Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 3629 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro vs non-Astaro

JohnW@MoxieDatum
First off let me apologize if you are thinking this is a repeat question.  I have tried searching this forum a number of different ways and I don't seem to be able to find the answers I seek.  I have a few related questions as follows;

1) What features do you lose by not using Astaro hardware?
* no warranty on the non-Astaro unit (duh)
* no automatic update from v7 to v8 via the up2date service
? do you still get Astaro support/troubleshooting on the ASG software?
? can you connect RED devices to a central non-Astaro unit?
? can you use the new wireless AP10/AP30 hardware with non-Astaro units?
??what other features do you lose with non-Astaro hardware??

2) what makes the bigger Astaro units faster/able to handle more? 
memory/cpu/nic/IO/???

3) for building a non-Astaro unit, what components should be beefed up to handle all security features turned on (web/email/network/dual scanners/Intrusion detection/vpn/profiles/etc/etc/etc) with a decent amount of traffic (web/email/vpn) and a user base of 10-20?

I am asking because I have a number of clients with small offices (=80%) for a period of time, yet the cpu load is less than 10%.  The deployed ASG110 units have 1GB RAM which is the MAX allowed by Astaro.  To move up to a bigger ASG unit just for more memory is very expensive and hard for a small office to justify (especially in this tough economy).

Having read the many posts on non-Astaro hardware, I am considering on building non-Astaro units to resolve the above issues and would like to understand;
* the pit-falls for doing so?
* which components are more important?
* why the below build unit would not be better than even the mid-level Astaro units?  

Custom build mini-ITX for less than $400 bucks;
* Supermicro X7SPA-H motherboard
* Intel Atom D510 cpu
* Intel ICH9R chipset
* 4GB RAM (DDR2 667Mhz unbuffered non-ECC SO-DIMM)
* dual Intel 82574L gigabit NICs
* 160GB 7200rpm SATA drive
* watts ??? will report back to the forum on this

Thank You in advance for your input.
-JohnW


This thread was automatically locked due to age.
  • 0
    John,

    1) Essentially, it's just the ability to do a factory reset from the front panel and to have some information from the LCD on the front of an ASG appliance.
    2) Yes, all of those.
    3) Unless there's exceptionally heavy usage, your most cost-effective solution for such a customer would be an ASG120.

    There's no problem with the units running 75% to 85% RAM.  You can confirm that by the fact that the CPU load is so small.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi, I really doubt your Atom build is going to be faster than a current 220 appliance.
    However, it would be faster than a 110/120.

    If you want to build something with better performance, a low-end Core2 CPU would be much faster than an Atom CPU, fwiw.

    Also, $400 doesn't include the Astaro license, which you will have to re-purchase or upgrade if you're moving off of an appliance license.

    IMHO, there's one disadvantage to the Astaro appliances, which is the only reason I don't use them at work:

    No rapid replacement or on-site service; our HP service contract says that HP will REPAIR (or replace) our servers within 6 hours of our call (note this is better than a 4-hour contract as that just means they'll ARRIVE within 4 hours).

    However, Astaro has apparently lowered the price of replication/fail-over so 2 appliances in fail-over may be cost effective.

    Barry
  • 0
    Yes, Barry, "Hot Standby" is now no extra charge.  In your case, I think both of your work configs are a lot more powerful than ASG 220s and less expensive in terms of ongoing licensing costs.  You might save money and get more uptime by minimizing your HP Care Pack expense and adding hot standbys.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    One other advantage of Astaro appliances, assuming this info is still current:
    The 525 and 625 have "Hardware-accelerated virus scanning" (1)
    with a
    "SensoryNetworks NodalCore content security acceleration PCI card" (2)

    SensoryNetworks' current devices can accelerate IDS/IPS as well (3), but I don't know if this is implemented in the Astaro appliances.

    references:
    (1) http://www.astaro.ca/html/AstaroASG525Datasheet.pdf

    (2) Astaro's New Security Gateway Appliance Shipping With Sensory Networks' NodalCore(R) Acceleration Technology | SYS-CON.TV

    (3) Sensory Networks: Solutions for High-Performance Network Security

    The point of this hardware is to allow higher A/V and/or IPS throughput while reducing CPU load.

