Slow speeds between interfaces

Hey 'nator,

I call it Rule #1:

Whenever something seems strange, always check the Intrusion Prevention and Firewall logs.

Any luck with that?  If not, then I would suspect a hardware-type problem - mismatched MTU with the switch, disagreement between the switch and the Astaro concerning speed or duplex settings, etc.

Cheers - Bob

Great thanks BAlfson,

I figured it should be working, but wanted to make sure I didn't have to add any special static route or anything more than I have. I checked packet inspection and firewall. No problems there.

MTU size and switch duplex settings makes sense as a place to start. Can you tell me what is best practices when it comes to link speed? Does everyone just use auto? or is it recommended to set the backbone/uplink ports to one speed? We only use CAT 5e to link switches right now. 

Thanks!

If the server is in "Internal (Network)," then the users in that subnet will access it without transiting the Astaro.  Before changing anything, check the output of ifconfig eth0 from the command line.

First thing would be checking the MTU and trying a new Ethernet cable from eth3 to the switch. You might try setting both the switch port and eth3 to 1Gbps Full instead of auto. You might need to reboot both devices to be certain that they re-negotiate to the fixed setting.

Cheers - Bob

Okay so I haven't gotten to the MTU or Duplex testing because I think I found the cause...

When I said that the Packet Inspection and Firewall aren't a problem, I was referring to a lack of any blocked packets in the log. However, I decided to try shutting down the IPS temporarily and see if it changes anything.

Result: FULL SPEED!

Obviously I don't want to leave the IPS off, but I can't seem to find an exclusion rule that works. I've gotten the speed up to 100Mbps, but that is it.

Here are some that I've tried:
With all checks selected;
Intrusion Prevention: Checked
Portscan: Checked
TCP SYN Flood: Checked
UDP Flood: Checked
ICMP Flood: Checked

These are the rules I tried:
Coming from: Internal 2
---------------------------
Coming from: Internal 2 (network) AND Going to: Internal (network)
---------------------------
Coming from: Internal 2 (network) AND going to FileServer
---------------------------
Going to: Internal (network)
----------------------------
Going to: FileServer

No luck. Any recommendations?

Thanks again,
-Nator

Hi, the IPS does use a LOT of CPU when under heavy load.

1. deselect any rulesets that don't apply to your internal networks; e.g. if you don't have a MS SQL DB server, disable those rules

2. if you do have a SQL server, make sure it is set on the Servers page; same for mail servers, ...

3. I'm not sure what you mean by "These are the rules I tried"...
Are those Exceptions you created? If so, you probably need to try:
coming FROM OR TO FileServer

4. what CPU are you using?

5. what speed is your internet connection?

Also, the Application Control (or whatever it's called now) system uses a lot of CPU. If you aren't using it, disable it.

Barry

I'm confused now.  There was nothing in the Intrusion Prevention log, but turning IPS off solved the problem?  When you tried those Exceptions, were you watching the Intrusion Prevention Live Log to be certain that the process had completed its restart?  What exact version of ASG/UTM?  Is this a hardware appliance?  Which one and how old is it?  How many users?

Cheers - Bob

Okay so I'll go back and check my IPS logs again, but to answer some of your questions:


- Software license (9.003-16) running on a 4 year old Dell server
- 2 sockets 8 core @ 2.40Ghz XEON E7330 CPU
- 16GB DDR3 RAM
- 250GB SATA HDD
- 2x Intel Pro 1000 PT quad port 1Gb ethernet cards
- 1 Internet WAN at guaranteed 10Mbps up/down fibre
- 1x DSL Up to 12 Mbps down, 1 Mbps up

1 week stats (includes many transfer tests)
CPU Usage Max 7.36% Min 0.14% Avg. 0.81%
Memory Usage Max 31.99% Min. 10.94% Avg. 22.72%
Swap Usage Max. 0% Min. 0.00% Avg. 0.00%

So needless to say, I don't think it's a hardware issue lol

Okay so I think I narrowed it down to some poorly written exception rules from a past project. They happened  to still be enabled. Now with them off I'm getting 542Mbps Write and 610Mbps Read.

Thank you for pointing me in the direction of the IPS though. Figures since it's the most demanding part of the system.

Tell me though. Are there any optimized PCIe network cards that would increase the efficiency of network traffic? I'm using these standard NICs, but thought maybe them fancy low-lag gaming NICs would work better. Do you know of any that are meant for these types of setups?

Thanks again Barry and Bob!

Hi,

You don't want to use Gaming NICs, but Astaro does do some TCP offloading with some SERVER NICs, such as the Intel gigE NICs that have those features (yours should, if they're not too old). I'm not certain, but offloading on Broadcom NICs may also be supported.

HOWEVER, it's not going to help much... the IPS will still be the bottleneck.

Note that the IPS is multi-threaded, so you should be able to get more (total) throughput if you have more than one connection transferring data to/from the server(s).

Barry

ips is multi process..each instance is a separate copy of the entire executable and database...i wish it was MT..[:)]