此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
本文档介绍使用Akamai Connect功能在思科广域应用服务(WAAS)上配置Youtube加速所需的步骤。
注意:在本文中,术语WAAS设备用于共同指代网络中的WAAS Central Manager和WAE。术语WAE(广域应用工程师)是指WAE和WAVE设备、运行WAAS的SM-SRE模块和vWAAS实例。
Cisco 建议您了解以下主题:
本文档中的信息基于以下软件版本:
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
Akamai Connect功能是添加到Cisco WAAS的HTTP/S对象缓存组件。它集成到现有WAAS软件堆栈中,并通过HTTP应用优化程序加以利用。Akamai Connect有助于降低业务和Web应用的HTTP/S流量延迟,并可提高许多应用的性能,包括POS(销售点)、高清视频、数字标牌和店内订单处理。它提供显着且可衡量的广域网数据卸载,并兼容现有的WAAS功能,如DRE(重复数据删除)、LZ(压缩)、TFO(传输流优化)和SSL加速(安全/加密),以实现第一次和第二次传递加速。
以下术语用于Akamai Connect和WAAS:
证书需要包含以下SubjectAltName:
*.youtube.com
*.googlevideo.com
*.ytimg.com
*.ggpht.com
youtube.com
以下是证书示例:
这可以通过在Active Directory域中使用组策略来实现。
如果在实验室中测试此设置,可以将中间CA和/或根CA作为受信任CA安装在客户端设备中。
在双面Akamai(WAAS 6.2.3之前)上,在核心WAAS上配置SSL加速服务。对于单面Akamai(WAAS 6.2.3或更高版本),在分支WAAS上配置SSL加速服务器并启用SSL内插器。这是双侧设置和单侧设置之间的唯一区别。
注意:在6.2.3之前运行软件版本的WAAS需要双面Akamai设置以加速Youtube流量核心WAAS代理通往Youtube的SSL连接。运行软件版本6.2.3或更高版本的WAAS支持SSL AO v2(SAKE)。 这允许分支WAAS在分支直接将流量发送到互联网而不通过数据中心基础设施定向时代理SSL连接。
导航至Devices > Configure > Acceleration > SSL Accelerated Service,如图所示:
如果使用显式代理,则需要启用协议链。必须将HTTP AO应用于代理流量的TCP端口(例如80或8080)。
需要选中“匹配服务器名称指示”。在此设置中,当核心WAAS接收SSL流量时,它会将客户端Hello中的SNI字段与上传的证书中的SubjectAltName进行比较。如果SNI字段与SubjectAltName匹配,则核心WAAS将代理此SSL流量。
选中Match Server Name Indication字段后,将Any用于IPAddress,443 用于Server Port。单击Add以添加此条目。
服务器名称指示(SNI)
您需要提供证书和私钥。图中所示的示例使用PEM格式:
导航至Devices > Configure > Caching > Akamai Connect。
WAAS-BRANCH# show accelerator http object-cache
HTTP Object-cache .......... Status -------- Operational State ----------------- Running Akamai Connected Cache State ------------------------ Connected
确保运行状态为运行且连接状态为连接。
访问Youtube时,您必须看到由您自己的CA签名的证书:
验证SSL AO是否正确应用于流量:
运行6.2.3之前的WAAS软件时CLI输出示例(SSL AO v1和双站点设置)
WAAS-BRANCH# show statistics connection
ConnID Source IP:Port Dest IP:Port PeerID Accel RR 6859 10.66.86.90:13110 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 51.9% 6839 10.66.86.90:13105 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 16.6% 6834 10.66.86.90:13102 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 93.5% 6733 10.66.86.90:13022 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 72.7% 6727 10.66.86.90:13016 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 03.9%
运行WAAS软件6.2.3或更高版本(SSL AO v2和单站点设置)时CLI输出示例
WAAS-BRANCH# show statistics connection
ConnID Source IP:Port Dest IP:Port PeerID Accel RR 3771 10.66.86.66:60730 58.162.61.183:443 N/A THs 50.9% 3770 10.66.86.66:60729 58.162.61.183:443 N/A THs 52.1% 3769 10.66.86.66:60728 58.162.61.183:443 N/A THs 03.0% 3752 10.66.86.66:60720 208.117.242.80:443 N/A THs 54.8% 3731 10.66.86.66:60705 203.37.15.29:443 N/A THs 13.8% 3713 10.66.86.66:60689 58.162.61.142:443 N/A THs 40.4% 3692 10.66.86.66:60669 144.131.80.15:443 N/A THs 10.4%
检查分支机构WAAS上的ce-access-errorlog。用于优化流量的日志条目的代码为10000(表示已分类为OTT-Youtube),h — 200表示对象缓存命中且流量在本地服务。在googlevideo上,加速度最大。您可以在测试机上打开多个浏览器,同时播放同一视频以测试设置:
ce-errorlog的输出示例:
08/09/2016 01:49:26.612 (fl=5948) 10000 0.002 0.033 1356 - - 148814 10.66.86.90 10.66.85.121 2905 h - - - 200 GET https://r5---sn-uxanug5-ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3 300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946%2C9435526%2C9437 066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwndbps=6383750&gir= yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms %2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E582132.DEB68217D77D25 F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-ntqk&keepalive=yes&key=yt6 &ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSaUqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass =yes&c=WEB&cver=1.20160804&range=136064-284239&rn=4&rbuf=8659 - - 08/09/2016 01:49:26.899 (fl=5887) 10000 0.003 0.029 1357 - - 191323 10.66.86.90 10.66.85.121 2905 h - - - 200 GET
