Огляд бездротового маршрутизатора Mikrotik hAP ac², тестуємо продуктивність L2TP/MPPE

21.05.2018
Поділитись у:
*/?>

Коли свого часу Mikrotik представили hAP lite, це стало справжнім поштовхом для широкого використання маршрутизаторів цієї компанії. Відмінний набір можливостей, багатий функціонал, гнучкість, надійність і доступна ціна перетворили RB941-2nD на справжній bestseller, який і сьогодні очолює рейтинги продажів багатьох інтернет-магазинів.

Наступні hAP ( RB951Ui-2nD ) та hAP ac lite ( RB952Ui-5ac2nD ) – моделі хоч і вкрай вдалі, але успіх свого попередника повторити вони не змогли.

Потім був випуск hAP ac ( RB962UiGS-5HacT2HnT ), старшої моделі в лінійці. Багато хто чекав від новинки вищої продуктивності, а SFP та Dual-Band стали лише бонусом, за який довелося доплачувати чималу суму. Зрештою, новинка не підтримувала MU-MIMO, а без нього переваги MIMO 3x3 зводяться нанівець – пристроїв, здатних працювати в подібній конфігурації не так багато, зате інших пристроїв із MIMO 2x2 та SISO хоч відбавляй. Причому багато смартфонів вже давно підтримують Wave 2.

Потім в асортименті Mikrotik з'явився справжній шедевр hEX ( RB750Gr3 ). Мабуть, це перший по-справжньому «народний» маршрутизатор, що пропонує хорошу продуктивність IPsec за розумну ціну.

Безперечно, були до цього RB850Gx2 і RB3011 , але hEX просто затьмарив їх за співвідношенням ціна/продуктивність. Чого у hEX не було, так це підтримки SFP та вбудованого бездротового модуля. Причому для більш простого використання зовнішньої AP сильно не вистачало підтримки PoE Out.

Обидві ці проблеми Mikrotik вирішили буквально недавно - випуском оновленого hEX S ( RB760iGS ), в якому одним махом реалізували і SFP, і PoE Out. В іншому ж це все той же RB750Gr3.

Як бачимо, Mikrotik намагаються поступово заповнити всі прогалини та порожні ніші, іноді їм це вдається, іноді вони створюють конкуренцію своїм рішенням. Взяти хоча б, наприклад, RB850Gx2 та RB750Gr3. Власне, днями RB850Gx2 був зняти з виробництва і на його місце прийшов RB450Gx4 . Остання плата заснована на платформі, схожій з героєм сучасного огляду - hAP ac^2 ( RBD52G-5HacD2HnD-TC ).

Зустрічайте, hAP ac^2!

Багато хто помилково вважають hAP ac^2 заміною попереднього флагману hAP, частково це вірно, але не зовсім. Розбиратимемося.

hap_ac2_RBD52G-5HacD2HnD-TC_pic1_box.JPG

Постачається hAP ac^2 у звичній картонній упаковці, єдине, що змінилося за останні кілька років, так це візерунок, доданий на коробку і нагадує вишиванку.

Як і раніше, пристрій поставляється без патчкорду та кольорової поліграфії. А ось індекс «U» (USB) у назві не використовується, хоча цей інтерфейс тут присутній.

Взагалі сам дизайн досить незвичний. Компанія продовжує експерименти з Tower-Case, свого часу першим "експериментальним" пристроєм став hAP lite TC . Потім з'явився hAP ac lite TC ( RB952Ui-5ac2nD-TC ) та hAP mini ( RB931-2nD ).

Як свідчать опитування, майже 70% респондентів схвалюють одомашнений дизайн hAP ac^2.

hap_ac2_RBD52G-5HacD2HnD-TC_pic5_front_led_view.JPG

Індикатори та самі інтерфейси розташовані на протилежних гранях, що є стандартом домашніх та SOHO-рішень. Індикація портів не надто зручна, зате не нав'язлива і не діставатиме своєю роботою в нічний час.

Всі 5 екранованих інтерфейсів, при цьому на корпусі не передбачено ніякої можливості підключення заземлення.

hap_ac2_RBD52G-5HacD2HnD-TC_pic6_interfaces.JPG

Крім індикатора живлення є у hAP ac^2 і додатковий індикатор, який зручно налаштовувати, наприклад, під статус VPN-підключення.

Кнопка WPS і скидання суміщені, більше немає необхідності носити з собою скріпку, тепер згодиться ручка або олівець - довго утримувати кнопку, як і раніше, незручно, що захистить від випадкового скидання.

