Jump to content
Калькуляторы

Cisco SCE Series Service Control Engine

Пока хотим через CLI научиться хотя бы блокировать трафик по URL. SCE подключено к одному коммутатору. Подписчиков там пока не планируется заводить. А без них никак?

Share this post


Link to post
Share on other sites

Пока хотим через CLI научиться хотя бы блокировать трафик по URL. SCE подключено к одному коммутатору. Подписчиков там пока не планируется заводить. А без них никак?

Можно и без подписчиков, анонимуса завести одного, привязать к нему ip range, и назначить пакет. Самый простой вариант, на мой взгляд.

Share this post


Link to post
Share on other sites

Ок. подскажи тогда как это можно сделать через cli, пожалуйста?

Share this post


Link to post
Share on other sites

interface LineCard 0

subscriber anonymous-group name "Anonymous" IP-range 10.10.10.0/24 template 0

exit

 

Каждый ip из указанной сети будет попадать в 0-й пакет, надо только позаботиться о том, чтобы трафик через него пропускало.

 

sh int l 0 subscriber anonymous

Anonymous subscribers:

10.10.10.2@Anonymous

10.10.10.15@Anonymous

10.10.10.205@Anonymous

Share this post


Link to post
Share on other sites

Спасибо огромное! А если подсетей несколько тогда можно заводить несколько темплейтов?

Share this post


Link to post
Share on other sites

На самом деле, в гайде указан режим Subscriberless mode, в котором вообще никаких операций с подписчиками проводить не надо, можно покапать в этом направлении, я никогда не сталкивался.

Знаю, что по умолчанию все попадают в 0-й пакет, по-идее если трафик в нем не блокируется – итак работать должно.

 

Спасибо огромное! А если подсетей несколько тогда можно заводить несколько темплейтов?

Если сети не агрегируются, то да, сколько угодно (до ограничения по платформе).

Edited by tehmeh

Share this post


Link to post
Share on other sites

Ок, понял.

Каждый ip из указанной сети будет попадать в 0-й пакет, надо только позаботиться о том, чтобы трафик через него пропускало.

 

И как все таки сделать чтобы трафик пропускало? :-)

Потому что на данный момент она все таки не пропускает)

Edited by ArminBah

Share this post


Link to post
Share on other sites

Через SCA BB подключаешься к железке, выгружаешь текущую конфигурацию, делаешь в ней правки (редактируешь нужный пакет) и загружаешь заново.

Если железку вообще не настраивали до этого, будет два пакета: 0-й Default package и 4999 Unknown package. Мой пример мапит всех подписчиков в 0-й, в нем будет правило Default rule, оно не должно блокировать.

Вообще почитайте гайд по SCA BB, это "ваше все".

Share this post


Link to post
Share on other sites

Документацию читают слабаки, настоящий админ настраивает по наитию!

Share this post


Link to post
Share on other sites

Коллеги, есть проблема

через железку не проходит больше 7 гиг

задержка через нее сразу прыгает на 50мс

по процам SCE загружена на 50%

видимо установлено общее ограничения на портах, но не могу понять где

System version: Version 4.1.0 Build 638

в Global Policy ограничение везде Unlimited

BW prioitization mode - subscriber

post-44003-040181700 1415610604_thumb.png

post-44003-093663200 1415610609_thumb.png

post-44003-070839900 1415610617_thumb.png

Edited by jama

Share this post


Link to post
Share on other sites

Привет, всем. Может у кого есть файлик с библиотекой API? sce-java-api-dist.tar.gz, поделитесь пожалуйста, если есть. Версия софта 4.1.х. На SCE2020.

Share this post


Link to post
Share on other sites

Кто-нибудь использовал SCE в качестве фильтра DDoS? Есть удачные примеры?

Share this post


Link to post
Share on other sites

Привет, всем. Может у кого есть файлик с библиотекой API? sce-java-api-dist.tar.gz, поделитесь пожалуйста, если есть. Версия софта 4.1.х. На SCE2020.

http://rutracker.org/forum/viewtopic.php?t=4745849

 

 

Спасибо большое

Share this post


Link to post
Share on other sites

Предположим есть SCE8000, занимается dpi, режет торренты...

Через неё сейчас прёт 11Gbit\s.. трафик процессоры загружены на 60%

Опытным путем выяснено, что сервис лоссы появляются если загрузка traffic processor'ов переваливает за 90%

Т.е. SCE реально сможет прокачать через себя 14,5-15Гбит (это только даунлинк)

 

Вопрос: получится ли добавить на SCE ещё и shaping? Сильно ли вырастет её загрузка? Или там shaping аппаратный и её будет пофиг?

Share this post


Link to post
Share on other sites

Там трафик процессоры, все через них. Шейпинга нет, только полисинг (token bucket algo).

 

При полосе вдвое меньшей с dpi, policing 35% загрузка CPU одного TP была максимально.

Share this post


Link to post
Share on other sites

Ага... т.е. хрен её заставишь ещё и полисить такую полосу.. сдохнет раньше

 

 

Хм

А есть инфа по цене SCE10000?

