Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 26 replies
  • Subscribers 2 subscribers
  • Views 7719 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Trying to find hardware answers

scottd
I have a 10mb connection to the internet and approx.  3200 workstations.  I am seriously considering the Astaro product because it really appears that it will meet my needs.    The problem is I can't find and information on scaling when it comes to number of workstations.   We would obviously install Astaro on our own hardware.     We would use Firewall, Content Filter, NDS Authentication, Filtering using Groups,  Intrusion Detection,  AntiVirus/AntiSpyWare.

I've talked to people who are doing the same thing we want to do but on a smaller scale.   So im asking for help building a box.   

Is it even possible to run all this on one machine for 3200 clients?

Our current filter handles about 2.5 million requests a day and we do about 8mb of traffic to the internet at our peak time. 

I really need some help hope you guys and girls are it.  Thanks.

I should add that even though there are 3200 nodes they wont be connected at the same time.


This thread was automatically locked due to age.
  • 0 in reply to scottd
    SMP stands for Symettrical Multi-Processing.  Dual-Core Processors and systems with multiple processors are known as SMP systems.  There is no stability issue, etc. when running Squid on a Xeon Dual Core processor with the Dual-Core feature turned off... when you turn it on, Squid can experience a "race" condition, which will cause it to fail.  It's well documented on the Squid web page and in Astaro's Knowledgebase.  Astaro recommends that if you are using an SMP-capable system, and are going to use the HTTP Proxy, that you perform the install of the software using the nosmp switch.  I also believe that the appliances that have SMP-capable hardware in them are running with SMP turned off, for stability reasons, with the Squid Cache.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    SMP stands for Symettrical Multi-Processing.  Dual-Core Processors and systems with multiple processors are known as SMP systems.  There is no stability issue, etc. when running Squid on a Xeon Dual Core processor with the Dual-Core feature turned off... when you turn it on, Squid can experience a "race" condition, which will cause it to fail.  It's well documented on the Squid web page and in Astaro's Knowledgebase.  Astaro recommends that if you are using an SMP-capable system, and are going to use the HTTP Proxy, that you perform the install of the software using the nosmp switch.  I also believe that the appliances that have SMP-capable hardware in them are running with SMP turned off, for stability reasons, with the Squid Cache.


    Then there is no advantage of having Dual Core processors.  What about Standard Xeons with Hyperthreading?
  • 0 in reply to scottd
    Hyperthreading creates the same issue, it looks like 2 cpu's to the OS.  I'm not saying don't buy such a system (I run one myself), as I'm sure the folks that are doing development work for Squid will eventually fix the stability issue with SMP, and then you can take advantage of it.  Of course, if you're not using the Proxy, the other components (Kernel, etc.) work fine in SMP mode.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Here's an excerpt from the Astaro KB:

    SMP Kernel slows down the HTTP-Proxy
     Product Version: 5.000 or later 
      
    Symptom: 
    If using Astaro Security Linux with an installed SMP kernel, the HTTP-Proxy performance slows down by approx. 50%. 
    Cause: 
    This is a known issue of the current Linux kernel.

    Resolution: 
    If the major task of Astaro Security Linux is to serve as an HTTP-Proxy, you can increase the performance by installing the default Linux kernel.
     


    ----IMHO, this should really read as "there's an issue with Squid AND the SMP Linux Kernel" as other modules aren't affected.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Here's an excerpt from the Astaro KB:

    SMP Kernel slows down the HTTP-Proxy
     Product Version: 5.000 or later 
      
    Symptom: 
    If using Astaro Security Linux with an installed SMP kernel, the HTTP-Proxy performance slows down by approx. 50%. 
    Cause: 
    This is a known issue of the current Linux kernel.

    Resolution: 
    If the major task of Astaro Security Linux is to serve as an HTTP-Proxy, you can increase the performance by installing the default Linux kernel.
     

    ----IMHO, this should really read as "there's an issue with Squid AND the SMP Linux Kernel" as other modules aren't affected.


    Well that kind of puts a damper on things since the main reason we are looking at the Astaro product is its Filtering ability.

    So it goes back to my original question performance.   Will I still beable to support the same number of users with SMP disabled on the same box?
  • 0 in reply to scottd
    You're taking this wrong... just install the ASG software on your hardware with the NOSMP option (the first screen you see after you boot off the install CD says how to do this).  If you are looking at an appliance (if it's one of the bigger ones with hyperthreading), it will already be setup this way.  It works just fine without SMP enabled, and the bigger units can handle a LOT of requests.  Memory is a key here, we use 512 as a minimum, with 1GB becoming more of a norm lately.  Trust me, it works great.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to ffeingol
    Compare your needs to this:
    http://www.astaro.com/firewall_network_security/asg425

    It's just running a P4.   It does have the advantage of using the Sensory AV acceleration card, which I would recommend with that level of usage.  When we sell one, this is one of the bigger performance increases we see, in the AV scanning!  It might be possible to use a card like this on your hardware, Sensory does sell them on their site.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    You're taking this wrong... just install the ASG software on your hardware with the NOSMP option (the first screen you see after you boot off the install CD says how to do this).  If you are looking at an appliance (if it's one of the bigger ones with hyperthreading), it will already be setup this way.  It works just fine without SMP enabled, and the bigger units can handle a LOT of requests.  Memory is a key here, we use 512 as a minimum, with 1GB becoming more of a norm lately.  Trust me, it works great.



    Thanks for being so patient.    What I am asking is with SMP turned off and the Operating system not able to take advantage of the hyperthreading or dual core performance will Astaro still meet our needs?      From what Im gathering is it will but I need to be sure before I invest $20K into the product.  I realize there are eval units but since school lets out in June and we are in our final weeks I don't know if I have time for a proper test.
  • 0 in reply to scottd
    We've sold (we're preferred resellers) a 425 to a rather large school system... They seem to be pretty happy with it.  I understand your concern about an eval unit, but it only takes about an hour to install one in transparent mode, so you can guage the performance of the content filter.  A note, too:  If you're like a lot of schools we run across, you're probably running Netware.. This integrates beautifully with NDS.  Also, the new version of software, V7, will include a significant enhancement to content filter performance (I know how, but I'm not sure if I can tell that!), but it should be pretty significant.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    I thought the SMP problems were with the content filtering (Cobion?), not with Squid (caching http proxy).

    I also thought those were fixed in 6.x

    Am I wrong, or is this a different issue?

    Barry
Cookie Information Banner