[survivor]

Всем доброго дня!

 

Знаю-знаю, на форуме уже предостаточно тем про SCE, но все они либо про поиск софта (спасибо Дятел за свежайший 3.8.0) либо про ее производительность, либо про реализацию конкретных сложновыдуманных задач. Я о другом. О том как с ней начать жить, да не тужить :)

 

Итак, софт есть. Залил по инструкции: http://shop.nag.ru/article/pereustanovka-operatsionnoj-sistemy-i-vosstanovlenie-cisco-sce

Установил rhel/sybase/collection manager по инструкции: http://dharmaroute.ru/2010/09/22/cisco-sce-deeper-in-dpi-collection-manager-installation/

Задача пока стоит отрисовать графики протоколов (торрент, skype, http, youtube отдельно, facebook отдельно и т.д.). Воткнул ее в SPAN порт каталиста subscriber портом. Насколько я понимаю, SCE будет на основе своей конфигурации и предзагруженным описанием протоколов, генерить RDR инфу (че-то вроде netflow) которая будет собираться collection manager'ом в sybase базу. Чтобы посмотреть красивые картинки нужен SCA reporter.

Поставил его, подключил к sybase серверу, они друг друга увидели....

 

Теперь о проблемах :)

1) Стоит SCE перегрузиться по питанию, она впадает в страшный recovery mode. Из которого лечится только программным reload'ом. Это меня сильно напрягает, так как как в этом режиме у нее даже оптические порты не поднимаются, соответственно ставить ее в разрыв траффика для управления им стремно. Отдельного Bypass модуля у меня нет...

Пробовал:

connection-mode inline on-failure bypass

не помогает.

 

2) Ткните плз в маны что делать дальше. Как связать SCE c Collection Manager'ом (чтобы он посылал на него RDR) и как сконфигить простейший разбор протоколов. Еще SCA Reporter ругается: "Mandatory preference IP of SCE for policy data is not set", значит и в Collection Manager'е надо указывать SCE, который будет на нее присылать данные?

 

3) Нужно ли в SCE помимо ios'а еще что-то загружать? Например для NBAR в старых софтверных цисках были .pdlm файлы. Тут что-то похожее есть? В наборе софта 3.8.0 который у меня есть ничего подобного не обнаружил.

 

4) При загрузке выдает в консоль:

Note: 53 lines from the application configuration file
have failed to execute. In order to find out what happened, 
you have to execute the startup-config-application file 
manually, because we do not keep a log of its execution.
The file name is '/tffs0/system/p3hidden/config/applcfg.txt'. Have fun !

 

У меня конфиг сброшенный в дефолт через erase startup-config-all в нем всего 37 строк. Какие еще 53 lines! И что такое applcfg.txt?

 

Буду благодарен вашим советам :)

 

P.S.

Почему на SCE такой придурошный ios? :) особенно порадовал "#>" режим Root, который круче чем Enable :)

и что такое "interface LineCard 0"?

Изменено 15 декабря, 2012 пользователем survivor

[s2n]

По 1 пункту - у меня тоже не было байпас модуля. Воткнул SCE в разрыв между коммутаторами, настроил STP и сделал кольцо - теперь при падении или перезагрузке SCE трафик просто идет через резервный линк мимо цыски. По 2 - читайте dharmaroute.ru дальше, там расписано. Там по сути краткая выжимка из родной документации.

[survivor]

Спасибо за совет, но у меня просто столько гигабитных портов нет, чтобы делать обходной путь. Да и вообще это же не решение проблемы, неужели это нормально что после перезагрузки SCE по питанию его можно привести в рабочее состояние только еще раз перезагрузив reload''ом?!!

Насчет dharmaroute - ресурс хороший но на нем нет ответов на мои вопросы, к сожалению

Изменено 16 декабря, 2012 пользователем survivor

[s2n]

Спасибо за совет, но у меня просто столько гигабитных портов нет, чтобы делать обходной путь.

Ну мне оказалось проще и дешевле поставить еще 1 свич, чем заказывать байпас модуль.

Да и вообще это же не решение проблемы, неужели это нормально что после перезагрузки SCE по питанию его можно привести в рабочее состояние только еще раз перезагрузив reload''ом?!!

Ничего не могу сказать, с такой проблемой не сталкивался. Поведение не нормальное, сейчас железка слишком далеко чтобы посмотреть. Но поднималась после ребута по питанию нормально. Правда, перед настройкой сделал полный сброс.

[survivor]

я ее сбрасывал через "erase startup-config-all", может есть что-то еще?