Однією із родзинок у дизайні hAP ac^2 можна назвати підставку.

hap_ac2_RBD52G-5HacD2HnD-TC_pic7_mounting.JPG

hap_ac2_RBD52G-5HacD2HnD-TC_pic8_mounting.JPG

hap_ac2_RBD52G-5HacD2HnD-TC_pic9_mounting.JPG

Це не просто підставка, це елемент кріплення для установки на стелю або стіну. Одному з наших клієнтів ми вже встановлювали цей пристрій саме на стелю з гіпсокартону. Процес монтажу швидкий та зручний, при висоті розміщення в 4 метри немає жодних проблем з якістю покриття.

Елемент кріпиться на клямці до нижньої грані чи кришці. У першому випадку ви отримаєте настільний стоячий варіант, у другому – настільний лежачий варіант або кріплення на стіну (стелю). На ніжках присутні силіконові вставки, що забезпечують антиковзкі властивості підставки.

Сам ac^2 вкрай компактний, за розмірами новинка порівнянна зі звичайним hAP lite, а стоячому положенні забере мінімум місця.

Начинка Mikrotik hAP ac^2

Дуже багато власників намагалися зазирнути у нутрощі ac^2, але далеко не кожному він піддався, частина з тих, кому він піддався, просто виламали клямки. Тому наполегливо просимо утриматися від розтину цієї моделі.

Перше, на що варто звернути увагу – замкнутість внутрішнього простору корпусу. Тобто, вентиляційні «щілини» є на передній панелі, але сказати, що вони особливо покращують вентиляцію, не доводиться. Начинка пристрою легко прогрівається до 45 градусів при простої, а під час навантаження може підніматися до 52 градусів.

hap_ac2_RBD52G-5HacD2HnD-TC_pic12_no_air.JPG

Панікувати з цього приводу не варто, колишній hAP ac грівся значно більше. Пристрій, який ми вибрали як сервер і зовсім просто прогрівається до 62-65 градусів.

Майже половина верхньої частини плати RBD52G-5HacD2HnD-TC закрита потужним радіатором голчастого типу.

hap_ac2_RBD52G-5HacD2HnD-TC_pic10_hardware.JPG

З цього ж боку плати розпаяно 2 антени, інтерфейси, підсистема живлення та порт USB.

hap_ac2_RBD52G-5HacD2HnD-TC_pic11_passive_cooling.JPG

По периметру плати є 4 отвори посадки, ймовірно, компанія раніше експериментувала з різними варіантами корпусу, в тому числі класичним.

Вся основна начинка hAP ac^2 знаходиться на звороті PCB.

hap_ac2_RBD52G-5HacD2HnD-TC_pic15_hardware.JPG

hap_ac2_RBD52G-5HacD2HnD-TC_pic16_wlan.JPG

Основу пристрою складає чіп IPQ-4018 виробництва Qualcomm. Це високо інтегроване рішення, що поєднує 32-побутовий ARM-процесор та бездротові модулі.

hap_ac2_RBD52G-5HacD2HnD-TC_pic17_cpu_ipq4018.JPG

hap_ac2_RBD52G-5HacD2HnD-TC_pic20_qualcomm_ipq4018_diagram.png

Незважаючи на велику схожість з IPQ-4019, ці 2 чіпи не взаємозамінні. У старшого IPQ-4019 більший фізичний розмір, інше виконання та схема розпаювання.

qualcomm_ipq_wisoc_family.jpg

Хоча в цілому, IPQ-4018 та IPQ-4019 відрізняються лише набором інтерфейсів.

Основним обчислювальним блоком IPQ-4018 є 4 ARM-ядра Cortex A7 з тактовою частотою 717 МГц. До складу чіпа входить блок Hardware NAT та Crypto Engine, як нескладно здогадатися, перший блок відповідає за розвантаження NAT, другий – за апаратне шифрування.

Обидва бездротові модулі мають конфігурацію MIMO 2x2 (Dual-Chain), причому кожен із модулів має свій власний ко-процесор, що забезпечує апаратне розвантаження. На блок-схемі вони позначені як CPU#1 та CPU#2.

На виході кожного чейну розпаяно по одному блоку посилення (заховані під екранами), загалом їх 4 шт.

RBD52G-5HacD2HnD-TC-diagram.png

Якщо ви подивіться на офіційну блок-схему hAP ac^2, там вказаний гігабітний комутатор AR8327, і позначений як вбудований безпосередньо в IPQ-4018.