    AFAIK, the software appliance does not support adding one of this cards to a non-hardware install.


    Barry
  • 0 in reply to BAlfson
    Yes, Barry, "Hot Standby" is now no extra charge.  In your case, I think both of your work configs are a lot more powerful than ASG 220s and less expensive in terms of ongoing licensing costs.  You might save money and get more uptime by minimizing your HP Care Pack expense and adding hot standbys.


    Hi Bob, thanks for confirming the Standby pricing.

    Our hardware is somewhat overkill (for future expansion); I will definitely consider a pair of 220's if we need to setup another firewall. I forget, do they come with 2GB RAM now?

    FWIW, the HP 6-hour CTR care pack is a few hundred USD per year for the DL360 and less for the DL145.

    Barry
  • 0
    Barry, I'm not sure why the Canadian site has an old version of the 525 datasheet.  The new one is:
    http://www.astaro.com/sites/default/files/Resources/datasheets/Astaro_Security_Gateway_525_Datasheet_en.pdf

    It's been at least two years since the AV accelerator was offered, and I don't think it works with any version after V7.2xx.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    John,
    There's no problem with the units running 75% to 85% RAM.  You can confirm that by the fact that the CPU load is so small.
    Cheers - Bob


    Thanx Bob, If there is no problem with 75-85%, then why does Astaro put out alert messages for being above 75%? 

    BTW: I was born in Tulsa at the pink hospital, small world...LOL


    Hi, I really doubt your Atom build is going to be faster than a current 220 appliance.
    However, it would be faster than a 110/120.

    If you want to build something with better performance, a low-end Core2 CPU would be much faster than an Atom CPU, fwiw.
    Barry


    Thanx Barry, So it looks like the Atom would be a viable alternative to the 110/120.  Would a Core2 solution be a viable alternative to the 220/320?


    Also, $400 doesn't include the Astaro license, which you will have to re-purchase or upgrade if you're moving off of an appliance license.
    Barry


    I understand.  I was not looking to replace the current deployed units, but looking forward to future client solutions.
  • 0
    Oops... thanks.

    Looks like the new version has higher throughput; I guess the new CPUs are fast enough to make the accelerator unnecessary.

    FWIW, AMD-based servers are starting to become available with a "FPGA coprocessor" socket which shares the HyperTransport bus with a accelerator socket; this might be useful for very-high bandwidth Snort acceleration, etc.
    Torrenza - Wikipedia, the free encyclopedia

    Barry


    Barry
  • 0 in reply to JohnW@MoxieDatum
    Guys,
       I am still looking for answers to;

    1) still wanting to know about my first question. Bob, are your saying everything Astaro will work with a non-Astaro box?  
     1a) what about up2date ASG version upgrades?  It has been posted a number of times that the version upgrade feature via up2date will not work on non-Astaro hardware.
     1b) are there any other services/features that does not work with non-Astaro hardware???  RED, AP10/AP30, HA? 

    2) are the hardware specs for the ASG units posted anywhere?  Yes, I looked at the datasheets, but they have very limited details about what is inside.  (CPU/memory/NIC chipset/accelerator modules)

    Thanx.
  • 0
    You already mentioned 1a, and that's the only other item.  1b is not a concern.

    2) Dunno.  There's not enough profit in hardware for me to want to take any responsibility for it, so, for me, I supply either an Astaro appliance, an HP server or install it on a customer's box.  I know some resellers here put their own box together, but that's not what I want to spend any time thinking about... Call me lazy [;)]

    Cheers - Bob
    PS If you're getting memory alerts on a unit with 1GB, I think that means there are a ton of Up2Dates to apply!  All of my 1GB clients use 75%+ and no one is getting memory warnings.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner