Configurar a otimização do tráfego de Youtubecom Akamai conectam Índice

IntroduçãoPré-requisitosRequisitosComponentes UtilizadosInformações de ApoioAkamai conecta e WAASConfigurarEtapa 1. Você precisa um certificado SSL assinado seu CA interno/público.Etapa 2. Você precisa de confiar seu o intermediário e/ou o Certificate Authority (CA) da raizatravés de sua organização.Etapa 3. Crie um serviço acelerado SSL no dispositivo WAAS usando o GUI de gerenciador dacentral WAAS.Etapa 4. Configurar o serviço acelerado SSL.Etapa 5. Certificado e chave privada da transferência de arquivo pela rede.Etapa 6. Verifique a informação transferida arquivos pela rede do certificado.Etapa 7. Clique o botão Submit Button e este é o resultado final.Etapa 8. Permita Akamai conectam.Etapa 9. Permita o pino intermediário SSL no ramo WAAS (exigido somente para a únicainstalação lateral).VerificarEtapa 1. Você precisa de ter Akamai Connect permitida no ramo WAAS.Etapa 2. Verifique a aceleração de Youtube no cliente.Etapa 3. Verifique em WAAS.TroubleshootingProblema: O tráfego não é acelerado por SSL AO.Problema: O navegador não pode conectar a Youtube e não há nenhum certificado empurrado.Problema: As batidas Akamai do tráfego conectam o motor mas não há nenhum hit de cache.Problema: O esconderijo de Akamai quebra a conexão de HTTPS ao atravessar um proxy comautenticação.

Introdução

Este documento descreve os passos requerido para configurar a aceleração de Youtube no WideArea Application Services de Cisco (WAAS) que usa Akamai conecta a característica.

Nota: Durante todo este artigo, o dispositivo do termo WAAS é usado para referircoletivamente os gerentes centrais e WAEs WAAS em sua rede. O termo WAE(coordenador de aplicativo da área ampla) refere dispositivos WAE e de ONDA, módulosSM-SRE que executam WAAS, e exemplos do vWAAS.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

Cisco WAAS●

Infraestrutura de chave pública●

Certificado do secure sockets layer (SSL)●

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software:

Versão 5.5.1 de Cisco WAAS●

Versão 6.2.1 de Cisco WAAS●

As informações neste documento foram criadas a partir de dispositivos em um ambiente delaboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com umaconfiguração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impactopotencial de qualquer comando.

Informações de Apoio

Akamai conecta e WAAS

O Akamai conecta a característica é um componente do esconderijo do objeto HTTP/Sadicionado a Cisco WAAS. É integrado na pilha de software existente WAAS e é leveragedatravés do Optimizer do aplicativo HTTP. Akamai conecta ajudas reduz a latência para o tráfegoHTTP/S para o negócio e os aplicativos de web e pode melhorar o desempenho para muitosaplicativos que incluem o vídeo POS (Point of Sale), HD, o signage digital, e o processamento depedidos da em-loja. Fornece significativo e os dados MACILENTOS mensuráveis offload e sãocompatíveis com funções existentes WAAS tais como a aceleração DRE (deduplication), LZ(compressão), TFO (otimização do fluxo do transporte), e SSL (segura/cifrada) para a primeira eem segundo a aceleração da passagem.

Estes termos são usados com Akamai conectam e WAAS:

Akamai conecta - Akamai Connect é um componente do esconderijo do objeto HTTP/Sadicionado a Cisco WAAS, integrado na pilha de software existente WAAS e leveragedatravés do Optimizer do aplicativo HTTP. WAAS com Akamai conectam ajudas para reduzir alatência para o tráfego HTTP/S para o negócio e os aplicativos de web.

●

Akamai conectou o esconderijo - Akamai conectou o esconderijo é um componente deAkamai conecta, que permite que o motor do esconderijo (CE) ponha em esconderijo o índiceque é entregado por um server da borda na plataforma inteligente de Akamai.

●

Configurar

Etapa 1. Você precisa um certificado SSL assinado seu CA interno/público.

