Тестування продуктивності маршрутизаторів Mikrotik RB850Gx2 та RB3011UiAS-RM

Перед початком тестування проведемо порівняння даних, отриманих самою компанією Mikrotik. Результати тестування ми вирішили зіставити із рішенням попереднього покоління – RB2011 (модель RB2011UiAS-RM ). Всі дані були внесені до загальної таблиці продуктивності, яка надає можливість зручного порівняння.

Як бачите, Mikrotik RB850Gx2 у більшості тестів виявляється приблизно вдвічі швидше моделей на платформі RB2011. Звичайно, до нього потрібно докупити корпус CA150 , але навіть з додатковими витратами приріст продуктивності набагато вищий за приріст в ціні.

Говорячи про платформу RB3011, приріст продуктивності цілком очікуваний. Залежно від конфігурації, 3011 виявляється в середньому вдвічі швидше за 850Gx2, не кажучи вже про 2011, у порівнянні з яким приріст може становити від 3 до 6 разів.

Зазвичай інші компанії у разі зростання продуктивності істотно підвищують ціну, зрівнюючи приріст продуктивності приростом ціни. Політика Mikrotik у цьому плані досить демократична – трохи доплативши можна отримати набагато більше.

Трохи раніше для моделі RB850Gx2 (у липні 2015-го) була заявлена підтримка апаратного прискорення шифрування. Таким чином, компанія Mikrotik випустила оновлену ревізію за допомогою апаратного прискорення шифрування. Нові ревізії цього маршрутизатора мають серійний номер, який починається із цифри 5. У нас на тесті ревізія без підтримки апаратного шифрування (серійний номер починається з 4). Цікаво буде подивитися на продуктивність RB850Gx2 при роботі з шифрованим трафіком, але без прискорення. У свою чергу версія з апаратним прискоренням, за заявою Mikrotik, здатна забезпечити 500 Мбіт/сек із шифруванням AES 128-bit.

Що ж до RB3011, його вихід був відкладений через зміну процесора. Спочатку 3011 р. планувався на іншому процесорі, з появою ARM-процесора IPQ у Qualcomm, було прийнято рішення робити маршрутизатор на новій платформі. В огляді RB3011 ми згадували підтримку шифрування на апаратному рівні з боку процесора, але як справи на практиці?

Користувачі офіційної англомовної спільноти Mikrotik відзначили відсутність апаратного прискорення, на що отримали таку відповідь:

A: IPsec accelerator support for RB3011 is still being worked on, HW acceleration is not yet supported for this model. У CPU є дуже велике, якщо RB2011 ще без HW accelerator.

Q: But HW acceleration will be supported in the near future?

A: We are working on it, yes.

Якщо коротко, розробники працюють над цим питанням, посилаючись при цьому більш високу продуктивність навіть без блоку шифрування. Повідомляється, що роботи над апаратним прискоренням йдуть, правда до кінця не ясно, чи буде підтримка апаратного шифрування введена в одному з оновлень RouterOS, або буде випущена оновлена ревізія RB3011.

RB3011 побудований на новій для компанії платформі ARM, тому оптимізації та покращення у RouterOS однозначно будуть у наступних оновленнях. У свою чергу, підтримка апаратного шифрування для RB3011 офіційно ніколи не заявлялася, враховуючи ринкову вартість та загальну продуктивність платформи – будь-які претензії у бік Mikrotik тут безглузді. Настав час розпочати практичне тестування.

Продуктивність RB850Gx2 та RB3011 при роботі з L2TP

На першому етапі нами було проведено тестування продуктивності маршрутизаторів при використанні корпоративного сервера VPN.

Оскільки RB3011UiAS-RM є більш продуктивним рішенням, він був обраний в ролі сервера L2TP. Налаштування було виконано за інструкцією, яку ми публікували раніше. Firewall містив базовий набір правил (за замовчуванням), і навіть правила, необхідних роботи L2TP.

