Когда в свое время Mikrotik представили hAP lite, это стало настоящим толчком для более широкого использования маршрутизаторов данной компании. Отличный набор возможностей, богатый функционал, гибкость, надежность и доступная цена превратили RB941-2nD в настоящий bestseller, который и по сегодняшний день возглавляет рейтинги продаж многих интернет-магазинов.
Последующие hAP (RB951Ui-2nD) и hAP ac lite (RB952Ui-5ac2nD) – модели хоть и крайне удачные, но успех своего предшественника повторить они не смогли.
Затем последовал выпуск hAP ac (RB962UiGS-5HacT2HnT), старшей модели в линейке. Многие ждали от новинки более высокой производительности, а SFP и Dual-Band стали лишь бонусом, за который пришлось доплачивать немалую сумму. В конечном итоге, новинка не поддерживала MU-MIMO, а без него преимущества MIMO 3x3 сводятся на нет – устройств, способных работать в подобной конфигурации не так много, зато других устройств с MIMO 2x2 и SISO хоть отбавляй. Причем многие смартфоны уже давно поддерживают Wave 2.
Затем в ассортименте Mikrotik появился настоящий шедевр – hEX (RB750Gr3). Пожалуй, это первый по истине «народный» маршрутизатор, предлагающий хорошую производительность IPsec за разумную цену.
Спору нет, были до этого RB850Gx2 и RB3011, но hEX попросту затмил их по соотношению цена/производительность. Чего у hEX не было, так это поддержки SFP и встроенного беспроводного модуля. Причем для возможности более простого использования внешней AP сильно не хватало поддержки PoE Out.
Обе эти проблемы Mikrotik решили буквально недавно – выпуском обновленного hEX S (RB760iGS), в котором одним махом реализовали и SFP, и PoE Out. В остальном же это все тот же RB750Gr3.
Как видим, Mikrotik пытаются постепенно заполнить все пробелы и пустые ниши, иногда им это удается, иногда они создают конкуренцию своим же решениям. Взять хотя бы, к примеру, RB850Gx2 и RB750Gr3. Собственно на днях RB850Gx2 был снять с производства и на его место пришел RB450Gx4. Собственно последняя плата основана на платформе, схожей с героем сегодняшнего обзора – hAP ac^2 (RBD52G-5HacD2HnD-TC).
Встречайте, hAP ac^2!
Многие ошибочно считают hAP ac^2 заменой предыдущему флагману hAP, отчасти это верно, но не совсем. Будем разбираться.
Поставляется hAP ac^2 в привычной картонной упаковке, единственное, что изменилось за последние несколько лет, так это узор, добавленный на коробку и напоминающий вышиванку.
Как и ранее, устройство поставляется без патчкорда и цветной полиграфии. Впрочем, от качественного патчкорда многие бы, наверное, не отказались.
Из-за матового софттач покрытия, упакован hAP ac^2 в полиэтилен, что должно обеспечить сохранность до того момента, пока устройство не попадет в руки конечного клиента.
Из нестандартных опций в комплектации присутствует только крепеж-подставка и короткая иллюстрированная инструкция по использованию этой самой подставки.
Артикул модели получился весьма замысловатый – RBD52G-5HacD2HnD-TC, если для того же hEX местами при общении на форумах пользователи могли употреблять артикульный идентификатор, то в случае с данной моделью, запомнить артикул с первого раза не у всех получится.
Впрочем, из артикула можно почерпнуть очень много информации:
-
RB – RouterBOARD
-
D – Dual-Chain (Full)
-
52 – Dual-Band 5 + 2.4 ГГц
-
G – Gigabit Ethernet
-
5HacD – 5 ГГц 802.11ac, High-Power (тип 1), Dual-Chain
-
2HnD – 2.4 ГГц 802.11n, High-Power (тип 1), Dual-Chain
-
TC – Tower Case
Что касается мощности передатчика, у Mikrotik присутствует 4 градации:
-
нормальная мощность (индекс отсутствует), менее 23-24 дБм;
-
H – повышенная мощность, 23-27 дБм;
-
HP – высокая мощность, 25-29 дБм;
-
SHP – очень высокая мощность, более 27-30 дБм;
Собственно под «тип 1» подразумевается индекс «H». А вот индекс «U» (USB) в названии не используется, хотя данный интерфейс тут присутствует.
