Краткий обзор нового MikroTik hAP AC2 / Habr
В марте 2018 наконец-то в продажу поступила новинка от MikroTik — hAP AC2 (в кодировке вендора RBD52G-5HacD2HnD-TC. Этот аппарат давно ждали фанаты, долго и заранее обсуждали на форумах предполагаемые эксплуатационные характеристики. Для низкой цены SOHO-сегмента, наиболее ожидаемыми были реализованные в нём:
- два радиомодуля 2.4GHz и 5GHz диапазона
- пять гигабитных ethernet-портов
- аппаратное ускорение шифрования AES-128,256
- четыерехядерный CPU ARMv7 с частотой 716MHz
Буквально вчера ко мне в руки попал аппарат из первой завезенной в Россию партии
(отдельное спасибо ребятам из WiFiMag за оперативность). Дома возможности полноценного тестирования у меня немного ограничены, поэтому был проведен «экспресс-тест на коленке» на имеющейся ограниченной домашней аппаратной базе. Поэтому в обзоре нет:
- теста производительности IPSec с полной нагрузкой
- полнонагруженного теста 5GHZ WiFi
- еще много чего
Снаружи
Итак, устройство получено. Начинаем с распаковки. Сразу отмечаем чуть обновленный дизайн коробки. Хм. Узорчик — дань маркетологам?
Открываем. Ага! Вот это уже интереснее. Новый вариант корпуса из «мягкого» пластика. Помимо БП в комплекте идет ножка-подставка, инструкция по монтажу и даже шурупы для крепления на стену.
Сам корпус сделан довольно добротно. В руках не скрипит, ничего лишнего нигде не торчит. Разъёмы не болтаются, как это бывало с некоторыми старыми моделями. Индикаторы неяркие — ночью засветом беспокоить не будут, при этом нормально видимые. Единственный, на мой взгляд, существенный минус материала — он исключительно маркий. Отпечатки пальцев остаются на корпусе и приходится потрудиться, чтобы стереть их. На некоторых фото они заметны.
Новый корпус — универсальный, может быть закреплен как в вертикальном, так и в горизонтальном положении. В «нижнем» торце и в одной из боковин гнезда-прорези для прозрачной ножки-подставки. В самой ножке подставке есть отверстия для крепления шурупами на стену.
Внутри
Устройство построено на новом чипе IPQ-4018 с четыремя ядрами и тактовой частотой 716MHz.
Block Diagram устройства:
Остальные подробности пересказывать не имеет смысла, они перечислены на страничке у производителя.
По просьбам читателей добавляю про «потроха». Аккуратно вскрываем корпус и видим плату
Большой радиатор. Ребята не поскупились на охлаждение. Надеюсь это действительно спасёт от перегревов.
Обратная сторона:
Тут антенны и довольно интересные разъёмы около них.
Чипы отснял крупнее (картинки кликабельны).
Вот, собственно и всё про внутренности. Переходим к тестированию.
В работе
После включения устройства меня ждал неприятный сюрприз. Устройство поставляется с предустановленной RouterOS 6.40.6, в которой невозможно управлять новым свитч-чипом через winbox. Пункт меню «switch» отсутствует, а в свойствах интерфейсов нет опций master-port. Так должно быть в версиях начиная с 6.41, но не в этом случае. Причем порты ether3-5 честно отображаются в бридже как «slave», но исключить из бриджа и отвязать от ether2 с помощью winbox их невозможно. Проблема решается обновлением до ветки 6.41.х и выше. В RouterOS начиная с версии 6.41 управление коммутацией доступно через меню «bridge».
Пришлось тут же обновить устройство до RouterOS 6.41.2(stable), чтобы продолжить задуманное тестирование.
Теперь заглянем в свойства. Что hAP AC2 расскажет нам о себе?
Видно, что оперативки у устройства вполне достаточно, даже больше, чем указано на блок-диаграмме MikroTik («мне подсунули более ценный мех?»). А вот ёмкость хранилища данных производитель опять зажал. Позорные 16Мб. Ну, да ничего, это роутер, а не сетевое хранилище. Не проверял, будет ли в таких условиях работать dude-server, пакет которого для arm имеется в наличии. Также виден небольшой запас на «разгон» CPU.
Устройство не залочено под Россию, как другие устройства MikroTik поставляемые на рынок с 2018 года, поэтому проводить процедуру NetInstall необходимости нет. Полный перечень стран и режим superchannel доступны без этого.
В связи с отсутствием нормального скоростного источника трафика IPSec был использован экспресс-метод IPSec/L2TP. На роутере поднят l2tp-сервер с поддержкой IPSec, ноутбук выступил в роли клиента. В такой конфигурации невозможно достичь максимальной производительности в IPSec, но некоторое представление о ней она всё же даёт.
Странно, что одно ядро оказалось нагружено почти до максимума. У меня создалось впечатление, что всё дело в ppp/l2tp. Будь это «чистый» IPSec, производительность была бы наверняка выше.
Вообще, banwidth-test запущенный на компе работает довольно странно и полной производительности показывать не желает. Позже я запускал тесты между двумя устройствами MikroTik — результаты отличаются. Допускаю, что проблема может быть в компе.
Итак, «прямой» тест пропускной способности между hAP AC2 и 3011 без IPSec показал некоторую ассиметрию между принимаемым и передаваемым трафиком. При этом по ресурсам CPU оба роутера имели запас.
Для тестирования производительности в диапазоне 5GHz достойной пары для hAP AC2 у меня не нашлось. Из закромов был извлечён hAP ac lite, имеющий только один поток в диапазоне 5GHz и слабый CPU.
Тем не менее, канальная скорость достигала 390Mbps на приём и 263Mbps на передачу.
Далее всё упиралось даже не в один поток wifi старого роутера, а в производительность старого CPU на hAP ac lite:
Провести полноценное тестирование в 2.4GHz оказалось довольно затруднительно в связи с высокой зашумленностью эфира. Чисто субъективно, показалось, что в 2,4GHz новое устройство работает стабильнее, чем 951 серия. Но без нагрузки сказать пока сложно.
Теперь о том, чего НЕТ в hAP AC2.
По сравнению с популярной 951 серией здесь отсутствует «пищалка». Сыграть на ней «имперский марш» уже не получится. Перезагружается он тоже молча.Нет в hAP AC2 и METAROUTER. Жаль немного. Asterisk установленный внури metarouter несколько раз выручал.
Маршрутизация и NAT
Естественно, мне стала интересна производительность устройства при выполнении им трансляции адресов sourec-nat и без нее.В домашних условиях удалось протестировать связь только на гигабитных линках. Для проверки была собрана конструкция из роутера и двух ноутбуков samsung с интерфейсами gigabit ethernet. Правило nat не модифицировалось — оставлено по-умолчанию более ресурсоёмкое действие «masquerade» из дефолтного конфига.
Результаты:
При использовании fasttrack пропускная способность упиралась в физический предел гигабитного интерфейса. Загрузка CPU при этом плавала от 3 до 13%.
Без использования fasttrack пропускная способность снизилась примерно на 2%, а загрузка CPU выросла до 26-32%.
hAP AC2 спокойно NATит гигабит без оптимизации конфига! Отличный результат!
Итоги
По-моему у компании MikroTik получился хороший аппарат. Достаточно оснащенный, чтобы завоевать рынок. Скорее всего, он со временем вытеснит 951 и настольную 2011 серии имея над ними ряд несомненных преимуществ. Устройство покрывает большинство потребностей как домашнего пользователя, так и потребности возникающие при подключении небольшого офиса/филиала.
habr.com
Обзор Mikrotik hAP ac lite tower | Блог
04.04.2017
Mikrotik hAP ac lite tower — это тот же Mikrotik hAP ac lite только в новом корпусе. Все характеристики идентичны.
Комплект поставки Mikrotik hAP ac lite tower идентичен остальным устройствам компании Mikrotik.
В комплект поставки входит:
Маршрутизатора | |
Блок питания Jack 24 В, 1.2 А | 1 шт. |
Съёмная подставка | 1 шт. |
Комплект креплений для настенного монтажа | 1 шт. |
На лицевой стороне находятся разъем питания, кнопка resert/WPS, затем 2 индикатора, первый указывает есть ли питание, а второй индикатор USR, сигнализирует о активности роутера. Далее идут порты Ethernet 5x 10/100 Mbit/s. 1 порт в позволяет запитать сам маршрутизатор по PoE, а 5 порт уже может запитать стороннее PoE совместимое устройство.
Подставка которая идет в комплекте позволяет установить роутер как вертикально
Так и горизонтально
Сверху расположен разъем USB-порт для подключения 3G/4G модемов.
Появилась новая панель индикации.
Mikrotik Hap AC Lite tower обладает следующими характеристиками:
Рабочая частота
2.4+5 ГГцПоддержка MIMO
2×2Выходная мощность
- 23 дБм
Стандарт Wi-Fi
802.11a; 802.11ac; 802.11b; 802.11g; 802.11nКоличество портов Ethernet
- 5
Частота процессора
650 МГцПитание по PoE
Passive PoE 24 ВРаздача PoE-питания
ДаРазмеры, мм
119 x 98 x 34Вес
160 г
Заключение
Один из первый продуктов Mikrotik с поддержкой Dual Band однозначно удался. Инженерам удалось сохранить уверенный баланс всех параметров системы и обеспечить низкую рыночную стоимость.
Производительности процессора с запасом хватает для стабильной работы даже в сложных конфигурациях. Если вы ищете качественный домашний маршрутизатор с поддержкой 2.4 + 5 ГГц, и для него предполагается подключение к сети провайдера на скорости до 100 Мбит/сек, новый hAP ac lite tower станет лучшим приобретением. Если же предполагается работа на скорости более 100 Мбит/сек – стоит приобрести hAP ac с гигабитными сетевыми интерфейсами, более мощной антенной и процессором.
its-wifi.ru
Обзор беспроводного маршрутизатора Mikrotik hAP ac², тестируем производительность L2TP/MPPE — asp24.ru
Когда в свое время Mikrotik представили hAP lite, это стало настоящим толчком для более широкого использования маршрутизаторов данной компании. Отличный набор возможностей, богатый функционал, гибкость, надежность и доступная цена превратили RB941-2nD в настоящий bestseller, который и по сегодняшний день возглавляет рейтинги продаж многих интернет-магазинов.
