[ArminBah]

Пока хотим через CLI научиться хотя бы блокировать трафик по URL. SCE подключено к одному коммутатору. Подписчиков там пока не планируется заводить. А без них никак?

[tehmeh]

Пока хотим через CLI научиться хотя бы блокировать трафик по URL. SCE подключено к одному коммутатору. Подписчиков там пока не планируется заводить. А без них никак?

Можно и без подписчиков, анонимуса завести одного, привязать к нему ip range, и назначить пакет. Самый простой вариант, на мой взгляд.

[ArminBah]

Ок. подскажи тогда как это можно сделать через cli, пожалуйста?

[tehmeh]

interface LineCard 0

subscriber anonymous-group name "Anonymous" IP-range 10.10.10.0/24 template 0

exit

 

Каждый ip из указанной сети будет попадать в 0-й пакет, надо только позаботиться о том, чтобы трафик через него пропускало.

 

sh int l 0 subscriber anonymous

Anonymous subscribers:

10.10.10.2@Anonymous

10.10.10.15@Anonymous

10.10.10.205@Anonymous

[ArminBah]

Спасибо огромное! А если подсетей несколько тогда можно заводить несколько темплейтов?

[tehmeh]

На самом деле, в гайде указан режим Subscriberless mode, в котором вообще никаких операций с подписчиками проводить не надо, можно покапать в этом направлении, я никогда не сталкивался.

Знаю, что по умолчанию все попадают в 0-й пакет, по-идее если трафик в нем не блокируется – итак работать должно.

 

Спасибо огромное! А если подсетей несколько тогда можно заводить несколько темплейтов?

Если сети не агрегируются, то да, сколько угодно (до ограничения по платформе).

Изменено 28 октября, 2014 пользователем tehmeh

[ArminBah]

Ок, понял.

Каждый ip из указанной сети будет попадать в 0-й пакет, надо только позаботиться о том, чтобы трафик через него пропускало.

 

И как все таки сделать чтобы трафик пропускало? :-)

Потому что на данный момент она все таки не пропускает)

Изменено 28 октября, 2014 пользователем ArminBah

[tehmeh]

Через SCA BB подключаешься к железке, выгружаешь текущую конфигурацию, делаешь в ней правки (редактируешь нужный пакет) и загружаешь заново.

Если железку вообще не настраивали до этого, будет два пакета: 0-й Default package и 4999 Unknown package. Мой пример мапит всех подписчиков в 0-й, в нем будет правило Default rule, оно не должно блокировать.

Вообще почитайте гайд по SCA BB, это "ваше все".

[Дятел]

Документацию читают слабаки, настоящий админ настраивает по наитию!

[jama]

Коллеги, есть проблема

через железку не проходит больше 7 гиг

задержка через нее сразу прыгает на 50мс

по процам SCE загружена на 50%

видимо установлено общее ограничения на портах, но не могу понять где

System version: Version 4.1.0 Build 638

в Global Policy ограничение везде Unlimited

BW prioitization mode - subscriber

Изменено 10 ноября, 2014 пользователем jama

[zerg23k]

Привет, всем. Может у кого есть файлик с библиотекой API? sce-java-api-dist.tar.gz, поделитесь пожалуйста, если есть. Версия софта 4.1.х. На SCE2020.

[raveren]

Привет, всем. Может у кого есть файлик с библиотекой API? sce-java-api-dist.tar.gz, поделитесь пожалуйста, если есть. Версия софта 4.1.х. На SCE2020.

http://rutracker.org/forum/viewtopic.php?t=4745849

[joesm]

Кто-нибудь использовал SCE в качестве фильтра DDoS? Есть удачные примеры?

[zerg23k]

Привет, всем. Может у кого есть файлик с библиотекой API? sce-java-api-dist.tar.gz, поделитесь пожалуйста, если есть. Версия софта 4.1.х. На SCE2020.

http://rutracker.org/forum/viewtopic.php?t=4745849

 

 

Спасибо большое

[KonstantinC]

Предположим есть SCE8000, занимается dpi, режет торренты...

Через неё сейчас прёт 11Gbit\s.. трафик процессоры загружены на 60%

Опытным путем выяснено, что сервис лоссы появляются если загрузка traffic processor'ов переваливает за 90%

Т.е. SCE реально сможет прокачать через себя 14,5-15Гбит (это только даунлинк)

 

Вопрос: получится ли добавить на SCE ещё и shaping? Сильно ли вырастет её загрузка? Или там shaping аппаратный и её будет пофиг?

[tehmeh]

Там трафик процессоры, все через них. Шейпинга нет, только полисинг (token bucket algo).

 

При полосе вдвое меньшей с dpi, policing 35% загрузка CPU одного TP была максимально.

[KonstantinC]

Ага... т.е. хрен её заставишь ещё и полисить такую полосу.. сдохнет раньше

 

 

Хм

А есть инфа по цене SCE10000?