O certificado precisa de incluir o seguinte SubjectAltName:

   *.youtube.com

   *.googlevideo.com

   *.ytimg.com

   *.ggpht.com

   youtube.com

Este é um certificado do exemplo:

Etapa 2. Você precisa de confiar seu o intermediário e/ou o Certificate Authority(CA) da raiz através de sua organização.

Isto pode ser conseguido usando a política do grupo através do domínio do diretório ativo.

Se você está testando esta instalação em um laboratório, você pode instalar o intermediário e/oua CA raiz no dispositivo do cliente como CA confiado.

Etapa 3. Crie um serviço acelerado SSL no dispositivo WAAS usando o GUI degerenciador da central WAAS.

Em Akamai de duas faces (pre WAAS 6.2.3) configurar o serviço acelerado SSL no núcleoWAAS. Para único Akamai tomado partido (WAAS 6.2.3 ou mais atrasado) configurar o SSLserver acelerado no ramo WAAS e permita o pino intermediário SSL. Esta é a única diferençaentre a instalação lateral dupla e a única instalação lateral.

Nota: O software release running WAAS antes de 6.2.3 precisa uma instalação de duasfaces de Akamai de acelerar o tráfego de Youtube os proxys do núcleo WAAS a conexãoSSL que vai a Youtube. O Software Release 6.2.3 ou Mais Recente running WAAS apoiaSSL AO v2 (CAUSA). Isto permite ao ramo WAAS ao proxy a conexão SSL quando o ramoenvia o tráfego diretamente ao Internet sem ser dirigida através da infraestrutura dodatacentre.

Navegue aos dispositivos > configuram > aceleração > serviço acelerado SSL, segundo as

indicações da imagem:

Etapa 4. Configurar o serviço acelerado SSL.

Se você usa um proxy explícito, protocolo que acorrenta necessidades de ser permitido. O HTTPAO deve ser aplicado à porta TCP usada proxying o tráfego (por exemplo, 80 ou 8080).

A indicação do nome do servidor do fósforo precisa de ser verificada. Nesta instalação, quando onúcleo WAAS recebe o tráfego SSL, compara o campo SNI nos hellos do cliente com oSubjectAltName no certificado transferido arquivos pela rede. Se o campo SNI combina oSubjectAltName os proxys do núcleo WAAS este tráfego SSL.

Quando o campo da indicação do nome do servidor do fósforo é verificado, use alguns para o IPaddress e 443 para a porta de servidor. O clique adiciona para adicionar esta entrada.

Indicação do nome do servidor (SNI)

Etapa 5. Certificado e chave privada da transferência de arquivo pela rede.

Você precisa de fornecer um certificado e uma chave privada. O exemplo mostrado na imagemusa o formato PEM:

Etapa 6. Verifique a informação transferida arquivos pela rede do certificado.

Etapa 7. Clique o botão Submit Button e este é o resultado final.

Etapa 8. Permita Akamai conectam.

Navegue aos dispositivos > configuram > pondo em esconderijo > Akamai conectam.

Etapa 9. Permita o pino intermediário SSL no ramo WAAS (exigido somente para aúnica instalação lateral).

Verificar

Etapa 1. Você precisa de ter Akamai Connect permitida no ramo WAAS.

Objeto-esconderijo HTTP do acelerador da mostra WAAS-BRANCH#

HTTP Object-cache

..........

Status

--------

Operational State

-----------------

Running

Akamai Connected Cache State

------------------------

Connected

Assegure que o estado operacional está sendo executado e conecte o estado é conectado.

Etapa 2. Verifique a aceleração de Youtube no cliente.

Quando você alcança Youtube você deve ver o certificado assinado por seu próprio CA:

Etapa 3. Verifique em WAAS.

Verifique se o SSL AO é aplicado corretamente ao tráfego:

Saídas de exemplo do CLI quando software sendo executado WAAS antes de 6.2.3 (SSL AO v1 elocal duplo Setup)

Conexão das estatísticas da mostra WAAS-BRANCH#

HTTP Object-cache

..........