Використовуючи для тестування вбудований інструмент Bandwidth Test, ви не отримаєте достовірних даних про продуктивність, оскільки клієнт BT використовує лише 1 обчислювальне ядро процесора. Таким чином, на практиці не вдасться задіяти обидва ядра процесора, використовуючи вбудований у маршрутизатор клієнт BT. Для отримання точних даних потрібно використовувати як мінімум 3 маршрутизатори: 2 маршрутизатори з'єднані між собою, на одному з них запущено Bandwidth Test Server; Третій маршрутизатор генерує трафік.

Другий нюанс полягає в тому, що при використанні шифрування та стиснення, необхідно генерувати випадковий набір даних, щоб алгоритми шифрування та стиснення не спотворювали результати, отримані під час тестування. Генерація даних забирає значні ресурси процесора, що також спотворює результати вимірювання та призводить до необхідності третьої «ланки».

На щастя, без третього маршрутизатора можна обійтися запустивши клієнт Mikrotik Bandwidth Test на комп'ютері під керуванням Windows. Враховуючи солідний потенціал щодо продуктивності обох маршрутизаторів, ми вирішили вдатися до вже звичного методу перевірки пропускної спроможності – за допомогою утиліти IPerf (з графічною оболонкою JPerf).

JPerf дозволяє створити велику кількість одночасних потоків, вичавивши максимум з маршрутизатора, що буде дуже актуально для каналу зі смугою пропускання до 1 Гбіт/сек.

У ролі генератора та одержувача трафіку виступили 2 потужні робочі станції з 8-ядерними процесорами, 8 ГБ оперативної пам'яті та мережевими картами Intel PRO/1000 PT (Intel 82572GI, Hardware Offload).

Використання ресурсів ЦП під час генерації трафіку

Перший тест було проведено у базовій конфігурації L2TP без використання базового шифрування MPPE 128-bit.

Генерація трафіку в JPerf, 50 потоків

При запуску 50 одночасних потоків середня швидкість склала 250 Мбіт, але завантаження ресурсів процесора на обох маршрутизаторах свідчить про те, що це далеко не межа. Таким чином, кількість одночасних потоків було збільшено до 150, подальше збільшення не призвело до зростання швидкості.

RB850Gx2, L2TP без шифрування

Максимально досягнута нами швидкість за зазначеної конфігурації – трохи більше 300 Мбіт/сек. І тут є ряд зауважень, річ у тому, що завантаження ресурсів RB850Gx2 загалом становила 80-90%, тобто. потенційно цей маршрутизатор може видати велику швидкість. Також слід розуміти, що ця швидкість включає лише «реальні дані» та не включає всю службову інформацію – на мережевих портах загальна швидкість вища.

Маршрутизатор RB3011UiAS-RM впорався із завданням помітно краще, його продуктивність обмежилася можливостями RB850Gx2, чого й слід було очікувати. При швидкості трохи більше 300 Мбіт, завантаження ресурсів процесора становило лише 22-24%.

RB3011, L2TP без шифрування

Порівняно з RB2011UiAS-RM, який ми також тестували щодо продуктивності при роботі з L2TP, новий RB3011 демонструє багаторазову перевагу.

Як поведуться маршрутизатори, якщо активувати стандартне шифрування MPPE 128-bit? Активуємо нові налаштування та тестуємо повторно.

RB850Gx2, L2TP MPPE 128-bit

Завантаження ресурсів маршрутизатора RB850Gx2 досягло 99-100%, при цьому середня швидкість склала 125-140 Мбіт - це максимум, що вдалося вичавити з 850Gx2.

Втім, результат для цієї моделі цілком очікуваний, адже він оснащений процесором з двома ядрами по 533 МГц кожне. У свою чергу, великий обсяг оперативної пам'яті та архітектура PowerPC дає свої переваги. Для порівняння, RB2011 з розгоном процесора і 700 МГц (замість штатних 600 МГц) дає швидкість 58 Мбіт/сек. Продуктивність архітектури, що застосовується в 850Gx2, у розрахунку на 1 МГц тактової частоти помітно вища (приблизно у півтора рази).