В июльском gpl нету такого девайса

[tehmeh]

Я бы не стал делать такие выводы. Надо у ребят с похожей полосой спросить. Возможно небольшой разбег будет в процентах.

[pers123]

Предположим есть SCE8000, занимается dpi, режет торренты...

Через неё сейчас прёт 11Gbit\s.. трафик процессоры загружены на 60%

Опытным путем выяснено, что сервис лоссы появляются если загрузка traffic processor'ов переваливает за 90%

Т.е. SCE реально сможет прокачать через себя 14,5-15Гбит (это только даунлинк)

 

Вопрос: получится ли добавить на SCE ещё и shaping? Сильно ли вырастет её загрузка? Или там shaping аппаратный и её будет пофиг?

Цифры, которые дают производители DPI в качестве референсных показателей производительности в большинстве случаев

демонстрируют призводительность только системы классификации и распознавания.

Все, что часается механизмов управления трафиком - фильтрация, полисинг, шейпинг, редиректы, диверты и прочее,

а также типов критериев, которые прменяются в правилах - очевидным образом сказывается в отрицательную сторону и дает derate производительности.

При нормальном performance planning мы учитываем большое количество показателей, однако, в большинстве случаев derate составляет

от 30 до 50% заявленной референсной проиводительности.

Во многих случаях, когда производитель заявляет о производительносит в Gbps ее меряют на референском траифке со средним размером пакета в 650-660 байт,

в то же время в реальности можно наблюдать средний размер пакета и менее 300 байт. Отличие также сказывается в негативную сторону относительно

заявленной проивзводительности.

SCE8000 Throughput заявлено 30Gbps. Поскольку это throughput, то надо сложить полосу upstream+downstream, и потом оценивать derate.

Расчитывать на обслуживание трафика 10Gbps (Downstream) + 5 Gbps (Upstream) я бы на SCE8000 не стал,

особенно если применяется фильтрация по URL с использованием "*".

Изменено 21 ноября, 2014 пользователем pers123

[DimaM]

Расчитывать на обслуживание трафика 10Gbps (Downstream) + 5 Gbps (Upstream) я бы на SCE8000 не стал

 

Спасибо :)

[pers123]

Расчитывать на обслуживание трафика 10Gbps (Downstream) + 5 Gbps (Upstream) я бы на SCE8000 не стал

 

Спасибо :)

Пардон, я имел в виду - что на обработку больше, чем 15Gbps throughput с использованием всех имеющихся функций я бы расчитывать не стал.

Изменено 21 ноября, 2014 пользователем pers123

[murzik_one]

Подскажите по каскадированию SCE 2020.

(10g пока не требуется, не доросли еще до SCE8k).

 

Я так понимаю, что если поставить второй девайс в агрегированный линк, то сабскрайберы будут получать фактически удвоенный тариф, по крайней мере при обращении к разным ресурсам, хороший для этого показатель торрент.

 

Какова методика включения/настройки для правильного каскадирования, что-бы сабскрайбер не получил больше чем ему отрезано?

[ThreeDHead]

Подскажите по каскадированию SCE 2020.

(10g пока не требуется, не доросли еще до SCE8k).

 

Я так понимаю, что если поставить второй девайс в агрегированный линк, то сабскрайберы будут получать фактически удвоенный тариф, по крайней мере при обращении к разным ресурсам, хороший для этого показатель торрент.

 

Какова методика включения/настройки для правильного каскадирования, что-бы сабскрайбер не получил больше чем ему отрезано?

Тут дело не в "больше/меньше получил", а в том что агрегацию надо настроить правильно, чтобы сабскрайбер всегда ходил через одно и туже устройство. Либо балансер на L3. Короче, как угодно, но чтобы только через одно и тоже, в оба направления.

[joesm]

murzik_one По доке от Cisco решается установкой правильных параметров load-balance на ethechannel на каждой железке. Например src-ip с одной стороны и dst-ip с другой. Плюс с обоих сторон желательно железо одного вендора. У нас первая попытка все это запустить на связке cisco-juniper закончилась ни чем. Пришлось менять на схему cisco-cisco.

Другой вариант роутинг и pbr. Много ручной работы, возможные перегрузки одного из линков, но если нет других вариантов, то вполне работает.

[tehmeh]

Помогите узнать, откуда появляется service loss?

 

За последнюю неделю график пару раз на несколько минут в полку улетал. Посмотрел на SCE8000, сначала на одном TP service loss, через три дня на другом. В первый раз TP ранним утром до 35% загрузился (обычный показатель ЧНН), второй раз как раз в ЧНН до 90. Забавно, что график по pps в первый раз до 6 раз увеличился, а второй раз всего в полтора. По полосе за лимиты железки и рядом не выходим.

 

Есть какие-нибудь способы по логам или еще как узнать, какие подписчики вызывают обвал?