Последующие hAP (RB951Ui-2nD) и hAP ac lite (RB952Ui-5ac2nD) – модели хоть и крайне удачные, но успех своего предшественника повторить они не смогли.
Затем последовал выпуск hAP ac (RB962UiGS-5HacT2HnT), старшей модели в линейке. Многие ждали от новинки более высокой производительности, а SFP и Dual-Band стали лишь бонусом, за который пришлось доплачивать немалую сумму. В конечном итоге, новинка не поддерживала MU-MIMO, а без него преимущества MIMO 3×3 сводятся на нет – устройств, способных работать в подобной конфигурации не так много, зато других устройств с MIMO 2×2 и SISO хоть отбавляй. Причем многие смартфоны уже давно поддерживают Wave 2.
Затем в ассортименте Mikrotik появился настоящий шедевр – hEX (RB750Gr3). Пожалуй, это первый по истине «народный» маршрутизатор, предлагающий хорошую производительность IPsec за разумную цену.
Спору нет, были до этого RB850Gx2 и RB3011, но hEX попросту затмил их по соотношению цена/производительность. Чего у hEX не было, так это поддержки SFP и встроенного беспроводного модуля. Причем для возможности более простого использования внешней AP сильно не хватало поддержки PoE Out.
Обе эти проблемы Mikrotik решили буквально недавно – выпуском обновленного hEX S (RB760iGS), в котором одним махом реализовали и SFP, и PoE Out. В остальном же это все тот же RB750Gr3.
Как видим, Mikrotik пытаются постепенно заполнить все пробелы и пустые ниши, иногда им это удается, иногда они создают конкуренцию своим же решениям. Взять хотя бы, к примеру, RB850Gx2 и RB750Gr3. Собственно на днях RB850Gx2 был снять с производства и на его место пришел RB450Gx4. Собственно последняя плата основана на платформе, схожей с героем сегодняшнего обзора – hAP ac2 (RBD52G-5HacD2HnD-TC).
Встречайте, hAP ac²!
Многие ошибочно считают hAP ac² заменой предыдущему флагману hAP, отчасти это верно, но не совсем. Будем разбираться.
Поставляется hAP ac² в привычной картонной упаковке, единственное, что изменилось за последние несколько лет, так это узор, добавленный на коробку и напоминающий вышиванку.
Как и ранее, устройство поставляется без патчкорда и цветной полиграфии. Впрочем, от качественного патчкорда многие бы, наверное, не отказались.
Из-за матового софттач покрытия, упакован hAP ac² в полиэтилен, что должно обеспечить сохранность до того момента, пока устройство не попадет в руки конечного клиента.
Из нестандартных опций в комплектации присутствует только крепеж-подставка и короткая иллюстрированная инструкция по использованию этой самой подставки.
Артикул модели получился весьма замысловатый – RBD52G-5HacD2HnD-TC, если для того же hEX местами при общении на форумах пользователи могли употреблять артикульный идентификатор, то в случае с данной моделью, запомнить артикул с первого раза не у всех получится.
Впрочем, из артикула можно почерпнуть очень много информации:
-
RB – RouterBOARD
-
D – Dual-Chain (Full)
-
52 – Dual-Band 5 + 2.4 ГГц
-
G – Gigabit Ethernet
-
5HacD – 5 ГГц 802.11ac, High-Power (тип 1), Dual-Chain
-
2HnD – 2.4 ГГц 802.11n, High-Power (тип 1), Dual-Chain
-
TC – Tower Case
Что касается мощности передатчика, у Mikrotik присутствует 4 градации:
-
нормальная мощность (индекс отсутствует), менее 23-24 дБм;
-
H – повышенная мощность, 23-27 дБм;
-
HP – высокая мощность, 25-29 дБм;
-
SHP – очень высокая мощность, более 27-30 дБм;
Собственно под «тип 1» подразумевается индекс «H». А вот индекс «U» (USB) в названии не используется, хотя данный интерфейс тут присутствует.
Вообще, сам дизайн достаточно непривычный. Компания продолжает эксперименты с Tower-Case, в свое время первым «экспериментальным» устройством стал hAP lite TC. Затем появился hAP ac lite TC (RB952Ui-5ac2nD-TC) и hAP mini (RB931-2nD).
Как показывают опросы, почти 70% респондентов одобряют одомашненный дизайн hAP ac2.
Индикаторы и сами интерфейсы расположены на противоположных гранях, что является стандартом домашних и SOHO-решений. Индикация портов не слишком удобная, зато не навязчивая и не будет доставать своей работой в ночное время.
Все 5 интерфейсов экранированные, при этом на корпусе не предусмотрено никакой возможности подключения заземления.
Помимо индикатора питания есть у hAP ac² и дополнительный пользовательский индикатор, который удобно настраивать, к примеру, под статус VPN-подключения.
Кнопка WPS и сброса совмещены, больше нет необходимости носить с собой скрепку, теперь сгодится ручка или карандаш – длительно удерживать кнопку по-прежнему неудобно, что защитит от случайного сброса.
Одной из изюминок в дизайне hAP ac² можно назвать подставку.
Это не просто подставка, это крепежный элемент для установки на потолок или стену. Одному из наших клиентов мы уже устанавливали данное устройство именно на потолок из гипсокартона. Процесс монтажа быстрый и удобный, при высоте размещения в 4 метра нет абсолютно никаких проблем с качеством покрытия.
Элемент крепится на защелке к нижней грани либо крышке. В первом случае вы получите настольный стоячий вариант, во втором – настольный лежачий вариант, либо крепление на стену (потолок). На ножках присутствуют силиконовые вставки, обеспечивающие антискользящие свойства подставки.
Сам ac2 крайне компактный, по размерам новинка сопоставима с обычным hAP lite, а в стоячем положении отнимет минимум места.
Начинка Mikrotik hAP ac²
Очень многие владельцы пытались заглянуть во внутренности ac^2, но далеко не каждому он поддался, часть из тех, кому он поддался, попросту выломали защелки. По этой причине настоятельно просим воздержаться от вскрытия данной модели.
Первое, на что стоит обратить внимание – замкнутость внутреннего пространства корпуса. То есть как, вентиляционные «щели» имеются на передней панели, но сказать, что они особо улучшают вентиляцию, не приходится. Начинка устройства с легкостью прогревается до 45 градусов при простое, а во время нагрузки может подыматься до 52 градусов.
Паниковать по этому поводу не стоит, прежний hAP ac грелся куда больше. Устройство, которое мы выбрали в качестве сервера и вовсе в простое прогревается до 62-65 градусов.
Практически половина верхней части платы RBD52G-5HacD2HnD-TC закрыта массивным радиатором игольчатого типа.
С этой же стороны платы распаяны 2 антенны, интерфейсы, подсистема питания и порт USB.
По периметру платы есть 4 посадочные отверстия, вероятно, компания ранее экспериментировала с разными вариантами корпуса, в том числе классическим.
Вся основная начинка hAP ac^2 находится на обратной стороне PCB.
Основу устройства составляет чип IPQ-4018 производства Qualcomm. Это высоко интегрированное решение, совмещающее 32-бытный ARM-процессор и беспроводные модули.
Несмотря на большое сходство с IPQ-4019, эти 2 чипа не взаимозаменяемы. У старшего IPQ-4019 больше физический размер, иное исполнение и схема распайки.
Хотя в целом, IPQ-4018 и IPQ-4019 отличаются только набором интерфейсов.
Основным вычислительным блоком IPQ-4018 служат 4 ARM-ядра Cortex A7 с тактовой частотой 717 МГц. В состав чипа входит блок Hardware NAT и Crypto Engine, как несложно догадаться, первый блок отвечает за разгрузку NAT, второй – за аппаратное шифрование.
Оба беспроводные модуля имеют конфигурацию MIMO 2×2 (Dual-Chain), причем каждый из модулей имеет свой собственный ко-процессор, обеспечивающий аппаратную разгрузку. На блок-схеме они обозначены как CPU#1 и CPU#2.
На выходе каждого чейна распаяно по одному блоку усиления (спрятаны под экранами), в общей сложности их 4 шт.
Если вы посмотрите на официальную блок-схему hAP ac2, там указан гигабитный коммутатор AR8327, и обозначен он как встроенный непосредственно в IPQ-4018.
Вместе с этим, рядом с процессором на плате распаян QCA8075, который и реализует 5 гигабитных портов.
Если вернуться к официальной блок-диаграмме Qualcomm, в составе IPQ-4018 указан «5GE L2/3/4 Switch Engine», чуть левее на схеме указан внешний блок «QFE8075/2 (5/2 ports PHY)».
Таким образом, фактически, физический уровень (PHY) реализован на отдельном внешнем чипе QCA8075, но оставшаяся обвязка находится непосредственно в составе SoC. Сама RouterOS определяет коммутатор как Atheros-8327.
Постоянной памяти, как обычно, не много – всего 16 МБ (Winbond 25Q128JVSM).
С оперативной памятью ситуация поинтересней. Официально для hAP ac2 заявлено 128 МБ оперативной памяти. В то же время первые партии оснащаются чипами Nanya NT5CC128M16IP-DI на 256 МБ.
Конечному пользователю доступно 233 МБ. В Mikrotik данный факт подтвердили, но исправлять описание и характеристики для hAP ac^2 не будут, т.к. есть партии с 128 МБ. Кто-то из отдела логистики здорово накосячил.
Пока же нам не попалось ни одно устройство с 128 МБ, все проверенные нами экземпляры оснащались 256 МБ оперативной памяти.
