使用Akamai Connect配置YouTube流量优化
目录
简介
本文档介绍使用Akamai Connect功能在思科广域应用服务(WAAS)上配置Youtube加速所需的步骤。
先决条件
要求
Cisco 建议您了解以下主题:
- Cisco WAAS
- 公用密钥基础结构
- 安全套接字层(SSL)证书
使用的组件
本文档中的信息基于以下软件版本:
- Cisco WAAS版本5.5.1
- 思科WAAS版本6.2.1
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
背景信息
Akamai Connect和WAAS
Akamai Connect功能是添加到Cisco WAAS的HTTP/S对象缓存组件。它集成到现有WAAS软件堆栈中,并通过HTTP应用优化程序加以利用。Akamai Connect有助于降低业务和Web应用的HTTP/S流量延迟,并可提高许多应用的性能,包括POS(销售点)、高清视频、数字标牌和店内订单处理。它提供显着且可衡量的广域网数据卸载,并兼容现有的WAAS功能,如DRE(重复数据删除)、LZ(压缩)、TFO(传输流优化)和SSL加速(安全/加密),以实现第一次和第二次传递加速。
以下术语用于Akamai Connect和WAAS:
- Akamai Connect - Akamai Connect是添加到Cisco WAAS的HTTP/S对象缓存组件,集成到现有WAAS软件堆栈中,并通过HTTP应用优化程序加以利用。采用Akamai Connect的WAAS有助于降低企业和Web应用的HTTP/S流量延迟。
- Akamai连接缓存 — Akamai连接缓存是Akamai Connect的组件,它允许缓存引擎(CE)缓存由Akamai智能平台上的边缘服务器传送的内容。
配置
步骤1.您需要由内部/公共CA签名的SSL证书。
证书需要包含以下SubjectAltName:
*.youtube.com
*.googlevideo.com
*.ytimg.com
*.ggpht.com
youtube.com
以下是证书示例:
步骤2.您需要信任整个组织的中间和/或根证书颁发机构(CA)。
这可以通过在Active Directory域中使用组策略来实现。
如果在实验室中测试此设置,可以将中间CA和/或根CA作为受信任CA安装在客户端设备中。
步骤3.使用WAAS Central Manager GUI在WAAS设备上创建SSL加速服务。
在双面Akamai(WAAS 6.2.3之前)上,在核心WAAS上配置SSL加速服务。对于单面Akamai(WAAS 6.2.3或更高版本),在分支WAAS上配置SSL加速服务器并启用SSL内插器。这是双侧设置和单侧设置之间的唯一区别。
导航至Devices > Configure > Acceleration > SSL Accelerated Service,如图所示:
步骤4.配置SSL加速服务。
如果使用显式代理,则需要启用协议链。必须将HTTP AO应用于代理流量的TCP端口(例如80或8080)。
需要选中“匹配服务器名称指示”。在此设置中,当核心WAAS接收SSL流量时,它会将客户端Hello中的SNI字段与上传的证书中的SubjectAltName进行比较。如果SNI字段与SubjectAltName匹配,则核心WAAS将代理此SSL流量。
选中Match Server Name Indication字段后,将Any用于IPAddress,443 用于Server Port。单击Add以添加此条目。
服务器名称指示(SNI)
步骤5.上传证书和私钥。
您需要提供证书和私钥。图中所示的示例使用PEM格式:
步骤6.检验上传的证书信息。
步骤7.单击“提交”按钮,这是最终结果。
步骤8.启用Akamai Connect。
导航至Devices > Configure > Caching > Akamai Connect。
步骤9.在分支WAAS上启用SSL内插器(仅单端设置需要)。
验证
步骤1.您需要在分支机构WAAS上启用Akamai Connect。
WAAS-BRANCH# show accelerator http object-cache
HTTP Object-cache
..........
Status
--------
Operational State
-----------------
Running
Akamai Connected Cache State
------------------------
Connected
确保运行状态为运行且连接状态为连接。
步骤2.在客户端上验证Youtube加速。
访问Youtube时,您必须看到由您自己的CA签名的证书:
步骤3.在WAAS上验证。
验证SSL AO是否正确应用于流量:
运行6.2.3之前的WAAS软件时CLI输出示例(SSL AO v1和双站点设置)
WAAS-BRANCH# show statistics connection
ConnID Source IP:Port Dest IP:Port PeerID Accel RR 6859 10.66.86.90:13110 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 51.9% 6839 10.66.86.90:13105 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 16.6% 6834 10.66.86.90:13102 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 93.5% 6733 10.66.86.90:13022 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 72.7% 6727 10.66.86.90:13016 10.66.85.121:80 00:06:f6:e6:58:56 THSDL 03.9%
运行WAAS软件6.2.3或更高版本(SSL AO v2和单站点设置)时CLI输出示例
WAAS-BRANCH# show statistics connection
ConnID Source IP:Port Dest IP:Port PeerID Accel RR 3771 10.66.86.66:60730 58.162.61.183:443 N/A THs 50.9% 3770 10.66.86.66:60729 58.162.61.183:443 N/A THs 52.1% 3769 10.66.86.66:60728 58.162.61.183:443 N/A THs 03.0% 3752 10.66.86.66:60720 208.117.242.80:443 N/A THs 54.8% 3731 10.66.86.66:60705 203.37.15.29:443 N/A THs 13.8% 3713 10.66.86.66:60689 58.162.61.142:443 N/A THs 40.4% 3692 10.66.86.66:60669 144.131.80.15:443 N/A THs 10.4%
检查分支机构WAAS上的ce-access-errorlog。用于优化流量的日志条目的代码为10000(表示已分类为OTT-Youtube),h — 200表示对象缓存命中且流量在本地服务。在googlevideo上,加速度最大。您可以在测试机上打开多个浏览器,同时播放同一视频以测试设置:
ce-errorlog的输出示例:
08/09/2016 01:49:26.612 (fl=5948) 10000 0.002 0.033 1356 - - 148814 10.66.86.90 10.66.85.121 2905 h - - - 200 GET https://r5---sn-uxanug5-ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3 300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946%2C9435526%2C9437 066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwndbps=6383750&gir= yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms %2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E582132.DEB68217D77D25 F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-ntqk&keepalive=yes&key=yt6 &ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSaUqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass =yes&c=WEB&cver=1.20160804&range=136064-284239&rn=4&rbuf=8659 - - 08/09/2016 01:49:26.899 (fl=5887) 10000 0.003 0.029 1357 - - 191323 10.66.86.90 10.66.85.121 2905 h - - - 200 GET
https://r5---sn-uxanug5-ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3 300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946%2C9435526%2C9437 066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwndbps=6383750&gir= yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms %2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E582132.DEB68217D77D25 F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-ntqk&keepalive=yes&key=yt6 &ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSaUqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass =yes&c=WEB&cver=1.20160804&range=284240-474924&rn=6&rbuf=17442 - -
show statistic acceleration http object-cache的输出还必须显示ott-youtube命中率增加:
WAAS-BRANCH# show statistics accelerator http object-cache
.......... Object Cache Caching Type: ott-youtube Object cache transactions served from cache: 52 Object cache request bytes for cache-hit transactions: 68079 Object cache response bytes for cache-hit transactions: 14650548 ..........
故障排除
问题:SSL AO不会加速流量。
解决方案:
使用以下debug命令检查SSL AO是否与核心WAAS上的SNI匹配:
以下是ssl-errorlog成功输出的示例:
WAAS# debug accelerator ssl sni
08/09/2016 01:33:23.721sslao(20473 4.0) TRCE (721383) SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657] 08/09/2016 01:33:23.962sslao(20473 6.0) TRCE (962966) SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657]
以下是ssl-errorlog不成功的输出示例:
WAAS# debug accelerator ssl sni
08/09/2016 01:19:35.929sslao(20473 5.0) NTCE (929983) Unknown SNI: youtube.com [sm.c:4312] 08/09/2016 01:20:58.913sslao(20473 3.0) TRCE (913804) Pipethrough connection unknown SNI:youtube.com IP:10.66.85.121 ID:655078 [c2s.c:663]
问题:浏览器无法连接到Youtube,并且没有推送证书。
解决方案:
这可能是由于核心WAAS不信任Youtube推送的证书。
在SSL加速服务上取消选中此项。
问题:流量命中Akamai连接引擎,但没有缓存命中。
解决方案:
这可能是因为在分支WAAS上执行If-Modified-since(IMF)检查。IMS选项可以检查对代理服务器或使用分析设备的用户活动的强制记录。当启用IMS检查时,在当前OTT版本中,Youtube始终请求客户端从源服务器获取最新副本。
在ce-access-errorlog中可以观察到以下情况:
07/20/2016 00:41:49.420 (fl=36862) 10000 2.511 0.000 1312 1383 4194962 4194941 10.37.125.203 10.6.76.220 2f25 l-s s-ims-fv - - 200 GET https://r3---sn-jpuxj-coxe.googlevideo.com/videoplayback?signature=AACC537F02B652FEA0600C90 0B069CA3063C15CD.58BA962C80C0E7DFA9A6664ECDCCE6404A3E2C65&clen=601694377&pl=24&mv=m&mt=1468974801&ms=au&ei=a8iOV- HZG4u24gL-hpu4BQ&mn=sn-jpuxj-coxe&mm=31&key=yt6&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2C itag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&sver=3&gir=yes&fexp=9 416891%2C9422596%2C9428398%2C9431012%2C9433096%2C9433221%2C9433946%2C9435526%2C9435876%2C9437066%2C9437553%2C9437 742%2C9438662%2C9439652&expire=1468996811&initcwndbps=9551250&ipbits=0&mime=video%2Fmp4&upn=B-BbHfjKlaI&source=yo utube&dur=308.475&id=o-ABCCHl2_QzDMemZ8Eh7hbsSbhXZQ7yt325a-xfqNROk1&lmt=1389684805775554&itag=138&requiressl=yes& ip=203.104.11.77&keepalive=yes&cpn=4cIAF7ZEwNbfV7Cr&alr=yes&ratebypass=yes&c=WEB&cver=1.20160718&range=193174249- 197368552&rn=68&rbuf=23912 - -
取消选中分支WAAS上的以下选项以禁用IMS检查:
导航至配置>缓存> Akamai连接。
此问题预计会在WAAS 6.3及更高版本中解决。
问题:Akamai缓存在通过具有身份验证的代理时中断HTTPS连接。
解决方案:
当您需要在访问互联网之前通过代理而代理需要身份验证时,WAAS可能会中断HTTPS连接。在分支WAAS上捕获的数据包显示来自服务器站点的HTTP 407响应。但是,捕获在第一个数据包之后停止。后续数据包不会发送,响应不完整。
这在缺陷CSCva26420中跟踪,并且很可能在WAAS 6.3版本中修复。
反馈