Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 2 subscribers
  • Views 65622 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Performance issue after enabling IPS.

RPR84
Just we install Sophos Astaro UTM in our network environment. Now we have an issue when we enabling IPS. When we enable Intrusion Prevention, max download speed is 50Mbps. When we disable IPS, we can download with speed of 110Mbps.

We install Astaro Security Gateway as a virtual appliance in Hyper-V. The VM have 1GB internal memory and 1 CPU. 

Is there someone that knows how I can solve this issue? Thanks!


This thread was automatically locked due to age.
  • 0 in reply to William Warren
    Earlier on in one of my replies I indicated that reducing IPS process numbers would help, I thought it was William that published the steps, but it was actually Sascha who provided the details. And Barry replayed them.

    Ian
  • 0
    We test to download a single bin-file of 1GB. And we also testing by RoutIT Speed/LineQuality Test. I know, it is not very reliable, but it gives an idea about the download speed.

    When I open "top" in the SSH session, I see after changing num_instances parameter two processes with the name "snort". When downloading a bin-file, I see, one process consumed 85-99% of CPU.

    When I test, all other options are disabled in the appliance. We don't use content filter and antivirus. Only enabling and disabling IPS make the difference in download speed.

    I think, the Hyper-V host have enough resources. There is enough memory available. The host have 2x Intel Xeon 4-Core E5606 2,13 GHz CPU's. On the Hyper-V host there is also running an SBS2011 VM and a Windows 2008 R2 server (application server, non SQL or other database).
  • 0
    Hi, please try two simultaneous downloads.

    Are you giving the VM 100% of the CPU MHz (for the cores you are allocating)?

    Also, if you haven't already, you should tune the IPS rulesets and server definitions as appropriate for your networks.
    Especially make sure that the "Local Networks" only includes networks INSIDE the firewall.

    Barry
  • 0 in reply to RPR84
    We test to download a single bin-file of 1GB. And we also testing by RoutIT Speed/LineQuality Test. I know, it is not very reliable, but it gives an idea about the download speed.

    When I open "top" in the SSH session, I see after changing num_instances parameter two processes with the name "snort". When downloading a bin-file, I see, one process consumed 85-99% of CPU.

    When I test, all other options are disabled in the appliance. We don't use content filter and antivirus. Only enabling and disabling IPS make the difference in download speed.

    I think, the Hyper-V host have enough resources. There is enough memory available. The host have 2x Intel Xeon 4-Core E5606 2,13 GHz CPU's. On the Hyper-V host there is also running an SBS2011 VM and a Windows 2008 R2 server (application server, non SQL or other database).


    yes but how much cpu mhz are you giving the hyper-v vcpus on the astaro?  I have mine set at 2 vcpus min 50% and max 100%
  • 0
    also for hte astaro vm set the weghting at max..sbs2011 is a monster resource hog and is now discontinued...it will be supported until 2020-ish(lookup server 2008 r2's lifecycle).  

    give us full details on the vcpu mhx setup for every vm.  If you aren't oversubbed we can help you tweak things out.
  • 0
    I'm currently running into the same problem but it is not in a virtual machine. I'm currently running UTM 9 on a computer with the following specs:

    Intel Core i3-550 3.2GHz, 12GB DDR3, 2 Gigabit NICs, 40GB SSD(SATA), 1TB (SATA)(Currently Not Used) and NIC Cable CAT6.

    UTM 9 : Download speed 50Mbps, Upload 20Mbps
    Without UTM 9: Download 165Mbps, Upload 69Mbps

    So what am I doing wrong? I currently have the free home version. 
    My problems include the following:

    1. Fix the bandwidth gap - increase the speed of my UTM
    2. All non hhd intensive partitions on my 1TB hard disk. (Like my logs) And leave the hhd intensive partitions on the SSD.

    Any information or guidance would be greatly appreciated.
  • 0
    what nics...also turn off qos and ips first...see what happens.  What kind of internet?  many times isp errors between your wan and astaro hardware can cause issues.
  • 0
    Hi,

    I deleted your other post; please don't post the same question twice in a row.

    Anyways, 

    1. Astaro only supports 1 HD (or SSD). You can't use 2 drives.

    2. If you are using the Web Content Filter aka Web Security AKA HTTP proxy, speed tests are unlikely to be accurate.
    I suspect this is your 'problem'.

    3. the IPS and Traffic Classifier can slow down traffic. You should tune the IPS settings as appropriate for your enviroment.

    See https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/21312 for more information.

    Barry
  • 0
    actually you can use two drives with a 3ware hardware raid card..[[:)]]  You can use three or more depending on the card...[[:)]]
  • 0
    True, but that wouldn't help him with putting logs on the HD and everything else on the SSD.

    Barry