Status

--------

Operational State

-----------------

Running

Akamai Connected Cache State

------------------------

Connected

Saídas de exemplo do CLI quando software sendo executado 6.2.3 WAAS ou mais atrasado (SSLAO v2 e único local Setup)

Conexão das estatísticas da mostra WAAS-BRANCH#

HTTP Object-cache

..........

Status

--------

Operational State

-----------------

Running

Akamai Connected Cache State

------------------------

Connected

Verifique o ce-acesso-errorlog no ramo WAAS. As entradas de registro para o tráfegoaperfeiçoado têm um código de 10000 associados com eles (Indicate classificada como OTT-Youtube) e o h - - - 200 indicam que o esconderijo do objeto está batido e o tráfego está servidolocalmente. A maioria de aceleração é esperada no googlevideo. Você pode abrir navegadoresmúltiplos na máquina do teste e jogar o mesmo vídeo ao mesmo tempo para testar a instalação:

Exemplo de saída do ce-errorlog:

08/09/2016 01:49:26.612 (fl=5948) 10000 0.002 0.033 1356 - - 148814 10.66.86.90 10.66.85.121

2905 h - - - 200 GET

https://r5---sn-uxanug5-

ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3

300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946

%2C9435526%2C9437

066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwn

dbps=6383750&gir=

yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmi

me%2Cmm%2Cmn%2Cms

%2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E5821

32.DEB68217D77D25

F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-

ntqk&keepalive=yes&key=yt6

&ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSa

Uqq4&expire=14707

28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-

BeHl&alr=yes&ratebypass

=yes&c=WEB&cver=1.20160804&range=136064-284239&rn=4&rbuf=8659 - -

08/09/2016 01:49:26.899 (fl=5887) 10000 0.003 0.029 1357 - - 191323 10.66.86.90 10.66.85.121

2905 h - - - 200 GET

https://r5---sn-uxanug5-

ntqk.googlevideo.com/videoplayback?dur=703.721&ei=ozapV8jrGdWc4AKytYaYBQ&fexp=3300116%2C3

300131%2C3300161%2C3312739%2C3313265%2C9422596%2C9428398%2C9431012%2C9433096%2C9433223%2C9433946

%2C9435526%2C9437

066%2C9437552%2C9438327%2C9438662%2C9438804%2C9439580%2C9442424%2C9442920&requiressl=yes&initcwn

dbps=6383750&gir=

yes&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmi

me%2Cmm%2Cmn%2Cms

%2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&signature=34635AFA02C12695F90E50E067E6BD4B7E5821

32.DEB68217D77D25

F02925B272C6B3F032D3764535&ipbits=0&ms=au&mt=1470706873&pl=22&mv=m&mm=31&mn=sn-uxanug5-

ntqk&keepalive=yes&key=yt6

&ip=64.104.248.209&clen=10444732&sver=3&source=youtube&itag=251&lmt=1466669747365466&upn=17O0mSa

Uqq4&expire=14707 28963&id=o-ABXm_M_rqaPqauN_rtx9jNvU4NPYMD-wx-

oJw0mAUclg&mime=audio%2Fwebm&cpn=YsB-JmbO4EU-BeHl&alr=yes&ratebypass

=yes&c=WEB&cver=1.20160804&range=284240-474924&rn=6&rbuf=17442 - -

A saída do objeto-esconderijo HTTP da aceleração da estatística da mostra deve igualmentemostrar o aumento das batidas de ott-youtube:

WAAS-BRANCH# show statistics accelerator http object-cache

.......... Object Cache Caching Type: ott-youtube Object cache transactions served from cache:

52

Object cache request bytes for cache-hit transactions: 68079

Object cache response bytes for cache-hit transactions: 14650548

..........

Troubleshooting

Problema: O tráfego não é acelerado por SSL AO.

