Thread Info
  • State Not Answered
  • Replies 19 replies
  • Subscribers 0 subscribers
  • Views 7033 views
  • Users 0 members are here
Options
Suggested

[9.075][CLOSED] Slow Throughput

Asteroid
Hello,

I was wondering if anyone knows if there is a throughput limitation from WAN to LAN in place with QOS off and IPS enabled, with appropriate rule sets for a Windows installation, in the most current version of the Beta?

My current cable connection is capable of 180 Mb/sec down and 30 Mb/sec up. I have throughput from WAN to LAN of 180 Mb/sec (wire speed) with IPS off. I am attempting to realize single stream WAN to single client LAN throughput as close as possible to wire speed.

With IPS enabled, throughput falls to the 90 Mb/sec range with a test system comprised of an Asus P8Z77-V Deluxe motherboard with i7 (Ivy Bridge 3770K), 32 GB 1600 MHz RAM, 7200 rpm HD, and an Intel dual NIC GbE on PCIe. I have tried changing the number of IPS instances running, increasing all cores from on demand to performance mode (1.6 GHz to 3.5 GHz), and have not been able to improve performance. I previously tried a Core2Duo at 1.8 GHz with still lower throughput.

This has been discussed in general, outside the question of the Beta version, in the following thread: https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/28805. Page 8 of the thread specifically discusses concerns regarding IDS, IPS, and Snort: https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/28805.

I thought this might be more of an issue in the Beta setting, given the QOS that has been added, and the fact that cable and fiber speeds to average home and business users are rapidly increasing at previous price points.

Thank you.
Parents
  • 0
    I used JOE to edit the snort.conf file. After editing and saving the file, I reopened it and confirmed that the changes were present. I found that when restarting IPS, the live log showed continuation of baseline parameters, not the new configuration. I then opened the file again, and found it had reverted to baseline. I then edited the snort.conf-default file and tried again. This time when I restarted IPS, the live log confirmed the changed parameters. I also monitored TOP for CPU and RAM usage.

    I performed additional testing and found the following:

    Download speed without IPS = 180 Mb/sec with 0.8 GB RAM
    Download speed with IPS (ac-bnfa) = 90 Mb/sec with 1.8 GB RAM 
    Download speed with IPS (ac-split) = 95 Mb/sec with 2.5 GB RAM
    Download speed with IPS (ac-q) = 130 Mb/sec with 4.8 GB RAM
    Download speed with IPS (ac) = 140 Mb/sec with 4.9 GB RAM

    Ac and ac-q took significantly longer for IPS to fully load, as judged by the live log and TOP.

    Has anyone else experimented with these settings?

    Thank you.
  • 0 in reply to Asteroid

    Download speed without IPS = 180 Mb/sec with 0.8 GB RAM
    Download speed with IPS (ac-bnfa) = 90 Mb/sec with 1.8 GB RAM 
    Download speed with IPS (ac-split) = 95 Mb/sec with 2.5 GB RAM
    Download speed with IPS (ac-q) = 130 Mb/sec with 4.8 GB RAM
    Download speed with IPS (ac) = 140 Mb/sec with 4.9 GB RAM

    That seems about normal (The gains between different detection methods and not the throughput :eek[:)] Too bad ac-split only gave you about 6% boost and not the 20% I was hoping for. I haven't rolled my own snort since v4 days of astaro and memory usage and throughput seem to be inline with that. 140 mb/s is not bad for a single instance of snort but I think its still too low. You have to keep in mind that astaro is not a dedicated IDS and is not tuned exclusively for snort... that is the only reason that I can think of for your numbers. 

    Previously astaro was using low-mem as detection method because the low end boxes only had 1G ram. In v9 they moved to snort 2.9x, previously 2.8x was being used. You can always go back to v8 and try your luck with that if you want [:D] and give us some more data to crunch[:P] 

    Ac and ac-q took significantly longer for IPS to fully load, as judged by the live log and TOP.

    That is normal behavior of snort. 

    @William, I am sure snort is as optimized as possible considering the hardware constraints that sophos has to deal with. The memory usage observed with ac detection method is normal at startup and will go as high as 8gb (maybe more) if used for longer periods. That will be pointless with multiple instances running on anything but a dedicated IDS.
     
    I am still wondering how the IPS numbers are calculated on sophos hardware appliances. UDP streams[:S]

    Regards
    Bill
  • 0 in reply to Billybob
    I am still wondering how the IPS numbers are calculated on sophos hardware appliances. UDP streams[:S]


    Another user is getting over 500mbps (LAN -> DMZ fileserver) on his own hardware:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/33910

    Barry
Reply Children
  • 0 in reply to BarryG
    Barry's post made me curious about the actual numbers. I have an ancient compaq SR1901WM (sempron 3200 1.8GHZ[:$][:$]) collecting dust. Remember this is a very old computer with single core 1.8ghz cpu. I added a couple of gigabit nics and loaded astaro on it. Here are the results...
    Baseline
    E:\>iperf -c 192.168.0.11 -w64500

    ------------------------------------------------------------

    Client connecting to 192.168.0.11, TCP port 5001

    TCP window size: 63.0 KByte

    ------------------------------------------------------------

    [148] local 192.168.1.10 port 59586 connected with 192.168.0.11 port 5001

    [ ID] Interval       Transfer     Bandwidth

    [148]  0.0-10.0 sec   284 MBytes   238 Mbits/sec
    default IPS settings 
    E:\>iperf -c 192.168.0.11 -w64500

    ------------------------------------------------------------

    Client connecting to 192.168.0.11, TCP port 5001

    TCP window size: 63.0 KByte

    ------------------------------------------------------------

    [148] local 192.168.1.10 port 59558 connected with 192.168.0.11 port 5001

    [ ID] Interval       Transfer     Bandwidth

    [148]  0.0-10.0 sec  71.8 MBytes  60.1 Mbits/sec

    ac-split 
    E:\>iperf -c 192.168.0.11 -w64500

    ------------------------------------------------------------

    Client connecting to 192.168.0.11, TCP port 5001

    TCP window size: 63.0 KByte

    ------------------------------------------------------------

    [148] local 192.168.1.10 port 59618 connected with 192.168.0.11 port 5001

    [ ID] Interval       Transfer     Bandwidth

    [148]  0.0-10.0 sec  82.2 MBytes  68.9 Mbits/sec
     
    So an old sempron can push around 70mb/s with IPS using ac-split. I say that is excellent for such an old computer. Glad astaro can still be enjoyed on old hardware like this. 
    This also seems to be consistent with the astaro UTM 100 with 250mbps throughput pushing 60mbps using IPS. Sorry my esxi was fully utilized otherwise I could have come up with better numbers.
    So in essence, IPS is indeed running as advertised and Asteroid's new computer seems to have some other problems [:(]
    Screenshot of iperf attached

    Regards
    Bill