cmhungry Опубликовано 27 февраля, 2010 · Жалоба Я дам ссылку на презентацию, но - после нее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 27 февраля, 2010 · Жалоба Я дам ссылку на презентацию, но - после нее. Кирилл, а может на презентации снимать будет кто? я про: может на youtube получиться выложить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex780 Опубликовано 1 марта, 2010 · Жалоба ктонибудь пробовал новый 20 protocol pack? пишут что улучшено распознование торрента.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 1 марта, 2010 · Жалоба ктонибудь пробовал новый 20 protocol pack? пишут что улучшено распознование торрента.... Пробовали. Вроде как uTP распознается. Но как-то возврата к параметрам до 1 февраля по трафику после установки не наблюдается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
exeyp Опубликовано 5 марта, 2010 · Жалоба Добрый день. Остро встал вопрос с произволительностью SCE 2020: 1. Общее колличество клиетов которое обрабатывает SCE не превышает 4 тыс. 2. Колличество Flow, судя по графикам не превышает 250k в сумме по трем TP. 3. Скорость в сумме Up/Downstream не превышает 1.8Gbps. При этом по вечерам возникает высокая загрузка TP и как следсвие перестает обрабатываться UDP Flow в течение часа (был также случай когда в байпас попал весть TCP/UDP flow) и так может повторятся несколько раз. Потом все нормализуется. (Уменьшается кол-во Flow???) 2010-03-03 21:28:44 | INFO | CPU #000 | Started filtering packets of type 'UDP Fragments' received on interface # 0. Reason: Started filtering due to attack detection 2010-03-03 22:32:11 | INFO | CPU #000 | Stopped filtering packets of type 'UDP Fragments' received on interface # 0. Reason: Stopped filtering for an administrative pause 2010-03-03 22:32:43 | INFO | CPU #000 | Stopped filtering packets of type 'UDP Fragments' received on interface # 0. Reason: Back to normal, no shortage events #attack detection отключен Что можете посоветовать? Заявленные характеристики патформы не превышены. Возможно есть какие-либо сервисы на SCE которые можно отключить? Проблемы начались с начала февраля. Общий объем трафика не увеличился, но существенно подрос UDP-flow, на 30-40% - видно из данных SNMP, собранных с SCE. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AntZ Опубликовано 10 марта, 2010 (изменено) · Жалоба Добрый день.Остро встал вопрос с произволительностью SCE 2020: 1. Общее колличество клиетов которое обрабатывает SCE не превышает 4 тыс. 2. Колличество Flow, судя по графикам не превышает 250k в сумме по трем TP. 3. Скорость в сумме Up/Downstream не превышает 1.8Gbps. При этом по вечерам возникает высокая загрузка TP и как следсвие перестает обрабатываться UDP Flow в течение часа (был также случай когда в байпас попал весть TCP/UDP flow) и так может повторятся несколько раз. Потом все нормализуется. (Уменьшается кол-во Flow???) 2010-03-03 21:28:44 | INFO | CPU #000 | Started filtering packets of type 'UDP Fragments' received on interface # 0. Reason: Started filtering due to attack detection 2010-03-03 22:32:11 | INFO | CPU #000 | Stopped filtering packets of type 'UDP Fragments' received on interface # 0. Reason: Stopped filtering for an administrative pause 2010-03-03 22:32:43 | INFO | CPU #000 | Stopped filtering packets of type 'UDP Fragments' received on interface # 0. Reason: Back to normal, no shortage events #attack detection отключен Что можете посоветовать? Заявленные характеристики патформы не превышены. Возможно есть какие-либо сервисы на SCE которые можно отключить? Проблемы начались с начала февраля. Общий объем трафика не увеличился, но существенно подрос UDP-flow, на 30-40% - видно из данных SNMP, собранных с SCE. очевидно превышены, поскольку у сце существуют еще ограничения по флоу. скормите сце команду show snmp MIB pcube-SE-MIB traffic-processor ключевые моменты: tpCpuUtilizationPeak tpNumCpuShortageFlows tpNumCpuShortagePackets tpServiceLoss по некой информации ;) сце начинает пускать трафик мимо трафик процессоров при нагрузке выше 75%. udp-флоу увеличился, очевидно, из-за uTP. ктонибудь пробовал новый 20 protocol pack? пишут что улучшено распознование торрента....