Jump to content

SCE8000 разница вход выход >10%

nickyat
 Share

Recommended Posts

nickyat

nickyat

Posted
Posted (edited)

Поставили SCE8000 и обратили внимание на большую разницу между трафиком на входном и выходном интерфейсе. Например 2.03/1.08 вх/исх гигабита на входе, соответственно эти же цифры и с интерфейсов бордера, а на выходе 1.75/1.13гигабита, те потерялось 280мегабит. Вопрос где они потерялись? отключал все фильтры на вирусы, спам, трафик меняется незначительно.

Edited by nickyat
rus-p

rus-p

Posted
Posted
Поставили SCE8000 и обратили внимание на большую разницу между трафиком на входном и выходном интерфейсе. Например 2.03/1.08 вх/исх гигабита на входе, соответственно эти же цифры и с интерфейсов бордера, а на выходе 1.75/1.13гигабита, те потерялось 280мегабит. Вопрос где они потерялись? отключал все фильтры на вирусы, спам, трафик меняется незначительно.

Вы смотрели на внешнем оборудовании, которое подключаете к SCE ?

Софт посмотрите, чтоб 3.6 был.

Байпасс внутренний сделайте, через CLI, посмотрите что измениться.

SCE 8000 с одной процессорной картой тянет 7.5 gbps, так что проблема не в железе.

 

nickyat

nickyat

Posted
  • Author
Posted
Вы смотрели на внешнем оборудовании, которое подключаете к SCE ?

Софт посмотрите, чтоб 3.6 был.

Байпасс внутренний сделайте, через CLI, посмотрите что измениться.

SCE 8000 с одной процессорной картой тянет 7.5 gbps, так что проблема не в железе.

sce подключена 10гбит между двумя HP Procurve 6200. трафик на 10гигабитных интерфейсах HP равен трафику на SCE

 

вот для наглядности график с интерфейсов SCE, разница по текущему трафику 250мбит

027d57eee6c8.jpg

 

caz

caz

Posted
Posted
Интернал байпасс попробуйте.

Конфиг SCE8000 покажите.

Конфиг ниже. Был проведен эксперимент, отправлял в shutdown linecard 0, результат тотже..

 

service password-encryption

ip name-server 192.168.200.10 192.168.200.9

clock timezone MSK 3

clock summer-time MSD recurring last Sunday March 03:00 last Sunday October 03:00

sntp update-interval 120

sntp server 192.168.200.11

ip ssh

no management-agent notifications notification-list 1417,1418,804,815,1404,1405,1406,1407,1408,400

no management-agent notifications notification-list 402,421,440,441,444,445,446,450,437,457

no management-agent notifications notification-list 3593,3594,3595,10040

 

interface LineCard 0

link failure-reflection

connection-mode inline on-failure external-bypass

no silent

no shutdown

service-bandwidth-prioritization-mode global

protocol-pack version 3.6.0PP21

attack-detector default protocol TCP attack-direction single-side-both side both action Block

attack-detector default protocol TCP attack-direction dual-sided side both action Block

attack-detector default protocol UDP attack-direction single-side-both side both action Block

attack-detector default protocol UDP attack-direction dual-sided side both action Block

attack-detector default protocol ICMP attack-direction single-side-both side both action Block

attack-detector default protocol other attack-direction single-side-both side both action Block

attack-detector default protocol TCP attack-direction all side both alarm

attack-detector default protocol UDP attack-direction all side both alarm

attack-detector default protocol ICMP attack-direction single-side-both side both alarm

attack-detector default protocol other attack-direction single-side-both side both alarm

attack-filter subscriber-notification ports 80

replace spare-memory code bytes 3145728

 

interface GigabitEthernet 1/1

ip address 1.1.1.1 255.255.255.0

 

interface TenGigabitEthernet 3/0/0

bandwidth 10000000 burst-size 50000

global-controller 0 name "Default Global Controller"

global-controller 1 name "P2P BW Down"

global-controller 2 name "Flash down"

global-controller 3 name "Browsing down"

global-controller 4 name "HTTP Download Down"

global-controller 5 name "IM Messageing down"

 

interface TenGigabitEthernet 3/1/0

bandwidth 10000000 burst-size 50000

global-controller 0 name "Default Global Controller"

global-controller 1 name "P2P BW Up"

global-controller 2 name "Flash Up"

global-controller 3 name "Browsing up"

