O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve as etapas necessárias para configurar a Aceleração do Youtube no Cisco Wide Area Application Services (WAAS) usando o recurso Akamai Connect.
Note: Em todo este artigo, o termo dispositivo WAAS é usado para se referir coletivamente aos WAAS Central Managers e WAEs em sua rede. O termo WAE (Wide Area Application Engineer) refere-se a dispositivos WAE e WAVE, módulos SM-SRE executando WAAS e instâncias vWAAS.
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software:
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
O recurso Akamai Connect é um componente de cache de objetos HTTP/S adicionado ao Cisco WAAS. Ele é integrado à pilha de software WAAS existente e é aproveitado através do HTTP Application Otimizer. O Akamai Connect ajuda a reduzir a latência do tráfego HTTP/S para aplicativos empresariais e da Web e pode melhorar o desempenho de muitos aplicativos, incluindo POS (Point of Sale, ponto de venda), vídeo HD, sinalização digital e processamento de pedidos na loja. Ele fornece descarregamento de dados de WAN significativo e mensurável e é compatível com funções de WAAS existentes, como DRE (desduplicação), LZ (compressão), TFO (Transport Flow Otimization) e aceleração SSL (segura/criptografada) para aceleração de primeira e segunda passagem.
Esses termos são usados com o Akamai Connect e o WAAS:
O certificado precisa incluir o seguinte Nome do assuntoAlt:
*.youtube.com
*.googlevideo.com
*.ytimg.com
*.gpht.com
youtube.com
Este é um exemplo de certificado:
Isso pode ser feito usando a Política de Grupo no domínio do Ative Diretory.
Se você estiver testando essa configuração em um laboratório, poderá instalar o CA intermediário e/ou raiz no dispositivo cliente como uma CA confiável.
Em uma Akamai de lado duplo (pré-WAAS 6.2.3), configure o serviço acelerado SSL no WAAS central. Para Akamai de lado único (WAAS 6.2.3 ou posterior), configure o servidor SSL acelerado no WAAS da filial e ative o interposer SSL. Essa é a única diferença entre a configuração dual side e a configuração single side.
Note: WAAS executando a versão de software anterior à 6.2.3 precisa de uma configuração de Akamai dual sided para acelerar o tráfego do Youtube O WAAS central faz proxy da conexão SSL indo para o Youtube. O WAAS executando o software versão 6.2.3 ou posterior suporta SSL AO v2 (SAKE). Isso permite que o WAAS da filial faça proxy da conexão SSL quando a filial envia tráfego diretamente para a Internet sem ser direcionado através da infraestrutura do data center.
Navegue até Dispositivos > Configurar > Aceleração > SSL Accelerated Service, conforme mostrado na imagem:
Se você usar um proxy explícito, o Encadeamento de Protocolo precisa ser ativado. O HTTP AO deve ser aplicado à porta TCP usada para proxy do tráfego (por exemplo, 80 ou 8080).
A indicação de nome do servidor correspondente precisa ser verificada. Nesta configuração, quando o WAAS principal recebe tráfego SSL, ele compara o campo SNI no cliente Hello com o SubjectAltName no certificado carregado. Se o campo SNI corresponder ao SubjectAltName, o WAAS principal fará o proxy desse tráfego SSL.
Quando o campo Corresponder indicação de nome do servidor estiver marcado, use Any for IPAaddress e 443 for Server Port. Clique em Adicionar para adicionar esta entrada.
Indicação de nome do servidor (SNI)
Você precisa fornecer um certificado e uma chave privada. O exemplo mostrado na imagem usa o formato PEM:
Navegue até Dispositivos > Configurar > Cache > Akamai Connect.
WAAS-BRANCH# show accelerator http object-cache
HTTP Object-cache .......... Status -------- Operational State ----------------- Running Akamai Connected Cache State ------------------------ Connected
Verifique se o estado operacional está em execução e se o estado de conexão está conectado.
