ArminBah Опубликовано 28 октября, 2014 · Жалоба Пока хотим через CLI научиться хотя бы блокировать трафик по URL. SCE подключено к одному коммутатору. Подписчиков там пока не планируется заводить. А без них никак? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 28 октября, 2014 · Жалоба Пока хотим через CLI научиться хотя бы блокировать трафик по URL. SCE подключено к одному коммутатору. Подписчиков там пока не планируется заводить. А без них никак? Можно и без подписчиков, анонимуса завести одного, привязать к нему ip range, и назначить пакет. Самый простой вариант, на мой взгляд. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ArminBah Опубликовано 28 октября, 2014 · Жалоба Ок. подскажи тогда как это можно сделать через cli, пожалуйста? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 28 октября, 2014 · Жалоба interface LineCard 0 subscriber anonymous-group name "Anonymous" IP-range 10.10.10.0/24 template 0 exit Каждый ip из указанной сети будет попадать в 0-й пакет, надо только позаботиться о том, чтобы трафик через него пропускало. sh int l 0 subscriber anonymous Anonymous subscribers: 10.10.10.2@Anonymous 10.10.10.15@Anonymous 10.10.10.205@Anonymous Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ArminBah Опубликовано 28 октября, 2014 · Жалоба Спасибо огромное! А если подсетей несколько тогда можно заводить несколько темплейтов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 28 октября, 2014 (изменено) · Жалоба На самом деле, в гайде указан режим Subscriberless mode, в котором вообще никаких операций с подписчиками проводить не надо, можно покапать в этом направлении, я никогда не сталкивался. Знаю, что по умолчанию все попадают в 0-й пакет, по-идее если трафик в нем не блокируется – итак работать должно. Спасибо огромное! А если подсетей несколько тогда можно заводить несколько темплейтов? Если сети не агрегируются, то да, сколько угодно (до ограничения по платформе). Изменено 28 октября, 2014 пользователем tehmeh Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ArminBah Опубликовано 28 октября, 2014 (изменено) · Жалоба Ок, понял. Каждый ip из указанной сети будет попадать в 0-й пакет, надо только позаботиться о том, чтобы трафик через него пропускало. И как все таки сделать чтобы трафик пропускало? :-) Потому что на данный момент она все таки не пропускает) Изменено 28 октября, 2014 пользователем ArminBah Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 28 октября, 2014 · Жалоба Через SCA BB подключаешься к железке, выгружаешь текущую конфигурацию, делаешь в ней правки (редактируешь нужный пакет) и загружаешь заново. Если железку вообще не настраивали до этого, будет два пакета: 0-й Default package и 4999 Unknown package. Мой пример мапит всех подписчиков в 0-й, в нем будет правило Default rule, оно не должно блокировать. Вообще почитайте гайд по SCA BB, это "ваше все". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 29 октября, 2014 · Жалоба Документацию читают слабаки, настоящий админ настраивает по наитию! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jama Опубликовано 10 ноября, 2014 (изменено) · Жалоба Коллеги, есть проблема через железку не проходит больше 7 гиг задержка через нее сразу прыгает на 50мс по процам SCE загружена на 50% видимо установлено общее ограничения на портах, но не могу понять где System version: Version 4.1.0 Build 638 в Global Policy ограничение везде Unlimited BW prioitization mode - subscriber Изменено 10 ноября, 2014 пользователем jama Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zerg23k Опубликовано 10 ноября, 2014 · Жалоба Привет, всем. Может у кого есть файлик с библиотекой API? sce-java-api-dist.tar.gz, поделитесь пожалуйста, если есть. Версия софта 4.1.х. На SCE2020. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
raveren Опубликовано 12 ноября, 2014 · Жалоба Привет, всем. Может у кого есть файлик с библиотекой API? sce-java-api-dist.tar.gz, поделитесь пожалуйста, если есть. Версия софта 4.1.х. На SCE2020. http://rutracker.org/forum/viewtopic.php?t=4745849 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
joesm Опубликовано 13 ноября, 2014 · Жалоба Кто-нибудь использовал SCE в качестве фильтра DDoS? Есть удачные примеры? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zerg23k Опубликовано 18 ноября, 2014 · Жалоба Привет, всем. Может у кого есть файлик с библиотекой API? sce-java-api-dist.tar.gz, поделитесь пожалуйста, если есть. Версия софта 4.1.х. На SCE2020. http://rutracker.org/forum/viewtopic.php?t=4745849 Спасибо большое Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KonstantinC Опубликовано 21 ноября, 2014 · Жалоба Предположим есть SCE8000, занимается dpi, режет торренты... Через неё сейчас прёт 11Gbit\s.. трафик процессоры загружены на 60% Опытным путем выяснено, что сервис лоссы появляются если загрузка traffic processor'ов переваливает за 90% Т.е. SCE реально сможет прокачать через себя 14,5-15Гбит (это только даунлинк) Вопрос: получится ли добавить на SCE ещё и shaping? Сильно ли вырастет её загрузка? Или там shaping аппаратный и её будет пофиг? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 21 ноября, 2014 · Жалоба Там трафик процессоры, все через них. Шейпинга нет, только полисинг (token bucket algo). При полосе вдвое меньшей с dpi, policing 35% загрузка CPU одного TP была максимально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KonstantinC Опубликовано 21 ноября, 2014 · Жалоба Ага... т.