nickyat Опубликовано 28 июня, 2010 (изменено) · Жалоба Поставили SCE8000 и обратили внимание на большую разницу между трафиком на входном и выходном интерфейсе. Например 2.03/1.08 вх/исх гигабита на входе, соответственно эти же цифры и с интерфейсов бордера, а на выходе 1.75/1.13гигабита, те потерялось 280мегабит. Вопрос где они потерялись? отключал все фильтры на вирусы, спам, трафик меняется незначительно. Изменено 28 июня, 2010 пользователем nickyat Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 28 июня, 2010 (изменено) · Жалоба битыми пакетами - отбросило не осилило потока и дропнуло внутри Изменено 28 июня, 2010 пользователем Ivan_83 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 29 июня, 2010 · Жалоба Поставили SCE8000 и обратили внимание на большую разницу между трафиком на входном и выходном интерфейсе. Например 2.03/1.08 вх/исх гигабита на входе, соответственно эти же цифры и с интерфейсов бордера, а на выходе 1.75/1.13гигабита, те потерялось 280мегабит. Вопрос где они потерялись? отключал все фильтры на вирусы, спам, трафик меняется незначительно. Вы смотрели на внешнем оборудовании, которое подключаете к SCE ? Софт посмотрите, чтоб 3.6 был. Байпасс внутренний сделайте, через CLI, посмотрите что измениться. SCE 8000 с одной процессорной картой тянет 7.5 gbps, так что проблема не в железе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickyat Опубликовано 29 июня, 2010 · Жалоба Вы смотрели на внешнем оборудовании, которое подключаете к SCE ?Софт посмотрите, чтоб 3.6 был. Байпасс внутренний сделайте, через CLI, посмотрите что измениться. SCE 8000 с одной процессорной картой тянет 7.5 gbps, так что проблема не в железе. sce подключена 10гбит между двумя HP Procurve 6200. трафик на 10гигабитных интерфейсах HP равен трафику на SCE вот для наглядности график с интерфейсов SCE, разница по текущему трафику 250мбит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 30 июня, 2010 · Жалоба Интернал байпасс попробуйте. Конфиг SCE8000 покажите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
caz Опубликовано 30 июня, 2010 · Жалоба Интернал байпасс попробуйте.Конфиг SCE8000 покажите. Конфиг ниже. Был проведен эксперимент, отправлял в shutdown linecard 0, результат тотже.. service password-encryption ip name-server 192.168.200.10 192.168.200.9 clock timezone MSK 3 clock summer-time MSD recurring last Sunday March 03:00 last Sunday October 03:00 sntp update-interval 120 sntp server 192.168.200.11 ip ssh no management-agent notifications notification-list 1417,1418,804,815,1404,1405,1406,1407,1408,400 no management-agent notifications notification-list 402,421,440,441,444,445,446,450,437,457 no management-agent notifications notification-list 3593,3594,3595,10040 interface LineCard 0 link failure-reflection connection-mode inline on-failure external-bypass no silent no shutdown service-bandwidth-prioritization-mode global protocol-pack version 3.6.0PP21 attack-detector default protocol TCP attack-direction single-side-both side both action Block attack-detector default protocol TCP attack-direction dual-sided side both action Block attack-detector default protocol UDP attack-direction single-side-both side both action Block attack-detector default protocol UDP attack-direction dual-sided side both action Block attack-detector default protocol ICMP attack-direction single-side-both side both action Block attack-detector default protocol other attack-direction single-side-both side both action Block attack-detector default protocol TCP attack-direction all side both alarm attack-detector default protocol UDP attack-direction all side both alarm attack-detector default protocol ICMP attack-direction single-side-both side both alarm attack-detector default protocol other attack-direction single-side-both side both alarm attack-filter subscriber-notification ports 80 replace spare-memory code bytes 3145728 interface GigabitEthernet 1/1 ip address 1.1.1.1 255.255.255.0 interface TenGigabitEthernet 3/0/0 bandwidth 10000000 burst-size 50000 global-controller 0 name "Default Global Controller" global-controller 1 name "P2P BW Down" global-controller 2 name "Flash down" global-controller 3 name "Browsing down" global-controller 4 name "HTTP Download Down" global-controller 5 name "IM Messageing down" interface TenGigabitEthernet 3/1/0 bandwidth 10000000 burst-size 50000 global-controller 0 name "Default Global Controller" global-controller 1 name "P2P BW Up" global-controller 2 name "Flash Up" global-controller 3 name "Browsing up" exit line vty 0 4 exit cdp