Ao acessar o Youtube, você deve ver o certificado assinado por sua própria CA:
Verifique se SSL AO está corretamente aplicado ao tráfego:
Exemplo de saída da CLI ao executar o software WAAS antes da 6.2.3 (SSL AO v1 e configuração de local duplo)
WAAS-BRANCH# show statistics connection
ConnID Source IP:Port Dest IP:Port PeerID Accel RR 6859 10.66.86.90:13110 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 51.9% 6839 10.66.86.90:13105 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 16.6% 6834 10.66.86.90:13102 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 93.5% 6733 10.66.86.90:13022 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 72.7% 6727 10.66.86.90:13016 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 03.9%
Exemplo de saída da CLI ao executar o software WAAS 6.2.3 ou posterior (SSL AO v2 e Configuração de local único)
WAAS-BRANCH# show statistics connection
ConnID Source IP:Port Dest IP:Port PeerID Accel RR 3771 10.66.86.66:60730 58.162.61.183:443 N/A THs 50.9% 3770 10.66.86.66:60729 58.162.61.183:443 N/A THs 52.1% 3769 10.66.86.66:60728 58.162.61.183:443 N/A THs 03.0% 3752 10.66.86.66:60720 208.117.242.80:443 N/A THs 54.8% 3731 10.66.86.66:60705 203.37.15.29:443 N/A THs 13.8% 3713 10.66.86.66:60689 58.162.61.142:443 N/A THs 40.4% 3692 10.66.86.66:60669 144.131.80.15:443 N/A THs 10.4%
Verifique o ce-access-errorlog no WAAS da filial. As entradas de log para tráfego otimizado têm um código de 10000 associado a elas (Indique classificado como OTT-Youtube) e h - - - 200 indica que o cache de objetos é atingido e o tráfego é servido localmente. A maior aceleração é esperada no googlevideo. Você pode abrir vários navegadores na máquina de teste e reproduzir o mesmo vídeo ao mesmo tempo para testar a configuração:
Exemplo de saída do ce-errorlog:
08/09/2016 01:49:26.612 (fl=5948) 10000 0.002 0.033 1356 - - 148814 10.66.86.90 10.66.85.121 2905 h - - - 200 GET https://r5---sn-uxanug5-ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3 300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946%2C9435526%2C9437 066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwndbps=6383750&gir= yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms %2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E582132.DEB68217D77D25 F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-ntqk&keepalive=yes&key=yt6 &ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSaUqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass =yes&c=WEB&cver=1.20160804&range=136064-284239&rn=4&rbuf=8659 - - 08/09/2016 01:49:26.899 (fl=5887) 10000 0.003 0.029 1357 - - 191323 10.66.86.90 10.66.85.121 2905 h - - - 200 GET
https://r5---sn-uxanug5-ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3 300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946%2C9435526%2C9437 066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwndbps=6383750&gir= yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms %2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E582132.DEB68217D77D25 F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-ntqk&keepalive=yes&key=yt6 &ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSaUqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass =yes&c=WEB&cver=1.20160804&range=284240-474924&rn=6&rbuf=17442 - -
A saída de show statistics acceleration http object-cache também deve mostrar os acertos de ott-youtube aumentando:
WAAS-BRANCH# show statistics accelerator http object-cache
.......... Object Cache Caching Type: ott-youtube Object cache transactions served from cache: 52 Object cache request bytes for cache-hit transactions: 68079 Object cache response bytes for cache-hit transactions: 14650548 ..........
Solução:
Verifique se SSL AO corresponde ao SNI no WAAS principal com este comando debug:
Este é um exemplo de uma saída bem-sucedida de ssl-errorlog:
WAAS# debug accelerator ssl sni
08/09/2016 01:33:23.721sslao(20473 4.0) TRCE (721383) SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657] 08/09/2016 01:33:23.962sslao(20473 6.0) TRCE (962966) SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657]
Este é um exemplo de uma saída malsucedida de ssl-errorlog:
WAAS# debug accelerator ssl sni
08/09/2016 01:19:35.929sslao(20473 5.0) NTCE (929983) Unknown SNI: youtube.com [sm.c:4312] 08/09/2016 01:20:58.913sslao(20473 3.0) TRCE (913804) Pipethrough connection unknown SNI:youtube.com IP:10.66.85.121 ID:655078 [c2s.c:663]
Solução:
Isso pode ser causado pelo WAAS central que não confia no certificado enviado pelo Youtube.
Desmarque isso no serviço acelerado SSL.
Solução:
Isso pode ser causado pela imposição da verificação If-Modified-Since (FMI) no WAAS da filial. A opção IMS pode verificar o registro forçado da atividade dos usuários em um servidor proxy ou dispositivo de análise de uso. Quando a verificação de IMS está ativada, na versão atual do OTT, o Youtube sempre solicita que o cliente busque a cópia mais recente do servidor de origem.
Isso pode ser observado no ce-access-errorlog:
07/20/2016 00:41:49.420 (fl=36862) 10000 2.511 0.000 1312 1383 4194962 4194941 10.37.125.203 10.6.76.220 2f25 l-s s-ims-fv - - 200 GET https://r3---sn-jpuxj-coxe.googlevideo.com/videoplayback?signature=AACC537F02B652FEA0600C90 0B069CA3063C15CD.58BA962C80C0E7DFA9A6664ECDCCE6404A3E2C65&clen=601694377&pl=24&mv=m&mt=1468974801&ms=au&ei=a8iOV- HZG4u24gL-hpu4BQ&mn=sn-jpuxj-coxe&mm=31&key=yt6&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2C itag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&sver=3&gir=yes&fexp=9 416891%2C9422596%2C9428398%2C9431012%2C9433096%2C9433221%2C9433946%2C9435526%2C9435876%2C9437066%2C9437553%2C9437 742%2C9438662%2C9439652&expire=1468996811&initcwndbps=9551250&ipbits=0&mime=video%2Fmp4&upn=B-BbHfjKlaI&source=yo utube&dur=308.475&id=o-ABCCHl2_QzDMemZ8Eh7hbsSbhXZQ7yt325a-xfqNROk1&lmt=1389684805775554&itag=138&requiressl=yes& ip=203.104.11.77&keepalive=yes&cpn=4cIAF7ZEwNbfV7Cr&alr=yes&ratebypass=yes&c=WEB&cver=1.20160718&range=193174249- 197368552&rn=68&rbuf=23912 - -
Desmarque-os no WAAS da filial para desabilitar a verificação de IMS:
Navegue até Configure > Caching > Akamai Connect.
Espera-se que esse problema seja corrigido no WAAS 6.3 e mais avançado.
Solução:
Quando você precisa passar por um proxy antes de ir para a Internet e o proxy exige autenticação, o WAAS pode interromper a conexão HTTPS. A captura de pacotes capturada no WAAS da filial mostra a resposta do HTTP 407 do site do servidor. No entanto, a captura é interrompida após o primeiro pacote. Os pacotes subsequentes não são enviados e a resposta está incompleta.
Isso é controlado no defeito CSCva26420 e provavelmente será corrigido na versão WAAS 6.3.