Akamai Connect로 Youtube 트래픽 최적화 구성
목차
소개
이 문서에서는 Akamai Connect 기능을 사용하여 Cisco WAAS(Wide Area Application Services)에서 Youtube 가속화를 구성하는 데 필요한 단계를 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Cisco WAAS
- 공개 키 인프라
- SSL(Secure Sockets Layer) 인증서
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.
- Cisco WAAS 버전 5.5.1
- Cisco WAAS 버전 6.2.1
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
Akamai Connect 및 WAAS
Akamai Connect 기능은 Cisco WAAS에 추가된 HTTP/S 객체 캐시 구성 요소입니다.기존 WAAS 소프트웨어 스택에 통합되며 HTTP Application Optimizer를 통해 활용됩니다.Akamai Connect는 비즈니스 및 웹 애플리케이션의 HTTP/S 트래픽에 대한 레이턴시를 줄이고 POS(Point of Sale), HD 비디오, 디지털 사이니지, 매장 내 주문 처리 등 여러 애플리케이션의 성능을 향상시킬 수 있습니다.DRE(데이터 중복 제거), LZ(압축), TFO(Transport Flow Optimization), SSL 가속화(Secure/Encrypted)와 같은 기존 WAAS 기능과 호환되어 1차 및 2차 패스 가속화를 지원합니다.
이 용어는 Akamai Connect 및 WAAS와 함께 사용됩니다.
- Akamai Connect - Akamai Connect는 Cisco WAAS에 추가된 HTTP/S 객체 캐시 구성 요소로, 기존 WAAS 소프트웨어 스택에 통합되고 HTTP Application Optimizer를 통해 활용됩니다.WAAS with Akamai Connect는 비즈니스 및 웹 애플리케이션의 HTTP/S 트래픽에 대한 레이턴시를 줄이는 데 도움이 됩니다.
- Akamai Connected Cache - Akamai Connected Cache는 Akamai Connect의 구성 요소로, CE(Cache Engine)가 Akamai Intelligent Platform의 Edge 서버에서 제공하는 콘텐츠를 캐시할 수 있도록 합니다.
구성
1단계. 내부/공용 CA에서 서명한 SSL 인증서가 필요합니다.
인증서는 다음 SubjectAltName을 포함해야 합니다.
*.youtube.com
*.google.video.com
*.ytimg.com
*.gpht.com
youtube.com
다음은 인증서의 예입니다.
2단계. 조직 전체에서 중개자 및/또는 루트 CA(Certificate Authority)를 신뢰해야 합니다.
이는 Active Directory 도메인 전체에서 그룹 정책을 사용하여 수행할 수 있습니다.
Lab에서 이 설정을 테스트하는 경우 클라이언트 디바이스에 중개자 및/또는 루트 CA를 신뢰할 수 있는 CA로 설치할 수 있습니다.
3단계. WAAS Central Manager GUI를 사용하여 WAAS 디바이스에서 SSL 가속 서비스를 생성합니다.
듀얼 사이드 Akamai(WAAS 6.2.3 이전)에서 코어 WAAS에서 SSL 가속 서비스를 구성합니다.단면 Akamai(WAAS 6.2.3 이상)의 경우 지사 WAAS에서 SSL 가속 서버를 구성하고 SSL 인터포저를 활성화합니다.이것이 이중 측면 설정과 단일 측면 설정 사이의 유일한 차이점입니다.
이미지에 표시된 대로 Devices > Configure > Acceleration > SSL Accelerated Service로 이동합니다.
4단계. SSL Accelerated Service를 구성합니다.
명시적 프록시를 사용하는 경우 프로토콜 체이닝을 활성화해야 합니다.트래픽을 프록시하는 데 사용되는 TCP 포트(예: 80 또는 8080)에 HTTP AO를 적용해야 합니다.
Match Server Name Indication(서버 이름 표시 일치)을 선택해야 합니다.이 설정에서 코어 WAAS가 SSL 트래픽을 수신하면 Client Hello의 SNI 필드를 업로드된 인증서의 SubjectAltName과 비교합니다.SNI 필드가 SubjectAltName과 일치하면 코어 WAAS가 이 SSL 트래픽을 프록시합니다.
Match Server Name Indication(서버 이름 표시 일치) 필드가 선택된 경우 IPAddress(IPAdress)에 Any(모두)를 사용하고 Server Port(서버 포트)에 443을 사용합니다.Add(추가)를 클릭하여 이 항목을 추가합니다.
서버 이름 표시(SNI)
5단계. 인증서 및 개인 키를 업로드합니다.