Разом з цим, поряд із процесором на платі розпаяний QCA8075, який і реалізує 5 гігабітних портів.

Якщо повернутися до офіційної блок-діаграми Qualcomm, у складі IPQ-4018 вказано "5GE L2/3/4 Switch Engine", трохи лівіше на схемі вказано зовнішній блок "QFE8075/2 (5/2 ports PHY)".

Таким чином, фактично, фізичний рівень (PHY) реалізований на окремому зовнішньому чіпі QCA8075, але обв'язка, що залишилася, знаходиться безпосередньо в складі SoC. Сама RouterOS визначає комутатор як Atheros-8327.

Постійної пам'яті, як завжди, небагато - всього 16 МБ (Winbond 25Q128JVSM).

hap_ac2_RBD52G-5HacD2HnD-TC_pic19_winbond.JPG

З оперативною пам'яттю ситуація цікавіша. Офіційно для hAP ac^2 заявлено 128 МБ оперативної пам'яті. У той самий час перші партії оснащуються чіпами Nanya NT5CC128M16IP-DI на 256 МБ.

hap_ac2_RBD52G-5HacD2HnD-TC_pic18_ram_nanya_2gbit.JPG

Кінцевого користувача доступно 233 МБ. У Mikrotik цей факт підтвердили, але виправляти опис і характеристики hAP ac^2 не будуть, т.к. є партії із 128 МБ. Хтось із відділу логістики здорово накосячив.

Поки нам не попалося жоден пристрій з 128 МБ, всі перевірені нами екземпляри оснащувалися 256 МБ оперативної пам'яті.

Частково платформа hAP ac^2 буде використана в RB450Gx4, щоправда, за основу там взятий IPQ-4019 з відключеними бездротовими інтерфейсами. Вартість плати буде майже вдвічі вищою, ніж у пристрою, що тестується. Натомість Mikrotik пропонує 1 ГБ оперативної пам'яті, 512 МБ NAND Flash, 5-й рівень ліцензії та підтримку microSD.

Продуктивність hAP ac^2 під час роботи з L2TP/MPPE

На даний момент існує досить широкий набір можливостей щодо об'єднання віддалених мереж в єдину обчислювальну мережу. З найпопулярніших інструментів – PPTP, L2TP, OpenVPN та IPsec.

Протокол PPTP найстаріший і небезпечний, в той же час, як не дивно, переважна кількість користувачів Mikrotik для віддаленого підключення використовують саме застарілий протокол pptp. У зв'язку з тим, що цей протокол повністю застарів і навіть у пристроях Apple припинено його підтримку, тестувати цей протокол ми не будемо.

Найбільш оптимальними протоколами можна назвати IPsec та OpenVPN.

IPsec – один із найбезпечніших методів об'єднання мереж, який існує на сьогоднішній день. Завдяки надійному шифруванню AES з підтримкою 128 і 256-бітних ключів, цей протокол забезпечує найвищу надійність і конфіденційність переданих даних, які можуть мати критичну важливість для бізнесу та державних установ. На сьогоднішній день, навіть використовуючи потужності суперкомп'ютерів, для розшифрування даних, зашифрованих за допомогою AES, підуть мільярди років. Мінуси цього методу також є – наявність зовнішніх статичних IP на обох кінцях з'єднання і високі вимоги до апаратної платформи. В принципі, з'єднання IPsec можливе і між динамічними IP, правда в цьому випадку доведеться переналаштовувати параметри при кожній зміні однієї з адрес. З апаратною платформою також не все так просто, бюджетні RouterBOARD початкового рівня можуть забезпечити у кращому разі 10-20 Мбіт при повному завантаженні CPU.

Більш просунуті пристрої, такі як RB750Gr3, RB850Gx2 (знятий з виробництва), RB450Gx4, RB3011, RB1100AHx2, RB1100AHx4 та CCR1009 здатні забезпечити більш високу швидкість при роботі з IPsec. З появою hAP ac^2 цей список можна доповнити ще однією модельною, але про все по порядку.

Існує також можливість використання L2TP у зв'язці з IPsec, основною перевагою такого поєднання є висока захищеність, швидкість та зручність налаштування, а також велика лояльність до NAT на стороні кінцевого клієнта. З серйозних недоліків цього варіанта слід відзначити дуже високі вимоги до апаратної платформи, мабуть, L2TP/IPsec – це найвибагливіший протокол. У всьому виною подвійна інкапсуляція даних та необхідність шифрування.

