Jump to content
Калькуляторы

Cisco SCE Series Service Control Engine

Я дам ссылку на презентацию, но - после нее.

Кирилл, а может на презентации снимать будет кто? я про: может на youtube получиться выложить?

 

Share this post


Link to post
Share on other sites

ктонибудь пробовал новый 20 protocol pack? пишут что улучшено распознование торрента....

Share this post


Link to post
Share on other sites

ктонибудь пробовал новый 20 protocol pack? пишут что улучшено распознование торрента....

Пробовали. Вроде как uTP распознается. Но как-то возврата к параметрам до 1 февраля по трафику после установки не наблюдается.

Share this post


Link to post
Share on other sites

Добрый день.

Остро встал вопрос с произволительностью SCE 2020:

1. Общее колличество клиетов которое обрабатывает SCE не превышает 4 тыс.

2. Колличество Flow, судя по графикам не превышает 250k в сумме по трем TP.

3. Скорость в сумме Up/Downstream не превышает 1.8Gbps.

 

 

При этом по вечерам возникает высокая загрузка TP и как следсвие перестает обрабатываться UDP Flow в течение часа (был также случай когда в байпас попал весть TCP/UDP flow) и так может повторятся несколько раз. Потом все нормализуется. (Уменьшается кол-во Flow???)

2010-03-03 21:28:44 | INFO  | CPU #000 | Started filtering packets of type 'UDP Fragments' received on interface # 0. Reason: Started filtering due to attack detection

2010-03-03 22:32:11 | INFO  | CPU #000 | Stopped filtering packets of type 'UDP Fragments' received on interface # 0. Reason: Stopped filtering for an administrative pause
2010-03-03 22:32:43 | INFO  | CPU #000 | Stopped filtering packets of type 'UDP Fragments' received on interface # 0. Reason: Back to normal, no shortage events

 

#attack detection отключен

 

Что можете посоветовать? Заявленные характеристики патформы не превышены.

Возможно есть какие-либо сервисы на SCE которые можно отключить?

 

Проблемы начались с начала февраля. Общий объем трафика не увеличился, но существенно подрос UDP-flow, на 30-40% - видно из данных SNMP, собранных с SCE.

Share this post


Link to post
Share on other sites
Добрый день.

Остро встал вопрос с произволительностью SCE 2020:

1. Общее колличество клиетов которое обрабатывает SCE не превышает 4 тыс.

2. Колличество Flow, судя по графикам не превышает 250k в сумме по трем TP.

3. Скорость в сумме Up/Downstream не превышает 1.8Gbps.

 

 

При этом по вечерам возникает высокая загрузка TP и как следсвие перестает обрабатываться UDP Flow в течение часа (был также случай когда в байпас попал весть TCP/UDP flow) и так может повторятся несколько раз. Потом все нормализуется. (Уменьшается кол-во Flow???)

2010-03-03 21:28:44 | INFO  | CPU #000 | Started filtering packets of type 'UDP Fragments' received on interface # 0. Reason: Started filtering due to attack detection

2010-03-03 22:32:11 | INFO  | CPU #000 | Stopped filtering packets of type 'UDP Fragments' received on interface # 0. Reason: Stopped filtering for an administrative pause
2010-03-03 22:32:43 | INFO  | CPU #000 | Stopped filtering packets of type 'UDP Fragments' received on interface # 0. Reason: Back to normal, no shortage events

 

#attack detection отключен

 

Что можете посоветовать? Заявленные характеристики патформы не превышены.

Возможно есть какие-либо сервисы на SCE которые можно отключить?

 

Проблемы начались с начала февраля. Общий объем трафика не увеличился, но существенно подрос UDP-flow, на 30-40% - видно из данных SNMP, собранных с SCE.

очевидно превышены, поскольку у сце существуют еще ограничения по флоу.

скормите сце команду show snmp MIB pcube-SE-MIB traffic-processor

ключевые моменты:

tpCpuUtilizationPeak

tpNumCpuShortageFlows

tpNumCpuShortagePackets

tpServiceLoss

 

по некой информации ;) сце начинает пускать трафик мимо трафик процессоров при нагрузке выше 75%.

udp-флоу увеличился, очевидно, из-за uTP.