Пробовали. Вроде как uTP распознается. Но как-то возврата к параметрам до 1 февраля по трафику после установки не наблюдается. и не будет возврата. в РР20 заработала нормально поддержка uTP. из Generic UDP оно ушло в bitorrent. жать кол-во флоу в биторренте - других вариантов вроде как нет... PS вроде как нашел тут раскладку по трафику до (слева от провала) и после (справа) установки РР20 Изменено 11 марта, 2010 пользователем AntZ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex780 Опубликовано 10 марта, 2010 · Жалоба AntZ спасибо, будем пробовать pp20 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
exeyp Опубликовано 11 марта, 2010 (изменено) · Жалоба Спасибо за ответ. очевидно превышены, поскольку у сце существуют еще ограничения по флоу.скормите сце команду show snmp MIB pcube-SE-MIB traffic-processor ключевые моменты: tpCpuUtilizationPeak tpNumCpuShortageFlows tpNumCpuShortagePackets tpServiceLoss по некой информации ;) сце начинает пускать трафик мимо трафик процессоров при нагрузке выше 75%. Привожу счетчики: sce2000-4ge#><MIB pcube-SE-MIB traffic-processor | inc tpCpuUtilizationPeak tpCpuUtilizationPeak.1 = 85 tpCpuUtilizationPeakTime.1 = 4 weeks, 23 hours, 4 minutes, 58 seconds tpCpuUtilizationPeak.2 = 87 tpCpuUtilizationPeakTime.2 = 2 weeks, 4 days, 23 hours, 0 minutes, 35 seconds tpCpuUtilizationPeak.3 = 83 tpCpuUtilizationPeakTime.3 = 1 weeks, 21 hours, 6 minutes, 32 seconds sce2000-4ge#> sce2000-4ge#><ube-SE-MIB traffic-processor | inc tpNumCpuShortageFlows tpNumCpuShortageFlows.1 = 5697733 tpNumCpuShortageFlows.2 = 4291632 tpNumCpuShortageFlows.3 = 19511 sce2000-4ge#> sce2000-4ge#><be-SE-MIB traffic-processor | inc tpNumCpuShortagePackets tpNumCpuShortagePackets .1 = 361344036 tpNumCpuShortagePackets .2 = 267988220 tpNumCpuShortagePackets .3 = 450824 sce2000-4ge#> sce2000-4ge#><-SE-MIB traffic-processor | inc tpServiceLoss tpServiceLoss.1 = 0 tpServiceLoss.2 = 0 tpServiceLoss.3 = 0 Перегрузки начали наблюдаться в феврале и начале марта, после этого пришлось пустить парочку очень крупных клиентов в байпас (а это почти 800 Mbps Downstream и по /20 ip range на каждого клиента), т.к. SCE, как я понимаю обрабатывает одного клиента на конкретном TP и поэтому нагрузка на Traffic Processor' ы получалась неравномерная, да и по официальной документации от Cisco говорится что на одного клиента нельзя замапить больше 1024 ip адресов(((. После перевода этих клиентов в байпас все нормализовалось. Можно ли обрабатывать одного клиента на разных TP?. Какие значения Flow rate допустимы? Будут ли корректно отрабатывать ограничения на Port Controller'е если часть трафика бежит в байпасе. И еще один вопрос: Есть ли способы создания Subscribers Polisies (Package) не из GUI (SCA-BB)...может через API или в конфиге SCE? Заранее спасибо. Изменено 11 марта, 2010 пользователем exeyp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex780 Опубликовано 11 марта, 2010 (изменено) · Жалоба поставил седня pp20 - да generic udp пропал Изменено 11 марта, 2010 пользователем Alex780 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
