Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 17168 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Reduces Performance DRASTICALLY, HELP!

sirebral
I've been running some tests against with a virtual instance of Astaro on Hyper-V 3 (2012) with the synthetic adapter that is not at all lacking for resources (it only show 1-5% CPU at any time and 30-40% memory usage).  It has been allocated 2 vcores and 2 gigs of RAM.  The box is connected to a gigabit Ethernet internet connection and I've been getting some odd results when trying to download random test files.

If I have snort 100% disabled (red X in IPS) I am getting on average 100-150Mbps download, yet as soon as I enable snort, even with NO rules enabled the transfer slows down to 6-10Mbps.  I've tested this several times, even removing the network card that I am testing behind from the list enabled for IPS and still have the same result if the IPS is enabled (rules or no rules).  I am getting no IPS drops/hits during this process, just the extreme change in speed.

There's no other activity on the network when I'm testing.

Is there something that I can tweak here?  I'm guessing this isn't the expected behavior.

Thanks,

Keith


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    Bob,

    I've tried all configurations, removing all rules, removing all active networks (I have three vSwitches, so I just took out the active ones and tried activiating IPS).  When I had it configured as I wanted I had all of my internal networks in the list.  No matter what configuration I use, as soon as I enable the IPS and try to run a large file transfer snort pegs a CPU and the traffic slows to about 1/10th of the speed.

    Nothing is in the live logs when I try these transfers.

    Keith
  • 0
    So, it sounds like a "hardware" issue.  What virtual NICs are you using?

    Cheers - Bob
  • 0 in reply to BAlfson
    So, it sounds like a "hardware" issue.  What virtual NICs are you using?

    Cheers - Bob


    I'm using the synthetic, not the emulated.  With IPS off I can push 500 megabit through the interface without any issues.

    Keith
  • 0
    using ips for traffic between internals has always been iffy for astaro..hence why i don't do it.  really ips if for protection against external threats not for between internal interfaces.
  • 0
    William, per the user interface I placed my internal networks in the IPS config.  I don't want to have IPS scan between internal interfaces, only traffic coming from the WAN going to the internal interfaces.   I can try putting my WAN in there, yet that doesn't appear to be what the user interface wants.

    Keith
  • 0
    no do NOT put the wan interface in the protected networks..unless you REALLY want to see things go underground..[:)]
  • 0 in reply to sirebral
    I'm dedicating 2 full cores of a XEON 3.3 GHZ box to it, I think that's enough, particularly as the CPU counter is hovering near zero... any other things to look at?

    Thanks,

    Keith


    ok so you say you are dedicating two full cores.  What is the cpu percentages set as?  if you are truly giving it two cores then you should have 2 cpus and min and max both set at 100%..what weighting do you have in there as well?  Also how many other vm's are running on this box and what are their cpu settings?
  • 0
    to give you a good rule off thumb you can't allocate more than 400% across ALL vm's without engaging in oversubscription.  if you go over 400% how you have your minimums setup AND the weighting are hugely important.
  • 0
    Hi Keith,

    Do you have some managed switches in downstream path?
    If have had such before if mtu sizes are not matching between device.
    Also on option would be to play around with tcp window size.