Hi Victor,<br>Thanks for your suggestion.<br>I have tried a couple values of max-pending-packets, but the throughput was at most 7xx Mbps.I've tried very large values, such as 2000, 4000, or 10000, but the throughput did not make much difference. It was all around 7xx Mbps. I am sure that I used the right config. When I changed the value to 1, the throughput dropped down to 1xx Mbps. Any other setting I should change? BTW, the command that I used was "suricata -c /etc/suricata/suricata.yaml -q 0". And I did not use dropping privilege package since I ran it as root. All rules were not loaded.<br>
Thanks.<br><br>Tommy<br><br><br><div class="gmail_quote">On Tue, Nov 9, 2010 at 4:21 AM, Victor Julien <span dir="ltr"><<a href="mailto:victor@inliniac.net">victor@inliniac.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div class="im">Jen-Cheng(Tommy) Huang wrote:<br>
> Hi,<br>
><br>
> I just tested suricata inline mode without pf_ring feature.<br>
> My NIC is intel 1Gbps NIC.<br>
> I used netperf TCP_MAERTS as my benchmark.<br>
> When I removed all rules, I supposed suricata should run up to 941 Mbps<br>
> which was what I observed in snort.<br>
> However, I could only see around 700 Mbps. And with the default rule set<br>
> which I downloaded from <a href="http://emergingthreats.net" target="_blank">emergingthreats.net</a><br>
</div>> <<a href="http://emergingthreats.net/" target="_blank">http://emergingthreats.net/</a>>, the throughput became 4xx Mbps. The<br>
<div class="im">> strange thing was all CPUs were not saturated. (intel core i7).Thus, I<br>
> supposed the cpus were not the bottleneck. But why it couldn't saturate<br>
> the bandwidth?<br>
> Any idea?<br>
<br>
</div>Tommy, you could try to increase the max-pending-packets setting in<br>
suricata.yaml. It defaults to 50. The really high speed setups I've seen<br>
usually require a setting more in the range of 2000 to 4000. It will<br>
cost quite a bit of extra memory though.<br>
<br>
Let me know if that changes anything.<br>
<br>
Cheers,<br>
Victor<br>
<font color="#888888"><br>
--<br>
---------------------------------------------<br>
Victor Julien<br>
<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>
PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>
---------------------------------------------<br>
<br>
</font></blockquote></div><br>