[survivor]

насчет пункта N3: насколько я понял никаких pdlm файлов нет, в самом ios'е есть сигнатуры, которые размечены цифровыми идентификаторами, например - у торрента ID=24, у skype ID=25 и по ним можно матчить. Поправьте если не прав, плз

Изменено 17 декабря, 2012 пользователем survivor

[survivor]

Так... отвечаю потихоньку сам себе (по ходу никто делиться знаниями не хочет):

 

Пункт N3) Описания протоколов все же существуют в виде отдельных .spqi файлов и называются "Protocol Pack". И ДА, на циску еще нужно дополнительно к прошивке-ios'у (.pkg) заливать SCE Application Software (.pqi), что сие такое пока мне правда не понятно...

 

Пункт N2) Связать SCE и Collection Manager можно волшебным софтом SCA BB Console - совершенно нетрушная вещь с менюшками :) через него же можно залить на SCE и SCE Application Software и Protocol Pack. Вот...

 

Но, возник новый вопрос N5 - я залил SCE Application Software и Protocol Pack на циску, но sh run ничего нового не показал! Есть еще какой-то конфигурационный файл?

[StSphinx]

Так... отвечаю потихоньку сам себе (по ходу никто делиться знаниями не хочет):

 

Пункт N3) Описания протоколов все же существуют в виде отдельных .spqi файлов и называются "Protocol Pack". И ДА, на циску еще нужно дополнительно к прошивке-ios'у (.pkg) заливать SCE Application Software (.pqi), что сие такое пока мне правда не понятно...

 

Пункт N2) Связать SCE и Collection Manager можно волшебным софтом SCA BB Console - совершенно нетрушная вещь с менюшками :) через него же можно залить на SCE и SCE Application Software и Protocol Pack. Вот...

 

Но, возник новый вопрос N5 - я залил SCE Application Software и Protocol Pack на циску, но sh run ничего нового не показал! Есть еще какой-то конфигурационный файл?

 

Продолжайте играться с волшебным софтом , дальше только он или API.

[survivor]

По поводу вопроса N1 - вчера зашил 3.7 через красивый SCA BB, перегрузил reload'ом, потом выключил выключателем и ушел домой. Сегодня утром прихожу, включаю питание и...

NOTE: System is in Recover mode !!!

Зашел через management интерфейс, перегрузил reload'ом, все OK. Ну что за дела?

[VitMain]

У вас failure-recovery operation-mode в конфиге в каокм режиме работает?

[joesm]

перегрузил reload'ом, потом выключил выключателем и ушел домой.

 

Не надо выключать питание выключателем

[survivor]

перегрузил reload'ом, потом выключил выключателем и ушел домой.

 

Не надо выключать питание выключателем

 

:) юмор да?

 

У вас failure-recovery operation-mode в конфиге в каокм режиме работает?

 

connection-mode inline on-failure bypass

[VitMain]

Это другое.

Попробуйте failure-recovery operation-mode operational

[vurd]

перегрузил reload'ом, потом выключил выключателем и ушел домой.

 

Не надо выключать питание выключателем

 

:) юмор да?

 

 

В чем юмор?

SCE2000#reload ?
 shutdown  Prepare the system for power-down
 <CR>

[survivor]

vurd

юмор в том, что щелканьем выключателя я вообще-то эмулирую нештатную форсмажорную ситуацию незапланированного отключения питания... Знаете, электричество иногда отключается, юпсы выходят из строя, аккумуляторы разряжаются до нуля, а в дизель-генераторах засоряются форсунки, тупо кончается топливо.

Хороша техника которая от щелчка выключателем встает раком. И хорош админ который ее не отдрючил перед тем как отдать в продакшен.

 

VitMain

Это другое.
Попробуйте failure-recovery operation-mode operational 

 

я думал bypass это bypass, а recovery - это recovery :) спасибо, сейчас попробую!

[joesm]

То, что после подобных эмуляций на том же линуксе требуется запуск fsck Вас не удивляет? В чем тогда здесь удивление?

[vurd]

После отключения питания, описанным вами способом, железка уйдет в recovery и не будет обрабатывать трафик, просто будет bypass. Вы хотите, чтобы обратно в full operational возвращалось?

[survivor]

vurd

Да я бы рад в bypass, только она уходит в recovery и не поднимает оптические порты, в этом вся беда.

 

VitMain

SCE2(config if)#connection-mode inline on-failure ?

bypass Set bypass on failure / boot time

cutoff Set cutoff on failure / boot time

 

joesm

Кхм... наверное потому что тут шильдик cisco, который говорит о том, что это сетевое (а не серверное) оборудование, которое может стоять хоть у черта на рогах, в самых сложных условиях существования, к которому предусматривается только удаленный доступ и которое должно работать даже в случае неожиданного армагеддона. Все это включается шильдиком в стоимость.

К слову, на голом линуксе можно достичь того же, но бесплатно и после сексуальной связи с ним.

[StSphinx]

vurd

Да я бы рад в bypass, только она уходит в recovery и не поднимает оптические порты, в этом вся беда.