 

 

ктонибудь пробовал новый 20 protocol pack? пишут что улучшено распознование торрента....
Пробовали. Вроде как uTP распознается. Но как-то возврата к параметрам до 1 февраля по трафику после установки не наблюдается.

и не будет возврата.

в РР20 заработала нормально поддержка uTP.

из Generic UDP оно ушло в bitorrent.

жать кол-во флоу в биторренте - других вариантов вроде как нет...

 

 

 

PS

вроде как нашел тут раскладку по трафику до (слева от провала) и после (справа) установки РР20

post-50629-1268207863_thumb.jpg

Edited by AntZ

Share this post


Link to post
Share on other sites

Спасибо за ответ.

очевидно превышены, поскольку у сце существуют еще ограничения по флоу.

скормите сце команду show snmp MIB pcube-SE-MIB traffic-processor

ключевые моменты:

tpCpuUtilizationPeak

tpNumCpuShortageFlows

tpNumCpuShortagePackets

tpServiceLoss

 

по некой информации ;) сце начинает пускать трафик мимо трафик процессоров при нагрузке выше 75%.

Привожу счетчики:

sce2000-4ge#><MIB pcube-SE-MIB traffic-processor | inc tpCpuUtilizationPeak
tpCpuUtilizationPeak.1 = 85
tpCpuUtilizationPeakTime.1 = 4 weeks, 23 hours, 4 minutes, 58 seconds
tpCpuUtilizationPeak.2 = 87
tpCpuUtilizationPeakTime.2 = 2 weeks, 4 days, 23 hours, 0 minutes, 35 seconds
tpCpuUtilizationPeak.3 = 83
tpCpuUtilizationPeakTime.3 = 1 weeks, 21 hours, 6 minutes, 32 seconds
sce2000-4ge#>
sce2000-4ge#><ube-SE-MIB traffic-processor | inc tpNumCpuShortageFlows
tpNumCpuShortageFlows.1 = 5697733
tpNumCpuShortageFlows.2 = 4291632
tpNumCpuShortageFlows.3 = 19511
sce2000-4ge#>
sce2000-4ge#><be-SE-MIB traffic-processor | inc tpNumCpuShortagePackets
tpNumCpuShortagePackets .1 = 361344036
tpNumCpuShortagePackets .2 = 267988220
tpNumCpuShortagePackets .3 = 450824
sce2000-4ge#>
sce2000-4ge#><-SE-MIB traffic-processor | inc tpServiceLoss
tpServiceLoss.1 = 0
tpServiceLoss.2 = 0
tpServiceLoss.3 = 0

Перегрузки начали наблюдаться в феврале и начале марта, после этого пришлось пустить парочку очень крупных клиентов в байпас (а это почти 800 Mbps Downstream и по /20 ip range на каждого клиента), т.к. SCE, как я понимаю обрабатывает одного клиента на конкретном TP и поэтому нагрузка на Traffic Processor' ы получалась неравномерная, да и по официальной документации от Cisco говорится что на одного клиента нельзя замапить больше 1024 ip адресов(((. После перевода этих клиентов в байпас все нормализовалось.

Можно ли обрабатывать одного клиента на разных TP?.

Какие значения Flow rate допустимы?

Будут ли корректно отрабатывать ограничения на Port Controller'е если часть трафика бежит в байпасе.

И еще один вопрос: Есть ли способы создания Subscribers Polisies (Package) не из GUI (SCA-BB)...может через API или в конфиге SCE?

 

Заранее спасибо.

Edited by exeyp

Share this post


Link to post
Share on other sites

поставил седня pp20 - да generic udp пропал

Edited by Alex780

Share this post


Link to post
Share on other sites
Перегрузки начали наблюдаться в феврале и начале марта, после этого пришлось пустить парочку очень крупных клиентов в байпас

А как получается пускать через байпасс отдельных абонентов?

