Adding more ram to ASG320

The 220 should handle that load easily.  Remember that the sizing of ASG appliances is based on the power of the underlying hardware.  The software versions are sized by number of IPs, and you would likely fall into the 100-user licensing category.  The ASG220 appliance should be the best buy for you, so kudos to your reseller.

If you're getting extremely high usage when you turn on IPS, then check to make sure that you have 'Internal (Network)' only in Global IPS Settings.  I don't remember what I did one time, but I managed to overload and finally lock-up an ASG by putting the wrong thing in there.

Cheers - Bob

Actually, my reseller didn't actually even know what Astaro was when I asked about it. The reason I went with that reseller is because they were listed on the Astaro resellers list and the nearest to our company..

For IPS i've got the Internal network and DMZ in global IPS, surely it'd be a good idea to have those two in there?

Try removing DMZ and see if that resolves the issue.  The internal network alone is what most people have.

I have to disagree with Bob... if you have servers, etc. in that DMZ, the DMZ should be in the Local networks listbox... You may want to check the performance tuning settings, though (make sure that only applicable hosts are in the specific service type lists in the Advanced tab)... 

I have seen some of the older 220s struggle with 50 users or less (all features enabled, a lot of email, etc.) ... though the latest changes in the anti-spam engine has helped.  I've upgraded some customers to 320s, or custom appliances with software only licenses.

Bruce has broader experience than I, so I would take his advice.

Bruce, if he's having performance issues, what other items would you turn off to tune the Astaro?  I mean, before trying my suggestion.

Thanks - Bob

With that few of users... I would probably have Astaro take a look at it... since his reseller isn't too familiar with the product.  They might approve him to add more RAM... or may even find some other issue.

The flow analyzers are generally the big RAM users, that means IPS and IM/P2P.  I think the false positives are under control with the current release, but if you see a steady increase in RAM use over time, leading to swap usage- check your IM/P2P logs for signs of false positives.  Running top from the shell and entering a capital letter "M" will sort the processes by memory use, this may help identify the issue.

Note that IPS should be tuned for your environment, review the attack patterns and uncheck any that don't apply to your network.

Mark:  If you have a newer 220 (v2), I believe those have the capability to go up to 1GB RAM.  Older 220s are maxed out at 512MB RAM, due to the chipset used, and cannot be upgraded with more.

Scott is correct.  I did have one customer that we originally sold a 220 to (they had only about 40 users behind it with all features on, and a T1), and it worked fine for a year or so, until they started being targeted by spammers... they just beat the box to death... and one could not upgrade the RAM in the old ones.  There was not a workaround (even Astaro Support could not find a way to get it to squeek by).  We ended up upgrading them to a 320, and the problem was solved.

Even if you do have a newer 220, bear in mind that you still need to get Support's blessing if you want to open that cover, or put RAM in it... doing so without Astaro Support's blessing can void your warranty and support.  Let them look at it first.

As to IM/P2P and IPS tuning, sure, check the logs and make sure you aren't racking up tons of false positives, and disable whatever rules that are causing them.

Jack, which false positives has Astaro addressed in the newest releases?  I have a couple of tickets open on some common (as in many of my customers have the same ones) false positives generated by the IM/P2P filtering engine, but I haven't heard from support about any of them being addressed yet.  The two that come to mind are DNS traffic that causes false MSN Messenger alerts, and RDP traffic that causes false Winny Alerts / Blocks.

I think we have sorted out the HP printers (port 9100 traffic) and Winny FPs, I don't know what else.

One thing I have seen is that the 7.3x email systems are significantly more efficient that prior releases, older 220s which were overtaxed by email on 7.2 and earlier are often restored to reasonable performance by upgrading to 7.3x

You are right, Jack... the new email system has reduced loads on customers of mine that have 220s in service... unfortunately some had the problem long ago, before the changes were made... in any event, I have been selling a lot more 320s and custom appliances with licenses in situations where I believe the loads will be heavy (mostly from web browsing nowadays).

I'll re-enable the IM/P2P rules I have disabled now at most sites, enable them for log only and see if the false positives I was seeing before are now gone -- The RDP traffic (triggered Winny rules) was the big one...