Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 3986 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

High IPS (Snort) CPU - Help with IPS eexceptions

ErikWaibel
Hi All.

I am running a software UTM (9.304-9) on VMware for a K-12 school district.   It is running on a fairly robust piece of hardware and usually runs at about 25-38% CPU utilization during the day.  We just rolled out over 150 ipads to 9th grade and now we are hitting 75-80% (!).  When I checked, SNORT is maxing out two of my four virtual CPUs.  If I switch off IPS, it drops back down to about 32%, but I would rather not turn it off.

I am guessing all that new traffic to apple is the bulk of it.  I want to try to exclude any traffic to/from apple from IPS scanning (we trust apple).

I made a definition for the entire apple class A network and popped that into the IPS exclusion - is it as simple as that?  I put it in with our internal network as "from", apple's network as "to" and services "all".  That didn't seem to make a dent in the CPU utilization though, so i don't think I have it quite correct.  Any ideas / help?

Thanks in advance


This thread was automatically locked due to age.
Parents
  • 0
    actually if you go the appliance route HA is already built into whatever license you buy..nice thing about the HA model in UTM but it would have to be a second appliance not another spare machine out of your datacenter.  if you want to stay in the software model then you can do HA with a pair of machines if you'd like..again it is baked into the license.

    regarding your cpu usage.  I would look at hte host cpu usage inside of vmware.  You need to increase the amount of cpu power going to the UTM vm if possible.  YOu do not have enough cpu to handle the load you are putting on the vm with ips active and the increased user count.  This is only a guess as i am not able to see your UTM configuration.
Reply
  • 0
    actually if you go the appliance route HA is already built into whatever license you buy..nice thing about the HA model in UTM but it would have to be a second appliance not another spare machine out of your datacenter.  if you want to stay in the software model then you can do HA with a pair of machines if you'd like..again it is baked into the license.

    regarding your cpu usage.  I would look at hte host cpu usage inside of vmware.  You need to increase the amount of cpu power going to the UTM vm if possible.  YOu do not have enough cpu to handle the load you are putting on the vm with ips active and the increased user count.  This is only a guess as i am not able to see your UTM configuration.
Children
  • 0 in reply to William Warren
    I agree with everything you are saying.  I'll take a look at the host VM configuration.

    As far as appliances vs software license goes, Since we are only halfway through our software license subscription time, HA is built into our license, and most importantly we already have the two 2950s sitting idle in the racks (they are paid for, but have been retired and collecting dust for the past few months) it will cost zero save my time to get them spun up and configured.