Цих недоліків позбавлений протокол OpenVPN, основу якого бібліотека OpenSSL і протоколи SSL/TLS. Сам OVPN надзвичайно гнучкий у налаштуванні і навіть дозволяє маскувати трафік під звичайний HTTPS, уможливлюючи обхід усіляких обмежень з боку провайдера. Як правило, OVPN працює швидше за IPsec і при цьому підтримує різноманітні алгоритми шифрування, включаючи AES. Недоліки у даного методу все ж таки є - більш складне налаштування та високі вимоги до заліза (як і для IPsec).

Зі свого боку, для початку ми проведемо тестування L2TP зі штатним шифруванням MPPE 128-bit.

L2TP більш надійний та безпечний на тлі протоколу попереднього покоління – PPTP. Рекомендуємо відмовлятися від використання PPTP на користь більш сучасних протоколів. Якщо у вас немає можливості та/або бажання використовувати OVPN/IPsec/L2TP+IPsec, рекомендуємо використовувати L2TP/MPPE.

Основна рекомендація щодо підвищення безпеки L2TP/MPPE – використання дуже довгих паролів, що складаються з набору випадкових букв (з різною розкладкою), цифр та спецсимволів. Використання «словникових» паролів не рекомендується, оскільки L2TP/MPPE має низку недоліків, дозволяють використовувати словникові методи добору пароля, що у результаті призводить до зниження захищеності 128-бітного ключа, роблячи його еквівалентним 56-бітному ( докладніше ). У будь-якому випадку це набагато краще, ніж використання PPTP.

s3_pic1_ccr1009-server.JPG

Як пара для hAP ac^2 ми вибрали перевірену платформу CCR1009, а саме модель CCR1009-7G-1C-PC.

s3_pic2_ccr1009.JPG

CCR1009-7G-1C-PC є найдоступнішим представником лінійки CCR, у розпорядженні якого є потужний 9-ядерний процесор Tile Gx та 1 ГБ оперативної пам'яті. Подібне поєднання забезпечує високу продуктивність та здатність обробити до 2.5 Гбіт трафіку IPsec.

У процесі тестування додатково перевірялася стабільність роботи і надійність при високих навантаженнях, дані продуктивності вказані для користувальницького трафіку (корисний трафік), у розрахунок взято усереднену вибірку. Пікові значення продуктивності для розрахунку усередненого показника не беруться, якщо їх тривалість менше 30 сек.

s4_pic1_130GB_1400bytes.png

По обидва боки як генератори трафіку використовуються ПК з iperf, що дає більш достовірні значення та гнучкість, ніж вбудований BTest.

  • CCR1009 - WAN IP 192.168.106.20 / VPN 10.0.0.1 / LAN 192.168.1.0

  • hAP ac^2 – WAN IP 192.168.106.30 / VPN 10.0.0.2 / LAN 192.168.2.0

Для CCR1009 використовувалася ручна конфігурація, аналогічна до defconf на низькорівневих пристроях. Наприклад, при надсиланні даних з CCR, задіюється 1 ядро, у той час як при отриманні для розшифровки всі ядра завантажуються поступово.

s4_pic7_test1_fp1400_pic6_ccr1009_load_balancing.png

Обмін пакетами по 1400 байт, режим TCP

Перший тест пропускної спроможності проводимо для пакетів по 1400 байт.

Середня продуктивність 1-потокового тесту – 112 Мбіт на прийом та 128 Мбіт на відправлення.

s4_pic8_test1_fp1400_pic8_1400bytes_fp_dl1_112mbits.png

s4_pic9_test1_fp1400_pic9_1400bytes_fp_ul1_128mbits.png

При збільшенні кількості сесія до 10 швидкість змінюється на 111 і 170 Мбіт, як бачимо, на відправку при збільшенні кількості сесій є збільшення продуктивності.

s4_pic10_test1_fp1400_pic10_1400bytes_fp_ul10_170mbits.png

Для Download (прийом) особливого збільшення немає, незалежно від розміру пакетів. Що цікаво, у всіх перерахованих випадках завантаження IPQ-4018 склало в середньому до 25%. Завантажено всього 1 ядро, лише зрідка система виконує розвантаження інших ядрах – в многопоточных режимах.

Подальший тест проводимо для Upload (надсилання) і збільшуємо кількість сесій до 20 і 100, як результат, швидкість зростає до 201 і 235 Мбіт відповідно.

s4_pic11_test1_fp1400_pic11_1400bytes_fp_ul20_201mbits.png

s4_pic12_test1_fp1400_pic12_1400bytes_fp_ul100_235mbits.png

Для додаткового моніторингу під час тестів періодично використовувався інструмент Tools – Profile, за допомогою якого ми відстежували розподіл ресурсів та їхнє завантаження.

