Astaro Performance vs direct connection

the 120 isn't going to be able to keep up if you have either less than 5 users or nothing being used except the packet processing engine.

the 120 isn't going to be able to keep up if you have either less than 5 users or nothing being used except the packet processing engine.

the 120 isn't going to be able to keep up if you have either less than 5 users or nothing being used except the packet processing engine.

Wow..should probably mention that to the resellers..a 5 person remote office is pretty darn small..guess I need to upgrade them to a 220...[:)]

the 120 isn't going to be able to keep up if you have either less than 5 users or nothing being used except the packet processing engine.

I have to disagree with this, as the 120 is designed to handle far more than 5 users. Of course, the main factors of load are going to be either the sheer amount of bandwidth, or the amount of "requests" due to many users and their activity, balanced against the features you have enabled. 

Just to illustrate this, attached are some screenshots of a 120 i was trying to "break" using a full DS3 45mbit connection. The first is a single user, with nat/PF only, consuming the full connection over SSL. As you can see from the ASG1 shot, which i took after 5-10 minutes of activity, the box isnt breaking a sweat, with less than 8% cpu and only 23% memory usage.

Then, I enabled IPS with every rule and pattern we currently have in 7.470, including all the extra warning patterns, and performed the same test. This time, the IPS engine took a bit of ram bumping it to 46%, and the processor was kept very busy handling the load, however the throughput was still good for the full line speed of 45 mbits/second) and after a decent period the load on the box wasnt more than about 3-4, which is fully sustainable.

To show web workload, i shut off the full use of the line (throughput), enabled the http and ftp proxies, and opened 43 different tabs in firefox with dual AV scanning, URL filtering, etc...reloading every 15 seconds. This sort of usage would mimic around 60-80 users based on click rates. Since the clamav engine takes a lot of resources, the load after 20 minutes was about 15 and climbing (though requests were still succeeding, and this scenario proved too much activity to really be sustainable.

Lastly, I disabled only the clamav engine and moved to single scan, and repated the same test, and this time the unit held perfectly steady and snappy at a load of around 4-5, with the cpu being most of the bottleneck. After another 15 minutes, i had put almost 20,000 requests through the proxy, using around 8-9 mbits/second sustained in doing so (very large sites like cnn, nbc etc... with lots of animations and flash), and the box holds fine.


Now this isnt real scientific testing like we do in our big testlab, this is me quickly firing up a 120 to see what it can do, and in summary the unit can EASILY filter at a bandwidth rate than most installed-customers use, and depending on features enabled and your configuration, can accomodate far more than 5 users. I wouldn't suggest a 120 for 75 users with all features enabled on a big internet line, but the ASG 110/120 easily meets its target base of the 10-75 users it is supposed to handle.

I just wanted to post some screenshots for those who don't have the line speed or the testing tools to do it themselves...

Just to illustrate this, attached are some screenshots of a 120 i was trying to "break" using a full DS3 45mbit connection. 

I am jealous.....I only have a 15mb fiber connection at my desk for testing..obviously I am working at the wrong company...[:)]

Thank you for the screenshots and testing..I was uneasy about some remote locations having too many users but the devices never seemed to perform badly and usually stay up for a min of 6 months at a time...

Wow..should probably mention that to the resellers..a 5 person remote office is pretty darn small..guess I need to upgrade them to a 220...[:)]

I have tested a 1xx and the cpu in that is very weak.  If you do anything more than 2 users with some of the bells on or have more than 5 users doing nothing but nat it's falls down..quickly.

I have to disagree with this, as the 120 is designed to handle far more than 5 users. Of course, the main factors of load are going to be either the sheer amount of bandwidth, or the amount of "requests" due to many users and their activity, balanced against the features you have enabled. 

Just to illustrate this, attached are some screenshots of a 120 i was trying to "break" using a full DS3 45mbit connection. The first is a single user, with nat/PF only, consuming the full connection over SSL. As you can see from the ASG1 shot, which i took after 5-10 minutes of activity, the box isnt breaking a sweat, with less than 8% cpu and only 23% memory usage.

Then, I enabled IPS with every rule and pattern we currently have in 7.470, including all the extra warning patterns, and performed the same test. This time, the IPS engine took a bit of ram bumping it to 46%, and the processor was kept very busy handling the load, however the throughput was still good for the full line speed of 45 mbits/second) and after a decent period the load on the box wasnt more than about 3-4, which is fully sustainable.

To show web workload, i shut off the full use of the line (throughput), enabled the http and ftp proxies, and opened 43 different tabs in firefox with dual AV scanning, URL filtering, etc...reloading every 15 seconds. This sort of usage would mimic around 60-80 users based on click rates. Since the clamav engine takes a lot of resources, the load after 20 minutes was about 15 and climbing (though requests were still succeeding, and this scenario proved too much activity to really be sustainable.

Lastly, I disabled only the clamav engine and moved to single scan, and repated the same test, and this time the unit held perfectly steady and snappy at a load of around 4-5, with the cpu being most of the bottleneck. After another 15 minutes, i had put almost 20,000 requests through the proxy, using around 8-9 mbits/second sustained in doing so (very large sites like cnn, nbc etc... with lots of animations and flash), and the box holds fine.


Now this isnt real scientific testing like we do in our big testlab, this is me quickly firing up a 120 to see what it can do, and in summary the unit can EASILY filter at a bandwidth rate than most installed-customers use, and depending on features enabled and your configuration, can accomodate far more than 5 users. I wouldn't suggest a 120 for 75 users with all features enabled on a big internet line, but the ASG 110/120 easily meets its target base of the 10-75 users it is supposed to handle.

I just wanted to post some screenshots for those who don't have the line speed or the testing tools to do it themselves...

in my test here at my house with 3 users i can destroy a 1xx in seconds under normal usage.  Most of my clients could easily hammer one of those as well. I have asked around here in my area about similar products..they just don't hold up if you have any kind of traffic.  If you have low-volume traffic it'll work..for a bit..the instant you put a wsus server behind it with 2 or more users it's done.  Stick with the 2xx systems as a bottom end.

in my test here at my house with 3 users i can destroy a 1xx in seconds under normal usage.  Most of my clients could easily hammer one of those as well. I have asked around here in my area about similar products..they just don't hold up if you have any kind of traffic.  If you have low-volume traffic it'll work..for a bit..the instant you put a wsus server behind it with 2 or more users it's done.  Stick with the 2xx systems as a bottom end.

You must have them misconfigured....that's like an eight foot wookiee on endor...just doesn't make sense..