<div dir="ltr"><div class="gmail_quote"><div dir="ltr">On Mon, Aug 31, 2015 at 9:43 PM Alan Wanderley dos Santos <<a href="mailto:alan.santos@rnp.br">alan.santos@rnp.br</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi all,<br>
<br>
I'll use suricata in a backbone with a large amount of data. I'm thinking in put suricata at each aggregation router (5 - 20 Gbps for each router). My problem is the hardware and software limitation. To solve this, i'll use mirror by sampling. JUNOS support this feature. For do that, a denominator will be used (not defined yet). Maybe 1/1000 or 1/2000, i don't know.<br></blockquote><div><br></div><div>5 Gb/s is not a problem for Suricata with sensible hardware - you'll find a blog post from somebody who's run at just under 10 Gb/s on stock hardware and careful tuning (<a href="https://home.regit.org/2012/07/suricata-to-10gbps-and-beyond/">https://home.regit.org/2012/07/suricata-to-10gbps-and-beyond/</a>).</div><div><br></div><div>If you're running a wider set of rules, dedicated capture cards make a massive difference, possibly with some IDS load balancers/packet brokers. With those and some care in your rules, I see no reason why 20 Gb/s wouldn't be achievable.</div><div><br></div><div>-- </div><div> Rob </div></div></div>