Частично платформа hAP ac2 будет использована в RB450Gx4, правда за основу там взят IPQ-4019 с отключенными беспроводными интерфейсами. Стоимость платы будет почти вдвое выше, чем у тестируемого устройства. Взамен Mikrotik предлагает 1 ГБ оперативной памяти, 512 МБ NAND Flash, 5-й уровень лицензии и поддержку microSD.
Производителность hAP ac2 при работе с L2TP/MPPE
На текущий момент существует достаточно широкий набор возможностей по объединению удаленных сетей в единую вычислительную сеть. Из наиболее популярных инструментов – PPTP, L2TP, OpenVPN и IPsec.
Протокол PPTP самый старый и самый не безопасный, в то же время, как не странно, подавляющее число пользователей Mikrotik для удаленного подключения используют именно устаревший протокол pptp. В связи с тем, что данный протокол полностью устарел и даже в устройствах Apple прекращена его поддержка, тестировать данный протокол мы не будем.
Наиболее оптимальными протоколами можно назвать IPsec и OpenVPN.
IPsec – один из самых безопасных методов объединения сетей, который существует на сегодняшний день. Благодаря надежному шифрованию AES с поддержкой 128 и 256-битных ключей, данный протокол обеспечивает высочайшую надежность и конфиденциальность передаваемых данных, которые могут обладать критической важностью для бизнеса и государственных учреждений. На сегодняшний день, даже используя мощности суперкомпьютеров, для расшифровки данных, зашифрованных при помощи AES, уйдут миллиарды лет. Минусы у данного метода также имеются – наличие внешних статических IP на обоих концах соединения и высокие требования к аппаратной платформе. В принципе, соединение IPsec возможно и между динамическими IP, правда в этом случае придется перенастраивать параметры при каждом изменении одного из адресов. С аппаратной платформой также не все так просто, бюджетные RouterBOARD начального уровня могут обеспечить в лучшем случае 10-20 Мбит при полной загрузке CPU.
Более продвинутые устройства, такие как RB750Gr3, RB850Gx2 (снят с производства), RB450Gx4, RB3011, RB1100AHx2, RB1100AHx4 и CCR1009 способны обеспечить более высокую скорость при работе с IPsec. С появлением hAP ac2 этот список можно дополнить еще одной модельно, но обо всем по порядку.
Существует также возможность использования L2TP в связке с IPsec, основным преимуществом такого сочетания является высокая защищенность, быстрота и удобство настройки, а также большая лояльность к NAT на стороне конечного клиента. Из серьёзных недостатков данного варианта следует отметить очень высокие требования к аппаратной платформе, пожалуй, L2TP/IPsec – это самый требовательный протокол. Всему виной двойная инкапсуляция данных и необходимость шифрования.
Этих недостатков лишен протокол OpenVPN, в основе которого находится библиотека OpenSSL и протоколы SSL/TLS. Сам OVPN чрезвычайно гибкий в настройке и даже позволяет маскировать траффик под обычный HTTPS, делая возможным обход всевозможных ограничений со стороны провайдера. Как правило, OVPN работает быстрее IPsec и при этом поддерживает разнообразные алгоритмы шифрования, включая AES. Недостатки у данного метода все же имеются – более сложная настройка и высокие требования к железу (как и для IPsec).
Со своей стороны, для начала, мы проведем тестирование L2TP с штатным шифрованием MPPE 128-bit.
L2TP более надежен и безопасен на фоне протокола предыдущего поколения – PPTP. Настоятельно рекомендуем отказываться от использования PPTP в пользу более современных протоколов. Если у вас нет возможности и/или желания использовать OVPN/IPsec/L2TP+IPsec, рекомендуем использовать L2TP/MPPE.
Основная рекомендация по повышению безопасности L2TP/MPPE – использование очень длинных паролей, состоящих из набора случайных букв (с разной раскладкой), цифр и спецсимволов. Использование «словарных» паролей не рекомендуется, поскольку L2TP/MPPE имеет ряд недочетов, позволяющих использовать словарные методы подбора пароля, что в итоге приводит к снижению защищенности 128-битного ключа, делая его эквивалентным 56-битному (подробнее). В любом случае, это намного лучше, нежели использование PPTP.
В качестве пары для hAP ac2 мы выбрали проверенную платформу CCR1009, а именно модель CCR1009-7G-1C-PC.
CCR1009-7G-1C-PC является самым доступным представителем линейки CCR, в распоряжении которого имеется мощный 9-ядерный процессор Tile Gx и 1 ГБ оперативной памяти. Подобное сочетание обеспечивает высокую производительность и способность обработать до 2.5 Гбит траффика IPsec.
В процессе тестирования дополнительно проверялась стабильность работы и надежность при высоких нагрузках, данные производительности указаны для пользовательского траффика (полезный траффик), в расчет взята усредненная выборка. Пиковые значения производительности в расчет усредненного показателя не берутся, если их продолжительность менее 30 сек.
По обе стороны в качестве генераторов траффика используются ПК с iperf, что дает более достоверные значения и гибкость, нежели встроенный BTest.
Для CCR1009 использовалась ручная конфигурация, аналогичная defconf на низкоуровневых устройствах. В качестве WAN используется ETh2 (не Combo), стандартные правила Firewall, дополнительно открыт порт 1701.
За основу конфигурации L2TP Server взят стандартный профиль с шифрованием, MTU изменениям не подвергался, дополнительно активирована опция «Allow Fast Path».
Все устаревшие методы аутентификации MSCHAP1, CHAP и PAP отключены, активен только MSCHAP2 (MS-CHAPv2).
В современных реалиях сжатие лучше не использовать для достижения максимальной производительности.
На стороне клиента настройки аналогичны, используется профиль по-умолчанию с шифрованием, а также опция «Allow Fast Path».
Маршрутизация в удаленную сеть обеспечивается статическим маршрутом в сочетании с NAT masquerade, default route не используется.
На обоих устройствах в Firewall настроен fasttrack connection для соединений established и related.
На выходе имеем классическое объединение 2 сетей на базе L2TP/MPPE
Максимальная загрузка ресурсов CCR1009 во время всех тестов не превышала 3%.
В зависимости от направления траффика и конфигурации, CCR загружает 1 ядро, либо распределяет вычисления между всеми 9 ядрами. К примеру, при отправке данных из CCR, задействуется 1 ядро, в то время как при получении для расшифровки все ядра загружаются равномерно.
Обмен пакетаи по 1400 байта, режим TCP
Первый тест пропускной способности проводим для пакетов по 1400 байта.
Средняя производительность 1-поточного теста – 112 Мбит на прием и 128 Мбит на отправку.
При увеличении количества сессия до 10, скорость меняется на 111 и 170 Мбит, как видим, на отправку при увеличении количества сессий есть прибавка производительности.
Для Download (прием) особой прибавки нет, независимо от размера пакетов. Что интересно, во всех перечисленных случаях загрузка IPQ-4018 составила в среднем до 25%. Загружено всего 1 ядро, лишь изредка система выполняет разгрузку на остальных ядрах – в многопоточных режимах.
Дальнейший тест проводим для Upload (отправка) и увеличиваем количество сессий до 20 и 100, как итог, скорость возрастает до 201 и 235 Мбит соответственно.
Для дополнительного мониторинга во время тестов периодически использовался инструмент Tools – Profile, при помощи которого мы отслеживали распределение ресурсов и их загрузку.
Собственно в нем отчетливо видно, что при увеличении количества одновременных соединений, RouterOS, хоть и с перекосом, распределяет часть вычислений на остальные ядра. Вместе с ростом производительности, нагрузка на CPU возрастает до 35-45%.
Последний тест в данном блоке проводим для FDX (Full Duplex) с 10 встречными соединениями в каждую сторону, итого 10+10 сессий.
Как итог, общая пропускная способность составила 185 Мбит.
Итоговая диаграмма производительности при работе с 1400-байтовыми пакетами имеет следующий вид:
Обмен пакетами по 512 байта, режим TCP
Будет интересно взглянуть на производительность hAP ac^2 при уменьшении размера пакетов, ведь в итоге мы получаем больше служебных данных.
В однопоточном режиме производительность абсолютно не изменилась и составила 112 и 128 Мбит соответственно, загрузка CPU без изменений.
При тестировании в многопотоке для 10 соединений производительность также особо не изменилась – 111 и 167 Мбит.
При увеличении количества потоков на отправку до 20 имеем небольшой прирост – 220 Мбит (против 201 Мбит для 1400 байт).
Для 100 потоков на отправку, а также в режиме FDX 10+10 имеем прежние значения – 235 и 185 Мбит.
Итоговая диаграмма производительности при работе с 512-байтовыми пакетами имеет следующий вид:
Обмен пакетами по 64 байта, режим TCP
Завершающий тест в режиме TCP проводим для небольших пакетов по 64 байта.
В режиме однопотоковой передачи данных hAP ac^2 обеспечивает 79 и 109 Мбит на прием и отправку соответственно.
При увеличении количества соединений до 10, скорость увеличивается до 108 и 166 Мбит соответственно.
Для 20 и 100 потоков на отправку имеем еще большую пропускную способность – 181 и 188 Мбит.
А вот в режиме FDX 10+10 все, как и в предыдущих тестах, без изменений, те самые 185 Мбит.
Итоговая диаграмма производительности при работе с 64-байтовыми пакетами имеет следующий вид:
Производителность в режиме UPD
Дополнительно мы проверили производительность hAP ac^2 для протокола UDP. В силу своих особенностей, при использовании протокола UDP, hAP ac^2 должен обеспечивать куда большую пропускную способность. Посмотрим, какой эта разница будет на практике.
Все настройки оставляем без изменений, меняем лишь протокол в тестовом ПО.
В режиме Download (прием) hAP ac^2 способен обработать 305 Мбит.