telematic Опубликовано 11 марта, 2010 · Жалоба Перегрузки начали наблюдаться в феврале и начале марта, после этого пришлось пустить парочку очень крупных клиентов в байпас А как получается пускать через байпасс отдельных абонентов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AntZ Опубликовано 11 марта, 2010 · Жалоба А как получается пускать через байпасс отдельных абонентов? присоединяюсь к вопросу. ЗЫ. кстати, Generic UDP, хоть и не в таких масштабах, но растет... и появился Generic IP. пока не понял откуда и что там ходит... такое впечатление, что РР20 помогает лишь отчасти. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex780 Опубликовано 12 марта, 2010 · Жалоба у меня после установки сначала тоже шло other tcp много, потом через полчаса смотрю - пропало Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
exeyp Опубликовано 19 апреля, 2010 · Жалоба А кто-нибудь пробовал делать DSS ( Dynamic Signature Script ) для Cisco SCE? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jevsbl Опубликовано 6 мая, 2010 · Жалоба Добрый день.Остро встал вопрос с произволительностью SCE 2020: 1. Общее колличество клиетов которое обрабатывает SCE не превышает 4 тыс. 2. Колличество Flow, судя по графикам не превышает 250k в сумме по трем TP. 3. Скорость в сумме Up/Downstream не превышает 1.8Gbps. У нас похожая байда была. Циско токо разводит руками и ничего не делает. Да и ничего толком не сделаешь - хардвара не хватает. А заявленые характеристики в 1,5-2 раза больше реальных, другими словами: HAE@@ЛоBO Видел презентачию Циско для resellerov, там указано, что SCE 2020 вытягивает 2,8 Gbps в обе стороны. т.е. по 1,4Gbps, делаете выводы! Когда врубается Attack filtering в сети начинается коммунизм и клиенты волком воют все получают по-ровну 200-500кбпс (зависит от колва клиентов) Attack filtering сам вырубится только через 64 мин. Мы его убивали перезагружая linecard. Можно вырезать UTP - это уменьшит PPS и несколько разгрузит SCE, но в целом, могу сказать что вам наверно придётся покупать второй, либо искать вообще другой солюшн. attack detection отключать нет смысла, хотя Циско зачем-то это рекомендует. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 6 мая, 2010 · Жалоба Цитата(JoeDoe @ 20.2.2010, 7:20) *Цитата(telematic @ 20.2.2010, 2:06) * Кстати, в ASR1000 есть DPI. И какая будет производительность рутера после включения этого DPI? И за это платить $25К? ради интереса включил nbar на ASR и слегка зашейпил bittorent 1. CPU не грузит 2. через сутки полезли трейсбэки и прочие радости жизни May 1 16:18:44.891: %STILE_CLIENT-4-MAX_LINK_TOUCH: F0: cpp_cp: NBAR number of flow links threshold is reached, can't allocate more memory for flow links. May 1 21:28:49.226: %CPPEXMEM-4-LOWMEM: F0: cpp_cp: CPP 0 DRAM memory low - 95 percent depleted May 2 10:48:11.225: %CPPOSLIB-3-ERROR_NOTIFY: F0: cpp_cp: cpp_cp encountered an error -Traceback= 1#696c3ccefa6d263c3e5452cbeeeeae7f errmsg:D9D0000+1C00 cpp_common_os:E108000+B7C0 cpp_common_os:E108000+18B78 cpp_ess_svr_lib:FC47000+64620 cpp_ess_svr_lib:FC47000+5FF94 cpp_ess_svr_lib:FC47000+6386C cpp_ess_svr_lib:FC47000+23C64 cpp_common_os:E108000+10618 cpp_common_os:E108000+1097C evlib:DD87000+D804 evlib:DD87000+FF24 cpp_common_os:E108000+11F18 :10000000+3D70 c:BEA3000+1D078 c:BEA3000+1D220 May 2 10:48:11.233: %FMFP-3-OBJ_DWNLD_TO_CPP_FAILED: F0: fman_fp_image: isg drl(evsi=67397474, segid=0x040467620d19d20a, cpp_handle=30234) download to CPP failed ...... и далее в том же духе после роутер перестал пропускать траф Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
exeyp Опубликовано 7 мая, 2010 · Жалоба Attack filtering сам вырубится только через 64 мин.Мы его убивали перезагружая linecard. Можно уменьшить время или совсем отключить... no sanity-checks attack-filter sanity-checks attack-filter times filtering-cycle 300 max-attack-time 86400 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 3 мая, 2011 · Жалоба Остро встал вопрос с произволительностью SCE 2020: 1. Общее колличество клиетов которое обрабатывает SCE не превышает 4 тыс. 2. Колличество Flow, судя по графикам не превышает 250k в сумме по трем TP. 3. Скорость в сумме Up/Downstream не превышает 1.8Gbps. Апну тему, аналогичная ситуация, только flows еще меньше, не более 120к. Но поведение аналогичное: высокая загрузка CPU, уход в байпасс, если не повезет то срабатывает watchdog Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