인증서 및 개인 키를 제공해야 합니다.이미지에 표시된 예에서는 PEM 형식을 사용합니다.
6단계. 업로드된 인증서 정보를 확인합니다.
7단계. SUBMIT(제출) 버튼을 클릭하면 이것이 최종 결과입니다.
8단계. Akamai Connect를 활성화합니다.
Devices(디바이스) > Configure(구성) > Caching(캐싱) > Akamai Connect로 이동합니다.
9단계. 브랜치 WAAS에서 SSL 인터포저를 활성화합니다(Single Side Setup에만 필요).
다음을 확인합니다.
1단계. 브랜치 WAAS에서 Akamai Connect를 활성화해야 합니다.
WAAS-BRANCH# show accelerator http object-cache
HTTP Object-cache
..........
Status
--------
Operational State
-----------------
Running
Akamai Connected Cache State
------------------------
Connected
Operational State(작동 상태)가 Running(실행 중)이고 Connect State(연결 상태)가 Connected(연결됨)인지 확인합니다.
2단계. 클라이언트에서 Youtube 가속화를 확인합니다.
Youtube에 액세스할 때 사용자 CA에서 서명한 인증서를 확인해야 합니다.
3단계. WAAS에서 확인합니다.
SSL AO가 트래픽에 올바르게 적용되었는지 확인합니다.
6.2.3 이전 WAAS 소프트웨어를 실행할 때 CLI에서 출력되는 예(SSL AO v1 및 듀얼 사이트 설정)
WAAS-BRANCH# 통계 연결 표시
ConnID Source IP:Port Dest IP:Port PeerID Accel RR 6859 10.66.86.90:13110 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 51.9% 6839 10.66.86.90:13105 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 16.6% 6834 10.66.86.90:13102 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 93.5% 6733 10.66.86.90:13022 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 72.7% 6727 10.66.86.90:13016 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 03.9%
WAAS 소프트웨어 6.2.3 이상 실행 시 CLI의 출력 예(SSL AO v2 및 단일 사이트 설정)
WAAS-BRANCH# 통계 연결 표시
ConnID Source IP:Port Dest IP:Port PeerID Accel RR 3771 10.66.86.66:60730 58.162.61.183:443 N/A THs 50.9% 3770 10.66.86.66:60729 58.162.61.183:443 N/A THs 52.1% 3769 10.66.86.66:60728 58.162.61.183:443 N/A THs 03.0% 3752 10.66.86.66:60720 208.117.242.80:443 N/A THs 54.8% 3731 10.66.86.66:60705 203.37.15.29:443 N/A THs 13.8% 3713 10.66.86.66:60689 58.162.61.142:443 N/A THs 40.4% 3692 10.66.86.66:60669 144.131.80.15:443 N/A THs 10.4%
브랜치 WAAS에서 ce-access-errorlog를 확인합니다.최적화된 트래픽에 대한 로그 항목에는 연결된 코드 10000이 있으며(OTT-Youtube로 분류됨) h - - - - 200은 개체 캐시가 적중되고 트래픽이 로컬로 처리됨을 나타냅니다.가장 빠른 속도는 Google 비디오에서 예상됩니다.테스트 시스템에서 여러 브라우저를 열고 동일한 비디오를 재생하여 설정을 테스트할 수 있습니다.
ce-errorlog의 샘플 출력:
08/09/2016 01:49:26.612 (fl=5948) 10000 0.002 0.033 1356 - - 148814 10.66.86.90 10.66.85.121 2905 h - - - 200 GET https://r5---sn-uxanug5-ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3 300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946%2C9435526%2C9437 066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwndbps=6383750&gir= yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms %2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E582132.DEB68217D77D25 F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-ntqk&keepalive=yes&key=yt6 &ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSaUqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass =yes&c=WEB&cver=1.20160804&range=136064-284239&rn=4&rbuf=8659 - - 08/09/2016 01:49:26.899 (fl=5887) 10000 0.003 0.029 1357 - - 191323 10.66.86.90 10.66.85.121 2905 h - - - 200 GET
https://r5---sn-uxanug5-ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3 300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946%2C9435526%2C9437 066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwndbps=6383750&gir= yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms %2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E582132.DEB68217D77D25 F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-ntqk&keepalive=yes&key=yt6 &ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSaUqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass =yes&c=WEB&cver=1.20160804&range=284240-474924&rn=6&rbuf=17442 - -
show statistic acceleration http object-cache의 출력은 ott-youtube 적중 수도 증가해야 합니다.
WAAS-BRANCH# show statistics accelerator http object-cache
.......... Object Cache Caching Type: ott-youtube Object cache transactions served from cache: 52 Object cache request bytes for cache-hit transactions: 68079 Object cache response bytes for cache-hit transactions: 14650548 ..........