 

VitMain

SCE2(config if)#connection-mode inline on-failure ?

bypass Set bypass on failure / boot time

cutoff Set cutoff on failure / boot time

 

failure-recovery operation-mode operational - в глобальном режиме конфигурирования, не на LineCard.

[survivor]

Да, действительно, ошибся... извиняюсь.

 

Но все равно:

SCE2(config)#failure-recovery operation-mode operational 
SCE2#sh failure-recovery operation-mode 
System Operation mode on failure recovery is: operational

 

перегрузил по питанию и вот:

*****************************************************************
*  
*  Welcome to SCE2000 Version 3.8.0-classic Build 127.
*  
*  
*  
*  Recovery mode detected, loaded with minimal hardware interaction.
*  
*  This might result from various reasons (HW problem, explicit user request, etc.)
*  Use the 'show system operation-status' to verify the exact reason
*  
*  You should be able to telnet to the box and install a package file
*  using the 'debug package extract system <package name>'
*  CLI command. 
*  Using the logger for Dbg interpretation is possible as well.
*  
*  Usage of any other commands might be risky, as they might
*  cause the box to get stuck !
*  
*  Good Luck!
*****************************************************************

 

SCE2000#show system operation-status   
System Operation status is Recover mode - 3 successive reboots during 5 seconds.

 

 

"3 successive reboots during 5" - это я пощелкал выключателем для верности, знаю - жестоко, ну лучше на столе все проверить

Изменено 18 декабря, 2012 пользователем survivor

[joesm]

Кхм... наверное потому что тут шильдик cisco, который говорит о том, что это сетевое (а не серверное) оборудование, которое может стоять хоть у черта на рогах, в самых сложных условиях существования, к которому предусматривается только удаленный доступ и которое должно работать даже в случае неожиданного армагеддона. Все это включается шильдиком в стоимость.

К слову, на голом линуксе можно достичь того же, но бесплатно и после сексуальной связи с ним.

 

Juniper тоже будете выключателем выключать?

[StSphinx]

Shutting down the SCE platform is required before turning the power off. This helps to ensure that non-volatile memory devices in the SCE platform are properly flushed in an orderly manner.

 

Вот что пишут в мануале на SCE.

[survivor]

Juniper тоже будете выключателем выключать? 

cisco, juniper, huawei, alcatel... по меньшей мере хотелось бы чтоб сетевое оборудование после этого не откидывало коньки :)

 

Shutting down the SCE platform is required before turning the power off. This helps to ensure that non-volatile memory devices in the SCE platform are properly flushed in an orderly manner.

 

Вот что пишут в мануале на SCE.

 

Ну что ж... придется это учитывать, все же не зря bypass на нее существует :)

Большое спасибо за цитату!

[survivor]

SCE2000#reload ?

shutdown Prepare the system for power-down

<CR>

 

Хе-хе...:

SCE2#reload shutdown         
Error - It is not possible to shut-down the system from a telnet session

 

И выдержка из мануала:

How to Shut Down the SCE Platform

...

Step 1 Connect to the serial console port

 

Потому что (вообщем-то логично):

Since the SCE platform can recover from the power-down state only by being physically turned off (or cycling the power), this command can only be executed from the serial CLI console. This limitation helps prevent situations in which a user issues this command from a Telnet session, and then realizes he/she has no physical access to the SCE platform.

 

Короче, если покупаете cisco sce - не забудьте мааленький ядерный реактор к ней, выключение электричества оно не любит. Ну или bypass, что наверное самый правильный вариант решения проблем питания... хотя тоже спорно: учитывая что проблемы случаются в самое ненужное время (новый год, ночь, оргазм, похмелье, выезд загород), а для приведения в рабочее состояние циски после ребута нужно ручное вмешательство (даже с bypass модулем она не будет управлять траффиком, только лишь не пропустит его мимо), то:

1) либо надо научить и дать доступ неквалифицированному дежурному персоналу

2) написать скрипт и добавить в cron

Вот так-то... Слава богу - с ASR'ами, 6500-ми каталистами и прочими цискодевайсами такой фигни не случается.

[BasilKlyev]

Слава богу - с ASR'ами, 6500-ми каталистами и прочими цискодевайсами такой фигни не случается.

А все потому, что "SCE - изначально разработка израильской компании P-Cube, которую "компания золотого моста" выкупила за 200 млн. USD в 2004 году." Отсюда.

А вообще данная тема чем дальше, тем печальнее ... для меня ... если не на кого положиться.

Маленький провайдер со штатом 10 человек с квалификацией мантажника. А как же

новый год, ночь, оргазм, похмелье, выезд загород

Будем лепить устанавливать пачку бесперебойников, на каждую розетку отдельный ))))))