n1k3 Опубликовано 14 декабря, 2011 · Жалоба А подскажите есть ли возможность сделать такую штуку: для диапазона адресов сделать отдельный глобал контроллер в котором зашейпить торрент. Т.е. не для всех абонентов, а именно для диапазона? Нагуглил что можно зарулить диапазон адресов в отдельный трафик процессор.. вот только как это может помочь в моей задаче пока не нагуглил, да и туда ли я гуглю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
joesm Опубликовано 15 декабря, 2011 · Жалоба В чем проблема? Создали пакет с нужными сервисами, назначили его клиентам, для которых это ограничение необходимо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 15 декабря, 2011 (изменено) · Жалоба Из-за чего может рисоваться такой странный график? Хттп и торрент регулярно исчезают из стека. Изменено 15 декабря, 2011 пользователем xcme Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
n1k3 Опубликовано 15 декабря, 2011 · Жалоба В чем проблема? Создали пакет с нужными сервисами, назначили его клиентам, для которых это ограничение необходимо. Клиентов несколько тысяч. Тарифов для них несколько десятков разных. Шейперов SCE 4 штуки. С учётом того, что в sca bb всё делается вручную, то несколько десятков пакетов на каждой sce придётся сделать руками, потом всё это завязать с биллингом. Проблемы никакой если не учитывать что это всё займёт пару суток сидения за компом и клацания мышей в scabb Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 15 декабря, 2011 · Жалоба и вроде больше /22 сетку SCE не принимает.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anix Опубликовано 15 декабря, 2011 · Жалоба и вроде больше /22 сетку SCE не принимает.... принимает и /21, но надо учесть что это будет один абонент в понятиях SCE и весь трафик данного префикса будет обрабатываться одним трафик процессором (перекособочит загрузку минимум :) ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MaDDoG Опубликовано 15 декабря, 2011 · Жалоба Из-за чего может рисоваться такой странный график? Хттп и торрент регулярно исчезают из стека. Похоже на перегрузку траффик процессоров. У нас так было, когда sce не справлялось с обработкой и делала bypass. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
exeyp Опубликовано 16 декабря, 2011 · Жалоба В чем проблема? Создали пакет с нужными сервисами, назначили его клиентам, для которых это ограничение необходимо. Клиентов несколько тысяч. Тарифов для них несколько десятков разных. Шейперов SCE 4 штуки. С учётом того, что в sca bb всё делается вручную, то несколько десятков пакетов на каждой sce придётся сделать руками, потом всё это завязать с биллингом. Проблемы никакой если не учитывать что это всё займёт пару суток сидения за компом и клацания мышей в scabb Пакеты (packageId) в любом случае придется создавать руками в SCA-BB. Хотя клацание мышкой совсем не обязательно - файл конфигурации это заархивированая XML. Т.о. можно все поправить в блокнотике. Второй вариант это внести изменение в конфигурацию через SCA-BB Java API. В этом случае происходит чтение всего файла PQB,далее правка, и формирование измененного файла PQB. Потом новый файл можно применить через SCA-BB. Чтобы определенному диапазону применить политику можно воспользоваться функционалом темлейтов. На SCE через CLI создается anonymous-group, к этой группе привязывается диапазон IP, и задается темплейт ( по сути это номер политики - packageId). При этой конфигурации абонент системой идентифицируется как связка IP-адрес<-->anonymous-group name. И абоненты в этом случае равномерно распределятся по TP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...