https://r5---sn-uxanug5-ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3 300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946%2C9435526%2C9437 066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwndbps=6383750&gir= yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms %2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E582132.DEB68217D77D25 F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-ntqk&keepalive=yes&key=yt6 &ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSaUqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass =yes&c=WEB&cver=1.20160804&range=284240-474924&rn=6&rbuf=17442 - -
show statistic acceleration http object-cache的输出还必须显示ott-youtube命中率增加:
WAAS-BRANCH# show statistics accelerator http object-cache
.......... Object Cache Caching Type: ott-youtube Object cache transactions served from cache: 52 Object cache request bytes for cache-hit transactions: 68079 Object cache response bytes for cache-hit transactions: 14650548 ..........
解决方案:
使用以下debug命令检查SSL AO是否与核心WAAS上的SNI匹配:
以下是ssl-errorlog成功输出的示例:
WAAS# debug accelerator ssl sni
08/09/2016 01:33:23.721sslao(20473 4.0) TRCE (721383) SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657] 08/09/2016 01:33:23.962sslao(20473 6.0) TRCE (962966) SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657]
以下是ssl-errorlog不成功的输出示例:
WAAS# debug accelerator ssl sni
08/09/2016 01:19:35.929sslao(20473 5.0) NTCE (929983) Unknown SNI: youtube.com [sm.c:4312] 08/09/2016 01:20:58.913sslao(20473 3.0) TRCE (913804) Pipethrough connection unknown SNI:youtube.com IP:10.66.85.121 ID:655078 [c2s.c:663]
解决方案:
这可能是由于核心WAAS不信任Youtube推送的证书。
在SSL加速服务上取消选中此项。
解决方案:
这可能是因为在分支WAAS上执行If-Modified-since(IMF)检查。IMS选项可以检查对代理服务器或使用分析设备的用户活动的强制记录。当启用IMS检查时,在当前OTT版本中,Youtube始终请求客户端从源服务器获取最新副本。
在ce-access-errorlog中可以观察到以下情况:
07/20/2016 00:41:49.420 (fl=36862) 10000 2.511 0.000 1312 1383 4194962 4194941 10.37.125.203 10.6.76.220 2f25 l-s s-ims-fv - - 200 GET https://r3---sn-jpuxj-coxe.googlevideo.com/videoplayback?signature=AACC537F02B652FEA0600C90 0B069CA3063C15CD.58BA962C80C0E7DFA9A6664ECDCCE6404A3E2C65&clen=601694377&pl=24&mv=m&mt=1468974801&ms=au&ei=a8iOV- HZG4u24gL-hpu4BQ&mn=sn-jpuxj-coxe&mm=31&key=yt6&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2C itag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&sver=3&gir=yes&fexp=9 416891%2C9422596%2C9428398%2C9431012%2C9433096%2C9433221%2C9433946%2C9435526%2C9435876%2C9437066%2C9437553%2C9437 742%2C9438662%2C9439652&expire=1468996811&initcwndbps=9551250&ipbits=0&mime=video%2Fmp4&upn=B-BbHfjKlaI&source=yo utube&dur=308.475&id=o-ABCCHl2_QzDMemZ8Eh7hbsSbhXZQ7yt325a-xfqNROk1&lmt=1389684805775554&itag=138&requiressl=yes& ip=203.104.11.77&keepalive=yes&cpn=4cIAF7ZEwNbfV7Cr&alr=yes&ratebypass=yes&c=WEB&cver=1.20160718&range=193174249- 197368552&rn=68&rbuf=23912 - -
取消选中分支WAAS上的以下选项以禁用IMS检查:
导航至配置>缓存> Akamai连接。
此问题预计会在WAAS 6.3及更高版本中解决。
解决方案:
当您需要在访问互联网之前通过代理而代理需要身份验证时,WAAS可能会中断HTTPS连接。在分支WAAS上捕获的数据包显示来自服务器站点的HTTP 407响应。但是,捕获在第一个数据包之后停止。后续数据包不会发送,响应不完整。
这在缺陷CSCva26420中跟踪,并且很可能在WAAS 6.3版本中修复。