다.
8단계. Akamai Connect를 활성화합니다.
Devices(디바이스) > Configure(구성) > Caching(캐싱) > Akamai Connect로 이동합니다.
9단계. 브랜치 WAAS에서 SSL 인터포저를 활성화합니다(단일 측 설정에만 필요).
다음을 확인합니다.
1단계. 지사 WAAS에서 Akamai Connect를 활성화해야 합니다.
WAAS-BRANCH# show accelerator http object-cache
HTTP Object-cache
..........
Status
--------
Operational State
-----------------
Running
Akamai Connected Cache State
------------------------
Connected
작동 상태가 실행 중이고 연결 상태가 연결되었는지 확인합니다.
2단계. 클라이언트에서 Youtube 가속을 확인합니다.
Youtube에 액세스하면 자신의 CA에서 서명한 인증서가 표시되어야 합니다.
3단계. WAAS에서 확인합니다.
SSL AO가 트래픽에 올바르게 적용되었는지 확인합니다.
6.2.3 이전에 WAAS 소프트웨어를 실행할 때의 CLI의 출력 예(SSL AO v1 및 듀얼 사이트 설정)
WAAS-BRANCH# 통계 연결 표시
ConnID Source IP:Port Dest IP:Port PeerID Accel RR 6859 10.66.86.90:13110 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 51.9% 6839 10.66.86.90:13105 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 16.6% 6834 10.66.86.90:13102 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 93.5% 6733 10.66.86.90:13022 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 72.7% 6727 10.66.86.90:13016 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 03.9%
WAAS 소프트웨어 6.2.3 이상(SSL AO v2 및 Single Site Setup)을 실행할 때 CLI의 출력 예
WAAS-BRANCH# 통계 연결 표시
ConnID Source IP:Port Dest IP:Port PeerID Accel RR 3771 10.66.86.66:60730 58.162.61.183:443 N/A THs 50.9% 3770 10.66.86.66:60729 58.162.61.183:443 N/A THs 52.1% 3769 10.66.86.66:60728 58.162.61.183:443 N/A THs 03.0% 3752 10.66.86.66:60720 208.117.242.80:443 N/A THs 54.8% 3731 10.66.86.66:60705 203.37.15.29:443 N/A THs 13.8% 3713 10.66.86.66:60689 58.162.61.142:443 N/A THs 40.4% 3692 10.66.86.66:60669 144.131.80.15:443 N/A THs 10.4%
지사 WAAS에서 ce-access-errorlog를 확인합니다. 최적화된 트래픽에 대한 로그 항목에는 연결된 10000 코드가 있으며(OTT-Youtube로 분류됨), h - - - 200은 개체 캐시가 적중하고 트래픽이 로컬로 제공됨을 나타냅니다. 구글비디오에서 가장 가속도가 높을 것으로 예상된다. 테스트 시스템에서 여러 브라우저를 열고 동일한 비디오를 동시에 재생하여 설정을 테스트할 수 있습니다.
ce-errorlog의 샘플 출력:
08/09/2016 01:49:26.612 (fl=5948) 10000 0.002 0.033 1356 - - 148814 10.66.86.90 10.66.85.121 2905 h - - - 200 GET https://r5---sn-uxanug5-ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3 300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946%2C9435526%2C9437 066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwndbps=6383750&gir= yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms %2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E582132.DEB68217D77D25 F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-ntqk&keepalive=yes&key=yt6 &ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSaUqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass =yes&c=WEB&cver=1.20160804&range=136064-284239&rn=4&rbuf=8659 - - 08/09/2016 01:49:26.899 (fl=5887) 10000 0.003 0.029 1357 - - 191323 10.66.86.90 10.66.85.121 2905 h - - - 200 GET
https://r5---sn-uxanug5-ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3 300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946%2C9435526%2C9437 066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwndbps=6383750&gir= yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms %2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E582132.DEB68217D77D25 F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-ntqk&keepalive=yes&key=yt6 &ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSaUqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass =yes&c=WEB&cver=1.20160804&range=284240-474924&rn=6&rbuf=17442 - -
show statistics acceleration http object-cache의 출력에서는 ott-youtube 적중률이 증가하는 것도 표시해야 합니다.
WAAS-BRANCH# show statistics accelerator http object-cache
.......... Object Cache Caching Type: ott-youtube Object cache transactions served from cache: 52 Object cache request bytes for cache-hit transactions: 68079 Object cache response bytes for cache-hit transactions: 14650548 ..........