Из приложенных скриншотов видно, что на WAN приходит более 400 Мбит, в то время как на выходе интерфейса l2tp видно только 300+ Мбит – оставшийся траффик ac^2 попросту не обработал, либо ему не хватило ресурсов, либо плохой уровень оптимизации RouterOS под платформу ARM.
В очередной раз наблюдаем картину, когда у IPQ-4018 загружено всего одно ядро, в то время как CCR1009 распределяет нагрузку.
Далее повторяем тест для Upload (отправка) и получаем 225 Мбит. Что интересно, на этот раз CCR1009 использует всего 1 ядро.
Опытным путем установлено, что при 700 Мбит UDP наступает DOS, иными словами, отказ в обслуживании – сервис winbox и www перестают быть доступными, прекращается доступ к Интернет. При этом траффик через VPN продолжает проходить с прежней скоростью. После отключения нагрузки работоспособность системы полностью восстанавливается.
Различие межу TCP и UDP
Многие пользователи часто задают вопрос о том, каково различие между протоколами TCP и UDP.
Говоря простыми словами, протокол TCP предусматривает установку соединения и получение ответа про успешное получение пакета, чем достигается контроль целостности передаваемых данных.
Протокол UDP позволяет отправлять данные без установки соединения и ожидания подтверждения о доставке, при этом целостность данных не гарантируется. Служебных данных меньше, не нужно ждать ответа, чем и достигается рост пропускной способности.
Примером траффика TCP служит HTTP, FTP, SSH, работа с почтой. Примером UDP-траффика является потоковое видео, VoIP, часть траффика онлайн-игр.
Чуть ниже предлагаем вашему вниманию сводную диаграмму производительности для L2TP/MPPE.
В заключение
Несмотря на поддержку 802.11ac Wave 2 со стороны чипа, в самой RouterOS в ближайшее время поддержки MU-MIMO ожидать не стоит. Продукт новый и компании еще предстоит произвести оптимизацию ROS под новую аппаратную платформу. В обновлении RouterOS 6.42.2 уже частично произведены оптимизации IPsec и работа беспроводного модуля 5 ГГц.
В целом, устройство получилось весьма сбалансированным и функциональным. За свою цену hAP ac^2 предлагает производительное решение, способное без проблем прокачать «гигабит» NAT или PPPoE (~900 Мбит). В отличие от hEX, новинка предлагает полноценный встроенный Dual-Band, а для многих клиентов это был единственный фактор, который воздерживал от покупки RB750Gr3.
Говоря о производительности L2TP/MPPE, основная проблема состоит в отсутствии поддержки аппаратного шифрования по алгоритму RSA RC4, что и приводит к таким результатам. Без MPPE новинка способна прокачать 850-900 Мбит L2TP в однопоточном режиме.
В дальнейшем мы планируем провести дополнительные тесты, к примеру, для IPsec и Wi-Fi, пишите в комментариях, какие тесты вам бы хотелось увидеть.
asp24.ru
Mikrotik hAP AC — Роутер на все случаи жизни
Сегодня я вам представлю небольшой обзор на роутер, который я долго ждал (анонсирован он был еще в 2015 г.) и наконец дождался. Коротко могу сказать, что большинству пользователей его богатые возможности будут излишни, однако для тех кто хочет получить гибкие настройки домашней сети альтернатив (за сравнительные деньги) практически нет. Если заинтересовал, добро пожаловать под кат.Для начала я изложу предысторию покупки, что меня побудило взять именно Mikrotik
Хистори
Долгое время домашним роутером у меня трудился проверенный временем старичек Асус RT-16N. В целом очень хороший роутер, который полностью удовлетворял мои потребности в домашнем интернете, плюс обеспечивал достаточно хорошее покрытие Вайфаем. На него была установлена прошивка от Олега, а далее от его последователей, которая значительно улучшила его работу и добавила ряд дополнительных функций в роутер. В общем на протяжении (примерно) 5 лет этот долгожитель обеспечивал мои запросы полностью. Однако, сравнительно недавно, по рабочей надобности, мне потребовалось поднять VLAN на WAN-порту, для обеспечения доступа к рабочей сети из дома и к домашней с работы. И вот тут возникли определенные сложности: Прошивка Олега в вебморде не дает такой возможности, и покопавшись по ssh мне это сделать так же не удалось. Почитав форумы и поспрашивав великий Гугл быстро пришел к единственному решению на RT-16N: установить прошивку OpenWRT, что я благополучно и сделал. Все настройки удалось без проблемно прописать и все заработало, однако быстро выявилось два ОЧЕНЬ неприятных косяка. Компания Асус не предоставляет энтузиастам доступа к управлению своим железом (что в принципе понятно) и поэтому все альтернативные прошивки используют либо базовое ядро системы от Асуса с небольшими изменениями функционала (DD-WRT, прошивка от Олега и т.д.), либо пишут что-то свое, (Опенврт) но ввиду отсутствия документации и поддержки производителя реализуют свои команды не оптимальным способом. В моем случае это привело к:1. Большим танцам с бубном вокруг WiFi так как он долго соглашался подыматься только в bg диапазоне на скорости 54 М/бит и N не стартовал никакими силами.
2. Значительно более печальное: при нагрузке сети на скачку при тарифе в 100 мегабит роутер уперся в максимальный потолок 55-60 мегабит с загрузкой процессора в 100%.
Если с первой бедой удалось более-менее справиться пообщавшись на форумах ВРТ-шников и скачав сторонние «драйвера» для Wi-Fi и вроде бы оживив диапазон N (хотя работает странно: при перезагрузке роутера скидывает бриджи и вайфай приходится подымать в ручном режиме + пропала возможность формировать списки доступа по МАК-адресам). но в целом вай-фай более-менее шевелится.
Со второй проблемой справится не получилось никак, хотя множественные правила фаервала были сведены к необходимому минимуму, но не помогло: скорость скачки с интернета выше 60-ти не подымалась (скорость внутри домашней сети не падала, но это и понятно — там нагрузки по сути нет напрямую все идет).
В общем учитывая все вышеизложенное я постепенно стал приходить к выводу, что пора менять роутер, однако изучив рынок осознал, что не все так просто. Хотелось современное железо, которое будет актуально +N лет, обеспечит хорошую скорость интернета в перспективе даже более 100 М/бит (такие тарифы уже стали появляться, значит через 2-3 года будет обыденностью с доступной ценой), ну и конечно хотелось двухдиапазонный роутер с поддержкой WiFi сетей АС на перспективу.
Полез выбирать и понял, что выбор с такими запросами мал. Стоковые прошивки распространенных марок не обеспечивают гибкие настройки, которые мне нужны (в большинстве даже дорогих роутеров все ограничивается настройками Vlan для мультикаста IPTv, которые мне нафиг не нужны. Значит опять придется шить и опять (возможно) иметь танцы с бубном в перспективе. Хотел было взять ТпЛинк Арчер 7 но вовремя прочитал, что у него на ОпенВрт режим АС пока не доступен, и будет ли доступен в будущем — хз.
В общем хотелось чего-то, что позволит на базовой прошивке и без геморроя, получить все что нужно. И тут я наткнулся на упоминание в сети о скором (угу, скором 🙂 выходе сабжа. Ознакомился с характеристиками и понял — вот ОН роутер моей мечты. Умеет все что нужно из своей RouterOS, по настройкам удовлетворит любые потребности управления сети и по железу весьма перспективен (надеюсь на ближайшие годы мне его возможностей хватит).
Давайте посмотрим повнимательнее на возможности этой чудо-коробочки:
Как видим железо очень приличное, и все запросы большинства пользователей перекроет. Можно взглянуть на потроха роутера (честно скажу, что свой роутер я не разбирал, фото найдены в интернете)
На рисунке: цифрами 1,2 обозначены встроенные антенны 2,4 ГГц, цифрами 3, 4 — антенны 5 ГГц. Под эпоксидной смолой — разъемы UFL, к которым подключены антенны 5 и 6 (2,4 ГГц и 5 ГГц).
Блок-схема роутера:
CAPsMAN — Еще одна возможность от Mikrotik для загородных домов/офисов
Начиная с версии 6.11, в RouterOS появилась функциональность CAPsMAN — возможность централизованного управления узлами доступа.То есть вместо того, чтобы настраивать по отдельности каждый такой узел, достаточно настроить один контроллер, а затем подключать к нему управляемые узлы. Именно таким образом, а не с применением репитеров WiFi, которые только повторяют на более широкую зону покрытия уже полученный с ошибками и повышенной латентностью сигнал, — можно быстро и просто организовать бесшовную единую сеть, способную покрыть практически любой по площади объект.
Понятно, что качество такого покрытия напрямую будет зависеть от аппаратных возможностей центрального контроллера. При использовании трех-четырех MikroTik hAP ac, например, не составит труда создать не требующую перелогинивания сеть во всем объеме трехэтажного загородного дома (с подвалом, чердаком и флигелями) или целого обширного этажа какого-нибудь бизнес-центра.
При этом благодаря возможности получать и отдавать далее по цепочке питающее напряжение по линии Ethernet (Poe In/PoE Out) такие устройства позволят обойтись без избыточных проводов и дополнительной нагрузки на электророзетки.
Для уверенного покрытия сетью WiFi протяженных (по одному, двум или трем измерениям) объектов используются два альтернативных метода:
1. Можно установить по центру такого объекта действительно мощный универсальный маршрутизатор с несколькими внешними антеннами, с возможностью одновременно создавать два или более не пересекающихся каналов связи в 5-ГГц диапазоне, — и надеяться, что до самой границы расчетной области этот монстр будет уверенно «добивать». А если нет, то пытаться нарастить его мощность дополнительными антеннами, но простое увеличение числа антенн не приведет к росту суммарной мощности: разработчик может либо делать отдельные антенны более мощными, либо наращивать их число, но не то и другое вместе. Соответственно, на большой удаленности можно поставить WiFi репитер, но такое решение чревато неизбежным ухудшением качества связи.
