Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 85 replies
  • Subscribers 2 subscribers
  • Views 98504 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Slow Throughput with Fast Cable

Asteroid
I was hoping some users who are far more experienced than I, could provide recommendations for improved throughput for a home license with 3concurrent users maximum and a cable modem connection of 180 down/30 up Mb/sec. 

Speed was measured with a computer directly connected to the cable modem for a baseline. A variety of speed test sites were used, as well as uploading and downloading large files to servers with timed comparisons and performance monitoring in Windows.

I tried the current software UTM version 9 on a Core 2 Duo at 1.8 GHz with 2GB RAM and a 7200 rpm HD and found that with everything off (but the firewall/NAT) that throughput was good. However, after activating IPS for Windows system/Office/Malware, download speed dropped to the 50s. Adding Web filtering and single AV, dropped it to the 40s. The latency of speed tests jumped from the 10-20 msec range to 160-170 msec range as well.

I then repeated the test on different hardware with an i7 Ivy Bridge 3770K with 32 GB RAM and a 7200 rpm HD and found a good baseline with everything off, a drop to the 90s with IPS (as above), and further drop to the 80s with Web filtering and single AV. On this system, CPU utilization peaked at 


This thread was automatically locked due to age.
  • 0
    not really.  all of my servers except one have either intels or broadcoms.  all of the broadcoms are embedded the mix of intels is roughly 50-50 between addon and embedded.  All utm installs except one are purely server components.  you can see my installs here
  • 0
    i just realized that page was in bad need of an update..which is now completed..[:)]
  • 0
    I performed throughput testing again with the same i7 system using a new dual port Intel NIC server PCIe card.

    The WAN and LAN were used on the add in card instead of the Intel and RealTek NIC ports on the motherboard.

    Unfortunately, no significant difference was evident:
    WAN single stream to LAN with no IPS = 180 Mb/sec
    WAN single stream to LAN with IPS = 94 Mb/sec

    Any other thoughts to further improve throughput?
  • 0
    Hi,

    I'm pretty much out of ideas, other than possibly trying another motherboard if practical.

    However, I would strongly recommend opening a support case with your reseller and/or Sophos.

    Barry
  • 0
    different mobo.  if this is a paid license get support involved but again i rarely run this type of software on desktop grade components.
  • 0 in reply to BarryG
    Barry,

    Won't help the OP as he's running a home license. [:(]

    ---

    William,

    I'm not sure if this was fixed in the libpcap used by the UTM but apparently pcap releases after v1.0.0 used an mmap'd feature that limited single stream throughput to 100Mbps. That was from Aug 2011 so hopefully there was a patch *and* the UTM is using it.

    References:
    Capacity Planning for Snort IDS | Bulbous, Not Tapered
    http://mikelococo.com/files/2011/2011_01_25-snort_performance.pdf (Note Pg 5)
  • 0
    I would like to thank everyone for their time and input.

    At this point, I think that there is a limitation in the software rather than the hardware, after the multitude of hardware configuration changes that were tried without any benefit.

    Another trial I performed shows progressive reduction of throughput with additional IPS attack rule addition. Starting with IPS off (180), IPS enabled without any rules set (165), Windows (130), and Windows/Specific Software/Malware (90s).

    Posts from other users have shown significant degradation in throughput on different hardware with IPS, but most of the reports are not quantified enough for easy conclusions due to variations in hardware and nonstandardized testing. I wonder if the poster with reported good LAN to LAN throughput that Barry mentioned had any advanced tuning excluding the servers tested.

    Andrew raises some excellent points in the above post. I have no information regarding how Sophos has dealt with these issues in their current product or beta edition.

    I went ahead and loaded the most current Beta UTM, and received all available updates. I specifically turned off QOS functions. Performing similar tests, I did not find any difference from the previous v9.0.

    I will post a question in the Beta forum asking whether any inherent limitation in download speed is present. I am sure this is more of a potential issue with the newer QOS enhancements.
  • 0
    Hi, I'm certain that there's no built-in 'throttle' if that's what you mean.

    The other poster with 500mbps tuned the rulesets to his enviroment, but you've already done that.

    William, did you have a chance to do a gigE LAN->DMZ test on a fast CPU?

    Barry
  • 0
    Hi Barry,

    I wasn't thinking of a "governor" as much as a processing limit for a single stream under this non-multithreaded snort process.

    Do you have any idea how Sophos has dealt with the issues raised in the above thoughts and references provided by Andrew?

    Thank you.
  • 0
    Oops, I missed that part of his comment; I guess I saw the '----' and thought the rest was signature [:P]

    The link (Capacity Planning for Snort IDS | Bulbous, Not Tapered) says "Libpcap ... lacks a built-in load-balancing feature, and can scale to a few hundred Mbits/sec of traffic".

    So it sounds to me like it shouldn't be limited to 90mbps.

    I checked my 9.005 firewall, and Snort is 2.9.3.1, and is linked against libpcap 1.0.0.

    I don't know if Astaro has done anything to improve performance, but they do claim high IPS throughput on their appliance models (which are made from common CPU and NIC hardware and have the same software). (Astaro does not give performance specs for non-Astaro hardware.)

    Barry