Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 17168 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Reduces Performance DRASTICALLY, HELP!

sirebral
I've been running some tests against with a virtual instance of Astaro on Hyper-V 3 (2012) with the synthetic adapter that is not at all lacking for resources (it only show 1-5% CPU at any time and 30-40% memory usage).  It has been allocated 2 vcores and 2 gigs of RAM.  The box is connected to a gigabit Ethernet internet connection and I've been getting some odd results when trying to download random test files.

If I have snort 100% disabled (red X in IPS) I am getting on average 100-150Mbps download, yet as soon as I enable snort, even with NO rules enabled the transfer slows down to 6-10Mbps.  I've tested this several times, even removing the network card that I am testing behind from the list enabled for IPS and still have the same result if the IPS is enabled (rules or no rules).  I am getting no IPS drops/hits during this process, just the extreme change in speed.

There's no other activity on the network when I'm testing.

Is there something that I can tweak here?  I'm guessing this isn't the expected behavior.

Thanks,

Keith


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to William Warren
    what cpu is in the host machine?  if you aren't allocating enough ghz you'll get cruddy performance..


    I'm dedicating 2 full cores of a XEON 3.3 GHZ box to it, I think that's enough, particularly as the CPU counter is hovering near zero... any other things to look at?

    Thanks,

    Keith
  • 0 in reply to sirebral
    Guess that's not enough, if I run top on the box snort is taking 99% of the processor under load, time to ramp it up, perhaps it'd run better with 8 vcores (resource hog!)

    Keith
  • 0 in reply to sirebral
    Guess that's not enough, if I run top on the box snort is taking 99% of the processor under load, time to ramp it up, perhaps it'd run better with 8 vcores (resource hog!)

    Keith


    Hi, more cores will help, but only for multiple transfers; a single network transfer can not be analyzed (by snort) on more than one CPU thread.

    Barry
  • 0 in reply to BarryG
    Barry,

    I've tried all sorts of configs.  I turned off all rules and also removed all but one network that I wasn't using at the time and it still spiked the proc, doesn't make any sense.

    Keith
  • 0 in reply to BarryG
    Hi, more cores will help, but only for multiple transfers; a single network transfer can not be analyzed (by snort) on more than one CPU thread.

    Barry


    Yes, I noted this, increasing the cores did not help on a single transfer.  So, I'm stuck with IPS off unless there's something I can tweak further.

    Keith
  • 0 in reply to sirebral
    I'm dedicating 2 full cores of a XEON 3.3 GHZ box to it, I think that's enough, particularly as the CPU counter is hovering near zero... any other things to look at?

    Thanks,

    Keith


    ok so you say you are dedicating two full cores.  What is the cpu percentages set as?  if you are truly giving it two cores then you should have 2 cpus and min and max both set at 100%..what weighting do you have in there as well?  Also how many other vm's are running on this box and what are their cpu settings?