Вообще, сам дизайн достаточно непривычный. Компания продолжает эксперименты с Tower-Case, в свое время первым «экспериментальным» устройством стал hAP lite TC. Затем появился hAP ac lite TC (RB952Ui-5ac2nD-TC) и hAP mini (RB931-2nD).
Как показывают опросы, почти 70% респондентов одобряют одомашненный дизайн hAP ac^2.
Индикаторы и сами интерфейсы расположены на противоположных гранях, что является стандартом домашних и SOHO-решений. Индикация портов не слишком удобная, зато не навязчивая и не будет доставать своей работой в ночное время.
Все 5 интерфейсов экранированные, при этом на корпусе не предусмотрено никакой возможности подключения заземления.
Помимо индикатора питания есть у hAP ac^2 и дополнительный пользовательский индикатор, который удобно настраивать, к примеру, под статус VPN-подключения.
Кнопка WPS и сброса совмещены, больше нет необходимости носить с собой скрепку, теперь сгодится ручка или карандаш – длительно удерживать кнопку по-прежнему неудобно, что защитит от случайного сброса.
Одной из изюминок в дизайне hAP ac^2 можно назвать подставку.
Это не просто подставка, это крепежный элемент для установки на потолок или стену. Одному из наших клиентов мы уже устанавливали данное устройство именно на потолок из гипсокартона. Процесс монтажа быстрый и удобный, при высоте размещения в 4 метра нет абсолютно никаких проблем с качеством покрытия.
Элемент крепится на защелке к нижней грани либо крышке. В первом случае вы получите настольный стоячий вариант, во втором – настольный лежачий вариант, либо крепление на стену (потолок). На ножках присутствуют силиконовые вставки, обеспечивающие антискользящие свойства подставки.
Сам ac^2 крайне компактный, по размерам новинка сопоставима с обычным hAP lite, а в стоячем положении отнимет минимум места.
Начинка Mikrotik hAP ac^2
Очень многие владельцы пытались заглянуть во внутренности ac^2, но далеко не каждому он поддался, часть из тех, кому он поддался, попросту выломали защелки. По этой причине настоятельно просим воздержаться от вскрытия данной модели.
Первое, на что стоит обратить внимание – замкнутость внутреннего пространства корпуса. То есть как, вентиляционные «щели» имеются на передней панели, но сказать, что они особо улучшают вентиляцию, не приходится. Начинка устройства с легкостью прогревается до 45 градусов при простое, а во время нагрузки может подыматься до 52 градусов.
Паниковать по этому поводу не стоит, прежний hAP ac грелся куда больше. Устройство, которое мы выбрали в качестве сервера и вовсе в простое прогревается до 62-65 градусов.
Практически половина верхней части платы RBD52G-5HacD2HnD-TC закрыта массивным радиатором игольчатого типа.
С этой же стороны платы распаяны 2 антенны, интерфейсы, подсистема питания и порт USB.
По периметру платы есть 4 посадочные отверстия, вероятно, компания ранее экспериментировала с разными вариантами корпуса, в том числе классическим.
Вся основная начинка hAP ac^2 находится на обратной стороне PCB.
Основу устройства составляет чип IPQ-4018 производства Qualcomm. Это высоко интегрированное решение, совмещающее 32-бытный ARM-процессор и беспроводные модули.
Несмотря на большое сходство с IPQ-4019, эти 2 чипа не взаимозаменяемы. У старшего IPQ-4019 больше физический размер, иное исполнение и схема распайки.