 

Share this post


Link to post
Share on other sites
А как получается пускать через байпасс отдельных абонентов?

присоединяюсь к вопросу.

 

ЗЫ. кстати, Generic UDP, хоть и не в таких масштабах, но растет...

и появился Generic IP.

пока не понял откуда и что там ходит...

такое впечатление, что РР20 помогает лишь отчасти.

 

Share this post


Link to post
Share on other sites

у меня после установки сначала тоже шло other tcp много, потом через полчаса смотрю - пропало

Share this post


Link to post
Share on other sites

А кто-нибудь пробовал делать DSS ( Dynamic Signature Script ) для Cisco SCE?

 

Share this post


Link to post
Share on other sites
Добрый день.

Остро встал вопрос с произволительностью SCE 2020:

1. Общее колличество клиетов которое обрабатывает SCE не превышает 4 тыс.

2. Колличество Flow, судя по графикам не превышает 250k в сумме по трем TP.

3. Скорость в сумме Up/Downstream не превышает 1.8Gbps.

У нас похожая байда была. Циско токо разводит руками и ничего не делает. Да и ничего толком не сделаешь - хардвара не хватает.

А заявленые характеристики в 1,5-2 раза больше реальных, другими словами: HAE@@ЛоBO

Видел презентачию Циско для resellerov, там указано, что SCE 2020 вытягивает 2,8 Gbps в обе стороны. т.е. по 1,4Gbps, делаете выводы!

 

Когда врубается Attack filtering в сети начинается коммунизм и клиенты волком воют все получают по-ровну 200-500кбпс (зависит от колва клиентов)

Attack filtering сам вырубится только через 64 мин.

Мы его убивали перезагружая linecard.

Можно вырезать UTP - это уменьшит PPS и несколько разгрузит SCE, но в целом, могу сказать что вам наверно придётся покупать второй, либо искать вообще другой солюшн.

attack detection отключать нет смысла, хотя Циско зачем-то это рекомендует.

 

 

 

Share this post


Link to post
Share on other sites
Цитата(JoeDoe @ 20.2.2010, 7:20) *

Цитата(telematic @ 20.2.2010, 2:06) *

Кстати, в ASR1000 есть DPI.

 

И какая будет производительность рутера после включения этого DPI? И за это платить $25К?

ради интереса включил nbar на ASR и слегка зашейпил bittorent

1. CPU не грузит

2. через сутки полезли трейсбэки и прочие радости жизни

 

May 1 16:18:44.891: %STILE_CLIENT-4-MAX_LINK_TOUCH: F0: cpp_cp: NBAR number of flow links threshold is reached, can't allocate more memory for flow links.

May 1 21:28:49.226: %CPPEXMEM-4-LOWMEM: F0: cpp_cp: CPP 0 DRAM memory low - 95 percent depleted

May 2 10:48:11.225: %CPPOSLIB-3-ERROR_NOTIFY: F0: cpp_cp: cpp_cp encountered an error -Traceback= 1#696c3ccefa6d263c3e5452cbeeeeae7f errmsg:D9D0000+1C00 cpp_common_os:E108000+B7C0 cpp_common_os:E108000+18B78 cpp_ess_svr_lib:FC47000+64620 cpp_ess_svr_lib:FC47000+5FF94 cpp_ess_svr_lib:FC47000+6386C cpp_ess_svr_lib:FC47000+23C64 cpp_common_os:E108000+10618 cpp_common_os:E108000+1097C evlib:DD87000+D804 evlib:DD87000+FF24 cpp_common_os:E108000+11F18 :10000000+3D70 c:BEA3000+1D078 c:BEA3000+1D220

May 2 10:48:11.233: %FMFP-3-OBJ_DWNLD_TO_CPP_FAILED: F0: fman_fp_image: isg drl(evsi=67397474, segid=0x040467620d19d20a, cpp_handle=30234) download to CPP failed

......

