Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit les étapes requises pour configurer l'accélération Youtube sur les services d'application de réseau étendu Cisco (WAAS) à l'aide de la fonctionnalité Akamai Connect.
Note: Tout au long de cet article, le terme périphérique WAAS est utilisé pour désigner collectivement les gestionnaires centraux WAAS et les WAE de votre réseau. Le terme WAE (Wide Area Application Engineer) désigne les appliances WAE et WAVE, les modules SM-SRE exécutant WAAS et les instances vWAAS.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
La fonctionnalité Akamai Connect est un composant de cache d'objet HTTP/S ajouté à Cisco WAAS. Il est intégré à la pile logicielle WAAS existante et est exploité via l'optimiseur d'applications HTTP. Akamai Connect contribue à réduire la latence du trafic HTTP/S pour les applications commerciales et Web et peut améliorer les performances de nombreuses applications, notamment POS (Point of Sale), vidéo HD, signalisation numérique et traitement des commandes en magasin. Il fournit un délestage de données WAN significatif et mesurable et est compatible avec les fonctions WAAS existantes telles que DRE (déduplication), LZ (compression), TFO (optimisation de flux de transport) et SSL (sécurisés/cryptés) pour l'accélération de première et de deuxième passes.
Ces termes sont utilisés avec Akamai Connect et WAAS :
Le certificat doit inclure le SubjectAltName suivant :
*.youtube.com
*.googlevideo.com
*.ytimg.com
*.ggpht.com
youtube.com
Voici un exemple de certificat :
Pour ce faire, vous pouvez utiliser la stratégie de groupe sur l'ensemble du domaine Active Directory.
Si vous testez cette configuration dans un laboratoire, vous pouvez installer l'autorité de certification intermédiaire et/ou racine dans le périphérique client en tant qu'autorité de certification de confiance.
Sur Akamai à double face (avant WAAS 6.2.3), configurez le service SSL accéléré sur le WAAS principal. Pour Akamai à un seul côté (WAAS 6.2.3 ou version ultérieure), configurez le serveur SSL accéléré sur la filiale WAAS et activez l'intermédiaire SSL. Il s'agit de la seule différence entre une configuration double face et une configuration simple face.
Note: WAAS exécutant une version logicielle avant la version 6.2.3 a besoin d'une configuration Akamai double face pour accélérer le trafic Youtube Le noyau WAAS proxie la connexion SSL qui va à Youtube. WAAS exécutant la version 6.2.3 ou ultérieure prend en charge SSL AO v2 (SAKE). Cela permet au WAAS de la filiale de proxy de la connexion SSL lorsque la filiale envoie du trafic directement à Internet sans être dirigée via l'infrastructure du centre de données.
Accédez à Périphériques > Configurer > Accélération > Service SSL accéléré, comme indiqué dans l'image :
Si vous utilisez un proxy explicite, le chaînage de protocole doit être activé. L'AO HTTP doit être appliqué au port TCP utilisé pour le proxy du trafic (par exemple, 80 ou 8080).
L'indication du nom du serveur doit être vérifiée. Dans cette configuration, lorsque le WAAS principal reçoit le trafic SSL, il compare le champ SNI dans le champ Hello du client avec le SubjectAltName dans le certificat téléchargé. Si le champ SNI correspond au SubjectAltName, le WAAS principal proxie ce trafic SSL.
Lorsque le champ Correspondance du nom du serveur est coché, utilisez Any pour IPAddress et 443 pour Server Port. Cliquez sur Ajouter pour ajouter cette entrée.
Indication de nom de serveur (SNI)
Vous devez fournir un certificat et une clé privée. L'exemple présenté dans l'image utilise le format PEM :
Accédez à Périphériques > Configurer > Mise en cache > Akamai Connect.
WAAS-BRANCH# show accélérateur http object-cache
HTTP Object-cache .......... Status -------- Operational State ----------------- Running Akamai Connected Cache State ------------------------ Connected
Assurez-vous que l'état opérationnel est en cours d'exécution et que l'état de connexion est connecté.
