Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 17167 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Reduces Performance DRASTICALLY, HELP!

sirebral
I've been running some tests against with a virtual instance of Astaro on Hyper-V 3 (2012) with the synthetic adapter that is not at all lacking for resources (it only show 1-5% CPU at any time and 30-40% memory usage).  It has been allocated 2 vcores and 2 gigs of RAM.  The box is connected to a gigabit Ethernet internet connection and I've been getting some odd results when trying to download random test files.

If I have snort 100% disabled (red X in IPS) I am getting on average 100-150Mbps download, yet as soon as I enable snort, even with NO rules enabled the transfer slows down to 6-10Mbps.  I've tested this several times, even removing the network card that I am testing behind from the list enabled for IPS and still have the same result if the IPS is enabled (rules or no rules).  I am getting no IPS drops/hits during this process, just the extreme change in speed.

There's no other activity on the network when I'm testing.

Is there something that I can tweak here?  I'm guessing this isn't the expected behavior.

Thanks,

Keith


This thread was automatically locked due to age.
  • 0
    what cpu is in the host machine?  if you aren't allocating enough ghz you'll get cruddy performance..
  • 0 in reply to William Warren
    what cpu is in the host machine?  if you aren't allocating enough ghz you'll get cruddy performance..


    I'm dedicating 2 full cores of a XEON 3.3 GHZ box to it, I think that's enough, particularly as the CPU counter is hovering near zero... any other things to look at?

    Thanks,

    Keith
  • 0 in reply to sirebral
    Guess that's not enough, if I run top on the box snort is taking 99% of the processor under load, time to ramp it up, perhaps it'd run better with 8 vcores (resource hog!)

    Keith
  • 0
    Hi, 
    1. what have you configured for the "Local Networks" setting in the IPS configuration?

    2. have you tuned the IPS rulesets to match your servers & PCs, disabling irrelevant rule groups?

    Barry
  • 0 in reply to sirebral
    Guess that's not enough, if I run top on the box snort is taking 99% of the processor under load, time to ramp it up, perhaps it'd run better with 8 vcores (resource hog!)

    Keith


    Hi, more cores will help, but only for multiple transfers; a single network transfer can not be analyzed (by snort) on more than one CPU thread.

    Barry
  • 0 in reply to BarryG
    Barry,

    I've tried all sorts of configs.  I turned off all rules and also removed all but one network that I wasn't using at the time and it still spiked the proc, doesn't make any sense.

    Keith
  • 0 in reply to BarryG
    Hi, more cores will help, but only for multiple transfers; a single network transfer can not be analyzed (by snort) on more than one CPU thread.

    Barry


    Yes, I noted this, increasing the cores did not help on a single transfer.  So, I'm stuck with IPS off unless there's something I can tweak further.

    Keith
  • 0
    Hi, 
    Are you a home or commercial user?
    If commercial, contact your reseller or support.

    My personal experience with my dual-core Atom CPU (bare metal, no VMs) is that I can get about 40mbps (single connection) with the IPS and Application Detection running.

    Barry
  • 0 in reply to BarryG
    Hi, 
    Are you a home or commercial user?
    If commercial, contact your reseller or support.

    My personal experience with my dual-core Atom CPU (bare metal, no VMs) is that I can get about 40mbps (single connection) with the IPS and Application Detection running.

    Barry


    I'm a home user, it's fronting my personal web server/web project dev box.  Guessing that the issue is that when I assign vcores those include hyperthreading, so I'm really only giving it 1/2 of a 3.3 XEON core to work with.  Wish it could use multiple threads for large streams... oh well.

    Keith

    Keith
  • 0
    Keith, you didn't answer Barry's question about the content of 'Local networks'.

    What's in the Intrusion Prevention log when performance is bad?

    Cheers - Bob