Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 2 subscribers
  • Views 65660 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Performance issue after enabling IPS.

RPR84
Just we install Sophos Astaro UTM in our network environment. Now we have an issue when we enabling IPS. When we enable Intrusion Prevention, max download speed is 50Mbps. When we disable IPS, we can download with speed of 110Mbps.

We install Astaro Security Gateway as a virtual appliance in Hyper-V. The VM have 1GB internal memory and 1 CPU. 

Is there someone that knows how I can solve this issue? Thanks!


This thread was automatically locked due to age.
  • 0
    Just we install Sophos Astaro UTM in our network environment. Now we have an issue when we enabling IPS. When we enable Intrusion Prevention, max download speed is 50Mbps. When we disable IPS, we can download with speed of 110Mbps.

    We install Astaro Security Gateway as a virtual appliance in Hyper-V. The VM have 1GB internal memory and 1 CPU. 

    Is there someone that knows how I can solve this issue? Thanks!


    Easiest way is to add another vCPU (or more) and memory to the VM. Add per additional CPU core also another GB of Memory (if you have enough free resources on the HyperV Host).

    Other way is to add CPU resources to the VM on HyperV if possible.

    IPS is simple - more CPU cores or More GHz == more IPS throughput...[:D]
  • 0 in reply to Sascha Paris
    Hi Sascha,
    there is a slightly different interpretation published by some of the experts on this site and that is one IPS session less than the number of cores will improve performance and throughput. Also reduces memory requirements.

    An extra CPU and at least 1gb more ram will most definitely help.

    Ian
  • 0
    IPS is single threaded so mhz matters more than core count.  Also I have found that more than two vcpus means you won't get full performance out of all of the cores.  Stick with 2 vcpus and load up the mhz.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Thanks all for replying! Just I try some changes:

    - Expand memory to 2GB
    - Add second virtual CPU
    - Change CPU instances: cc set ips num_instances 2 (https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/28468)

    But none of them helps to get better performance. 

    I hope, you can help me further to resolve this problem.
  • 0
    how much mhz do you have to the cpus?  Also if you have 2 cpus i would use ips instances of 1.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Just we install Sophos Astaro UTM in our network environment. Now we have an issue when we enabling IPS. When we enable Intrusion Prevention, max download speed is 50Mbps. When we disable IPS, we can download with speed of 110Mbps.

    We install Astaro Security Gateway as a virtual appliance in Hyper-V. The VM have 1GB internal memory and 1 CPU. 

    Is there someone that knows how I can solve this issue? Thanks!


    just an fyi.  I have a quad core xeon in my host.  I have min 25% cpu and max 75% cpu to the astaro vm.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Hi, are you testing one download, or multiple?

    Try multiple downloads, with 
    cc set ips num_instances 2 

    Also try disabling Content Detection or Application Detection or whatever it's called now.

    Are you using the HTTP Content Filter and AntiVirus?

    Barry
  • 0
    with ips you should be able to max out the connection with one download(depending on the server at the other end of course).....otherwise I would do at least 5 large(500 megs or larger) downloads at the same time to make it an accurate test with your wan speed.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Hi William,

    My understanding is that one download stream will run as one thread in the IPS, which means if 1 CPU core is maxed out by that thread, it is bottlenecked.
    That is why I recommended multiple downloads.

    Barry
  • 0
    i don't think he's maxing out his cpu..if he's running v9 he may be hitting the cpu performance issue under hyper-v i`ve hit.  You have to throw enough mhz at the vm..however if he's not "pushing " things hard enough the host cpu stays in low gear thereby tanking ips performance.  Multiple downloads work well..but it's http proxy that "pushes" the cpu most times not ips.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Cookie Information Banner