[Butch3r]

Будет ли срабатывать редирект для заблокированных урлов, если через SCE пустить только исходящий трафик?

будет

[grfmaniak]

Будет. Блокировка происходит при GET запросах, т.е. достаточно пустить исходящий НТТР (тупо-в-лоб ТСР dst 80) через SCE и, по идее, она будет все блочить.

 

snark, Butch3r, спасибо, работает :) Удалось таким макаром реализовать блокировку для мелких удаленных узлов без покупки дополнительных sce, хотя входящие каналы там независимые :)

Изменено 28 сентября, 2013 пользователем grfmaniak

[hoboton]

Добрый день.

Подскажите можно ли динамически резать p2p траффик на аплинке в зависимости от общей свободной полосы? Или только жестко задав ограничение для P2P в global controller'е? SCE работает в Subscriberless Mode.

[ThreeDHead]

Добрый день.

Подскажите можно ли динамически резать p2p траффик на аплинке в зависимости от общей свободной полосы? Или только жестко задав ограничение для P2P в global controller'е? SCE работает в Subscriberless Mode.

Создайте, например, три пэкеджа: свободный, подрезаем п2п, душим 2п2.

Активируйте в нужный момент времени тот или иной. Как это сделать в сабскрайберлесс-режиме, не в курсе, но думаю возможно.

[alks]

Добрый день.

Подскажите можно ли динамически резать p2p траффик на аплинке в зависимости от общей свободной полосы? Или только жестко задав ограничение для P2P в global controller'е? SCE работает в Subscriberless Mode.

Создайте, например, три пэкеджа: свободный, подрезаем п2п, душим 2п2.

Активируйте в нужный момент времени тот или иной. Как это сделать в сабскрайберлесс-режиме, не в курсе, но думаю возможно.

 

Нахрена козе боян? там есть для этого тайм фреймы, жалко только всего 4 штуки

[EDA_SPB]

Также настройкой значения AL можно добиться вытеснения неприоритетного трафика при наступления congestion.

[ThreeDHead]

Нахрена козе боян? там есть для этого тайм фреймы, жалко только всего 4 штуки

Вы про "удобный" календарь?

[ThreeDHead]

Также настройкой значения AL можно добиться вытеснения неприоритетного трафика при наступления congestion.

Человек хочет самостоятельно влиять на трафик, в зависимости от фазы луны:

в зависимости от общей свободной полосы?

Второй, и как все считают, правильный вариант - пусть железяка во время congestion сама решает что и как "поджимать".

У меня сложилось впечатление (неоднократное) что во время перегруза, всё, включая приоритетный трафик, "подтормаживает". Нет, всё работает достаточно хорошо, видно вытеснение п2п в репортере, но чувствуется что "что-то не то". Это не смотря на достаточный запас аплинка, сверх лимита на SCE'шках.

Любые средства хороши, для достижения наилучшего результата. В данном случае, раздувание пэкеджей с различными настройками, которые можно применять когда захочешь в необходимое время, это отличное решение. Более того, смена пэкеджей у сабскрайберов, при использовании SM, проходит бесшовно, хоть у одного, хоть у тысяч.

[EDA_SPB]

Я как раз вопрос подругому понял - как автоматически резать p2p в зависимости от нагрузки канала. Чтоб клиентов перекидывать в пекаджи - это надо загрузку анализировать еще.

Можно, конечно, тупо по времени... Но тогда есть вариант прижать абонов когда еще куча ресурсов.

 

По поводу ощущений подтормаживания приоритетных приложений во время перегруза - согласен на 100%.

[alks]

Я как раз вопрос подругому понял - как автоматически резать p2p в зависимости от нагрузки канала. Чтоб клиентов перекидывать в пекаджи - это надо загрузку анализировать еще.

Можно, конечно, тупо по времени... Но тогда есть вариант прижать абонов когда еще куча ресурсов.

 

По поводу ощущений подтормаживания приоритетных приложений во время перегруза - согласен на 100%.

 

Никак

 

У меня сложилось впечатление (неоднократное) что во время перегруза, всё, включая приоритетный трафик, "подтормаживает". Нет, всё работает достаточно хорошо, видно вытеснение п2п в репортере, но чувствуется что "что-то не то". Это не смотря на достаточный запас аплинка, сверх лимита на SCE'шках.

Любые средства хороши, для достижения наилучшего результата. В данном случае, раздувание пэкеджей с различными настройками, которые можно применять когда захочешь в необходимое время, это отличное решение. Более того, смена пэкеджей у сабскрайберов, при использовании SM, проходит бесшовно, хоть у одного, хоть у тысяч.

 

а покажите пакет, включая его BW и GC

[BasilKlyev]

достаточно пустить исходящий НТТР (тупо-в-лоб ТСР dst 80) через SCE и, по идее, она будет все блочить

Не подскажет ли кто нибудь как на цисках 65xx развести входящий и исходящий по разным портам ?

[EDA_SPB]

Не подскажет ли кто нибудь как на цисках 65xx развести входящий и исходящий по разным портам ?

 

Span?

[tehmeh]

Я как раз вопрос подругому понял - как автоматически резать p2p в зависимости от нагрузки канала. Чтоб клиентов перекидывать в пекаджи - это надо загрузку анализировать еще.

Можно, конечно, тупо по времени... Но тогда есть вариант прижать абонов когда еще куча ресурсов.