и далее в том же духе

после роутер перестал пропускать траф

 

Share this post


Link to post
Share on other sites
Attack filtering сам вырубится только через 64 мин.

Мы его убивали перезагружая linecard.

Можно уменьшить время или совсем отключить...

no sanity-checks attack-filter

sanity-checks attack-filter times filtering-cycle 300 max-attack-time 86400

Share this post


Link to post
Share on other sites

Остро встал вопрос с произволительностью SCE 2020:

1. Общее колличество клиетов которое обрабатывает SCE не превышает 4 тыс.

2. Колличество Flow, судя по графикам не превышает 250k в сумме по трем TP.

3. Скорость в сумме Up/Downstream не превышает 1.8Gbps.

Апну тему, аналогичная ситуация, только flows еще меньше, не более 120к.

Но поведение аналогичное: высокая загрузка CPU, уход в байпасс, если не повезет то срабатывает watchdog

Share this post


Link to post
Share on other sites

А подскажите есть ли возможность сделать такую штуку: для диапазона адресов сделать отдельный глобал контроллер в котором зашейпить торрент. Т.е. не для всех абонентов, а именно для диапазона? Нагуглил что можно зарулить диапазон адресов в отдельный трафик процессор.. вот только как это может помочь в моей задаче пока не нагуглил, да и туда ли я гуглю?

Share this post


Link to post
Share on other sites

В чем проблема? Создали пакет с нужными сервисами, назначили его клиентам, для которых это ограничение необходимо.

Share this post


Link to post
Share on other sites

Из-за чего может рисоваться такой странный график? Хттп и торрент регулярно исчезают из стека.

koshka8000.png

Edited by xcme

Share this post


Link to post
Share on other sites

В чем проблема? Создали пакет с нужными сервисами, назначили его клиентам, для которых это ограничение необходимо.

Клиентов несколько тысяч. Тарифов для них несколько десятков разных. Шейперов SCE 4 штуки. С учётом того, что в sca bb всё делается вручную, то несколько десятков пакетов на каждой sce придётся сделать руками, потом всё это завязать с биллингом. Проблемы никакой если не учитывать что это всё займёт пару суток сидения за компом и клацания мышей в scabb

Share this post


Link to post
Share on other sites

и вроде больше /22 сетку SCE не принимает....

 

принимает и /21, но надо учесть что это будет один абонент в понятиях SCE и весь трафик данного префикса будет обрабатываться одним трафик процессором (перекособочит загрузку минимум :) )

Share this post


Link to post
Share on other sites

Из-за чего может рисоваться такой странный график? Хттп и торрент регулярно исчезают из стека.

 

Похоже на перегрузку траффик процессоров. У нас так было, когда sce не справлялось с обработкой и делала bypass.

Share this post


Link to post
Share on other sites

В чем проблема? Создали пакет с нужными сервисами, назначили его клиентам, для которых это ограничение необходимо.

Клиентов несколько тысяч. Тарифов для них несколько десятков разных. Шейперов SCE 4 штуки. С учётом того, что в sca bb всё делается вручную, то несколько десятков пакетов на каждой sce придётся сделать руками, потом всё это завязать с биллингом. Проблемы никакой если не учитывать что это всё займёт пару суток сидения за компом и клацания мышей в scabb

Пакеты (packageId) в любом случае придется создавать руками в SCA-BB. Хотя клацание мышкой совсем не обязательно - файл конфигурации это заархивированая XML. Т.о. можно все поправить в блокнотике.

Второй вариант это внести изменение в конфигурацию через SCA-BB Java API. В этом случае происходит чтение всего файла PQB,далее правка, и формирование измененного файла PQB. Потом новый файл можно применить через SCA-BB.

 

Чтобы определенному диапазону применить политику можно воспользоваться функционалом темлейтов. На SCE через CLI создается anonymous-group, к этой группе привязывается диапазон IP, и задается темплейт ( по сути это номер политики - packageId). При этой конфигурации абонент системой идентифицируется как связка IP-адрес<-->anonymous-group name. И абоненты в этом случае равномерно распределятся по TP.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this