Хотя в целом, IPQ-4018 и IPQ-4019 отличаются только набором интерфейсов.
Основным вычислительным блоком IPQ-4018 служат 4 ARM-ядра Cortex A7 с тактовой частотой 717 МГц. В состав чипа входит блок Hardware NAT и Crypto Engine, как несложно догадаться, первый блок отвечает за разгрузку NAT, второй – за аппаратное шифрование.
Оба беспроводные модуля имеют конфигурацию MIMO 2x2 (Dual-Chain), причем каждый из модулей имеет свой собственный ко-процессор, обеспечивающий аппаратную разгрузку. На блок-схеме они обозначены как CPU#1 и CPU#2.
На выходе каждого чейна распаяно по одному блоку усиления (спрятаны под экранами), в общей сложности их 4 шт.
Если вы посмотрите на официальную блок-схему hAP ac^2, там указан гигабитный коммутатор AR8327, и обозначен он как встроенный непосредственно в IPQ-4018.
Вместе с этим, рядом с процессором на плате распаян QCA8075, который и реализует 5 гигабитных портов.
Если вернуться к официальной блок-диаграмме Qualcomm, в составе IPQ-4018 указан «5GE L2/3/4 Switch Engine», чуть левее на схеме указан внешний блок «QFE8075/2 (5/2 ports PHY)».
Таким образом, фактически, физический уровень (PHY) реализован на отдельном внешнем чипе QCA8075, но оставшаяся обвязка находится непосредственно в составе SoC. Сама RouterOS определяет коммутатор как Atheros-8327.
Постоянной памяти, как обычно, не много – всего 16 МБ (Winbond 25Q128JVSM).
С оперативной памятью ситуация поинтересней. Официально для hAP ac^2 заявлено 128 МБ оперативной памяти. В то же время первые партии оснащаются чипами Nanya NT5CC128M16IP-DI на 256 МБ.
Конечному пользователю доступно 233 МБ. В Mikrotik данный факт подтвердили, но исправлять описание и характеристики для hAP ac^2 не будут, т.к. есть партии с 128 МБ. Кто-то из отдела логистики здорово накосячил.
Пока же нам не попалось ни одно устройство с 128 МБ, все проверенные нами экземпляры оснащались 256 МБ оперативной памяти.
Частично платформа hAP ac^2 будет использована в RB450Gx4, правда за основу там взят IPQ-4019 с отключенными беспроводными интерфейсами. Стоимость платы будет почти вдвое выше, чем у тестируемого устройства. Взамен Mikrotik предлагает 1 ГБ оперативной памяти, 512 МБ NAND Flash, 5-й уровень лицензии и поддержку microSD.
Производительность hAP ac^2 при работе с L2TP/MPPE
На текущий момент существует достаточно широкий набор возможностей по объединению удаленных сетей в единую вычислительную сеть. Из наиболее популярных инструментов – PPTP, L2TP, OpenVPN и IPsec.
Протокол PPTP самый старый и самый не безопасный, в то же время, как не странно, подавляющее число пользователей Mikrotik для удаленного подключения используют именно устаревший протокол pptp. В связи с тем, что данный протокол полностью устарел и даже в устройствах Apple прекращена его поддержка, тестировать данный протокол мы не будем.
Наиболее оптимальными протоколами можно назвать IPsec и OpenVPN.
IPsec – один из самых безопасных методов объединения сетей, который существует на сегодняшний день. Благодаря надежному шифрованию AES с поддержкой 128 и 256-битных ключей, данный протокол обеспечивает высочайшую надежность и конфиденциальность передаваемых данных, которые могут обладать критической важностью для бизнеса и государственных учреждений. На сегодняшний день, даже используя мощности суперкомпьютеров, для расшифровки данных, зашифрованных при помощи AES, уйдут миллиарды лет. Минусы у данного метода также имеются – наличие внешних статических IP на обоих концах соединения и высокие требования к аппаратной платформе. В принципе, соединение IPsec возможно и между динамическими IP, правда в этом случае придется перенастраивать параметры при каждом изменении одного из адресов. С аппаратной платформой также не все так просто, бюджетные RouterBOARD начального уровня могут обеспечить в лучшем случае 10-20 Мбит при полной загрузке CPU.
