CPU Required for 1Gb Throughput

Folks have been getting full GE with p-4 xeons.  Part of the issue is the overhead of the UTM.  There's just too much completing for cpu time.  Snort is at a bad disadvantage here..most of the UTM is designed to be MT and therefore larger core counts up the performance.  Snort however is highly serialized ST which means ghz is kind for it.  If you want fast speeds you ahve to go ghz ghz ghz.  Proper motherboard AND nics are crucial as well.  

To give you an idea the fastest max realworld 1xx utm right now maxes out at 370 mbps.  That's with nothing else one.  You have to really get up into the firebreather sg appliances before you even can THINK about getting close to GE.  Even then that's with very little if anything else turned on.  if you want to get GE AND have other stuff turned on you have to get into the 2u upper echelon of things.  

If you want GE IPS you are going to have to have a fast cpu...fast nics and be running more than one stream at a time to get GE out of snort in the utm without spending thousands upon thousands for your home setup..[:)]

Thanks William!

I wonder what I would get out of an i7-5820K over clocked to 3.8Ghz or even 4Ghz. I suspect I'll have to give up my dreams of 1Gbps for a while. There is already one company building Snort into a consumer device  (I've asked but they haven't responded on speed) so maybe some consumer friendly solutions are around the corner.

Thanks

Thanks William!

I wonder what I would get out of an i7-5820K over clocked to 3.8Ghz or even 4Ghz. I suspect I'll have to give up my dreams of 1Gbps for a while. There is already one company building Snort into a consumer device  (I've asked but they haven't responded on speed) so maybe some consumer friendly solutions are around the corner.

Thanks

dreams of GE no..dreams of GE in snort with anything else going..yes..[:)]

NOW then..if you want MAXIMUM speed there's two way to go:
1. stick with vmware.  if you do this make one vm with 2 vcpus and dedicated every single ghz the vmware host can muster to the vm.  Same for the ram and disk.

2.  Install directly onto the hardware.

I would go with #1.  If something happens to the host you can grab the vmdk and other files and simply move to another vmware host.  NO reinstalls and you don't loose your logs.(provided you don't have a hard disk failure and don't have a backup).

Thanks William!

I wonder what I would get out of an i7-5820K over clocked to 3.8Ghz or even 4Ghz. I suspect I'll have to give up my dreams of 1Gbps for a while. There is already one company building Snort into a consumer device  (I've asked but they haven't responded on speed) so maybe some consumer friendly solutions are around the corner.

Thanks

dreams of GE no..dreams of GE in snort with anything else going..yes..[:)]

NOW then..if you want MAXIMUM speed there's two way to go:
1. stick with vmware.  if you do this make one vm with 2 vcpus and dedicated every single ghz the vmware host can muster to the vm.  Same for the ram and disk.

2.  Install directly onto the hardware.

I would go with #1.  If something happens to the host you can grab the vmdk and other files and simply move to another vmware host.  NO reinstalls and you don't loose your logs.(provided you don't have a hard disk failure and don't have a backup).