Solução:

Verifique se o SSL AO combina o SNI no núcleo WAAS com os estes comando debug:

Este é um exemplo de uma saída bem sucedida do SSL-errorlog:

WAAS# debug accelerator ssl sni

08/09/2016 01:33:23.721sslao(20473 4.0) TRCE (721383) SNI(youtube.com) matched with certificate

SNA youtube.com [c2s.c:657] 08/09/2016 01:33:23.962sslao(20473 6.0) TRCE (962966)

SNI(youtube.com) matched with certificate SNA youtube.com [c2s.c:657]

Este é um exemplo de uma saída mal sucedida do SSL-errorlog:

WAAS# debug accelerator ssl sni

08/09/2016 01:19:35.929sslao(20473 5.0) NTCE (929983) Unknown SNI: youtube.com [sm.c:4312]

08/09/2016 01:20:58.913sslao(20473 3.0) TRCE (913804) Pipethrough connection unknown

SNI:youtube.com IP:10.66.85.121 ID:655078 [c2s.c:663]

Problema: O navegador não pode conectar a Youtube e não há nenhum certificadoempurrado.

Solução:

Isto pode ser causado pelo núcleo WAAS que não confia o certificado empurrado por Youtube.

Desmarcar isto no serviço acelerado SSL.

Problema: As batidas Akamai do tráfego conectam o motor mas não há nenhum hitde cache.

Solução:

Isto pode ser causado reforçando a verificação do If-modified-since (IMF) no ramo WAAS. Aopção IMS pode verificar o registro reforçado da atividade dos usuários a um servidor proxy ou aum dispositivo da análise do uso. Quando a verificação IMS é permitida, na versão atual OTT,Youtube sempre pede o cliente buscar a cópia a mais atrasada do servidor de origem.

Isto pode ser observado no ce-acesso-errorlog:

07/20/2016 00:41:49.420 (fl=36862) 10000 2.511 0.000 1312 1383 4194962 4194941 10.37.125.203

10.6.76.220 2f25 l-s

s-ims-fv - - 200 GET https://r3---sn-jpuxj-

coxe.googlevideo.com/videoplayback?signature=AACC537F02B652FEA0600C90

0B069CA3063C15CD.58BA962C80C0E7DFA9A6664ECDCCE6404A3E2C65&clen=601694377&pl=24&mv=m&mt=146897480

1&ms=au&ei=a8iOV-

HZG4u24gL-hpu4BQ&mn=sn-jpuxj-

coxe&mm=31&key=yt6&sparams=clen%2Cdur%2Cei%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2C

itag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&sver

=3&gir=yes&fexp=9

416891%2C9422596%2C9428398%2C9431012%2C9433096%2C9433221%2C9433946%2C9435526%2C9435876%2C9437066

%2C9437553%2C9437

742%2C9438662%2C9439652&expire=1468996811&initcwndbps=9551250&ipbits=0&mime=video%2Fmp4&upn=B-

BbHfjKlaI&source=yo

utube&dur=308.475&id=o-ABCCHl2_QzDMemZ8Eh7hbsSbhXZQ7yt325a-

xfqNROk1&lmt=1389684805775554&itag=138&requiressl=yes&

ip=203.104.11.77&keepalive=yes&cpn=4cIAF7ZEwNbfV7Cr&alr=yes&ratebypass=yes&c=WEB&cver=1.20160718

&range=193174249-

197368552&rn=68&rbuf=23912 - -

Desmarcar estes no ramo WAAS para desabilitar a verificação IMS:

Navegue para configurar > pondo em esconderijo > Akamai conectam.

Esta edição é esperada ser fixada em WAAS 6.3 e além.

Problema: O esconderijo de Akamai quebra a conexão de HTTPS ao atravessar umproxy com autenticação.

Solução:

Quando você precisa de atravessar um proxy antes de ir ao Internet e o proxy exige aautenticação, WAAS pode quebrar a conexão de HTTPS. A captura de pacote de informaçãotomada no ramo WAAS mostra a resposta de HTTP 407 do local de server. Contudo, a captação

para após o primeiro pacote. Os pacotes subsequente não são enviados e a resposta estáincompleta.

Isto é seguido no defeito CSCva26420 e é provável ser fixado na liberação WAAS 6.3.