Перейти к содержимому
Калькуляторы

Cisco SCE Series Service Control Engine

Я дам ссылку на презентацию, но - после нее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я дам ссылку на презентацию, но - после нее.

Кирилл, а может на презентации снимать будет кто? я про: может на youtube получиться выложить?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ктонибудь пробовал новый 20 protocol pack? пишут что улучшено распознование торрента....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ктонибудь пробовал новый 20 protocol pack? пишут что улучшено распознование торрента....

Пробовали. Вроде как uTP распознается. Но как-то возврата к параметрам до 1 февраля по трафику после установки не наблюдается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день.

Остро встал вопрос с произволительностью SCE 2020:

1. Общее колличество клиетов которое обрабатывает SCE не превышает 4 тыс.

2. Колличество Flow, судя по графикам не превышает 250k в сумме по трем TP.

3. Скорость в сумме Up/Downstream не превышает 1.8Gbps.

 

 

При этом по вечерам возникает высокая загрузка TP и как следсвие перестает обрабатываться UDP Flow в течение часа (был также случай когда в байпас попал весть TCP/UDP flow) и так может повторятся несколько раз. Потом все нормализуется. (Уменьшается кол-во Flow???)

2010-03-03 21:28:44 | INFO  | CPU #000 | Started filtering packets of type 'UDP Fragments' received on interface # 0. Reason: Started filtering due to attack detection

2010-03-03 22:32:11 | INFO  | CPU #000 | Stopped filtering packets of type 'UDP Fragments' received on interface # 0. Reason: Stopped filtering for an administrative pause
2010-03-03 22:32:43 | INFO  | CPU #000 | Stopped filtering packets of type 'UDP Fragments' received on interface # 0. Reason: Back to normal, no shortage events

 

#attack detection отключен

 

Что можете посоветовать? Заявленные характеристики патформы не превышены.

Возможно есть какие-либо сервисы на SCE которые можно отключить?

 

Проблемы начались с начала февраля. Общий объем трафика не увеличился, но существенно подрос UDP-flow, на 30-40% - видно из данных SNMP, собранных с SCE.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день.

Остро встал вопрос с произволительностью SCE 2020:

1. Общее колличество клиетов которое обрабатывает SCE не превышает 4 тыс.

2. Колличество Flow, судя по графикам не превышает 250k в сумме по трем TP.

3. Скорость в сумме Up/Downstream не превышает 1.8Gbps.

 

 

При этом по вечерам возникает высокая загрузка TP и как следсвие перестает обрабатываться UDP Flow в течение часа (был также случай когда в байпас попал весть TCP/UDP flow) и так может повторятся несколько раз. Потом все нормализуется. (Уменьшается кол-во Flow???)

2010-03-03 21:28:44 | INFO  | CPU #000 | Started filtering packets of type 'UDP Fragments' received on interface # 0. Reason: Started filtering due to attack detection

2010-03-03 22:32:11 | INFO  | CPU #000 | Stopped filtering packets of type 'UDP Fragments' received on interface # 0. Reason: Stopped filtering for an administrative pause
2010-03-03 22:32:43 | INFO  | CPU #000 | Stopped filtering packets of type 'UDP Fragments' received on interface # 0. Reason: Back to normal, no shortage events

 

#attack detection отключен

 

Что можете посоветовать? Заявленные характеристики патформы не превышены.

Возможно есть какие-либо сервисы на SCE которые можно отключить?

 

Проблемы начались с начала февраля. Общий объем трафика не увеличился, но существенно подрос UDP-flow, на 30-40% - видно из данных SNMP, собранных с SCE.

очевидно превышены, поскольку у сце существуют еще ограничения по флоу.

скормите сце команду show snmp MIB pcube-SE-MIB traffic-processor

ключевые моменты:

tpCpuUtilizationPeak

tpNumCpuShortageFlows

tpNumCpuShortagePackets

tpServiceLoss

 

по некой информации ;) сце начинает пускать трафик мимо трафик процессоров при нагрузке выше 75%.

udp-флоу увеличился, очевидно, из-за uTP.

 

 

ктонибудь пробовал новый 20 protocol pack? пишут что улучшено распознование торрента....
Пробовали. Вроде как uTP распознается. Но как-то возврата к параметрам до 1 февраля по трафику после установки не наблюдается.

и не будет возврата.

в РР20 заработала нормально поддержка uTP.

из Generic UDP оно ушло в bitorrent.

жать кол-во флоу в биторренте - других вариантов вроде как нет...

 

 

 

PS

вроде как нашел тут раскладку по трафику до (слева от провала) и после (справа) установки РР20

post-50629-1268207863_thumb.jpg

Изменено пользователем AntZ

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо за ответ.

очевидно превышены, поскольку у сце существуют еще ограничения по флоу.

скормите сце команду show snmp MIB pcube-SE-MIB traffic-processor

ключевые моменты:

tpCpuUtilizationPeak

tpNumCpuShortageFlows

tpNumCpuShortagePackets

tpServiceLoss

 

по некой информации ;) сце начинает пускать трафик мимо трафик процессоров при нагрузке выше 75%.