е. хрен её заставишь ещё и полисить такую полосу.. сдохнет раньше Хм А есть инфа по цене SCE10000? В июльском gpl нету такого девайса Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 21 ноября, 2014 · Жалоба Я бы не стал делать такие выводы. Надо у ребят с похожей полосой спросить. Возможно небольшой разбег будет в процентах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pers123 Опубликовано 21 ноября, 2014 (изменено) · Жалоба Предположим есть SCE8000, занимается dpi, режет торренты... Через неё сейчас прёт 11Gbit\s.. трафик процессоры загружены на 60% Опытным путем выяснено, что сервис лоссы появляются если загрузка traffic processor'ов переваливает за 90% Т.е. SCE реально сможет прокачать через себя 14,5-15Гбит (это только даунлинк) Вопрос: получится ли добавить на SCE ещё и shaping? Сильно ли вырастет её загрузка? Или там shaping аппаратный и её будет пофиг? Цифры, которые дают производители DPI в качестве референсных показателей производительности в большинстве случаев демонстрируют призводительность только системы классификации и распознавания. Все, что часается механизмов управления трафиком - фильтрация, полисинг, шейпинг, редиректы, диверты и прочее, а также типов критериев, которые прменяются в правилах - очевидным образом сказывается в отрицательную сторону и дает derate производительности. При нормальном performance planning мы учитываем большое количество показателей, однако, в большинстве случаев derate составляет от 30 до 50% заявленной референсной проиводительности. Во многих случаях, когда производитель заявляет о производительносит в Gbps ее меряют на референском траифке со средним размером пакета в 650-660 байт, в то же время в реальности можно наблюдать средний размер пакета и менее 300 байт. Отличие также сказывается в негативную сторону относительно заявленной проивзводительности. SCE8000 Throughput заявлено 30Gbps. Поскольку это throughput, то надо сложить полосу upstream+downstream, и потом оценивать derate. Расчитывать на обслуживание трафика 10Gbps (Downstream) + 5 Gbps (Upstream) я бы на SCE8000 не стал, особенно если применяется фильтрация по URL с использованием "*". Изменено 21 ноября, 2014 пользователем pers123 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 21 ноября, 2014 · Жалоба Расчитывать на обслуживание трафика 10Gbps (Downstream) + 5 Gbps (Upstream) я бы на SCE8000 не стал Спасибо :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pers123 Опубликовано 21 ноября, 2014 (изменено) · Жалоба Расчитывать на обслуживание трафика 10Gbps (Downstream) + 5 Gbps (Upstream) я бы на SCE8000 не стал Спасибо :) Пардон, я имел в виду - что на обработку больше, чем 15Gbps throughput с использованием всех имеющихся функций я бы расчитывать не стал. Изменено 21 ноября, 2014 пользователем pers123 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
murzik_one Опубликовано 25 ноября, 2014 · Жалоба Подскажите по каскадированию SCE 2020. (10g пока не требуется, не доросли еще до SCE8k). Я так понимаю, что если поставить второй девайс в агрегированный линк, то сабскрайберы будут получать фактически удвоенный тариф, по крайней мере при обращении к разным ресурсам, хороший для этого показатель торрент. Какова методика включения/настройки для правильного каскадирования, что-бы сабскрайбер не получил больше чем ему отрезано? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 25 ноября, 2014 · Жалоба Подскажите по каскадированию SCE 2020. (10g пока не требуется, не доросли еще до SCE8k). Я так понимаю, что если поставить второй девайс в агрегированный линк, то сабскрайберы будут получать фактически удвоенный тариф, по крайней мере при обращении к разным ресурсам, хороший для этого показатель торрент. Какова методика включения/настройки для правильного каскадирования, что-бы сабскрайбер не получил больше чем ему отрезано? Тут дело не в "больше/меньше получил", а в том что агрегацию надо настроить правильно, чтобы сабскрайбер всегда ходил через одно и туже устройство. Либо балансер на L3. Короче, как угодно, но чтобы только через одно и тоже, в оба направления. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
joesm Опубликовано 26 ноября, 2014 · Жалоба murzik_one По доке от Cisco решается установкой правильных параметров load-balance на ethechannel на каждой железке. Например src-ip с одной стороны и dst-ip с другой. Плюс с обоих сторон желательно железо одного вендора. У нас первая попытка все это запустить на связке cisco-juniper закончилась ни чем. Пришлось менять на схему cisco-cisco. Другой вариант роутинг и pbr. Много ручной работы, возможные перегрузки одного из линков, но если нет других вариантов, то вполне работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 7 декабря, 2014 · Жалоба Помогите узнать, откуда появляется service loss? За последнюю неделю график пару раз на несколько минут в полку улетал. Посмотрел на SCE8000, сначала на одном TP service loss, через три дня на другом. В первый раз TP ранним утром до 35% загрузился (обычный показатель ЧНН), второй раз как раз в ЧНН до 90. Забавно, что график по pps в первый раз до 6 раз увеличился, а второй раз всего в полтора. По полосе за лимиты железки и рядом не выходим. Есть какие-нибудь способы по логам или еще как узнать, какие подписчики вызывают обвал? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...