Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 2225 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hardware Perfomance

TuxBrother
My UTM has the following specs:


  • Intel Xeon 1220Lv2
  • Supermicro Motherboard / C204
  • 8GB RAM
  • 250GB 7200RPM HDD


Currently, only the on-board NIC's are in use.

I have a VLAN setup (with a VLAN capable switch). So actually the traffic between 2 subnets is reversely directed trough one GBe port on the switch. 

Subnet 1 (VLAN X) Port 17 > Port 1 to the UTM > Subnet 2 (VLAN XY) UTM > Port 1 on the switch > Port 8 Destination (Untagged).

For some reason I am expierencing performance issues. When doing a file transfer between subnets, my speed is around 20MB/s, where my network should handle >80MB/s. Turning IPS off rises the speed to around 30MB/s.

Is my just not capable (IPS) of doing this traffic, or might there be other issues? My fiber connection is currently 100/100, but will be upgraded to 500/500 soon. It would be pity to loose all speed due to my setup. 

Is it also possible to tune the IPS for my fileserver?

Edit: Some iperf results:

IPS ON: [  3]  0.0-10.0 sec   177 MBytes   148 Mbits/sec
IPS OFF: [  3]  0.0-10.0 sec   430 MBytes   360 Mbits/sec

Running via the same setup as described above, from my file server to my client, both on a different VLAN (file server acted as iperf server). The would still need to pass >800Mbits/sec, since my whole network is CAT6 and Gigabit.


This thread was automatically locked due to age.
Parents
  • 0
    Hi Tuxbrother,

    Not going to get into the debate about Suricata vs Snort as it's early morning where I am and discussing govt sponsored software, especially in light of recent revelations vis a vis NSA & Snowden, is not how I start my day. [:)]

    As was mentioned in that Snort blog you referred to, tuning IPS for 1Gb streams is not trivial. Some of the stuff they deal with is beyond the scope of what we can tune here but there are a couple of things to keep in mind.

    Big thing to remember about Snort is that a single stream is limited to a single instance. You can't have the same stream scanned by several snort instances at the same time. You can however, have multiple streams scanned by multiple instances.

    That means that in a multi-user environment you can improve the aggregate scanning speed by scaling up the number of instances of Snort running. However, single streams are still going to be limited to the speed of a single Snort instance.

    So how do we improve that? Biggest thing to improve scan speed is CPU speed. That means MHz, plain and simple. The biggest thing to avoid, Dynamic Frequency Scaling. Nothing kills IPS performance like a CPU that's waiting for increased load to increase core speed.

    William first mentioned this, and I've taken it to heart, is that when planning a build for the Sophos UTM, unless you are in a larger environment where the extra cores will be used, focus of core speed vs core count.
Reply
  • 0
    Hi Tuxbrother,

    Not going to get into the debate about Suricata vs Snort as it's early morning where I am and discussing govt sponsored software, especially in light of recent revelations vis a vis NSA & Snowden, is not how I start my day. [:)]

    As was mentioned in that Snort blog you referred to, tuning IPS for 1Gb streams is not trivial. Some of the stuff they deal with is beyond the scope of what we can tune here but there are a couple of things to keep in mind.

    Big thing to remember about Snort is that a single stream is limited to a single instance. You can't have the same stream scanned by several snort instances at the same time. You can however, have multiple streams scanned by multiple instances.

    That means that in a multi-user environment you can improve the aggregate scanning speed by scaling up the number of instances of Snort running. However, single streams are still going to be limited to the speed of a single Snort instance.

    So how do we improve that? Biggest thing to improve scan speed is CPU speed. That means MHz, plain and simple. The biggest thing to avoid, Dynamic Frequency Scaling. Nothing kills IPS performance like a CPU that's waiting for increased load to increase core speed.

    William first mentioned this, and I've taken it to heart, is that when planning a build for the Sophos UTM, unless you are in a larger environment where the extra cores will be used, focus of core speed vs core count.
Children
No Data