Lorsque vous accédez à Youtube, vous devez voir le certificat signé par votre propre CA :
Vérifiez si SSL AO est correctement appliqué au trafic :
Exemple de sortie de l'interface de ligne de commande lors de l'exécution du logiciel WAAS avant la version 6.2.3 (SSL AO v1 et configuration de site double)
WAAS-BRANCH# show statistics connection
ConnID Source IP:Port Dest IP:Port PeerID Accel RR 6859 10.66.86.90:13110 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 51.9% 6839 10.66.86.90:13105 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 16.6% 6834 10.66.86.90:13102 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 93.5% 6733 10.66.86.90:13022 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 72.7% 6727 10.66.86.90:13016 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 03.9%
Exemple de sortie de l'interface de ligne de commande lors de l'exécution du logiciel WAAS 6.2.3 ou ultérieur (SSL AO v2 et configuration de site unique)
WAAS-BRANCH# show statistics connection
ConnID Source IP:Port Dest IP:Port PeerID Accel RR 3771 10.66.86.66:60730 58.162.61.183:443 N/A THs 50.9% 3770 10.66.86.66:60729 58.162.61.183:443 N/A THs 52.1% 3769 10.66.86.66:60728 58.162.61.183:443 N/A THs 03.0% 3752 10.66.86.66:60720 208.117.242.80:443 N/A THs 54.8% 3731 10.66.86.66:60705 203.37.15.29:443 N/A THs 13.8% 3713 10.66.86.66:60689 58.162.61.142:443 N/A THs 40.4% 3692 10.66.86.66:60669 144.131.80.15:443 N/A THs 10.4%
Vérifiez l'erreur ce-access-errorlog sur le WAAS de la filiale. Les entrées de journal pour le trafic optimisé ont un code de 10000 associé à elles (Indicate classifié OTT-Youtube) et h - - - 200 indique que le cache d'objet est atteint et que le trafic est servi localement. La plus grande accélération est attendue sur googlevideo. Vous pouvez ouvrir plusieurs navigateurs sur la machine de test et lire la même vidéo en même temps pour tester la configuration :
Exemple de sortie de ce-errorlog :
08/09/2016 01:49:26.612 (fl=5948) 10000 0.002 0.033 1356 - - 148814 10.66.86.90 10.66.85.121 2905 h - - - 200 GET https://r5---sn-uxanug5-ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3 300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946%2C9435526%2C9437 066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwndbps=6383750&gir= yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms %2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E582132.DEB68217D77D25 F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-ntqk&keepalive=yes&key=yt6 &ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSaUqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass =yes&c=WEB&cver=1.20160804&range=136064-284239&rn=4&rbuf=8659 - - 08/09/2016 01:49:26.899 (fl=5887) 10000 0.003 0.029 1357 - - 191323 10.66.86.90 10.66.85.121 2905 h - - - 200 GET
https://r5---sn-uxanug5-ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3 300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946%2C9435526%2C9437 066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwndbps=6383750&gir= yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms %2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E582132.DEB68217D77D25 F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-ntqk&keepalive=yes&key=yt6 &ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSaUqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass =yes&c=WEB&cver=1.20160804&range=284240-474924&rn=6&rbuf=17442 - -
Le résultat de show statistics accélération http object-cache doit également montrer que les résultats de ott-youtube augmentent :
WAAS-BRANCH# show statistics accelerator http object-cache
.......... Object Cache Caching Type: ott-youtube Object cache transactions served from cache: 52 Object cache request bytes for cache-hit transactions: 68079 Object cache response bytes for cache-hit transactions: 14650548 ..........
Solution::
Vérifiez si l'AO SSL correspond à l'interface SNI sur le WAAS principal avec la commande debug suivante :
Voici un exemple de résultat réussi de ssl-errorlog :
WAAS# debug accelerator ssl sni
08/09/2016 01:33:23.721sslao(20473 4.0) TRCE (721383) SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657] 08/09/2016 01:33:23.962sslao(20473 6.0) TRCE (962966) SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657]
Voici un exemple d'échec de sortie de ssl-errorlog :
WAAS# debug accelerator ssl sni
08/09/2016 01:19:35.929sslao(20473 5.0) NTCE (929983) Unknown SNI: youtube.com [sm.c:4312] 08/09/2016 01:20:58.913sslao(20473 3.0) TRCE (913804) Pipethrough connection unknown SNI:youtube.com IP:10.66.85.121 ID:655078 [c2s.c:663]
Solution :
Cela peut être dû au noyau WAAS qui ne fait pas confiance au certificat poussé par Youtube.
Décochez cette case sur le service SSL accéléré.
Solution :
Cela peut être dû à l'application du contrôle if-Modified-depuis (FMI) sur la succursale WAAS. L'option IMS peut vérifier la journalisation forcée de l'activité des utilisateurs vers un serveur proxy ou un périphérique d'analyse d'utilisation. Lorsque le contrôle IMS est activé, dans la version OTT actuelle, Youtube demande toujours au client de récupérer la dernière copie à partir du serveur d'origine.
Ceci peut être observé dans ce-access-errorlog :
07/20/2016 00:41:49.420 (fl=36862) 10000 2.511 0.000 1312 1383 4194962 4194941 10.37.125.203 10.6.76.220 2f25 l-s s-ims-fv - - 200 GET https://r3---sn-jpuxj-coxe.googlevideo.com/videoplayback?signature=AACC537F02B652FEA0600C90 0B069CA3063C15CD.58BA962C80C0E7DFA9A6664ECDCCE6404A3E2C65&clen=601694377&pl=24&mv=m&mt=1468974801&ms=au&ei=a8iOV- HZG4u24gL-hpu4BQ&mn=sn-jpuxj-coxe&mm=31&key=yt6&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2C itag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&sver=3&gir=yes&fexp=9 416891%2C9422596%2C9428398%2C9431012%2C9433096%2C9433221%2C9433946%2C9435526%2C9435876%2C9437066%2C9437553%2C9437 742%2C9438662%2C9439652&expire=1468996811&initcwndbps=9551250&ipbits=0&mime=video%2Fmp4&upn=B-BbHfjKlaI&source=yo utube&dur=308.475&id=o-ABCCHl2_QzDMemZ8Eh7hbsSbhXZQ7yt325a-xfqNROk1&lmt=1389684805775554&itag=138&requiressl=yes& ip=203.104.11.77&keepalive=yes&cpn=4cIAF7ZEwNbfV7Cr&alr=yes&ratebypass=yes&c=WEB&cver=1.20160718&range=193174249- 197368552&rn=68&rbuf=23912 - -
Décochez ces options sur le WAAS de la filiale pour désactiver le contrôle IMS :
Naviguez jusqu'à Configure > Caching > Akamai Connect.
Ce problème devrait être corrigé dans WAAS 6.3 et au-delà.
Solution :
Lorsque vous devez passer par un proxy avant d'accéder à Internet et que le proxy nécessite une authentification, WAAS peut interrompre la connexion HTTPS. La capture de paquets effectuée sur le WAAS de filiale montre la réponse du protocole HTTP 407 à partir du site du serveur. Cependant, la capture s’arrête après le premier paquet. Les paquets suivants ne sont pas envoyés et la réponse est incomplète.
Ceci est suivi dans le défaut CSCva26420 et est susceptible d'être corrigé dans la version WAAS 6.3.