문제 해결
문제: SSL AO로 트래픽이 가속되지 않습니다.
솔루션:
다음 debug 명령을 사용하여 SSL AO가 코어 WAAS의 SNI와 일치하는지 확인합니다.
다음은 ssl-errorlog에서 성공적으로 출력된 예입니다.
WAAS# debug accelerator ssl sni
08/09/2016 01:33:23.721sslao(20473 4.0) TRCE (721383) SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657] 08/09/2016 01:33:23.962sslao(20473 6.0) TRCE (962966) SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657]
다음은 ssl-errorlog에서 실패한 출력의 예입니다.
WAAS# debug accelerator ssl sni
08/09/2016 01:19:35.929sslao(20473 5.0) NTCE (929983) Unknown SNI: youtube.com [sm.c:4312] 08/09/2016 01:20:58.913sslao(20473 3.0) TRCE (913804) Pipethrough connection unknown SNI:youtube.com IP:10.66.85.121 ID:655078 [c2s.c:663]
문제: 브라우저에서 Youtube에 연결할 수 없으며 푸시된 인증서가 없습니다.
해결책:
이는 코어 WAAS가 Youtube에서 푸시한 인증서를 신뢰하지 않았기 때문에 발생할 수 있습니다.
SSL Accelerated Service에서 이 옵션의 선택을 취소합니다.
문제: 트래픽이 Akamai Connect Engine에 도달하지만 캐시 적중은 없습니다.
해결책:
이는 브랜치 WAAS에 IMF(If-Modified-since) 검사를 시행하여 발생할 수 있습니다. IMS 옵션은 프록시 서버 또는 사용 분석 디바이스에 대한 사용자 활동의 강제 로깅을 확인할 수 있습니다. IMS 검사가 활성화되면 현재 OTT 버전에서는 Youtube가 항상 클라이언트에게 원본 서버의 최신 복사본을 가져오도록 요청합니다.
이는 ce-access-errorlog에서 확인할 수 있습니다.
07/20/2016 00:41:49.420 (fl=36862) 10000 2.511 0.000 1312 1383 4194962 4194941 10.37.125.203 10.6.76.220 2f25 l-s s-ims-fv - - 200 GET https://r3---sn-jpuxj-coxe.googlevideo.com/videoplayback?signature=AACC537F02B652FEA0600C90 0B069CA3063C15CD.58BA962C80C0E7DFA9A6664ECDCCE6404A3E2C65&clen=601694377&pl=24&mv=m&mt=1468974801&ms=au&ei=a8iOV- HZG4u24gL-hpu4BQ&mn=sn-jpuxj-coxe&mm=31&key=yt6&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2C itag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&sver=3&gir=yes&fexp=9 416891%2C9422596%2C9428398%2C9431012%2C9433096%2C9433221%2C9433946%2C9435526%2C9435876%2C9437066%2C9437553%2C9437 742%2C9438662%2C9439652&expire=1468996811&initcwndbps=9551250&ipbits=0&mime=video%2Fmp4&upn=B-BbHfjKlaI&source=yo utube&dur=308.475&id=o-ABCCHl2_QzDMemZ8Eh7hbsSbhXZQ7yt325a-xfqNROk1&lmt=1389684805775554&itag=138&requiressl=yes& ip=203.104.11.77&keepalive=yes&cpn=4cIAF7ZEwNbfV7Cr&alr=yes&ratebypass=yes&c=WEB&cver=1.20160718&range=193174249- 197368552&rn=68&rbuf=23912 - -
IMS 검사를 비활성화하려면 브랜치 WAAS에서 다음 항목의 선택을 취소합니다.
Configure(구성) > Caching(캐싱) > Akamai Connect로 이동합니다.
이 문제는 WAAS 6.3 이상에서 해결될 것으로 예상됩니다.
문제: Akamai Cache가 인증을 사용하는 프록시를 통과할 때 HTTPS 연결을 끊습니다.
해결책:
인터넷에 접속하기 전에 프록시를 통과해야 하고 프록시에 인증이 필요한 경우 WAAS가 HTTPS 연결을 끊을 수 있습니다. 브랜치 WAAS에서 수행된 패킷 캡처는 서버 사이트로부터의 HTTP 407 응답을 보여줍니다. 그러나 첫 번째 패킷 이후에 캡처가 중지됩니다. 후속 패킷은 전송되지 않으며 응답이 불완전합니다.
이는 결함 CSCva26420에서 추적되며 WAAS 6.3 릴리스에서 수정될 가능성이 높습니다.
피드백