 

По поводу ощущений подтормаживания приоритетных приложений во время перегруза - согласен на 100%.

Самописными средствами только. Действительно - сделать несколько пакетов с разными уровнями "зажатости" р2р и применять их на основе мониторинга состояния каналов каким-нибудь приложением (переключать подписчиков на базе API). Если хорошо реализовать - ничего страшного.

Мы ужимаем по тайм фреймам - благо у нас постоянный промежуток ЧНН.

[BasilKlyev]

Span?

Span выполняет функции зеркалирования трафика.

А мне бы вышеописанную технологию прогонки исходящего трафика через SCE реализовать(входящий соответственно мимо SCE).

[EDA_SPB]

Span выполняет функции зеркалирования трафика.

А мне бы вышеописанную технологию прогонки исходящего трафика через SCE реализовать(входящий соответственно мимо SCE).

 

В чем проблема развести по разным портам вход и выход и в разрыв одного из них воткнуть SCE?

[BasilKlyev]

В чем проблема развести по разным портам вход и выход и в разрыв одного из них воткнуть SCE?

В примерном конфиге )))

Что то ничего в голову не приходит.

Поэтому и прошу помощи.

[EDA_SPB]

Я думаю, вариатны могут быть разные.

В общем виде: создаете vrf, делаете физ. линк между vrf и глобал.

В разрыв этого линка вставляете sce. Маршрутизацию настраиваете так, чтобы исходящий шел через физ линк, а входящий нет.

[snark]

Не подскажет ли кто нибудь как на цисках 65xx развести входящий и исходящий по разным портам ?

 

В такой схеме:

 

            +-> upload трафик >-+
           /                     \
юзеры --- 3550 <----- SCE <----- 6500 --- интернеты

 

На 3550 прекрасно работает такое:

 

ip access-list extended upload
permit tcp ваша.IP.сеть.0 wildcard.маска.вашей.сети any gt 1024
permit udp ваша.IP.сеть.0 wildcard.маска.вашей.сети any gt 1024

route-map upload permit 10
match ip address upload
set ip next-hop адрес.куда.шлем.трафик

 

При этом на 3550

 

ip route 0.0.0.0 0.0.0.0

 

Смотрит совершенно на другой адрес, нежели ip next-hop в route-map.

На 6500 никаких других настроек, кроме роутинга не настроено.

 

Если SCE всеми своими портами воткнута в 6500, то задачка немного усложняется (-:

[BasilKlyev]

snark спасибо за примеры конфигов.

Но так то нам надо входящий пустить мимо SCE дабы она не ограничивала скорость своей пропускной способностью на 1.8G (для SCE2020)

А вот исходящий как раз через SCE.

                +-< download трафик <-+
               /                     \
юзеры ------ 6500 >----- SCE >----- SNR-S3750G --- 10G интернеты
10.0.0.0   31.131.0.2                31.131.0.1

Такую схему необходимо запустить ))

По конфигам вопросы :

А если несколько подсетей, то сделать так ?

ip access-list extended upload
permit tcp 31.131.0.0 0.0.0.255 any gt 1024
permit udp 31.131.0.0 0.0.0.255 any gt 1024
permit tcp 22.131.1.0 0.0.0.255 any gt 1024
permit udp 22.131.1.0 0.0.0.255 any gt 1024

 

Адрес куда шлем трафик это адрес шлюза (SNR-S3750G)?

route-map upload permit 10
match ip address upload
set ip next-hop 31.131.0.1

[EDA_SPB]

Вам нужно 2 физических линка между 6500 и snr. 2 IP сети /30 на них

                +-< download трафик <-+
               /                      \
              /                        \
          31.131.0.5                31.131.0.6                                     \
юзеры ------ 6500 >----- SCE >----- SNR-S3750G --- 10G интернеты
10.0.0.0   31.131.0.2                31.131.0.1

 

На 6500 дефолт 0.0.0.0 0.0.0.0 31.131.0.1

Таким образом аплоад пойдет через sce.

На snr статик роут или еще как ip route 31.131.0.0 255.0.0.0 31.131.0.5

Таким образом даунлоад не пойдет через sce.

 

Если хочется более тонкой настройки, например, не со всех сетей гнать трафик через sce, см. пример snark.

[tehmeh]

Кто-нибудь может что-то вразумительное ответить на вопрос, почему такая разница между загрузкой канала по графикам SCE (Global Bandwidth) и показаниями SNMP с интерфейсов пограничного маршрутизатора за ней? Вопрос уже поднимался здесь, но никто так и ничего не сказал толком.

[joesm]

Политики по ограничению трафика на sce применяете?

[ivanm38]

выполняю следующее

ip ftp username user

ip ftp password pass

copy-passive ftp://ip_ft/urlabuse.csv urlabuse.csv

conf t

interface LineCard 0

sce-url-database clear-all

sce-url-database import cleartext-file urlabuse.csv flavor-id 176

 

сам flavor создан, его имя block, index 176

 

кошка не матерится. говорит что все в порядке

но сам flavor остается пустым при этом, в чем может быть проблема?

 

p.s. пытаюсь автоматизировать выгрузку реестра запрет сайтов

[BasilKlyev]

но сам flavor остается пустым

Где проверяли ?

sh int li 0 sce-url-database all

[snark]

sce-url-database clear-all

 

Это не обязательно, т.к. циска при импорте сама очищает базу URL.