Власне у ньому чітко видно, що зі збільшенням кількості одночасних сполук, RouterOS, хоч і з перекосом, розподіляє частина обчислень інші ядра. В силу своїх особливостей, при використанні протоколу UDP, hAP ac^2 повинен забезпечувати більшу пропускну здатність. Подивимося, якою ця різниця буде на практиці.

Всі налаштування залишаємо без змін, змінюємо лише протокол у тестовому програмному забезпеченні.

У режимі Download (прийом) hAP ac^2 здатний обробити 305 Мбіт.

s5_pic1_UDP_DL.png

s5_pic2_UDP_DL_CCR1009.png

З доданих скріншотів видно, що на WAN приходить більше 400 Мбіт, у той час як на виході інтерфейсу l2tp видно тільки 300+ Мбіт - трафік ac^2, що залишився, просто не обробив, або йому не вистачило ресурсів, або поганий рівень оптимізації RouterOS під платформу ARM .

В черговий раз спостерігаємо картину, коли IPQ-4018 завантажено всього одне ядро, в той час як CCR1009 розподіляє навантаження.

Далі повторюємо тест для Upload (надсилання) і отримуємо 225 Мбіт. Що цікаво, на цей раз CCR1009 використовує всього 1 ядро.

s5_pic3_UDP_UL.png

s5_pic5_UDP_UL_CCR1009.png

Досвідченим шляхом встановлено, що з 700 Мбіт UDP настає DOS, інакше кажучи, відмова у обслуговуванні – сервіс winbox і www перестають бути доступними, припиняється доступом до Інтернет. При цьому трафік через VPN продовжує проходити з попередньою швидкістю. Після вимкнення навантаження працездатність системи повністю відновлюється.

l2tp_mppe_performance_4_udp.png

Відмінність між TCP та UDP

Багато користувачів часто ставлять питання про те, яка різниця між протоколами TCP і UDP.

Говорячи простими словами, протокол TCP передбачає встановлення з'єднання та отримання відповіді про успішне отримання пакета, чим досягається контроль цілісності даних, що передаються.

Протокол UDP дозволяє надсилати дані без встановлення з'єднання та очікування підтвердження про доставку, при цьому цілісність даних не гарантується. Службових даних менше, не потрібно чекати на відповідь, чим і досягається зростання пропускної спроможності.

Прикладом трафіку TCP є HTTP, FTP, SSH, робота з поштою. Прикладом UDP-трафіку є потокове відео, VoIP, частина трафіку онлайн-ігор.

Трохи нижче пропонуємо до вашої уваги зведену діаграму продуктивності для L2TP/MPPE.

l2tp_mppe_performance_5_overall.png

На закінчення

Незважаючи на підтримку 802.11ac Wave 2 з боку чіпа, у самій RouterOS найближчим часом на підтримку MU-MIMO очікувати не варто. Продукт новий і компанії ще потрібно зробити оптимізацію ROS під нову апаратну платформу. В оновленні RouterOS 6.42.2 вже частково проведено оптимізацію IPsec та роботу бездротового модуля 5 ГГц.

В цілому, пристрій вийшов дуже збалансованим та функціональним. За свою ціну hAP ac2 пропонує продуктивне рішення, здатне без проблем прокачати «гігабіт» NAT або PPPoE (~900 Мбіт). На відміну від hEX, новинка пропонує повноцінний вбудований Dual-Band, а для багатьох клієнтів це був єдиний фактор, який утримував від покупки RB750Gr3.

Говорячи про продуктивність L2TP/MPPE, основна проблема полягає у відсутності підтримки апаратного шифрування за алгоритмом RSA RC4, що призводить до таких результатів. Без MPPE новинка здатна прокачати 850-900 Мбіт L2TP однопоточному режимі.

Надалі ми плануємо провести додаткові тести, наприклад, для IPsec та Wi-Fi, пишіть у коментарях, які тести вам хотілося б побачити.


logo
Огляд бездротового маршрутизатора Mikrotik hAP ac², тестуємо продуктивність L2TP/MPPE
Відгуки покупців
Рейтинг покупців
0 / 5
На основі N оцінок покупців
0%
0%
0%
0%
0%
Відгук
Відмінно
Заголовок*
Достоїнства
Недоліки
Коментар*
Як вас звати

Повернення до списку


Авторизуйтеся, щоб додати відгук

x