Более продвинутые устройства, такие как RB750Gr3, RB850Gx2 (снят с производства), RB450Gx4, RB3011, RB1100AHx2, RB1100AHx4 и CCR1009 способны обеспечить более высокую скорость при работе с IPsec. С появлением hAP ac^2 этот список можно дополнить еще одной модельно, но обо всем по порядку.
Существует также возможность использования L2TP в связке с IPsec, основным преимуществом такого сочетания является высокая защищенность, быстрота и удобство настройки, а также большая лояльность к NAT на стороне конечного клиента. Из серьёзных недостатков данного варианта следует отметить очень высокие требования к аппаратной платформе, пожалуй, L2TP/IPsec – это самый требовательный протокол. Всему виной двойная инкапсуляция данных и необходимость шифрования.
Этих недостатков лишен протокол OpenVPN, в основе которого находится библиотека OpenSSL и протоколы SSL/TLS. Сам OVPN чрезвычайно гибкий в настройке и даже позволяет маскировать траффик под обычный HTTPS, делая возможным обход всевозможных ограничений со стороны провайдера. Как правило, OVPN работает быстрее IPsec и при этом поддерживает разнообразные алгоритмы шифрования, включая AES. Недостатки у данного метода все же имеются – более сложная настройка и высокие требования к железу (как и для IPsec).
Со своей стороны, для начала, мы проведем тестирование L2TP с штатным шифрованием MPPE 128-bit.
L2TP более надежен и безопасен на фоне протокола предыдущего поколения – PPTP. Настоятельно рекомендуем отказываться от использования PPTP в пользу более современных протоколов. Если у вас нет возможности и/или желания использовать OVPN/IPsec/L2TP+IPsec, рекомендуем использовать L2TP/MPPE.
Основная рекомендация по повышению безопасности L2TP/MPPE – использование очень длинных паролей, состоящих из набора случайных букв (с разной раскладкой), цифр и спецсимволов. Использование «словарных» паролей не рекомендуется, поскольку L2TP/MPPE имеет ряд недочетов, позволяющих использовать словарные методы подбора пароля, что в итоге приводит к снижению защищенности 128-битного ключа, делая его эквивалентным 56-битному (подробнее). В любом случае, это намного лучше, нежели использование PPTP.
В качестве пары для hAP ac^2 мы выбрали проверенную платформу CCR1009, а именно модель CCR1009-7G-1C-PC.
CCR1009-7G-1C-PC является самым доступным представителем линейки CCR, в распоряжении которого имеется мощный 9-ядерный процессор Tile Gx и 1 ГБ оперативной памяти. Подобное сочетание обеспечивает высокую производительность и способность обработать до 2.5 Гбит траффика IPsec.
В процессе тестирования дополнительно проверялась стабильность работы и надежность при высоких нагрузках, данные производительности указаны для пользовательского траффика (полезный траффик), в расчет взята усредненная выборка. Пиковые значения производительности в расчет усредненного показателя не берутся, если их продолжительность менее 30 сек.
По обе стороны в качестве генераторов траффика используются ПК с iperf, что дает более достоверные значения и гибкость, нежели встроенный BTest.
-
CCR1009 – WAN IP 192.168.106.20 / VPN 10.0.0.1 / LAN 192.168.1.0
-
hAP ac^2 – WAN IP 192.168.106.30 / VPN 10.0.0.2 / LAN 192.168.2.0
Для CCR1009 использовалась ручная конфигурация, аналогичная defconf на низкоуровневых устройствах. В качестве WAN используется ETH1 (не Combo), стандартные правила Firewall, дополнительно открыт порт 1701.
