Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 2236 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hardware Perfomance

TuxBrother
My UTM has the following specs:


  • Intel Xeon 1220Lv2
  • Supermicro Motherboard / C204
  • 8GB RAM
  • 250GB 7200RPM HDD


Currently, only the on-board NIC's are in use.

I have a VLAN setup (with a VLAN capable switch). So actually the traffic between 2 subnets is reversely directed trough one GBe port on the switch. 

Subnet 1 (VLAN X) Port 17 > Port 1 to the UTM > Subnet 2 (VLAN XY) UTM > Port 1 on the switch > Port 8 Destination (Untagged).

For some reason I am expierencing performance issues. When doing a file transfer between subnets, my speed is around 20MB/s, where my network should handle >80MB/s. Turning IPS off rises the speed to around 30MB/s.

Is my just not capable (IPS) of doing this traffic, or might there be other issues? My fiber connection is currently 100/100, but will be upgraded to 500/500 soon. It would be pity to loose all speed due to my setup. 

Is it also possible to tune the IPS for my fileserver?

Edit: Some iperf results:

IPS ON: [  3]  0.0-10.0 sec   177 MBytes   148 Mbits/sec
IPS OFF: [  3]  0.0-10.0 sec   430 MBytes   360 Mbits/sec

Running via the same setup as described above, from my file server to my client, both on a different VLAN (file server acted as iperf server). The would still need to pass >800Mbits/sec, since my whole network is CAT6 and Gigabit.


This thread was automatically locked due to age.
  • 0
    I would recommend to use the switch for routing between the VLANs.

    My setup @work is to route everything between the 14 VLANs at the coreswitch. All internettraffic is routed to the UTM.
  • 0 in reply to GMF
    I would recommend to use the switch for routing between the VLANs.

    My setup @work is to route everything between the 14 VLANs at the coreswitch. All internettraffic is routed to the UTM.


    So if I handle it at the core switch, I would loose the protection between VLAN's right? My setup now is that only selected traffic can pass through the VLAN's. And if some traffic from another VLAN will be routed through a VPN? And if some subnet (and e.g. my fileserver) needs to have internet access for things like product updates, how do I do that with the IPS?

    Edit: My switch doesn't seem to have any VLAN routing capabilities...
  • 0
    Is it also possible to tune the IPS for my fileserver?

    You could make an Exception for all traffic coming from the server, thus scanning only traffic inbound to it.  I presume you have a local anti-virus running on it.

    I'm not familiar with that hardware.  What is the make and model of the NICs?

    Cheers - Bob
  • 0
    Hey Bob,

    I deal in supermicro a bit and the family of boards using the C204 also use Intel NIC's, specifically the 82574L/79LM and i350.
  • 0
    You knew where I was coming from, Drew - evil Realtek cards! [:D]

    Tux, in your place, I would add another NIC and LAG it with your LANs NIC.

    Cheers - Bob
  • 0
    Also strange that the UTM320 is capable of handling 1,3Gb/s IPS throughput. According to this sheet, my specs are even better. Why does mine stuck at 150Mb/s with IPS filtering, then?
  • 0
    Hi, those specs seem to be MAX throughput; e.g. with only basic firewalling enabled.

    That said, tuning the IPS might help a bit.

    FWIW, the highest numbers I've seen posted for IPS throughput are 500-600mbps, and that was with dual Xeon CPUs and Intel or Broadcom NICs.

    Barry
  • 0 in reply to BarryG
    Hi, those specs seem to be MAX throughput; e.g. with only basic firewalling enabled.

    That said, tuning the IPS might help a bit.

    FWIW, the highest numbers I've seen posted for IPS throughput are 500-600mbps, and that was with dual Xeon CPUs and Intel or Broadcom NICs.

    Barry


    You know what? I think Astaro's IPS implementation is wrong - or rather insufficient. This user did a good request a time ago - but it was immediately answered by an admin who said 'Snort is allready capable of Multi Threading'. I don't know if the dev team has changed Snort to support true multi threading - but I think he was confused with multi process.

    IPS In this manner is a difficult thing, becuase to take full advantage of a CPU a there are a lot of tricks coming into play. To let Snort take advantages of a multi-core CPU, the whole datastream need to devided in several chunks - where the data rates of a single chunk will differ for the amount of CPU power available. According to this post, (TL; DR Warning!) with this technique a single CPU will do 200 - 500 Mbit/sec. That said - it will - off course vary on the CPU power available and the ruleset used.

    There is another IPS project - mentioned at the first link. At the time the idea was suggested - Suricata's multithreaded performance was a lot better than Snort's single-threaded performance, but if one used multiple Snort instances as described above - then Snort would be much more efficient.

    But Suricata has another thing up on it's sleeve, and however it is in an early stage, I think this will be a breakthrough in efficient IPS filtering: CUDA. Yep, they are working on full GPU-acceleration support. The performance of this project could be astonishing.

    Maybe the devs can tune in and at least take inspiration from it? When an UTM could offload these CPU intensive tasks like IPS to a GPU - it leaves a lot of CPU power available for other things. 

    I am curious how my gateway would perform with a dedicated graphics card and this technique implemented.
  • 0
    Hi Tuxbrother,

    Not going to get into the debate about Suricata vs Snort as it's early morning where I am and discussing govt sponsored software, especially in light of recent revelations vis a vis NSA & Snowden, is not how I start my day. [:)]

    As was mentioned in that Snort blog you referred to, tuning IPS for 1Gb streams is not trivial. Some of the stuff they deal with is beyond the scope of what we can tune here but there are a couple of things to keep in mind.

    Big thing to remember about Snort is that a single stream is limited to a single instance. You can't have the same stream scanned by several snort instances at the same time. You can however, have multiple streams scanned by multiple instances.

    That means that in a multi-user environment you can improve the aggregate scanning speed by scaling up the number of instances of Snort running. However, single streams are still going to be limited to the speed of a single Snort instance.

    So how do we improve that? Biggest thing to improve scan speed is CPU speed. That means MHz, plain and simple. The biggest thing to avoid, Dynamic Frequency Scaling. Nothing kills IPS performance like a CPU that's waiting for increased load to increase core speed.

    William first mentioned this, and I've taken it to heart, is that when planning a build for the Sophos UTM, unless you are in a larger environment where the extra cores will be used, focus of core speed vs core count.
  • 0 in reply to TuxBrother
    Also strange that the UTM320 is capable of handling 1,3Gb/s IPS throughput. According to this sheet, my specs are even better. Why does mine stuck at 150Mb/s with IPS filtering, then?


    Welcome to the world of IT marketing.

    The 1.3Gbps number you see quoted depends on several underlying assumptions.

    [LIST=1]
    • Everything but basic firewall & IPS are turned off.
    • Testing is done in a lab where the streams are random but controlled to some extent.
    • People doing the tests were probably tweaking some dials under the hood we may not have access to through the admin console.
    • That's aggregate bandwidth, not single scan performance.
    [/LIST]

    Before you cry foul, this kind of "Best Case" quoting is normal in the industry and if Sophos were to quote "Out of the Box" specs with FullGuard enabled, they'd never be able to sell product because the numbers would be abysmal.