使用Akamai Connect配置Youtube流量优化
目录
简介
本文档介绍使用Akamai Connect功能在思科广域应用服务(WAAS)上配置Youtube加速所需的步骤。
先决条件
要求
Cisco 建议您了解以下主题:
- Cisco WAAS
- 公用密钥基础结构
- 安全套接字层(SSL)证书
使用的组件
本文档中的信息基于以下软件版本:
- Cisco WAAS版本5.5.1
- Cisco WAAS版本6.2.1
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
背景信息
Akamai Connect和WAAS
Akamai Connect功能是添加到Cisco WAAS的HTTP/S对象缓存组件。它集成到现有WAAS软件堆栈中,并通过HTTP应用优化程序加以利用。Akamai Connect有助于降低业务和网络应用的HTTP/S流量的延迟,并可提高许多应用的性能,包括POS(销售点)、高清视频、数字标牌和店内订单处理。它提供显著且可衡量的广域网数据卸载,并与现有WAAS功能兼容,如DRE(重复数据删除)、LZ(压缩)、TFO(传输流优化)以及用于第一和第二通道加速的SSL加速(安全/加密)。
这些术语用于Akamai Connect和WAAS:
- Akamai Connect - Akamai Connect是添加到Cisco WAAS的HTTP/S对象缓存组件,集成到现有WAAS软件堆栈中并通过HTTP应用优化程序加以利用。采用Akamai Connect的WAAS有助于降低业务和网络应用的HTTP/S流量延迟。
- Akamai Connected Cache - Akamai Connected Cache是Akamai Connect的一个组件,它允许缓存引擎(CE)缓存由Akamai智能平台上的边缘服务器传送的内容。
配置
步骤1:您需要由内部/公共CA签名的SSL证书。
证书需要包含以下SubjectAltName:
*.youtube.com
*.googlevideo.com
*.ytimg.com
*.ggpht.com
youtube.com
以下是示例证书:
第二步:您需要信任整个组织的中间和/或根证书颁发机构(CA)。
这可以通过在Active Directory域中使用组策略来实现。
如果在实验室中测试此设置,则可以在客户端设备中安装中间和/或根CA作为受信任CA。
第三步:使用WAAS Central Manager GUI在WAAS设备上创建SSL加速服务。
在双面Akamai(WAAS 6.2.3之前的版本)上,在核心WAAS上配置SSL加速服务。对于单面Akamai(WAAS 6.2.3或更高版本),请在分支WAAS上配置SSL加速服务器并启用SSL转接器。这是双侧设置和单侧设置之间的唯一区别。
导航到设备>配置>加速> SSL加速服务,如图所示:
第四步:配置SSL加速服务。
如果使用显式代理,则需要启用协议链。HTTP AO必须应用到用于代理流量的TCP端口(例如,80或8080)。
需要检查匹配服务器名称指示。在此设置中,当核心WAAS接收SSL流量时,它会将Client Hello中的SNI字段与上传证书中的SubjectAltName进行比较。如果SNI字段与SubjectAltName匹配,则核心WAAS会代理此SSL流量。
选中Match Server Name Indication字段时,请对IP地址使用Any,对服务器端口使用443。单击Add添加此条目。
服务器名称指示(SNI)
第五步:上传证书和私钥。
您需要提供证书和私钥。图中所示的示例使用PEM格式:
第六步:验证上传的证书信息。
步骤 7.点击SUBMIT按钮,这是最终结果。
步骤 8启用Akamai Connect。
导航到设备>配置>缓存> Akamai Connect。
步骤 9在分支WAAS上启用SSL转接程序(仅对单侧设置需要)。
验证
步骤1:您需要在分支机构WAAS上启用Akamai Connect。
WAAS-BRANCH# show accelerator http object-cache
HTTP Object-cache
..........
Status
--------
Operational State
-----------------
Running
Akamai Connected Cache State
------------------------
Connected
确保运行状态为Running,并且连接状态为Connected。
第二步:在客户端上验证Youtube加速。
当您访问Youtube时,您必须看到由您自己的CA签名的证书:
第三步:在WAAS上验证。
验证SSL AO是否已正确应用于流量:
运行6.2.3之前的WAAS软件时CLI的输出示例(SSL AO v1和双站点设置)
WAAS-BRANCH# show statistics connection
ConnID Source IP:Port Dest IP:Port PeerID Accel RR 6859 10.66.86.90:13110 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 51.9% 6839 10.66.86.90:13105 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 16.6% 6834 10.66.86.90:13102 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 93.5% 6733 10.66.86.90:13022 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 72.7% 6727 10.66.86.90:13016 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 03.9%
运行WAAS软件6.2.3或更高版本时CLI的输出示例(SSL AO v2和单站点设置)
WAAS-BRANCH# show statistics connection
ConnID Source IP:Port Dest IP:Port PeerID Accel RR 3771 10.66.86.66:60730 58.162.61.183:443 N/A THs 50.9% 3770 10.66.86.66:60729 58.162.61.183:443 N/A THs 52.1% 3769 10.66.86.66:60728 58.162.61.183:443 N/A THs 03.0% 3752 10.66.86.66:60720 208.117.242.80:443 N/A THs 54.8% 3731 10.66.86.66:60705 203.37.15.29:443 N/A THs 13.8% 3713 10.66.86.66:60689 58.162.61.142:443 N/A THs 40.4% 3692 10.66.86.66:60669 144.131.80.15:443 N/A THs 10.4%
检查分支机构WAAS上的ce-access-errorlog。优化流量的日志条目具有与之关联的代码10000(指示分类为OTT-Youtube),而h - - - 200指示对象缓存命中,流量在本地提供。Google视频预计加速最多。您可以在测试计算机上打开多个浏览器,并同时播放同一视频来测试设置:
ce-errorlog的输出示例:
08/09/2016 01:49:26.612 (fl=5948) 10000 0.002 0.033 1356 - - 148814 10.66.86.90 10.66.85.121 2905 h - - - 200 GET https://r5---sn-uxanug5-ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3 300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946%2C9435526%2C9437 066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwndbps=6383750&gir= yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms %2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E582132.DEB68217D77D25 F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-ntqk&keepalive=yes&key=yt6 &ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSaUqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass =yes&c=WEB&cver=1.20160804&range=136064-284239&rn=4&rbuf=8659 - - 08/09/2016 01:49:26.899 (fl=5887) 10000 0.003 0.029 1357 - - 191323 10.66.86.90 10.66.85.121 2905 h - - - 200 GET
https://r5---sn-uxanug5-ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3 300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946%2C9435526%2C9437 066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwndbps=6383750&gir= yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms %2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E582132.DEB68217D77D25 F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-ntqk&keepalive=yes&key=yt6 &ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSaUqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass =yes&c=WEB&cver=1.20160804&range=284240-474924&rn=6&rbuf=17442 - -
show statistic acceleration http object-cache的输出还必须显示ott-youtube命中数增加:
WAAS-BRANCH# show statistics accelerator http object-cache
.......... Object Cache Caching Type: ott-youtube Object cache transactions served from cache: 52 Object cache request bytes for cache-hit transactions: 68079 Object cache response bytes for cache-hit transactions: 14650548 ..........
故障排除
问题:SSL AO不会加速流量。
解决方案:
使用以下调试命令检查SSL AO是否与核心WAAS上的SNI匹配:
以下是ssl-errorlog成功输出的示例:
WAAS# debug accelerator ssl sni
08/09/2016 01:33:23.721sslao(20473 4.0) TRCE (721383) SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657] 08/09/2016 01:33:23.962sslao(20473 6.0) TRCE (962966) SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657]
以下是ssl-errorlog不成功输出的示例:
WAAS# debug accelerator ssl sni
08/09/2016 01:19:35.929sslao(20473 5.0) NTCE (929983) Unknown SNI: youtube.com [sm.c:4312] 08/09/2016 01:20:58.913sslao(20473 3.0) TRCE (913804) Pipethrough connection unknown SNI:youtube.com IP:10.66.85.121 ID:655078 [c2s.c:663]
问题:浏览器无法连接到Youtube,并且未推送证书。
解决方案:
这可能是因为核心WAAS不信任Youtube推送的证书。
在SSL加速服务上取消选中此项。
问题:流量命中Akamai Connect引擎,但缓存未命中。
解决方案:
这可能是因为对分支WAAS强制执行If-Modified-since (IMF)检查。IMS选项可以检查强制将用户活动记录到代理服务器或使用分析设备。启用IMS检查后,在当前的OTT版本中,Youtube始终会请求客户端从源服务器获取最新副本。
可以在ce-access-errorlog中观察到以下情况:
07/20/2016 00:41:49.420 (fl=36862) 10000 2.511 0.000 1312 1383 4194962 4194941 10.37.125.203 10.6.76.220 2f25 l-s s-ims-fv - - 200 GET https://r3---sn-jpuxj-coxe.googlevideo.com/videoplayback?signature=AACC537F02B652FEA0600C90 0B069CA3063C15CD.58BA962C80C0E7DFA9A6664ECDCCE6404A3E2C65&clen=601694377&pl=24&mv=m&mt=1468974801&ms=au&ei=a8iOV- HZG4u24gL-hpu4BQ&mn=sn-jpuxj-coxe&mm=31&key=yt6&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2C itag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&sver=3&gir=yes&fexp=9 416891%2C9422596%2C9428398%2C9431012%2C9433096%2C9433221%2C9433946%2C9435526%2C9435876%2C9437066%2C9437553%2C9437 742%2C9438662%2C9439652&expire=1468996811&initcwndbps=9551250&ipbits=0&mime=video%2Fmp4&upn=B-BbHfjKlaI&source=yo utube&dur=308.475&id=o-ABCCHl2_QzDMemZ8Eh7hbsSbhXZQ7yt325a-xfqNROk1&lmt=1389684805775554&itag=138&requiressl=yes& ip=203.104.11.77&keepalive=yes&cpn=4cIAF7ZEwNbfV7Cr&alr=yes&ratebypass=yes&c=WEB&cver=1.20160718&range=193174249- 197368552&rn=68&rbuf=23912 - -
在分支WAAS上取消选中这些复选框可禁用IMS检查:
导航到配置>缓存> Akamai Connect。
此问题有望在WAAS 6.3及后续版本中修复。
问题:Akamai缓存在通过带身份验证的代理时断开HTTPS连接。
解决方案:
当您需要先通过代理才能访问互联网且代理需要身份验证时,WAAS可能会中断HTTPS连接。在分支机构WAAS上捕获的数据包显示来自服务器站点的HTTP 407响应。但是,捕获在第一个数据包之后停止。后续数据包不发送且响应不完整。
此问题在缺陷CSCva26420中跟踪,并在WAAS 6.3版本中修复。
反馈