За основу конфигурации L2TP Server взят стандартный профиль с шифрованием, MTU изменениям не подвергался, дополнительно активирована опция «Allow Fast Path».
Все устаревшие методы аутентификации MSCHAP1, CHAP и PAP отключены, активен только MSCHAP2 (MS-CHAPv2).
В современных реалиях сжатие лучше не использовать для достижения максимальной производительности.
На стороне клиента настройки аналогичны, используется профиль по-умолчанию с шифрованием, а также опция «Allow Fast Path».
Маршрутизация в удаленную сеть обеспечивается статическим маршрутом в сочетании с NAT masquerade, default route не используется.
На обоих устройствах в Firewall настроен fasttrack connection для соединений established и related.
На выходе имеем классическое объединение 2 сетей на базе L2TP/MPPE
Максимальная загрузка ресурсов CCR1009 во время всех тестов не превышала 3%.
В зависимости от направления траффика и конфигурации, CCR загружает 1 ядро, либо распределяет вычисления между всеми 9 ядрами. К примеру, при отправке данных из CCR, задействуется 1 ядро, в то время как при получении для расшифровки все ядра загружаются равномерно.
Обмен пакетами по 1400 байта, режим TCP
Первый тест пропускной способности проводим для пакетов по 1400 байта.
Средняя производительность 1-поточного теста – 112 Мбит на прием и 128 Мбит на отправку.
При увеличении количества сессия до 10, скорость меняется на 111 и 170 Мбит, как видим, на отправку при увеличении количества сессий есть прибавка производительности.
Для Download (прием) особой прибавки нет, независимо от размера пакетов. Что интересно, во всех перечисленных случаях загрузка IPQ-4018 составила в среднем до 25%. Загружено всего 1 ядро, лишь изредка система выполняет разгрузку на остальных ядрах – в многопоточных режимах.
Дальнейший тест проводим для Upload (отправка) и увеличиваем количество сессий до 20 и 100, как итог, скорость возрастает до 201 и 235 Мбит соответственно.
Для дополнительного мониторинга во время тестов периодически использовался инструмент Tools – Profile, при помощи которого мы отслеживали распределение ресурсов и их загрузку.
Собственно в нем отчетливо видно, что при увеличении количества одновременных соединений, RouterOS, хоть и с перекосом, распределяет часть вычислений на остальные ядра. Вместе с ростом производительности, нагрузка на CPU возрастает до 35-45%.
Последний тест в данном блоке проводим для FDX (Full Duplex) с 10 встречными соединениями в каждую сторону, итого 10+10 сессий.
Как итог, общая пропускная способность составила 185 Мбит.
Итоговая диаграмма производительности при работе с 1400-байтовыми пакетами имеет следующий вид:
Обмен пакетами по 512 байта, режим TCP
Будет интересно взглянуть на производительность hAP ac^2 при уменьшении размера пакетов, ведь в итоге мы получаем больше служебных данных.
В однопоточном режиме производительность абсолютно не изменилась и составила 112 и 128 Мбит соответственно, загрузка CPU без изменений.
При тестировании в многопотоке для 10 соединений производительность также особо не изменилась – 111 и 167 Мбит.
При увеличении количества потоков на отправку до 20 имеем небольшой прирост – 220 Мбит (против 201 Мбит для 1400 байт).
Для 100 потоков на отправку, а также в режиме FDX 10+10 имеем прежние значения – 235 и 185 Мбит.
Итоговая диаграмма производительности при работе с 512-байтовыми пакетами имеет следующий вид:
Обмен пакетами по 64 байта, режим TCP
Завершающий тест в режиме TCP проводим для небольших пакетов по 64 байта.
В режиме однопотоковой передачи данных hAP ac^2 обеспечивает 79 и 109 Мбит на прием и отправку соответственно.