 

exit

 

line vty 0 4

exit

cdp mode bypass

aaa authentication login default local enable

subscriber LEG dhcp-lease-query servers 127.0.0.1

logger device SCE-agent-Statistics-Log max-file-size 204800

management-agent property "com.pcube.management.framework.install.activation.operation" "Install"

management-agent property "com.pcube.management.framework.install.activated.package" "SCA BB"

management-agent property "com.pcube.management.framework.install.activated.version" "3.6.0 build 445"

management-agent property "com.pcube.management.framework.install.activation.date" "Tue Jun 22 15:29:20 GMT+04:00 2010"

flow-filter partition name "ignore_filter" first-rule 4 num-rules 32

flow-filter partition name "udpPortsToOpenBySw" first-rule 40 num-rules 21

 

rus-p

rus-p

Posted
Posted
Конфиг ниже. Был проведен эксперимент, отправлял в shutdown linecard 0, результат тотже..

 

interface LineCard 0

link failure-reflection

connection-mode inline on-failure external-bypass

no silent

no shutdown

service-bandwidth-prioritization-mode global

protocol-pack version 3.6.0PP21

attack-detector default protocol TCP attack-direction single-side-both side both action Block

attack-detector default protocol TCP attack-direction dual-sided side both action Block

attack-detector default protocol UDP attack-direction single-side-both side both action Block

attack-detector default protocol UDP attack-direction dual-sided side both action Block

attack-detector default protocol ICMP attack-direction single-side-both side both action Block

attack-detector default protocol other attack-direction single-side-both side both action Block

attack-detector default protocol TCP attack-direction all side both alarm

attack-detector default protocol UDP attack-direction all side both alarm

attack-detector default protocol ICMP attack-direction single-side-both side both alarm

attack-detector default protocol other attack-direction single-side-both side both alarm

attack-filter subscriber-notification ports 80

replace spare-memory code bytes 3145728

Правильно ли я понял, что когда вы перегрузили Linecard 0, сработал интернал байпасс и трафик средствами SIPа замкнулся между сипами ?

Переведите на некоторое время attack-detector из состояния block в alarm.

 

 

caz

caz

Posted
Posted
Правильно ли я понял, что когда вы перегрузили Linecard 0, сработал интернал байпасс и трафик средствами SIPа замкнулся между сипами ?

Переведите на некоторое время attack-detector из состояния block в alarm.

на короткое время отключали, как оказалось, отключили на 10 минут, трафик сравнялся. по поводу, атак, во время сравнений данных с интерфейсов их вообще не было.

rus-p

rus-p

Posted
Posted (edited)

Т.е. вывод, пакеты умирают внутри SCE.

Вы сервера обвязки поднимали ?

Если да, посмотрите в SCA BB консоли может что-то через нее можно понять.

 

Это вы посмотрели через CLI, что атак не было ?

Лучше перевести, так яснее картина будет. В документации на эту команду написано, что в систему зашиты дефолтные параметры определения атаки, всевозможные рейты и прочее.

 

Такое чувство, что к вам приехала SCE с чьих-то тестов, политики что делать заливаются в нее и не видны в вашем конфиге.

Поэтому обвязка д.б. обязательна, с ее помощью можно посмотреть а что собственно залито и перезалить свои политики.

 

 

Edited by rus-p
caz

caz

Posted
Posted (edited)
Т.е. вывод, пакеты умирают внутри SCE.

да, sh int li 0 counters

DP packets dropped: 17525725319

 

Вы сервера обвязки поднимали ?

вы о scms-cm? на выходных поставлю посмотрю.

 

Это вы посмотрели через CLI, что атак не было ?

да

 

Такое чувство, что к вам приехала SCE с чьих-то тестов, политики что делать заливаются в нее и не видны в вашем конфиге.

Поэтому обвязка д.б. обязательна, с ее помощью можно посмотреть а что собственно залито и перезалить свои политики.

да вроде новая, если только циска не торгует б/у =)

Edited by caz
cmhungry

cmhungry

Posted
Posted

Ставьте базу, CM и SM, если мне память не изменяет, без них SCA BB не хочет управлять SCE.

не факт. У нас нет ни того, ни другого, но все управляется.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.