В июльском gpl нету такого девайса

Share this post


Link to post
Share on other sites

Я бы не стал делать такие выводы. Надо у ребят с похожей полосой спросить. Возможно небольшой разбег будет в процентах.

Share this post


Link to post
Share on other sites

Предположим есть SCE8000, занимается dpi, режет торренты...

Через неё сейчас прёт 11Gbit\s.. трафик процессоры загружены на 60%

Опытным путем выяснено, что сервис лоссы появляются если загрузка traffic processor'ов переваливает за 90%

Т.е. SCE реально сможет прокачать через себя 14,5-15Гбит (это только даунлинк)

 

Вопрос: получится ли добавить на SCE ещё и shaping? Сильно ли вырастет её загрузка? Или там shaping аппаратный и её будет пофиг?

Цифры, которые дают производители DPI в качестве референсных показателей производительности в большинстве случаев

демонстрируют призводительность только системы классификации и распознавания.

Все, что часается механизмов управления трафиком - фильтрация, полисинг, шейпинг, редиректы, диверты и прочее,

а также типов критериев, которые прменяются в правилах - очевидным образом сказывается в отрицательную сторону и дает derate производительности.

При нормальном performance planning мы учитываем большое количество показателей, однако, в большинстве случаев derate составляет

от 30 до 50% заявленной референсной проиводительности.

Во многих случаях, когда производитель заявляет о производительносит в Gbps ее меряют на референском траифке со средним размером пакета в 650-660 байт,

в то же время в реальности можно наблюдать средний размер пакета и менее 300 байт. Отличие также сказывается в негативную сторону относительно

заявленной проивзводительности.

SCE8000 Throughput заявлено 30Gbps. Поскольку это throughput, то надо сложить полосу upstream+downstream, и потом оценивать derate.

Расчитывать на обслуживание трафика 10Gbps (Downstream) + 5 Gbps (Upstream) я бы на SCE8000 не стал,

особенно если применяется фильтрация по URL с использованием "*".

Edited by pers123

Share this post


Link to post
Share on other sites

Расчитывать на обслуживание трафика 10Gbps (Downstream) + 5 Gbps (Upstream) я бы на SCE8000 не стал

 

Спасибо :)

Share this post


Link to post
Share on other sites

Расчитывать на обслуживание трафика 10Gbps (Downstream) + 5 Gbps (Upstream) я бы на SCE8000 не стал

 

Спасибо :)

Пардон, я имел в виду - что на обработку больше, чем 15Gbps throughput с использованием всех имеющихся функций я бы расчитывать не стал.

Edited by pers123

Share this post


Link to post
Share on other sites

Подскажите по каскадированию SCE 2020.

(10g пока не требуется, не доросли еще до SCE8k).

 

Я так понимаю, что если поставить второй девайс в агрегированный линк, то сабскрайберы будут получать фактически удвоенный тариф, по крайней мере при обращении к разным ресурсам, хороший для этого показатель торрент.

 

Какова методика включения/настройки для правильного каскадирования, что-бы сабскрайбер не получил больше чем ему отрезано?

Share this post


Link to post
Share on other sites

Подскажите по каскадированию SCE 2020.

(10g пока не требуется, не доросли еще до SCE8k).

 

Я так понимаю, что если поставить второй девайс в агрегированный линк, то сабскрайберы будут получать фактически удвоенный тариф, по крайней мере при обращении к разным ресурсам, хороший для этого показатель торрент.

 

Какова методика включения/настройки для правильного каскадирования, что-бы сабскрайбер не получил больше чем ему отрезано?

Тут дело не в "больше/меньше получил", а в том что агрегацию надо настроить правильно, чтобы сабскрайбер всегда ходил через одно и туже устройство. Либо балансер на L3. Короче, как угодно, но чтобы только через одно и тоже, в оба направления.

Share this post


Link to post
Share on other sites

murzik_one По доке от Cisco решается установкой правильных параметров load-balance на ethechannel на каждой железке. Например src-ip с одной стороны и dst-ip с другой. Плюс с обоих сторон желательно железо одного вендора. У нас первая попытка все это запустить на связке cisco-juniper закончилась ни чем. Пришлось менять на схему cisco-cisco.

Другой вариант роутинг и pbr. Много ручной работы, возможные перегрузки одного из линков, но если нет других вариантов, то вполне работает.

Share this post


Link to post
Share on other sites

Помогите узнать, откуда появляется service loss?

 

За последнюю неделю график пару раз на несколько минут в полку улетал. Посмотрел на SCE8000, сначала на одном TP service loss, через три дня на другом. В первый раз TP ранним утром до 35% загрузился (обычный показатель ЧНН), второй раз как раз в ЧНН до 90. Забавно, что график по pps в первый раз до 6 раз увеличился, а второй раз всего в полтора. По полосе за лимиты железки и рядом не выходим.

 

Есть какие-нибудь способы по логам или еще как узнать, какие подписчики вызывают обвал?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this