문제 해결
문제/장애:트래픽은 SSL AO로 가속되지 않습니다.
솔루션:
다음 debug 명령을 사용하여 SSL AO가 코어 WAAS의 SNI와 일치하는지 확인합니다.
다음은 ssl-errorlog에서 성공적으로 출력한 예입니다.
WAAS# debug accelerator ssl sni
08/09/2016 01:33:23.721sslao(20473 4.0) TRCE (721383) SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657] 08/09/2016 01:33:23.962sslao(20473 6.0) TRCE (962966) SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657]
다음은 ssl-errorlog에서 실패한 출력의 예입니다.
WAAS# debug accelerator ssl sni
08/09/2016 01:19:35.929sslao(20473 5.0) NTCE (929983) Unknown SNI: youtube.com [sm.c:4312] 08/09/2016 01:20:58.913sslao(20473 3.0) TRCE (913804) Pipethrough connection unknown SNI:youtube.com IP:10.66.85.121 ID:655078 [c2s.c:663]
문제/장애:브라우저가 Youtube에 연결할 수 없고 푸시된 인증서가 없습니다.
해결책:
이는 코어 WAAS가 Youtube에서 푸시한 인증서를 신뢰하지 않았기 때문일 수 있습니다.
SSL 가속 서비스에서 이 확인란의 선택을 취소합니다.
문제/장애:트래픽이 Akamai Connect Engine에 도달하지만 캐시 적중 횟수가 없습니다.
해결책:
이는 지사 WAAS에 IMF(If-Modified-since) 검사를 시행함으로써 발생할 수 있습니다.IMS 옵션은 프록시 서버 또는 사용 분석 디바이스에 대한 사용자 활동의 강제 로깅을 확인할 수 있습니다.IMS 확인이 활성화된 경우, 현재 OTT 버전에서 Youtube는 항상 클라이언트가 원본 서버에서 최신 복사본을 가져오도록 요청합니다.
이는 ce-access-errorlog에서 확인할 수 있습니다.
07/20/2016 00:41:49.420 (fl=36862) 10000 2.511 0.000 1312 1383 4194962 4194941 10.37.125.203 10.6.76.220 2f25 l-s s-ims-fv - - 200 GET https://r3---sn-jpuxj-coxe.googlevideo.com/videoplayback?signature=AACC537F02B652FEA0600C90 0B069CA3063C15CD.58BA962C80C0E7DFA9A6664ECDCCE6404A3E2C65&clen=601694377&pl=24&mv=m&mt=1468974801&ms=au&ei=a8iOV- HZG4u24gL-hpu4BQ&mn=sn-jpuxj-coxe&mm=31&key=yt6&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2C itag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&sver=3&gir=yes&fexp=9 416891%2C9422596%2C9428398%2C9431012%2C9433096%2C9433221%2C9433946%2C9435526%2C9435876%2C9437066%2C9437553%2C9437 742%2C9438662%2C9439652&expire=1468996811&initcwndbps=9551250&ipbits=0&mime=video%2Fmp4&upn=B-BbHfjKlaI&source=yo utube&dur=308.475&id=o-ABCCHl2_QzDMemZ8Eh7hbsSbhXZQ7yt325a-xfqNROk1&lmt=1389684805775554&itag=138&requiressl=yes& ip=203.104.11.77&keepalive=yes&cpn=4cIAF7ZEwNbfV7Cr&alr=yes&ratebypass=yes&c=WEB&cver=1.20160718&range=193174249- 197368552&rn=68&rbuf=23912 - -
IMS 확인을 비활성화하려면 브랜치 WAAS에서 다음 확인란의 선택을 취소합니다.
Configure(구성) > Caching(캐싱) > Akamai Connect로 이동합니다.
이 문제는 WAAS 6.3 이상에서 해결될 것으로 예상됩니다.
문제/장애:Akamai Cache는 인증으로 프록시를 통과할 때 HTTPS 연결을 끊습니다.
해결책:
인터넷에 가기 전에 프록시를 통과해야 하고 프록시에 인증이 필요한 경우 WAAS가 HTTPS 연결을 끊을 수 있습니다.브랜치 WAAS에서 가져온 패킷 캡처는 서버 사이트에서 HTTP 407의 응답을 표시합니다.그러나 첫 번째 패킷 후에 캡처가 중지됩니다.후속 패킷은 전송되지 않으며 응답이 완료되지 않습니다.
이는 결함 CSCva26420에서 추적되며 WAAS 6.3 릴리스에서 수정될 가능성이 높습니다.
피드백