Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 3 subscribers
  • Views 2616 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG Performance

reckoner
Hi there!

My client has a small network served by two clustered ASG devices but performance is very poor. I wonder if you can give an advice to tune-up my configuration. ASG is used as a gateway and mail and web filter so all workstations use it as proxy server. There are three problems that indicate a problem:

1. Connection through the proxy is slower than without. Ping is about three times longer, for example.

2. Big downloads stop at random. Very hard to download something big, need to retry a few times before it works.

3. CPU load on unit 1 is very high. For example, that's how last week report looks like: 



Now, I'm not very familiar with these devices so I'd appreciate any advice on how to resolve these issues. If you need additional info, please let me know.

Thanks in advance!


This thread was automatically locked due to age.
  • 0
    If these are commercially licensed, I'd start a case with Support.

    Some things to look at, though:

    1) What version of ASG firmware is on these units
    2) What model units are these
    3) How many users are "behind" these units
    4) How much bandwidth is the cluster handling
    5) What features are enabled on the cluster?
  • 0 in reply to BrucekConvergent
    If these are commercially licensed, I'd start a case with Support.

    Some things to look at, though:

    1) What version of ASG firmware is on these units
    2) What model units are these
    3) How many users are "behind" these units
    4) How much bandwidth is the cluster handling
    5) What features are enabled on the cluster?


    Yes, they are commercially licensed.

    1. They're running 8.305 since Sunday, before they were running 8.304 I guess.

    2. One is ASG120 branded as Astaro, another one is branded as Sophos but I'm not sure about the model. It's slightly smaller than the first one.

    3. About 10 users.

    4. Very little. There's only slow ISDN link. Here's a graph for last week:



    5. Current system config:

  • 0
    Hi Reckoner,

    Support can def. help you, however, in HA mode, one unit is sleeping most of the time, the "bigger" box will be MUCH lower powered than the white sophos one, (the bigger one is probably a Rev3). Running those old 110/120's in HA can actually take a bit more load than usual as the device also has to work on comminicating its current state and configuration to the slave/sleeping box. Hence make sure the white one is the primary/active model, and things should get much better. 

    Failing that, support can help you with even more tips.
  • 0
    Hi, please also post your memory usage graph.

    Barry
  • 0 in reply to BarryG
    I've never recommended that customers run ASG110/120 units in HA mode (and if I recall correctly, neither did Astaro Support) ... they just don't have enough "horsepower" to handle that, especially with all of the extra features, etc. that got added to V8 over the past year or so -- V9 will add to this as well.

    The new UTM110/120 units probably have enough power to do it (run in HA mode) in a small installation, you may want to look at upgrading those appliances.

    LOL, it looks like Angelo already covered this [:)]  Didn't see that.
  • 0 in reply to BrucekConvergent
    Hence make sure the white one is the primary/active model, and things should get much better. 


    How do I swap master and slave? Currently they're in hot standby (active-passive) mode. Here's the current system status:



    One can easily see that distribution is far from being optimal.

    Hi, please also post your memory usage graph.




    I've never recommended that customers run ASG110/120 units in HA mode (and if I recall correctly, neither did Astaro Support) ... they just don't have enough "horsepower" to handle that, especially with all of the extra features, etc. that got added to V8 over the past year or so -- V9 will add to this as well.

    The new UTM110/120 units probably have enough power to do it (run in HA mode) in a small installation, you may want to look at upgrading those appliances.


    But it still has clustering port. I consider my setup small and don't think there's need in two clustered firewalls. Am I wrong?
  • 0
    Regarding the higher Pings: Do you have IPS enabled?

    In general, ASG120 rev.3 has very low CPU power as it has only one core and not even hyperthreading. Anything providing at least 2 CPU cores or hyperthreads makes the firewall a lot snappier. The white UTM120 has exactly that plus more RAM, so like the others I heavily recommend making that box the preferred master..
  • 0
    To be clear, you are not running active/active, which is why the usage is so lopsided. You are running in HA mode with a hot standby, if something happens to the master, the slave will kick in. You can either set the preferred master in the Management-->High Availability-->Configuration settings of Webadmin, or simply reboot the current master to trigger it to fail over to the slave. 

    Are you sure the white one is currently the slave and not the master? If it is (which I heavily doubt) you could always break up the cluster and run just with the white one, it has plenty of power to run for your network, even with everything on. As it sits, if the white one can purr away as the master, you have an excellent (and no charge) backup box which can sit there for an emergency, so if you set it up that way you wont have any problems.

    if you want to reduce complexity and just have the white box running, that would also solve all your problems.
  • 0
    Hi, rekoner, and welcome to the User BB!

    You definitely need to take the above recommendations to heart.  To summarize, the devices are not in "Cluster" mode, rather, they are in "Hot-Standby" and you should either NOT use the older box in "Hot-Standby" or you should have the end-user monitor the setup to be sure that the newer unit is the Master.

    I wonder though, how you have determined that pings are three times slower.  If that's a result from a web service, it's just not accurate because the technique used gives misleading results.  The same can be true of speed measurements done with the same services.

    The CPU graph is troubling though.  With Intrusion Prevention not used, I can't guess what mis-configuration might be causing that even if the Master is the older device.  When CPU usage is high, go to 'Support >> Advanced' and check for what process is causing that.

    Cheers - Bob
    PS In the future, please [Go Advanced] and attach pictures using the BB interface.  One just never knows how well protected those outside services are - I remember a post last year where someone hacked a site linked to by a poster here.