Cisco SCE 8000 + ЦАИР

[sfenixs]

Добрый день!

 

При использовании схемы sce + cair возникла следующая проблема:

как только в скабб включается content filtering и ставится галочка на определенный packadge наблюдается проблемы с загрузкой страниц.

 

Сначала все сайты открываются очень медленно с задержкой около минуты, по логам видно что сце опрашивает сервер цаира на предмет категорий.

Те сайты, которые по базе цаира имеют категорию, кешируются сце и доступ к ним потом осуществляется значительно быстрее, но другие сайты, которые не попадают ни под какую категорию цаира по прежнему открываются с задержкой, причем все делается в синхронном режиме, т.е по мере открытия сайта запрашиваются категории для сайта его поддоменов, того что встречается на сайте и как только запросится все содержимое (судя по логам) тогда только открывается полностью сайт.

Например, сайт http://speedtest.net/ вообще практически отказывается измерять скорость, т.к он некатегоризирован и постоянно дергает сервер цаира на категории, в итоге если дождаться результатов, то он покажет пинг 3000 мс и низкую входящую скорость (меньше мегабита) при условии, что нет ограничения по скорости на packadge.

 

Увы цаир нам помочь с этой проблемой не смог, ссылаясь на то, что у других все нормально работает.

Возникала ли такая проблема у кого-нибудь еще или может быть есть мысли по её решению?

 

Прошивка сце: Version 3.7.0 Build 222

По наблюдениям проблема кроется в сце, а не в севере, т.к если сервер вообще убрать, выключить, сце также начинает тупить для всех сайтов, долго думая при их открытии.

 

SCE8000#sh run
#This is a general configuration file (running-config).
#Created on 16:03:58  MSK  MON  November  28  2011

#cli-type 1
#version 1

service password-encryption
enable password level 10 5 ""
enable password level 15 5 ""
ip name-server 
clock timezone MSK 4
sntp server 
ip ssh
no management-agent notifications notification-list 1417,1418,804,815,1404,1405,1406,1407,1408,400
no management-agent notifications notification-list 402,421,440,441,444,445,446,450,437,457
no management-agent notifications notification-list 3593,3594,3595,10040
snmp-server community "public" ro
snmp-server contact ""
snmp-server location ""
RDR-formatter forwarding-mode multicast
RDR-formatter destination 172.16.252.3 port 33001 category number 4 priority 100

interface LineCard 0

connection-mode inline on-failure bypass
no silent
no shutdown
protocol-pack version 3.7.0PP25
no attack-filter protocol TCP
no attack-filter protocol UDP
no attack-filter protocol ICMP attack-direction single-side-both
no attack-filter protocol other attack-direction single-side-both
attack-filter subscriber-notification ports 80
replace spare-memory code bytes 3145728

interface GigabitEthernet 1/1
ip address 172.16.252.2 255.255.255.0

interface GigabitEthernet 1/2
ip address 172.16.252.2 255.255.255.0

interface TenGigabitEthernet 3/0/0
bandwidth 10000000 burst-size 50000
global-controller 0 name "Default Global Controller"

interface TenGigabitEthernet 3/1/0
bandwidth 10000000 burst-size 50000
global-controller 0 name "Default Global Controller"

exit
ip default-gateway 172.16.252.1

line vty 0 4
timeout 25
exit
interface Mng 0/1
exit
interface Mng 0/2
exit
cdp mode bypass

username fenix secret 5 
username cair secret 5 
aaa authentication login default local
diameter host 0.0.0.0
no subscriber LEG dhcp-lease-query
subscriber LEG dhcp-lease-query servers 127.0.0.1
logger device SCE-agent-Statistics-Log max-file-size 204800
management-agent property "com.pcube.management.framework.install.activation.operation" "Install"
management-agent property "com.pcube.management.framework.install.activated.version" "3.7.0 build 521"
management-agent property "com.pcube.management.framework.install.activated.package" "SCA BB"
management-agent property "com.pcube.management.framework.install.activation.date" "Tue Oct 04 09:53:37 GMT+04:00 2011"
flow-filter partition name "ignore_filter" first-rule 4 num-rules 32
flow-filter partition name "udpPortsToOpenBySw" first-rule 40 num-rules 21

Edited November 28, 2011 by sfenixs

[exeyp]

При использовании схемы sce + cair возникла следующая проблема:

как только в скабб включается content filtering и ставится галочка на определенный packadge наблюдается проблемы с загрузкой страниц.

Добрый день.

Вам удалось решить данную проблему?

Тоже думаем над покупкой решения от ЦАИР. А здесь такая беда...

[joesm]

Проблема была у клиентов, которые попадали в пакет с фильтрацией, или для всех?

[drovorub]

подниму тему. насколько стабильно и без задержек работает фильтрация от ЦАИР? и какие объемы трафика ей по зубам?

[sfenixs]

Да, работает быстро, проблема с задержками была на нашей стороне.

В конфиге скабб, в результате обновлений с версии 3.5.0 (если не ошибаюсь) на более поздние версии потерялась дефолтная зона, после ее восстановления все заработало как часы, но сил, времени и нервов было потрачено море пока не нашли эту мелочь.

 

У нас в настоящий момент около 350 клиентов на данной услуге проблем не наблюдаем.

 

Что касается статистики то вот:

 

Category 4:
 sent:               60633484
 in-queue:           0
 thrown:             0
 format-mismatch:    0
 unsupported-tags:   0
 rate:               11 RDRs per second
 max-rate:           85 RDRs per second

 

Большинство сайтов кэшируются циской и открываются вообще без задержек, некатегоризованные сайты открываются с маленькой, практически незаметной задержкой