Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 24 replies
  • Subscribers 3 subscribers
  • Views 15330 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Buying Decision: Astaro vs Fortigate Throughput

thinknirmal
I want to procure an hardware appliance for my office of 100 users. And there is a battle happening between Astaro and Fortigate specifications.

We are comparing Astaro 220 with Fortigate 300C (for similar pricing) and could see that Fortigate has 8 Gbps of firewall throughput while Astaro displays 3 Gbps. What does this mean?

Also Fortigate exhibits 2 Million concurrent connections while Astaro does 300,000 connections. How does this affect our operations?

We are a group of 100 users, 60 Mbps WAN uplink, a web server hosted in-house, most of the users making Skype voice calls, and moderate VPN usage.

I am really comfortable with Astaro, but how I could convince people to buy it?
Thank you for any insight.


This thread was automatically locked due to age.
Parents
  • 0
    Good discussion, Shane.

    I'd like to own a Ferrari, but I probably wouldn't ever get it up even to 90MPH.  Instead, I drive Toyotas, and I likely never would have gotten anyplace faster with a Ferrari. [;)]

    All that to say that I don't disagree with anything you say, just that speed alone isn't the only consideration for a UTM, and that he should try them both.

    Cheers - Bob
  • 0 in reply to BAlfson
    Good discussion, Shane.

    I'd like to own a Ferrari, but I probably wouldn't ever get it up even to 90MPH.  Instead, I drive Toyotas, and I likely never would have gotten anyplace faster with a Ferrari. [;)]

    All that to say that I don't disagree with anything you say, just that speed alone isn't the only consideration for a UTM, and that he should try them both.

    Cheers - Bob


    Hi Bob,

    To be sure, I didn't feel we were disagreeing.  I just don't like to see great tech being belittled with incorrect statements.  I get hassled by tech company partners all the time to replace systems we have that are working perfectly, because they claim there's a problem with them.  So often those tech partners just make up or parrot BS to sell what they sell over what they don't.

    I'm sure Astaro is great, but the claim of Williams that the ASIC's in FortiGate gear are just cutesy little CPU's running a stripped down OS, is bogus.  Same for the no storage claim.  In fact, the no-HDD, solid state nature of FortiGates is a feature.

    The company I work for is lucky enough to have a decent budget, so we could afford the Ferrari, although the FortiGate 310B was the cheapest of what we were trialling at the time (we did not try Astaro back then).  Luckily its weakest performance area was well above our needs for that area and the 310B's were within budget, so in some areas we got Ferrari performance that we did not need.

    But like Ferrari's, ASIC's can come with some quirks too!

    As I'm sure you know, once an ASIC is made, unlike FPGA's an ASIC pretty much cannot be patched.  If there is a design flaw in the ASIC, then often the fix is to disable that portion of the ASIC or work around it within software, rendering the performance enhancement that design provided useless.

    As an example, the NP2 hardware accelerated NIC's on regular FortiGate 310B's will drop Ethernet frames that are larger than 64 bytes if those frames use padding.  The Ethernet IEEE 802.3 3.2.7 spec states that an Ethernet frame must be exactly 64 bytes if padding is used and non-conformant frames should be dropped.

    Unfortunately, not all devices and systems honoured the standard, including VMware's ESX 3.0.1 and 3.0.2, some Nortel switches and WDM's, some Cisco IP phones and Foundry load balancers.  But the NP2 powered FortiGate devices do honour the standard by dropping those frames.  As a consequence, if you had a regular FortiGate 310B with these systems, you would have to either patch where possible, or otherwise replace hardware at whichever point is cheapest.

    FortiGate actually offers an alternative 310B model which does not drop those faulty frames, even though the spec states it should, for those who need to allow broken systems to work.  If the 310B were FPGA or just software based, you would just enable/disable the feature.  With an ASIC that wasn't designed to take this problem into consideration you have to swap the unit out if you had no other recourse.

    So ASIC's need to be done right, because it can be expensive to get wrong!

    Thankfully we've not had any troubles like this though.

    Cheers,


    Shane
Reply
  • 0 in reply to BAlfson
    Good discussion, Shane.

    I'd like to own a Ferrari, but I probably wouldn't ever get it up even to 90MPH.  Instead, I drive Toyotas, and I likely never would have gotten anyplace faster with a Ferrari. [;)]

    All that to say that I don't disagree with anything you say, just that speed alone isn't the only consideration for a UTM, and that he should try them both.

    Cheers - Bob


    Hi Bob,

    To be sure, I didn't feel we were disagreeing.  I just don't like to see great tech being belittled with incorrect statements.  I get hassled by tech company partners all the time to replace systems we have that are working perfectly, because they claim there's a problem with them.  So often those tech partners just make up or parrot BS to sell what they sell over what they don't.

    I'm sure Astaro is great, but the claim of Williams that the ASIC's in FortiGate gear are just cutesy little CPU's running a stripped down OS, is bogus.  Same for the no storage claim.  In fact, the no-HDD, solid state nature of FortiGates is a feature.

    The company I work for is lucky enough to have a decent budget, so we could afford the Ferrari, although the FortiGate 310B was the cheapest of what we were trialling at the time (we did not try Astaro back then).  Luckily its weakest performance area was well above our needs for that area and the 310B's were within budget, so in some areas we got Ferrari performance that we did not need.

    But like Ferrari's, ASIC's can come with some quirks too!

    As I'm sure you know, once an ASIC is made, unlike FPGA's an ASIC pretty much cannot be patched.  If there is a design flaw in the ASIC, then often the fix is to disable that portion of the ASIC or work around it within software, rendering the performance enhancement that design provided useless.

    As an example, the NP2 hardware accelerated NIC's on regular FortiGate 310B's will drop Ethernet frames that are larger than 64 bytes if those frames use padding.  The Ethernet IEEE 802.3 3.2.7 spec states that an Ethernet frame must be exactly 64 bytes if padding is used and non-conformant frames should be dropped.

    Unfortunately, not all devices and systems honoured the standard, including VMware's ESX 3.0.1 and 3.0.2, some Nortel switches and WDM's, some Cisco IP phones and Foundry load balancers.  But the NP2 powered FortiGate devices do honour the standard by dropping those frames.  As a consequence, if you had a regular FortiGate 310B with these systems, you would have to either patch where possible, or otherwise replace hardware at whichever point is cheapest.

    FortiGate actually offers an alternative 310B model which does not drop those faulty frames, even though the spec states it should, for those who need to allow broken systems to work.  If the 310B were FPGA or just software based, you would just enable/disable the feature.  With an ASIC that wasn't designed to take this problem into consideration you have to swap the unit out if you had no other recourse.

    So ASIC's need to be done right, because it can be expensive to get wrong!

    Thankfully we've not had any troubles like this though.

    Cheers,


    Shane
Children
No Data