mode bypass aaa authentication login default local enable subscriber LEG dhcp-lease-query servers 127.0.0.1 logger device SCE-agent-Statistics-Log max-file-size 204800 management-agent property "com.pcube.management.framework.install.activation.operation" "Install" management-agent property "com.pcube.management.framework.install.activated.package" "SCA BB" management-agent property "com.pcube.management.framework.install.activated.version" "3.6.0 build 445" management-agent property "com.pcube.management.framework.install.activation.date" "Tue Jun 22 15:29:20 GMT+04:00 2010" flow-filter partition name "ignore_filter" first-rule 4 num-rules 32 flow-filter partition name "udpPortsToOpenBySw" first-rule 40 num-rules 21 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 1 июля, 2010 · Жалоба Конфиг ниже. Был проведен эксперимент, отправлял в shutdown linecard 0, результат тотже.. interface LineCard 0 link failure-reflection connection-mode inline on-failure external-bypass no silent no shutdown service-bandwidth-prioritization-mode global protocol-pack version 3.6.0PP21 attack-detector default protocol TCP attack-direction single-side-both side both action Block attack-detector default protocol TCP attack-direction dual-sided side both action Block attack-detector default protocol UDP attack-direction single-side-both side both action Block attack-detector default protocol UDP attack-direction dual-sided side both action Block attack-detector default protocol ICMP attack-direction single-side-both side both action Block attack-detector default protocol other attack-direction single-side-both side both action Block attack-detector default protocol TCP attack-direction all side both alarm attack-detector default protocol UDP attack-direction all side both alarm attack-detector default protocol ICMP attack-direction single-side-both side both alarm attack-detector default protocol other attack-direction single-side-both side both alarm attack-filter subscriber-notification ports 80 replace spare-memory code bytes 3145728 Правильно ли я понял, что когда вы перегрузили Linecard 0, сработал интернал байпасс и трафик средствами SIPа замкнулся между сипами ? Переведите на некоторое время attack-detector из состояния block в alarm. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
caz Опубликовано 1 июля, 2010 · Жалоба Правильно ли я понял, что когда вы перегрузили Linecard 0, сработал интернал байпасс и трафик средствами SIPа замкнулся между сипами ?Переведите на некоторое время attack-detector из состояния block в alarm. на короткое время отключали, как оказалось, отключили на 10 минут, трафик сравнялся. по поводу, атак, во время сравнений данных с интерфейсов их вообще не было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 2 июля, 2010 (изменено) · Жалоба Т.е. вывод, пакеты умирают внутри SCE. Вы сервера обвязки поднимали ? Если да, посмотрите в SCA BB консоли может что-то через нее можно понять. Это вы посмотрели через CLI, что атак не было ? Лучше перевести, так яснее картина будет. В документации на эту команду написано, что в систему зашиты дефолтные параметры определения атаки, всевозможные рейты и прочее. Такое чувство, что к вам приехала SCE с чьих-то тестов, политики что делать заливаются в нее и не видны в вашем конфиге. Поэтому обвязка д.б. обязательна, с ее помощью можно посмотреть а что собственно залито и перезалить свои политики. Изменено 2 июля, 2010 пользователем rus-p Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
caz Опубликовано 2 июля, 2010 (изменено) · Жалоба Т.е. вывод, пакеты умирают внутри SCE. да, sh int li 0 counters DP packets dropped: 17525725319 Вы сервера обвязки поднимали ? вы о scms-cm? на выходных поставлю посмотрю. Это вы посмотрели через CLI, что атак не было ? да Такое чувство, что к вам приехала SCE с чьих-то тестов, политики что делать заливаются в нее и не видны в вашем конфиге.Поэтому обвязка д.б. обязательна, с ее помощью можно посмотреть а что собственно залито и перезалить свои политики. да вроде новая, если только циска не торгует б/у =) Изменено 2 июля, 2010 пользователем caz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 2 июля, 2010 · Жалоба Ставьте базу, CM и SM, если мне память не изменяет, без них SCA BB не хочет управлять SCE. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 2 июля, 2010 · Жалоба Ставьте базу, CM и SM, если мне память не изменяет, без них SCA BB не хочет управлять SCE. не факт. У нас нет ни того, ни другого, но все управляется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
