Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 30 replies
  • Subscribers 2 subscribers
  • Views 61498 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Performance Problem with 100Mbit Fiber

chumbri
Hi there,

We have an ASG220 with Firmware-Version: 9.105-9 and a very strange behavior with the IPS (4507 of 15947 patterns).
Last week we did a fiber upgrade from 30Mbit to 100Mbit.

With IPS enabled we only get around 50Mbit throughput. (Tested with speedtest.net, cifs sharing and iperf)
With IPS disabled we get around 95Mbit, which is good. (Tested with speedtest.net, cifs sharing and iperf)

It makes no difference if I remove the LAN from the Local networks option in the Global IPS Settings. The problem persists.
The only solution is to disable IPS globally with the On/Off Button, to get an acceptable throughput rate.

The snort process uses around 10-20% CPU. There are no special warnings or error messages in the IPS Log.

Does anybody have an idea or recommendation?


This thread was automatically locked due to age.
Parents
  • 0
    Hi Umpf,

    - how many users? 
    Around 50 users. Tests were done early in the morning with only 2 - 3 users online

    - What kind of traffic?
    udp/tcp tests with iperf, filetraffic (cifs), speedtest.net
    I also tested with Web Protection / Web Filtering disabled. Problem persists. Only IPS on/off makes a difference.

    - Also "tuned" the ips-settings/-patterns (only necessary traffic checked)?
    Attack pattern settings look okay. There are only a few marked. This was checked with an external partner.
    The interesting part is, it makes no difference which network I put inside the Local Networks option under Global IPS Settings.
    The result is always the same. Even if I use a network which has nothing to do with the speedtest route.
    After every apply of the IPS Global settings I see the following lines in the IPS Log.

    snort[1264]: Could not remove pid file /var/run//snort_tmp.pid: No such file or directory
    snort[1264]: Snort exiting

    Could this be the problem? I still see a snort process in the process explorer.
      
    - Maybe active App-Control?
    Application Control is deactivated.

    Maybe you can set it to only use one instance of ips (please use searching for ssh-syntax). What about your memory usage?
    I will test with only one instance of ips and reply back.
    Memory usage is about 44% of 2GB.

    Thanks for the reply.
Reply
  • 0
    Hi Umpf,

    - how many users? 
    Around 50 users. Tests were done early in the morning with only 2 - 3 users online

    - What kind of traffic?
    udp/tcp tests with iperf, filetraffic (cifs), speedtest.net
    I also tested with Web Protection / Web Filtering disabled. Problem persists. Only IPS on/off makes a difference.

    - Also "tuned" the ips-settings/-patterns (only necessary traffic checked)?
    Attack pattern settings look okay. There are only a few marked. This was checked with an external partner.
    The interesting part is, it makes no difference which network I put inside the Local Networks option under Global IPS Settings.
    The result is always the same. Even if I use a network which has nothing to do with the speedtest route.
    After every apply of the IPS Global settings I see the following lines in the IPS Log.

    snort[1264]: Could not remove pid file /var/run//snort_tmp.pid: No such file or directory
    snort[1264]: Snort exiting

    Could this be the problem? I still see a snort process in the process explorer.
      
    - Maybe active App-Control?
    Application Control is deactivated.

    Maybe you can set it to only use one instance of ips (please use searching for ssh-syntax). What about your memory usage?
    I will test with only one instance of ips and reply back.
    Memory usage is about 44% of 2GB.

    Thanks for the reply.
Children
No Data