При увеличении количества соединений до 10, скорость увеличивается до 108 и 166 Мбит соответственно.
Для 20 и 100 потоков на отправку имеем еще большую пропускную способность – 181 и 188 Мбит.
А вот в режиме FDX 10+10 все, как и в предыдущих тестах, без изменений, те самые 185 Мбит.
Итоговая диаграмма производительности при работе с 64-байтовыми пакетами имеет следующий вид:
Производительность в режиме UPD
Дополнительно мы проверили производительность hAP ac^2 для протокола UDP. В силу своих особенностей, при использовании протокола UDP, hAP ac^2 должен обеспечивать куда большую пропускную способность. Посмотрим, какой эта разница будет на практике.
Все настройки оставляем без изменений, меняем лишь протокол в тестовом ПО.
В режиме Download (прием) hAP ac^2 способен обработать 305 Мбит.
Из приложенных скриншотов видно, что на WAN приходит более 400 Мбит, в то время как на выходе интерфейса l2tp видно только 300+ Мбит – оставшийся траффик ac^2 попросту не обработал, либо ему не хватило ресурсов, либо плохой уровень оптимизации RouterOS под платформу ARM.
В очередной раз наблюдаем картину, когда у IPQ-4018 загружено всего одно ядро, в то время как CCR1009 распределяет нагрузку.
Далее повторяем тест для Upload (отправка) и получаем 225 Мбит. Что интересно, на этот раз CCR1009 использует всего 1 ядро.
Опытным путем установлено, что при 700 Мбит UDP наступает DOS, иными словами, отказ в обслуживании – сервис winbox и www перестают быть доступными, прекращается доступ к Интернет. При этом траффик через VPN продолжает проходить с прежней скоростью. После отключения нагрузки работоспособность системы полностью восстанавливается.
Различие между TCP и UDP
Многие пользователи часто задают вопрос о том, каково различие между протоколами TCP и UDP.
Говоря простыми словами, протокол TCP предусматривает установку соединения и получение ответа про успешное получение пакета, чем достигается контроль целостности передаваемых данных.
Протокол UDP позволяет отправлять данные без установки соединения и ожидания подтверждения о доставке, при этом целостность данных не гарантируется. Служебных данных меньше, не нужно ждать ответа, чем и достигается рост пропускной способности.
Примером траффика TCP служит HTTP, FTP, SSH, работа с почтой. Примером UDP-траффика является потоковое видео, VoIP, часть траффика онлайн-игр.
Чуть ниже предлагаем вашему вниманию сводную диаграмму производительности для L2TP/MPPE.
В заключение
Несмотря на поддержку 802.11ac Wave 2 со стороны чипа, в самой RouterOS в ближайшее время поддержки MU-MIMO ожидать не стоит. Продукт новый и компании еще предстоит произвести оптимизацию ROS под новую аппаратную платформу. В обновлении RouterOS 6.42.2 уже частично произведены оптимизации IPsec и работа беспроводного модуля 5 ГГц.
В целом, устройство получилось весьма сбалансированным и функциональным. За свою цену hAP ac^2 предлагает производительное решение, способное без проблем прокачать «гигабит» NAT или PPPoE (~900 Мбит). В отличие от hEX, новинка предлагает полноценный встроенный Dual-Band, а для многих клиентов это был единственный фактор, который воздерживал от покупки RB750Gr3.
Говоря о производительности L2TP/MPPE, основная проблема состоит в отсутствии поддержки аппаратного шифрования по алгоритму RSA RC4, что и приводит к таким результатам. Без MPPE новинка способна прокачать 850-900 Мбит L2TP в однопоточном режиме.
В дальнейшем мы планируем провести дополнительные тесты, к примеру, для IPsec и Wi-Fi, пишите в комментариях, какие тесты вам бы хотелось увидеть.
Авторизуйтесь, чтобы добавить отзыв