2. Иной подход, у Mikrotik c RouterOS — CAPsMAN, прямо противоположен первому. Он предусматривает организацию двухуровневой сети из одного управляющего маршрутизатора и нескольких управляемых узлов доступа. Каждое из этих устройств будет дешевле монструозного сверхмощного интернет-центра. Их комбинация, разумно распределенных усилий приведет к тому, что на всей покрываемой длине, или по всей площади, или во всем объеме уровень сигнала WiFi будет оставаться приблизительно одним и тем же, а переключение перемещаемых между узлами доступа мобильных устройств будет происходить бесшовно и незаметно как для пользователя, так и для приложений.
Еще более расширяет спектр применимости hAP ac наличие SFP-порта для установки модуля оптоволоконной коммуникации. Использование оптической линии доставки данных до каждого из узлов доступа позволяет расширять зону покрытия WiFi единой сетевой конфигурации едва ли не до бесконечности, — пока у центрального маршрутизатора будет хватать вычислительных ресурсов для своевременной обработки всех запросов.
Ну и теперь коротко о моих собственных впечатлениях:
Эта маленькая коробочка полностью оправдала мои надежды скорость строго по тарифу, ничего не режется и не пропадает. По тестировал сеть 5 Ггц скорость вайфая внутри сети превысила 100 мегабит (115-120). К сожалению ни одного устройства АС у меня под рукой нет, поэтому придется ждать когда будущее заглянет в мой дом 🙂 Впрочем, настоятельной необходимости в АС прямо сейчас нет — все равно (мои) тарифы интернета не вытянут его, так что эта технология на перспективу.
Что касается настроек, то реально можно голову себе свернуть изучая вкладки 🙂 Инструмент действительно гибкий и позволяет любые сетевые извращения.
К примеру вот так можно настроить гостевую сетку:
weblance.com.ua/blog/226-guest-wi-fi-sozdanie-gostevoy-seti-wi-fi-s-ogranicheniem-skorosti-na-primere-marshrutizatorov-mikrotik-pod-upravleniem-routeros.html
А вот так можно развернуть HotSpot:
lanmarket.ua/stats/sozdanie-i-nastroyka-HotSpot-na-oborudovanii-Mikrotik
Решил не тащить сюда под споллер, в конце концов не имеет смысл стягивать сюда пол интернета, иногда достаточно ссылок. Уверен, что если кто-то заинтересуется, то он найдет любую дополнительную информацию.
У Микротика получился очень интересный домашний роутер. Компания сделала себе мировое имя в сетевых решениях для корпоративных нужд, и вот видимо пришло ее время осваивать домашний сегмент рынка, уверен что у них есть перспективы на этом направлении. В общем я лично абсолютно доволен, новый роутер начал трудиться в домашней сети, надеюсь он прослужит мне не меньше Асуса. За сим откланиваюсь, если будут вопросы — пишите.
Там внизу в комментариях мне справедливо заметили про отсутствие фотографий покупки и заподозрили в рекламном агенте 🙂 Справедливое замечание. Фоток посылки и распаковки не делал, а рабочего устройства не хотел, так как не успел ещё красиво провода проложить — торчат в разные стороны. Роутер получен буквально вчера.
Однако, понимаю, что похоже на заказуху поэтому вот фотки покупки, на провода не смотрите — буду думать как все аккуратно прокинуть.
Апд:
Ну вот, за пару дней прибрался немного, и провода причесал:
С каждым днем нахожу что-то интересное и НУЖНОЕ в настройках роутера… В общем сейчас копаюсь в руководствах — реально не жалею о покупке ни секунды. Удачи друзья!
mysku.ru
Обзор-сравнение роутеров линейки MikroTik hAP
Мы создали некий «островок безопасности», защищающий вас от покупки слишком слабого устройства или лишних финансовых вливаний в неиспользуемые функции. Постарались описать отличия между моделями линейки, а также составили таблицу со сравнением характеристик. Просто определитесь, что вам нужно от будущего товарища и сделайте выбор при помощи сводной таблицы.
Будут рассмотрены:
Внешний вид
Часть роутеров выглядит почти идентично, если рассматривать исключительно дизайнерские решения для каждого из них. Стандартно — это белый прямоугольный короб со строгими гранями и голубой отделкой. На верхней панели по периметру — лента вентиляционных отверстий, настолько хорошо вписавшихся в оформление, что не воспринимается как функциональная деталь. Так выглядят: MIKROTIK HAP (RB951UI-2ND), MIKROTIK HAP AC LITE RB952UI-5AC2ND, MIKROTIK HAP LITE RB941-2ND, а MIKROTIK HAP AC (RB962UIGS-5HACT2HNT) отличается увеличенным размером и расположением вентиляционной системы.
Также в линейке роутеров hAP есть модели в вертикальном корпусе:
Mikrotik hAP ac lite tower RB952UI-5AC2ND-TC из чёрного матового пластика, с более обтекаемыми формами. Дополнен съёмной подставкой из прозрачного пластика, увеличивающей число вариантов размещения с одного (горизонтального) до трёх (вертикальный и на стену).
hAP lite RB941-2ND-TC также среди вертикально расположенных устройств. Но в отличии от hAP ac lite tower он не может быть расположен горизонтально или на стене. Цвет — белый, но одна из двух крупных боковых панелей залита голубым.
Несмотря на свои дизайнерские отличия, маршрутизаторы с маркировкой TC (вертикальный корпус) по своим функциям не отличаются от своих «горизонтальных» собратьев. Исключение — малютка hAP mini RB931-2ND (приставка, обозначающая вертикальное расположение отсутствует, ибо горизонтального аналога нет). Наиболее компактный из всех представленных роутеров. Корпус из чёрного глянцевого пластика дополнен подставкой из прозрачного оранжевого. Обтекаемая форма короба в сочетании с дизайнерскими решениями добавляет роутеру в купу к функциональной, ещё и эстетическую ценность.
Роутеры серии hAP
В серию hAP входят 4 роутера: hAP lite classic, hAP lite TC, hAP, hAP mini.
Все четыре модели можем увидеть на фото ниже.
HAP и hAP lite
hAP lite и hAP TC отличаются между собой только корпусом, фунциональные характеристики одинаковые.
Основное различие заключается между моделями hAP и hAP lite.
Отличаются потребляемой мощностью 5W/3W, размером оперативной памяти 64 MB против 32 MB, памятью 16 MB FLASH против 32 MB, количеством портов 5x 10/100 Mbit/s против 4х10/100 Ethernet ports. Расширенная память в модели hAP позволяет использовать больше функций одновременно, сильнее нагружать устройство. Питанием: 6V — 30V (Jack or Passive PoE) против 5 V — 5 V USB. Немаловажным моментом является наличие PoE out выхода. В hAP он присутсвует, в отличи от Lite версии. С его помощью можно запитать другое устройство. Помимо этого, в lite-версии не предусмотрен USB-порт.
hAP lite — наиболее ранняя версия из всей серии. Целью производителя в этом случае стала максимальная доступность для конечного пользователя. Именно поэтому в этой модели нет ничего, что выходит за рамки функций, необходимых для построения домашней сети.
Hap mini
Отдельно в этой серии стоит Hap mini — самый маленький роутер с урезанными функциями. Вмонтировано всего три порта. В наличии USB, но может быть использован исключительно для подключения питания.
Роутеры серии hAP AC
Серия hAP AC — логическое продолжение линейки, обоснованное появлением нового стандарта беспроводной связи. Здесь уже производитель постарался и значительно расширил функции устройств. Мы видим, что роутеры теперь двухдиапазонные — это значительно расширяет сферу применения устройств. В данной серии четыре модели — hAP ac lite, hAP ac lite TC, hAP ac и новинка 2018 г — hAP ac2.
Первые две — идентичны в плане характеристик, но значительно отличаются по дизайну. Значительно интереснее сравнить их с аналогами без приставки «АС».
Отличия hAP ac и hAP ac lite
Роутер hAP ac по своим характеристикам значительно превосходит своего младшего брата в характеристиках радиомодулей, процессора, объема памяти. Это наиболее функциональная и производительная модель во всей линейке.
hAP ac — единственная модель с гигабитными портами и возможностью подключения к оптоволоконной сети (для этого предусмотрен порт SFP).
За работу с беспроводными устройствами в hAP ac lite отвечают два модуля: 2.4 ГГц с MIMO 2х2 и 5 ГГц с MIMO 1х1, в модели hAP ac также два модуля, но уже с поддержкой MIMO 3х3, что на практике обозначает большую пропускную способность — 2.4GHz — 450 Мбит/с/ 5GHz — 1300 Мбит/с против 2.4GHz — 300 Мбит/с/ 5GHz — 430 Мбит/с.
Мощность передатчика: 5 GHz — 23 dBm/ 2.4 GHz — 22 dBm против 5 GHz — 29 dBm/ 2.4 GHz — 28 dBm.
Отличаются также потребляемой мощностью — 17 W против 7 W. Процессор: 720MHz против 650 MHz. Размер оперативной памяти: 128 MB против 64 MB.
hAP lite и hAP ac lite
Маркетинговые названия нам подсказывают, что разница может быть только в поддержке стандарта AC, но это в корне неправильно. Разница между этими моделями существенная.
Модель hAP lite содержит встроенный модуль для работы на частоте 2.4 ГГц с поддержкой MIMO 2×2 и стандартов 802.11 b/g/n. В модели с приставкой АС имеется тот же модуль и плюс модуль для работы на частоте 5 ГГц с поддержкой АС стандарта.
Существенная разница и в интерфейсах: в hAP ac lite их 5 против 4, к тому же присутствуют функции POE in и POE out.
Отличаются потребляемой мощностью — 3W против 7 W. Размер оперативной памяти: 32 MB против 64 MB. Питание: 8 V — 30 V (Jack or Passive PoE) против 11 V — 57 V (Jack or Passive PoE).
