Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 5146 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS drops WAN speed by 600 Mbps

cmezza
Hello!
I have been using the Home edition for nearly a year, and am pretty happy with it. It's running as a vSphere 6 VM, inside a home made server (E5-2650 v2, Intel i350 dual for LAN and Intel Desktop CT for WAN). The virtual NICs are VMXNET3. The specs of the VM are standard: 2 vCPUs, 2 GB Ram and the necessary disk space.

As the title suggests, when IPS is enabled (all defaults, all rules), an internet speed test from my Win8.1 desktop goes from just over 850 Mbps, to just below 250 Mbps. I admit, that's still plenty and I can live with that, having had barely 10 Mbps previously. But it's a shame, all these Mpbs going to waste! [:)]

During these tests, the VM's CPU usage goes up to 60%, while the host's CPU barely climbs to 18%.

I'm wondering if it's a limitation of the Home Edition, or just bad configuration on my side.. ?

Thanks


This thread was automatically locked due to age.
  • 0
    Hi, the IPS is very CPU-intensive.

    Things which will help a bit:
    1. use UTM 9.2x or 9.3x and enable Rule Aging, setting the age limit to as low as reasonable based on your environment

    2. apply as much CPU GHz as possible. 2vCPUs should be fine unless you have a lot of users.

    3. check the RAM & SWAP usage. If you're using the proxies and A/V, 2GB is probably too little.

    4. disable IPS rulesets you don't need

    5. put your servers in the IPS Advanced page (SQL Servers, SMTP servers, ...)

    The CPU #'s you're seeing are because only one CPU core is busy; the IPS is not multi-threaded (yet?) and a single network stream will only be processed on one cpu core.
    If you have more than one user, you should see more combined bandwidth.

    FYI, On 9.1x, the highest # I've seen for a single HTTP stream is 308mbps, with a very fast CPU.

    Barry
  • 0 in reply to BarryG
    Hi Barry, and thanks for the tips.
    I tried a few things before leaving this morning, but I had to pack for the week-end, so it was quick:
    1. Rule aging was already 
  • 0 in reply to cmezza
    Hi Barry, and thanks for the tips.
    I tried a few things before leaving this morning, but I had to pack for the week-end, so it was quick:
    1. Rule aging was already 


    you will never see gigabit with that cpu in your current configuration either virtualized or bare metal.  For that cpu you need no LESS than 100+ users.  Even then you would need no less than 6 cpus at their base 2.6 ghz.  Youa re WAAAAAAY over specced and this is going to cost you in terms of performance.  So you need ot put about 8 gigs of ram into the vm and then about 6 vcpus at max share.  that will give you 3 snort instances and should push you to about 600-900 megabits IF you ahve enough folks pushing that system.  That's jsut snort that doesn't count the rest of the utm.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    Hey William,
    what would be the affect of increasing the minimum CPU speed, from 5% to say 20% at idle?

    Ian
  • 0 in reply to RFCat_vk_01
    Hey William,
    what would be the affect of increasing the minimum CPU speed, from 5% to say 20% at idle?

    Ian


    zero.  There's simply too many cpus and too few users for that low of ghz per core.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    Hi William,
    so in summary what you are advising for home users is a fast dual core i3, I5 or celeron with lots of ram would provide the ghz for IPS and large external pipes to run at high speed?

    Perhaps you need to post this warning in the unofficial hardware thread as a sticky on the first page or even just a sticky on the hardware page?

    Ian
  • 0 in reply to RFCat_vk_01
    Hi William,
    so in summary what you are advising for home users is a fast dual core i3, I5 or celeron with lots of ram would provide the ghz for IPS and large external pipes to run at high speed?

    Perhaps you need to post this warning in the unofficial hardware thread as a sticky on the first page or even just a sticky on the hardware page?

    Ian


    I have posted this all over the place...[[:)]]  Allow me to tweak your summary jsut a bit...[[:)]]

    minimum cpu is i-3 unless you simply cannot afford it..then a fast haswell or broadwell celey(2.7 ghz or faster).  Minimum 8 gigs of ram(if costs are an issue 4 gigs absolute minimum) for any install these days.  Many folks at home have 50+ pipes and keep in mind you have to take into account BOTH end of your connection so if you have 50/10 the total megabits is 60 on the way which also affects cpu recommendations.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    I am not a mod so i cannot add stickies..[:)]  However maybe Bob or another mod might?

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Hi,

    For a single user, no current CPU can give (Snort) IPS throughput over ~350mbps (HTTP) with the current configuration.

    If you can't live with that, you'll have to create IPS exceptions or disable the IPS.

    Barry
  • 0
    This isn't a UTM issue but a Snort issue.  This is why they now have snort 3 in early alpha.  Snort 3 is Multi-threaded.  There is no timetable for release though.  Although the rise of suricata i bet has something to do with the starting of snort 3..[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Cookie Information Banner