Привожу счетчики:

sce2000-4ge#><MIB pcube-SE-MIB traffic-processor | inc tpCpuUtilizationPeak
tpCpuUtilizationPeak.1 = 85
tpCpuUtilizationPeakTime.1 = 4 weeks, 23 hours, 4 minutes, 58 seconds
tpCpuUtilizationPeak.2 = 87
tpCpuUtilizationPeakTime.2 = 2 weeks, 4 days, 23 hours, 0 minutes, 35 seconds
tpCpuUtilizationPeak.3 = 83
tpCpuUtilizationPeakTime.3 = 1 weeks, 21 hours, 6 minutes, 32 seconds
sce2000-4ge#>
sce2000-4ge#><ube-SE-MIB traffic-processor | inc tpNumCpuShortageFlows
tpNumCpuShortageFlows.1 = 5697733
tpNumCpuShortageFlows.2 = 4291632
tpNumCpuShortageFlows.3 = 19511
sce2000-4ge#>
sce2000-4ge#><be-SE-MIB traffic-processor | inc tpNumCpuShortagePackets
tpNumCpuShortagePackets .1 = 361344036
tpNumCpuShortagePackets .2 = 267988220
tpNumCpuShortagePackets .3 = 450824
sce2000-4ge#>
sce2000-4ge#><-SE-MIB traffic-processor | inc tpServiceLoss
tpServiceLoss.1 = 0
tpServiceLoss.2 = 0
tpServiceLoss.3 = 0

Перегрузки начали наблюдаться в феврале и начале марта, после этого пришлось пустить парочку очень крупных клиентов в байпас (а это почти 800 Mbps Downstream и по /20 ip range на каждого клиента), т.к. SCE, как я понимаю обрабатывает одного клиента на конкретном TP и поэтому нагрузка на Traffic Processor' ы получалась неравномерная, да и по официальной документации от Cisco говорится что на одного клиента нельзя замапить больше 1024 ip адресов(((. После перевода этих клиентов в байпас все нормализовалось.

Можно ли обрабатывать одного клиента на разных TP?.

Какие значения Flow rate допустимы?

Будут ли корректно отрабатывать ограничения на Port Controller'е если часть трафика бежит в байпасе.

И еще один вопрос: Есть ли способы создания Subscribers Polisies (Package) не из GUI (SCA-BB)...может через API или в конфиге SCE?

 

Заранее спасибо.

Изменено пользователем exeyp

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

поставил седня pp20 - да generic udp пропал

Изменено пользователем Alex780

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Перегрузки начали наблюдаться в феврале и начале марта, после этого пришлось пустить парочку очень крупных клиентов в байпас

А как получается пускать через байпасс отдельных абонентов?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А как получается пускать через байпасс отдельных абонентов?

присоединяюсь к вопросу.

 

ЗЫ. кстати, Generic UDP, хоть и не в таких масштабах, но растет...

и появился Generic IP.

пока не понял откуда и что там ходит...

такое впечатление, что РР20 помогает лишь отчасти.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у меня после установки сначала тоже шло other tcp много, потом через полчаса смотрю - пропало

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А кто-нибудь пробовал делать DSS ( Dynamic Signature Script ) для Cisco SCE?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день.

Остро встал вопрос с произволительностью SCE 2020:

1. Общее колличество клиетов которое обрабатывает SCE не превышает 4 тыс.

2. Колличество Flow, судя по графикам не превышает 250k в сумме по трем TP.

3. Скорость в сумме Up/Downstream не превышает 1.8Gbps.

У нас похожая байда была. Циско токо разводит руками и ничего не делает. Да и ничего толком не сделаешь - хардвара не хватает.

А заявленые характеристики в 1,5-2 раза больше реальных, другими словами: HAE@@ЛоBO

Видел презентачию Циско для resellerov, там указано, что SCE 2020 вытягивает 2,8 Gbps в обе стороны. т.е. по 1,4Gbps, делаете выводы!

 

Когда врубается Attack filtering в сети начинается коммунизм и клиенты волком воют все получают по-ровну 200-500кбпс (зависит от колва клиентов)

Attack filtering сам вырубится только через 64 мин.

Мы его убивали перезагружая linecard.

Можно вырезать UTP - это уменьшит PPS и несколько разгрузит SCE, но в целом, могу сказать что вам наверно придётся покупать второй, либо искать вообще другой солюшн.

attack detection отключать нет смысла, хотя Циско зачем-то это рекомендует.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Цитата(JoeDoe @ 20.2.2010, 7:20) *

Цитата(telematic @ 20.2.2010, 2:06) *

Кстати, в ASR1000 есть DPI.

 

И какая будет производительность рутера после включения этого DPI? И за это платить $25К?

ради интереса включил nbar на ASR и слегка зашейпил bittorent

1. CPU не грузит

2. через сутки полезли трейсбэки и прочие радости жизни

 

May 1 16:18:44.891: %STILE_CLIENT-4-MAX_LINK_TOUCH: F0: cpp_cp: NBAR number of flow links threshold is reached, can't allocate more memory for flow links.