HAP и hAP ac
Но пожалуй самые существенные отличия в моделях hAP и hAP ac.
Это два беспроводных модуля против одного у модели hAP (т.е. роутер hAP ac — двухдиапазонный — поддерживает работу на частоте 2.4 и 5 ГГц). К тому же эти модули значительно мощнее — мощность передатчика 28 DBm против 22 dBm, отсюда и более высокая скорость передачи данных.
Как мы видим, количество и предназначение LAN-портов одинаковое, однако следует напомнить, что у модели hAP ac порты гигабитные.
Исходя из этих характеристик, закономерно, что и аппаратная часть у версии hAP ac мощнее — более мощный процессор, расширенный объем оперативнй памяти.
Новинка 2018 — Mikrotik hAP ac2
Отдельно также стоит рассмотреть модель RBD52G-5HACD2HND-TC. Изначально может показаться, что это улучшенная версия hAP ac, но это неверно. Это, скорее всего, нечто среднее между ас и ас лайт.
Mikrotik hAP ac² оснащен совершенно новым для этой модели четырехядерным процессором IPQ-4018 с частотой 716 MHz. Второй в линейке роутер с гигабитными портами.
А вот и сводная сравнительная таблица с характеристиками роутеров MikroTik hAP, которая поможет выбрать подходящее вам устройство.
Mikrotik hAP ac lite tower RB952UI-5AC2ND-TC | Mikrotik hAP lite RB941-2ND | Mikrotik hAP ac lite RB952UI-5AC2ND | Mikrotik hAP AC² RBD52G-5HACD2HND-TC | Mikrotik hAP ac RB962UIGS-5HACT2HNT | MikroTik hAP mini RB931-2ND | Mikrotik hAP RB951UI-2ND | |
Беспроводной режим: | да | да | да | да | да | да | да |
Частотный диапазон: | 2.4GHz/5GHz | 2.4GHz | 2.4GHz/5GHz | 2.4GHz/5GHz | 2.4GHz/5GHz | 2.4GHz | 2.4GHz |
Стандарт IEEE: | 802.11a/b/g/n/ac | 802.11b/g/n | 802.11a/b/g/n/ac | 802.11a/b/g/n/ac | 802.11a/b/g/n/ac | 802.11b/g/n | 802.11b/g/n |
Антенна: | Встроенная | Встроенная | Встроенная | Встроенная | Встроенная | Встроенная | Встроенная |
Угол антенны: | 360° | 360° | 360° | 360° | 360° | 360° | 360° |
Коэффициент усиления: | 2.4 GHz — 1.5 dBi/ 5 GHz — 2 dBi | 1.5 dBi | 2.4 GHz — 1.5 dBi/ 5 GHz — 2 dBi | 2.5 dBi | 2.4 GHz — 1.5 dBi/ 5 GHz — 2 dBi | 1.5 dBi | 1.5 dBi |
Поддержка MIMO: | 2х2/1х1 | 2х2 | 2х2/1х1 | 2х2 | 3х3/3х3 | 2х2 | 2х2 |
Мощность передатчика: | 2.4GHz — 22 dBm/ 5GHz — 23 dBm | 22dBm | 2.4GHz — 22 dBm/ 5GHz — 23 dBm | 2.4GHz — 26 dBm/ 5GHz — 27 dBm | 2.4GHz — 28 dBm/ 5GHz — 29 dBm | 22dBm | 22dBm |
Пропускная способность: | 2.4GHz — 300 Мбит/с/ 5GHz — 430 Мбит/с | 300 Мбит/с | 2.4GHz — 300 Мбит/с/ 5GHz — 430 Мбит/с | 2.4GHz — 450 Мбит/с/ 5GHz — 1300 Мбит/с | 300 Мбит/с | 300 Мбит/с | |
Ethernet-порты: | 5 х 10/100 Ethernet ports | 4 х 10/100 Ethernet ports | 5 x 10/100 Ethernet ports | 5 x 10/100/1000 Ethernet ports | 5 x 10/100/1000 Ethernet ports | 3 x 10/100 Ethernet ports | 5 x 10/100 Ethernet ports |
Программное обеспечение: | RouterOS Level 4 | RouterOS Level 4 | RouterOS Level 4 | RouterOS Level 4 | RouterOS Level 4 | RouterOS Level 4 | RouterOS Level 4 |
Процессор: | QCA9531 650 МГц | QCA9531-BL3A-R (650 MHz) | QCA9531 650 MHz | IPQ-4018 716 MHz — 4 ядра | QCA9558 720MHz | QCA9533 650 MHz | QCA9531 650 MHz |
Размер оперативной памяти: | 64 MB | 32 MB | 64 MB | 128 MB | 128 MB | 32 MB | 64 MB |
Память: | 16 MB FLASH | 32 MB | 16 MB FLASH | 16 MB FLASH | 16 MB FLASH | 16 MB FLASH | 16 MB FLASH |
Потребляемая мощность: | 7W | 3W | 7W | 15W | 17W | 3.5W | 5W |
Питание: | 8 V — 30 V (Jack or Passive PoE) | 5 V — 5 V USB | 8 V — 30 V (Jack or Passive PoE) | 12 V — 30 V (Jack or Passive PoE) | 11 V — 57 V (Jack or Passive PoE) | 5 V (Jack) | 6V — 30V (Jack or Passive PoE) |
PoE in: | есть | нет | есть | есть | есть | нет | есть |
PoE out: | есть | нет | есть | нет | есть | нет | есть |
USB порт: | есть | нет | есть | есть | есть | нет | есть |
SFP порт: | нет | нет | нет | нет | есть | нет | нет |
Температура: | -20C+60C | -20C+60C | -20C+60C | -40C+50C | -20C+60C | -20C+60C | -20C+60C |
Применение: | Внутреннее | Внутреннее | Внутреннее | Внутреннее | Внутреннее | Внутреннее | Внутреннее |
Расположение: | горизонтальное, вертикальное (подставка), стена | горизонтальное, стена | горизонтальное, стена | вертикальное, стена | горизонтальное, стена | вертикальное, стена | горизонтальное, стена |
miatis.com.ua
Отзыв: | Начну сначала — почему оценка «кол». Нет, с устройством всё нормально. Это только для привлечения внимания тех, кто ориентируется на отзывы. Кому стало интересно, а почему «кол» то? А так то к этому товару не совсем применима стандартная система оценок. Уважаемый читатель моего отзыва. Если ты ищешь что то для дома/офиса, что бы просто работало без «гиморроя», то лучше глянь на другие товары. Даже если ты думаешь «да я админ в своём офисе. NAT поднял, DHCP поднял. Да что там сложного то?!» то запомни — всё будет сложно. Почему? Объясню разницу между обычными роутерами и Микротик. Единственным плюсом у тебя будет только то, что не надо править конфиги через консоль. Есть наглядное GUI Winbox. А, да! Сам аппарат — зверь. |
24review.ru
Обзор беспроводного маршрутизатора Mikrotik hAP ac², тестируем производительность L2TP/MPPE
Содержание:
- Встречайте, hAP ac^2!
- Начинка Mikrotik hAP ac^2
- Производительность hAP ac^2 при работе с L2TP/MPPE
- В заключение
Когда в свое время Mikrotik представили hAP lite, это стало настоящим толчком для более широкого использования маршрутизаторов данной компании. Отличный набор возможностей, богатый функционал, гибкость, надежность и доступная цена превратили RB941-2nD в настоящий bestseller, который и по сегодняшний день возглавляет рейтинги продаж многих интернет-магазинов.
Последующие hAP (RB951Ui-2nD) и hAP ac lite (RB952Ui-5ac2nD) – модели хоть и крайне удачные, но успех своего предшественника повторить они не смогли.
Затем последовал выпуск hAP ac (RB962UiGS-5HacT2HnT), старшей модели в линейке. Многие ждали от новинки более высокой производительности, а SFP и Dual-Band стали лишь бонусом, за который пришлось доплачивать немалую сумму. В конечном итоге, новинка не поддерживала MU-MIMO, а без него преимущества MIMO 3×3 сводятся на нет – устройств, способных работать в подобной конфигурации не так много, зато других устройств с MIMO 2×2 и SISO хоть отбавляй. Причем многие смартфоны уже давно поддерживают Wave 2.
Затем в ассортименте Mikrotik появился настоящий шедевр – hEX (RB750Gr3). Пожалуй, это первый по истине «народный» маршрутизатор, предлагающий хорошую производительность IPsec за разумную цену.
Спору нет, были до этого RB850Gx2 и RB3011, но hEX попросту затмил их по соотношению цена/производительность. Чего у hEX не было, так это поддержки SFP и встроенного беспроводного модуля. Причем для возможности более простого использования внешней AP сильно не хватало поддержки PoE Out.
Обе эти проблемы Mikrotik решили буквально недавно – выпуском обновленного hEX S (RB760iGS), в котором одним махом реализовали и SFP, и PoE Out. В остальном же это все тот же RB750Gr3.
Как видим, Mikrotik пытаются постепенно заполнить все пробелы и пустые ниши, иногда им это удается, иногда они создают конкуренцию своим же решениям. Взять хотя бы, к примеру, RB850Gx2 и RB750Gr3. Собственно на днях RB850Gx2 был снять с производства и на его место пришел RB450Gx4. Собственно последняя плата основана на платформе, схожей с героем сегодняшнего обзора – hAP ac^2 (RBD52G-5HacD2HnD-TC).
Встречайте, hAP ac^2!
Многие ошибочно считают hAP ac^2 заменой предыдущему флагману hAP, отчасти это верно, но не совсем. Будем разбираться.
Поставляется hAP ac^2 в привычной картонной упаковке, единственное, что изменилось за последние несколько лет, так это узор, добавленный на коробку и напоминающий вышиванку.
Как и ранее, устройство поставляется без патчкорда и цветной полиграфии. Впрочем, от качественного патчкорда многие бы, наверное, не отказались.
