<div dir="ltr"><div><div><div>Hello, i'm testing Suricata on machine with 32 CPU and 32Gb RAM.<br><br></div>I need to maximize Suricata performance on IXIA for UDP-traffic of fixed-length packets.<br><br></div>I need to test 2 modes: PF_RING and AF_PACKET.<br><br><br></div><div>What configs do you suggest for both of them.<br><br></div><div>My setup for PF_RING and almost identical for AF_PACKET:<br><br></div><div>1) using 2 eth-interfaces (eth0-eth1) with copy-mode IPS<br></div><div>2) threads 32 <br>3) diffeerent cluster-id for each of 2 ifaces<br></div><div>4) runmode auto or workers<br></div><div>5) ring_slots 100k<br></div><div>6)max pending packets - 512<br></div><div>7)detect-thread-ratio - 1.0<br></div><div>8)cluster_type : flow<br></div><div>8)all 17k rules is  turned on<br>9)Icreased memcaps and other memory related options for detect,fragmentation and stream subsystems of Suricata. <br></div><div>10)As result Suricata consumes about 15Gb RAM when run<br></div><div><br></div><div>PROBLEM: IXIA Tx Tput is MORE then Rx TPut : for example - <br><br>IXIA transsmit (TX)  to Suricata eth0 on  speed 10Gbps (from total theoretical 20Gbps) and <br></div><div>IXIA receive (RX) from Suricata eth1 on speed 15Gbps (from total teoretical 20Gbps)<br></div><div>Without Suricata : RX=TX=~19Gpbs.<br><br></div><div>I've tried to increase ip wmem/ip rmem values in proc to (4Mb 16Mb 64Mb) but problem still remains. <br><br></div><div>I think this is because of drops. What do I need to do to decrease drops and make RX~=TX.<br></div><div><br><br></div></div>