May 1 21:28:49.226: %CPPEXMEM-4-LOWMEM: F0: cpp_cp: CPP 0 DRAM memory low - 95 percent depleted

May 2 10:48:11.225: %CPPOSLIB-3-ERROR_NOTIFY: F0: cpp_cp: cpp_cp encountered an error -Traceback= 1#696c3ccefa6d263c3e5452cbeeeeae7f errmsg:D9D0000+1C00 cpp_common_os:E108000+B7C0 cpp_common_os:E108000+18B78 cpp_ess_svr_lib:FC47000+64620 cpp_ess_svr_lib:FC47000+5FF94 cpp_ess_svr_lib:FC47000+6386C cpp_ess_svr_lib:FC47000+23C64 cpp_common_os:E108000+10618 cpp_common_os:E108000+1097C evlib:DD87000+D804 evlib:DD87000+FF24 cpp_common_os:E108000+11F18 :10000000+3D70 c:BEA3000+1D078 c:BEA3000+1D220

May 2 10:48:11.233: %FMFP-3-OBJ_DWNLD_TO_CPP_FAILED: F0: fman_fp_image: isg drl(evsi=67397474, segid=0x040467620d19d20a, cpp_handle=30234) download to CPP failed

......

и далее в том же духе

после роутер перестал пропускать траф

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Attack filtering сам вырубится только через 64 мин.

Мы его убивали перезагружая linecard.

Можно уменьшить время или совсем отключить...

no sanity-checks attack-filter

sanity-checks attack-filter times filtering-cycle 300 max-attack-time 86400

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Остро встал вопрос с произволительностью SCE 2020:

1. Общее колличество клиетов которое обрабатывает SCE не превышает 4 тыс.

2. Колличество Flow, судя по графикам не превышает 250k в сумме по трем TP.

3. Скорость в сумме Up/Downstream не превышает 1.8Gbps.

Апну тему, аналогичная ситуация, только flows еще меньше, не более 120к.

Но поведение аналогичное: высокая загрузка CPU, уход в байпасс, если не повезет то срабатывает watchdog

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А подскажите есть ли возможность сделать такую штуку: для диапазона адресов сделать отдельный глобал контроллер в котором зашейпить торрент. Т.е. не для всех абонентов, а именно для диапазона? Нагуглил что можно зарулить диапазон адресов в отдельный трафик процессор.. вот только как это может помочь в моей задаче пока не нагуглил, да и туда ли я гуглю?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В чем проблема? Создали пакет с нужными сервисами, назначили его клиентам, для которых это ограничение необходимо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Из-за чего может рисоваться такой странный график? Хттп и торрент регулярно исчезают из стека.

koshka8000.png

Изменено пользователем xcme

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В чем проблема? Создали пакет с нужными сервисами, назначили его клиентам, для которых это ограничение необходимо.

Клиентов несколько тысяч. Тарифов для них несколько десятков разных. Шейперов SCE 4 штуки. С учётом того, что в sca bb всё делается вручную, то несколько десятков пакетов на каждой sce придётся сделать руками, потом всё это завязать с биллингом. Проблемы никакой если не учитывать что это всё займёт пару суток сидения за компом и клацания мышей в scabb

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

и вроде больше /22 сетку SCE не принимает....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

и вроде больше /22 сетку SCE не принимает....

 

принимает и /21, но надо учесть что это будет один абонент в понятиях SCE и весь трафик данного префикса будет обрабатываться одним трафик процессором (перекособочит загрузку минимум :) )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Из-за чего может рисоваться такой странный график? Хттп и торрент регулярно исчезают из стека.

 

Похоже на перегрузку траффик процессоров. У нас так было, когда sce не справлялось с обработкой и делала bypass.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В чем проблема? Создали пакет с нужными сервисами, назначили его клиентам, для которых это ограничение необходимо.

Клиентов несколько тысяч. Тарифов для них несколько десятков разных. Шейперов SCE 4 штуки. С учётом того, что в sca bb всё делается вручную, то несколько десятков пакетов на каждой sce придётся сделать руками, потом всё это завязать с биллингом. Проблемы никакой если не учитывать что это всё займёт пару суток сидения за компом и клацания мышей в scabb

Пакеты (packageId) в любом случае придется создавать руками в SCA-BB. Хотя клацание мышкой совсем не обязательно - файл конфигурации это заархивированая XML. Т.о. можно все поправить в блокнотике.

Второй вариант это внести изменение в конфигурацию через SCA-BB Java API. В этом случае происходит чтение всего файла PQB,далее правка, и формирование измененного файла PQB. Потом новый файл можно применить через SCA-BB.

 

Чтобы определенному диапазону применить политику можно воспользоваться функционалом темлейтов. На SCE через CLI создается anonymous-group, к этой группе привязывается диапазон IP, и задается темплейт ( по сути это номер политики - packageId). При этой конфигурации абонент системой идентифицируется как связка IP-адрес<-->anonymous-group name. И абоненты в этом случае равномерно распределятся по TP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.