Из-за матового софттач покрытия, упакован hAP ac^2 в полиэтилен, что должно обеспечить сохранность до того момента, пока устройство не попадет в руки конечного клиента.
Из нестандартных опций в комплектации присутствует только крепеж-подставка и короткая иллюстрированная инструкция по использованию этой самой подставки.
Артикул модели получился весьма замысловатый – RBD52G-5HacD2HnD-TC, если для того же hEX местами при общении на форумах пользователи могли употреблять артикульный идентификатор, то в случае с данной моделью, запомнить артикул с первого раза не у всех получится.
Впрочем, из артикула можно почерпнуть очень много информации:
-
RB – RouterBOARD
-
D – Dual-Chain (Full)
-
52 – Dual-Band 5 + 2.4 ГГц
-
G – Gigabit Ethernet
-
5HacD – 5 ГГц 802.11ac, High-Power (тип 1), Dual-Chain
-
2HnD – 2.4 ГГц 802.11n, High-Power (тип 1), Dual-Chain
-
TC – Tower Case
Что касается мощности передатчика, у Mikrotik присутствует 4 градации:
-
нормальная мощность (индекс отсутствует), менее 23-24 дБм;
-
H – повышенная мощность, 23-27 дБм;
-
HP – высокая мощность, 25-29 дБм;
-
SHP – очень высокая мощность, более 27-30 дБм;
Собственно под «тип 1» подразумевается индекс «H». А вот индекс «U» (USB) в названии не используется, хотя данный интерфейс тут присутствует.
Вообще, сам дизайн достаточно непривычный. Компания продолжает эксперименты с Tower-Case, в свое время первым «экспериментальным» устройством стал hAP lite TC. Затем появился hAP ac lite TC (RB952Ui-5ac2nD-TC) и hAP mini (RB931-2nD).
Как показывают опросы, почти 70% респондентов одобряют одомашненный дизайн hAP ac^2.
Индикаторы и сами интерфейсы расположены на противоположных гранях, что является стандартом домашних и SOHO-решений. Индикация портов не слишком удобная, зато не навязчивая и не будет доставать своей работой в ночное время.
Все 5 интерфейсов экранированные, при этом на корпусе не предусмотрено никакой возможности подключения заземления.
Помимо индикатора питания есть у hAP ac^2 и дополнительный пользовательский индикатор, который удобно настраивать, к примеру, под статус VPN-подключения.
Кнопка WPS и сброса совмещены, больше нет необходимости носить с собой скрепку, теперь сгодится ручка или карандаш – длительно удерживать кнопку по-прежнему неудобно, что защитит от случайного сброса.
Одной из изюминок в дизайне hAP ac^2 можно назвать подставку.
Это не просто подставка, это крепежный элемент для установки на потолок или стену. Одному из наших клиентов мы уже устанавливали данное устройство именно на потолок из гипсокартона. Процесс монтажа быстрый и удобный, при высоте размещения в 4 метра нет абсолютно никаких проблем с качеством покрытия.
Элемент крепится на защелке к нижней грани либо крышке. В первом случае вы получите настольный стоячий вариант, во втором – настольный лежачий вариант, либо крепление на стену (потолок). На ножках присутствуют силиконовые вставки, обеспечивающие антискользящие свойства подставки.
Сам ac^2 крайне компактный, по размерам новинка сопоставима с обычным hAP lite, а в стоячем положении отнимет минимум места.
Начинка Mikrotik hAP ac^2
Очень многие владельцы пытались заглянуть во внутренности ac^2, но далеко не каждому он поддался, часть из тех, кому он поддался, попросту выломали защелки. По этой причине настоятельно просим воздержаться от вскрытия данной модели.
Первое, на что стоит обратить внимание – замкнутость внутреннего пространства корпуса. То есть как, вентиляционные «щели» имеются на передней панели, но сказать, что они особо улучшают вентиляцию, не приходится. Начинка устройства с легкостью прогревается до 45 градусов при простое, а во время нагрузки может подыматься до 52 градусов.
Паниковать по этому поводу не стоит, прежний hAP ac грелся куда больше. Устройство, которое мы выбрали в качестве сервера и вовсе в простое прогревается до 62-65 градусов.
Практически половина верхней части платы RBD52G-5HacD2HnD-TC закрыта массивным радиатором игольчатого типа.
С этой же стороны платы распаяны 2 антенны, интерфейсы, подсистема питания и порт USB.
По периметру платы есть 4 посадочные отверстия, вероятно, компания ранее экспериментировала с разными вариантами корпуса, в том числе классическим.
Вся основная начинка hAP ac^2 находится на обратной стороне PCB.
Основу устройства составляет чип IPQ-4018 производства Qualcomm. Это высоко интегрированное решение, совмещающее 32-бытный ARM-процессор и беспроводные модули.
Несмотря на большое сходство с IPQ-4019, эти 2 чипа не взаимозаменяемы. У старшего IPQ-4019 больше физический размер, иное исполнение и схема распайки.
Хотя в целом, IPQ-4018 и IPQ-4019 отличаются только набором интерфейсов.
Основным вычислительным блоком IPQ-4018 служат 4 ARM-ядра Cortex A7 с тактовой частотой 717 МГц. В состав чипа входит блок Hardware NAT и Crypto Engine, как несложно догадаться, первый блок отвечает за разгрузку NAT, второй – за аппаратное шифрование.
Оба беспроводные модуля имеют конфигурацию MIMO 2×2 (Dual-Chain), причем каждый из модулей имеет свой собственный ко-процессор, обеспечивающий аппаратную разгрузку. На блок-схеме они обозначены как CPU#1 и CPU#2.
На выходе каждого чейна распаяно по одному блоку усиления (спрятаны под экранами), в общей сложности их 4 шт.
Если вы посмотрите на официальную блок-схему hAP ac^2, там указан гигабитный коммутатор AR8327, и обозначен он как встроенный непосредственно в IPQ-4018.
Вместе с этим, рядом с процессором на плате распаян QCA8075, который и реализует 5 гигабитных портов.
Если вернуться к официальной блок-диаграмме Qualcomm, в составе IPQ-4018 указан «5GE L2/3/4 Switch Engine», чуть левее на схеме указан внешний блок «QFE8075/2 (5/2 ports PHY)».
Таким образом, фактически, физический уровень (PHY) реализован на отдельном внешнем чипе QCA8075, но оставшаяся обвязка находится непосредственно в составе SoC. Сама RouterOS определяет коммутатор как Atheros-8327.
Постоянной памяти, как обычно, не много – всего 16 МБ (Winbond 25Q128JVSM).
С оперативной памятью ситуация поинтересней. Официально для hAP ac^2 заявлено 128 МБ оперативной памяти. В то же время первые партии оснащаются чипами Nanya NT5CC128M16IP-DI на 256 МБ.
Конечному пользователю доступно 233 МБ. В Mikrotik данный факт подтвердили, но исправлять описание и характеристики для hAP ac^2 не будут, т.к. есть партии с 128 МБ. Кто-то из отдела логистики здорово накосячил.
Пока же нам не попалось ни одно устройство с 128 МБ, все проверенные нами экземпляры оснащались 256 МБ оперативной памяти.
Частично платформа hAP ac^2 будет использована в RB450Gx4, правда за основу там взят IPQ-4019 с отключенными беспроводными интерфейсами. Стоимость платы будет почти вдвое выше, чем у тестируемого устройства. Взамен Mikrotik предлагает 1 ГБ оперативной памяти, 512 МБ NAND Flash, 5-й уровень лицензии и поддержку microSD.
Производительность hAP ac^2 при работе с L2TP/MPPE
На текущий момент существует достаточно широкий набор возможностей по объединению удаленных сетей в единую вычислительную сеть. Из наиболее популярных инструментов – PPTP, L2TP, OpenVPN и IPsec.
Протокол PPTP самый старый и самый не безопасный, в то же время, как не странно, подавляющее число пользователей Mikrotik для удаленного подключения используют именно устаревший протокол pptp. В связи с тем, что данный протокол полностью устарел и даже в устройствах Apple прекращена его поддержка, тестировать данный протокол мы не будем.
Наиболее оптимальными протоколами можно назвать IPsec и OpenVPN.
IPsec – один из самых безопасных методов объединения сетей, который существует на сегодняшний день. Благодаря надежному шифрованию AES с поддержкой 128 и 256-битных ключей, данный протокол обеспечивает высочайшую надежность и конфиденциальность передаваемых данных, которые могут обладать критической важностью для бизнеса и государственных учреждений. На сегодняшний день, даже используя мощности суперкомпьютеров, для расшифровки данных, зашифрованных при помощи AES, уйдут миллиарды лет. Минусы у данного метода также имеются – наличие внешних статических IP на обоих концах соединения и высокие требования к аппаратной платформе. В принципе, соединение IPsec возможно и между динамическими IP, правда в этом случае придется перенастраивать параметры при каждом изменении одного из адресов. С аппаратной платформой также не все так просто, бюджетные RouterBOARD начального уровня могут обеспечить в лучшем случае 10-20 Мбит при полной загрузке CPU.
Более продвинутые устройства, такие как RB750Gr3, RB850Gx2 (снят с производства), RB450Gx4, RB3011, RB1100AHx2, RB1100AHx4 и CCR1009 способны обеспечить более высокую скорость при работе с IPsec. С появлением hAP ac^2 этот список можно дополнить еще одной модельно, но обо всем по порядку.
Существует также возможность использования L2TP в связке с IPsec, основным преимуществом такого сочетания является высокая защищенность, быстрота и удобство настройки, а также большая лояльность к NAT на стороне конечного клиента. Из серьёзных недостатков данного варианта следует отметить очень высокие требования к аппаратной платформе, пожалуй, L2TP/IPsec – это самый требовательный протокол. Всему виной двойная инкапсуляция данных и необходимость шифрования.
