Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 3 subscribers
  • Views 8114 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG 220 Cluster bescheidene Internetgeschwindigkeit

_patric

Hallo Community


wahrscheinlich ist diese Frage nicht ganz so einfach zu beantworten.

Wir setzen seit gut 4 Jahren zwei ASG220 ein, welche in einem Aktiv-/Passiv-Cluster soweit ganz gute Dienste leistet.

Im Laufe der Zeit haben wir einige Features der FW aktiviert. Im Einzelnen sind das:


- Web-Proxy (mit zweifach-Scan für etwa 50 User)

- Firewall inkl. IPS

- Reverse-Proxy via Application Control (Exchange OWA / ActiveSync und Web-Server)

- Mail-Security von eingehenden Mails (inkl. zweifach Scan)

Firmwarestand ist 8.316.

Letztes Jahr schon, bemerkten einen sehr hohen Auslastungsgrad des Clusters, was sich in zähem Arbeiten mit dem Webinterface und sehr

starkem Swap zeigte. Nachdem wir allerdings eine RAM-Erweiterung auf nun 3GB pro FW erhöht haben, sind die Probleme dahingehend weniger geworden.

Nun haben wir jüngst ein Upgrade unserer Internetverbindung auf 50 MBit synchron erhalten und erreichen mit der Astaro hier gerade mal spärliche 24 MBit down- und sehr magere 4 MBit upload. Ich hatte spaßeshalber mal IPS deaktiviert, was keine wirkliche Verbesserung der Bandbreite bewirkt.

Am Provider liegt es definitiv nicht, da ein umgehen der Firewall die tatsächliche Bandbreite bietet. Insofern muss das Nadelöhr die FW sein und mich interessiert, ob wir mit der ASG220 entgegen der Datenblattanagaben wohl unter dimensioniert sind.

Evtl. kann jemand was dazu sagen.

Vorab vielen Dank...

Patric



This thread was automatically locked due to age.
  • 0

    Zu 99% ist das ein Last-Problem, sprich, die 220 ist CPU- bzw. RAM-technisch am Limit.

    Support gibt's für euren Cluster keinen, da ihr eigenmächtig die Hardware verändert hab und außerdem auf einer Firmware-Version seid, die seit über einem Jahr nicht mehr supported wird (!!!).

    Ich rate ganz dringend, dass ihr euch von eurem Reseller ein Angebot für einen Hardware-Refresh auf eine für euch passende SG-Appliance machen lasst.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0

    IPS ist konfiguriert? Zweifachscan erforderlich?

    Habt ihr schon probiert, mit welchen Mindestanforderungen die 50 MBit nutzbar sind? Also AV etc. aus und dann mit reinem PFL wird es vielleicht noch gehen.

    Wenn ihr die 8.3 noch habt, wird die HW auch entsprechend alt sein, kann also sein, dass die CPU mit IPS und VPN jenseits der 20 MBit "überlastet" ist. Und beim Proxy noch mit SATA HD ist auch der Proxy irgendwann langsam, wenn Reporting und Logging hoch eingestellt sind.

  • 0 in reply to K.N.

    Das hab ich irgendwie befürchtet, da sämtliche Stellschrauben die ich bisher versucht hab nur geringfügig zum Erfolg geführt haben.

    Also Späße wie IPS aus und einfach- statt zweifach-Scan haben nicht wirklich bahnbrechende Erfolge gebracht.

    Gemäß Up2Date könnten wir auch ein Upgrade auf die 9er Version fahren, jedoch hat mich die allgemeine, eher schlechte

    Performance bisher davon abgehalten.

    Ich werde den Tipp, uns ein für unsere Zwecke ausreichendes System anbieten zu lassen, wohl beherzigen müssen und gleich mal

    unserern Reseller kontaktieren.

    Danke Euch für die Einschätzung.

  • 0 in reply to _patric

    Das Problem ist, dass die alten 220er gerade so für die damals aktuelle Firmware ausreihend waren. Für alles Zukünftige gab's dann keine Reservern mehr, so dass die Performance in den Keller ging.

    Bei der SG-Serie hat Sophos da mehr Spielraum eingebaut. Mal als Beispiel: die UTM220 hat 2GB RAM, eine SG210 hat 8 (und eine SSD statt HDD)!

    Ein Up2Date würde ich bei der 220er nicht mehr machen. Einfach ein Backup erstellen, den neuen Cluster aufziehen und dort dann das Backup zurückspielen.

    Die Lizenz muss dann natürlich noch angepasst werden, aber da kann der Reseller gut unterstützen.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking

    Ich bin da etwas oppositionell, denn ich denke, man hätte auch am Softwarekonzept arbeiten können, aber das passt nicht in das Produktkonzept von Sophos: Performanceprobleme soll der Kunde über neue Hardware lösen, am besten alle drei Jahre ...

  • 0 in reply to K.N.

    Machen sie doch: mit der XG. Die ist deutlich weniger Resourcen-hungrig.

    Leider noch nicht der UTM ebenbürtig was die Funktionen angeht.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Cookie Information Banner