Этих недостатков лишен протокол OpenVPN, в основе которого находится библиотека OpenSSL и протоколы SSL/TLS. Сам OVPN чрезвычайно гибкий в настройке и даже позволяет маскировать траффик под обычный HTTPS, делая возможным обход всевозможных ограничений со стороны провайдера. Как правило, OVPN работает быстрее IPsec и при этом поддерживает разнообразные алгоритмы шифрования, включая AES. Недостатки у данного метода все же имеются – более сложная настройка и высокие требования к железу (как и для IPsec).
Со своей стороны, для начала, мы проведем тестирование L2TP с штатным шифрованием MPPE 128-bit.
L2TP более надежен и безопасен на фоне протокола предыдущего поколения – PPTP. Настоятельно рекомендуем отказываться от использования PPTP в пользу более современных протоколов. Если у вас нет возможности и/или желания использовать OVPN/IPsec/L2TP+IPsec, рекомендуем использовать L2TP/MPPE.
Основная рекомендация по повышению безопасности L2TP/MPPE – использование очень длинных паролей, состоящих из набора случайных букв (с разной раскладкой), цифр и спецсимволов. Использование «словарных» паролей не рекомендуется, поскольку L2TP/MPPE имеет ряд недочетов, позволяющих использовать словарные методы подбора пароля, что в итоге приводит к снижению защищенности 128-битного ключа, делая его эквивалентным 56-битному (подробнее). В любом случае, это намного лучше, нежели использование PPTP.
В качестве пары для hAP ac^2 мы выбрали проверенную платформу CCR1009, а именно модель CCR1009-7G-1C-PC.
CCR1009-7G-1C-PC является самым доступным представителем линейки CCR, в распоряжении которого имеется мощный 9-ядерный процессор Tile Gx и 1 ГБ оперативной памяти. Подобное сочетание обеспечивает высокую производительность и способность обработать до 2.5 Гбит траффика IPsec.
В процессе тестирования дополнительно проверялась стабильность работы и надежность при высоких нагрузках, данные производительности указаны для пользовательского траффика (полезный траффик), в расчет взята усредненная выборка. Пиковые значения производительности в расчет усредненного показателя не берутся, если их продолжительность менее 30 сек.
По обе стороны в качестве генераторов траффика используются ПК с iperf, что дает более достоверные значения и гибкость, нежели встроенный BTest.
Для CCR1009 использовалась ручная конфигурация, аналогичная defconf на низкоуровневых устройствах. В качестве WAN используется ETh2 (не Combo), стандартные правила Firewall, дополнительно открыт порт 1701.
За основу конфигурации L2TP Server взят стандартный профиль с шифрованием, MTU изменениям не подвергался, дополнительно активирована опция «Allow Fast Path».
Все устаревшие методы аутентификации MSCHAP1, CHAP и PAP отключены, активен только MSCHAP2 (MS-CHAPv2).
В современных реалиях сжатие лучше не использовать для достижения максимальной производительности.
На стороне клиента настройки аналогичны, используется профиль по-умолчанию с шифрованием, а также опция «Allow Fast Path».
Маршрутизация в удаленную сеть обеспечивается статическим маршрутом в сочетании с NAT masquerade, default route не используется.
На обоих устройствах в Firewall настроен fasttrack connection для соединений established и related.
На выходе имеем классическое объединение 2 сетей на базе L2TP/MPPE
Максимальная загрузка ресурсов CCR1009 во время всех тестов не превышала 3%.
В зависимости от направления траффика и конфигурации, CCR загружает 1 ядро, либо распределяет вычисления между всеми 9 ядрами. К примеру, при отправке данных из CCR, задействуется 1 ядро, в то время как при получении для расшифровки все ядра загружаются равномерно.
Обмен пакетами по 1400 байта, режим TCP
Первый тест пропускной способности проводим для пакетов по 1400 байта.
Средняя производительность 1-поточного теста – 112 Мбит на прием и 128 Мбит на отправку.
При увеличении количества сессия до 10, скорость меняется на 111 и 170 Мбит, как видим, на отправку при увеличении количества сессий есть прибавка производительности.
Для Download (прием) особой прибавки нет, независимо от размера пакетов. Что интересно, во всех перечисленных случаях загрузка IPQ-4018 составила в среднем до 25%. Загружено всего 1 ядро, лишь изредка система выполняет разгрузку на остальных ядрах – в многопоточных режимах.
Дальнейший тест проводим для Upload (отправка) и увеличиваем количество сессий до 20 и 100, как итог, скорость возрастает до 201 и 235 Мбит соответственно.
Для дополнительного мониторинга во время тестов периодически использовался инструмент Tools – Profile, при помощи которого мы отслеживали распределение ресурсов и их загрузку.
Собственно в нем отчетливо видно, что при увеличении количества одновременных соединений, RouterOS, хоть и с перекосом, распределяет часть вычислений на остальные ядра. Вместе с ростом производительности, нагрузка на CPU возрастает до 35-45%.
Последний тест в данном блоке проводим для FDX (Full Duplex) с 10 встречными соединениями в каждую сторону, итого 10+10 сессий.
Как итог, общая пропускная способность составила 185 Мбит.
Итоговая диаграмма производительности при работе с 1400-байтовыми пакетами имеет следующий вид:
Обмен пакетами по 512 байта, режим TCP
Будет интересно взглянуть на производительность hAP ac^2 при уменьшении размера пакетов, ведь в итоге мы получаем больше служебных данных.
В однопоточном режиме производительность абсолютно не изменилась и составила 112 и 128 Мбит соответственно, загрузка CPU без изменений.
При тестировании в многопотоке для 10 соединений производительность также особо не изменилась – 111 и 167 Мбит.
При увеличении количества потоков на отправку до 20 имеем небольшой прирост – 220 Мбит (против 201 Мбит для 1400 байт).
Для 100 потоков на отправку, а также в режиме FDX 10+10 имеем прежние значения – 235 и 185 Мбит.
Итоговая диаграмма производительности при работе с 512-байтовыми пакетами имеет следующий вид:
Обмен пакетами по 64 байта, режим TCP
Завершающий тест в режиме TCP проводим для небольших пакетов по 64 байта.
В режиме однопотоковой передачи данных hAP ac^2 обеспечивает 79 и 109 Мбит на прием и отправку соответственно.
При увеличении количества соединений до 10, скорость увеличивается до 108 и 166 Мбит соответственно.
Для 20 и 100 потоков на отправку имеем еще большую пропускную способность – 181 и 188 Мбит.
А вот в режиме FDX 10+10 все, как и в предыдущих тестах, без изменений, те самые 185 Мбит.
Итоговая диаграмма производительности при работе с 64-байтовыми пакетами имеет следующий вид:
Производительность в режиме UPD
Дополнительно мы проверили производительность hAP ac^2 для протокола UDP. В силу своих особенностей, при использовании протокола UDP, hAP ac^2 должен обеспечивать куда большую пропускную способность. Посмотрим, какой эта разница будет на практике.
Все настройки оставляем без изменений, меняем лишь протокол в тестовом ПО.
В режиме Download (прием) hAP ac^2 способен обработать 305 Мбит.
Из приложенных скриншотов видно, что на WAN приходит более 400 Мбит, в то время как на выходе интерфейса l2tp видно только 300+ Мбит – оставшийся траффик ac^2 попросту не обработал, либо ему не хватило ресурсов, либо плохой уровень оптимизации RouterOS под платформу ARM.
В очередной раз наблюдаем картину, когда у IPQ-4018 загружено всего одно ядро, в то время как CCR1009 распределяет нагрузку.
Далее повторяем тест для Upload (отправка) и получаем 225 Мбит. Что интересно, на этот раз CCR1009 использует всего 1 ядро.
Опытным путем установлено, что при 700 Мбит UDP наступает DOS, иными словами, отказ в обслуживании – сервис winbox и www перестают быть доступными, прекращается доступ к Интернет. При этом траффик через VPN продолжает проходить с прежней скоростью. После отключения нагрузки работоспособность системы полностью восстанавливается.
Различие между TCP и UDP
Многие пользователи часто задают вопрос о том, каково различие между протоколами TCP и UDP.
Говоря простыми словами, протокол TCP предусматривает установку соединения и получение ответа про успешное получение пакета, чем достигается контроль целостности передаваемых данных.
Протокол UDP позволяет отправлять данные без установки соединения и ожидания подтверждения о доставке, при этом целостность данных не гарантируется. Служебных данных меньше, не нужно ждать ответа, чем и достигается рост пропускной способности.
Примером траффика TCP служит HTTP, FTP, SSH, работа с почтой. Примером UDP-траффика является потоковое видео, VoIP, часть траффика онлайн-игр.
Чуть ниже предлагаем вашему вниманию сводную диаграмму производительности для L2TP/MPPE.
В заключение
Несмотря на поддержку 802.11ac Wave 2 со стороны чипа, в самой RouterOS в ближайшее время поддержки MU-MIMO ожидать не стоит. Продукт новый и компании еще предстоит произвести оптимизацию ROS под новую аппаратную платформу. В обновлении RouterOS 6.42.2 уже частично произведены оптимизации IPsec и работа беспроводного модуля 5 ГГц.
В целом, устройство получилось весьма сбалансированным и функциональным. За свою цену hAP ac^2 предлагает производительное решение, способное без проблем прокачать «гигабит» NAT или PPPoE (~900 Мбит). В отличие от hEX, новинка предлагает полноценный встроенный Dual-Band, а для многих клиентов это был единственный фактор, который воздерживал от покупки RB750Gr3.
Говоря о производительности L2TP/MPPE, основная проблема состоит в отсутствии поддержки аппаратного шифрования по алгоритму RSA RC4, что и приводит к таким результатам. Без MPPE новинка способна прокачать 850-900 Мбит L2TP в однопоточном режиме.
В дальнейшем мы планируем провести дополнительные тесты, к примеру, для IPsec и Wi-Fi, пишите в комментариях, какие тесты вам бы хотелось увидеть.
lanmarket.ua