RB3011, L2TP MPPE 128-bit

Повернемося до RB3011, при максимальній швидкості 140 Мбіт/сек, завантаження процесора склало 38%. Враховуючи, що швидкість обмежена з боку RB850Gx2, а також врахувавши ступінь завантаження процесора, можна з абсолютною впевненістю говорити про те, що RB3011 по L2TP+MPPE може справити з каналом більше 300 Мбіт. Верхня межа знаходиться у діапазоні 350-370 Мбіт.

Тестування IPSec

Багатьох цікавить питання продуктивності під час роботи з IPSec, зокрема із застосуванням стійкого шифрування AES 128-bit. Для перевірки продуктивності, конфігурація маршрутизаторів була змінена: L2TP виключено, маршрутизатори перенастроюють об'єднання внутрішніх мереж за допомогою тунелю IPSec. Аутентифікація SHA1, алгоритм AES шифрування 128-bit (aes cbc).

Цього разу вже було використано утиліту Mikrotik Bandwidth Test.

При надсиланні випадкового набору даних з ПК через B3011 до RB850Gx2, продуктивність досягає 82-83 Мбіт.

Швидкість відправки з RB3011 на RB850Gx2

Завантаження ресурсів RB850Gx2 – 70%, RB3011 – 51%.

RB850Gx2, IPSec 128-bit AES

RB3011, IPSec 128-bit AES

Якщо ж надсилати дані з ПК через RB850Gx2 на RB3011, то максимальна швидкість в середньому становить 64 Мбіт. Справа в тому, що процес шифрування забирає більше ресурсів, ніж розшифровка.

RB850Gx2, IPSec 128-bit AES

RB3011, IPSec 128-bit AES

Ось тут і проявляється різниця у продуктивності. Завантаження RB850Gx2 при 64 Мбітах залишилося на колишньому рівні – 70%, тоді як RB3011 для розшифровки такого трафіку потрібно лише 24% ресурсів процесора.

В обох випадках ми генерували трафік на відправку на ПК, щоб не використовувати ресурси маршрутизаторного процесора (у разі «Direction: receive»). До цього ж наводить використання «Direction: Both», адже на другому кінці трафік генерує процесор маршрутизатора, чим віднімаються його ресурси і спотворюються загальні дані щодо продуктивності.

Найбільш правильним буде згенерувати трафік на відправлення із двох ПК. Так і робимо, запускаємо зустрічну відправку з двох ПК на віддалені маршрутизатори: з мережі на маршрутизатор B, з мережі на маршрутизатор A.

RB850Gx2, IPSec 128-bit AES, duplex

RB3011, IPSec 128-bit AES, duplex

Результати очікувані, загальна швидкість в дуплексі доставляє ~95 Мбіт, при цьому завантаження RB850Gx2 становить 100%. Зіставивши всі дані, отримуємо таке. Для маршрутизатора RB850Gx2 максимальна швидкість становить 83 Мбіт на прийом (розшифрування пакетів) та 64 Мбіт на відправлення (шифрування пакетів). У режимі повного дуплексу максимальна продуктивність – 90-95 Мбіт/сек, залежно від структури трафіку.

RB3011 може похвалитися куди вищим рівнем продуктивності: при використанні половину ресурсів він може зашифрувати та відправити щомиті 83 Мбіт, при цьому декодування має гарний рівень оптимізації, що дозволяє розшифрувати 64 Мбіт, використовуючи всього 24% ресурсів центрального процесора.

RB3011: робота як файловий сервер

Новий RB3011 оснащений повнорозмірним портом USB 3.0, до того ж центральний процесор маршрутизатора підтримує USB 3.0 на апаратному рівні.

Раніше ми вже стикалися з проблемою нестачі ресурсів процесора при використанні як невеликий файл-сервер на маршрутизаторах попереднього покоління, зокрема у RB2011 і RB951Ui-2HnD . Файловий доступ на цих моделях працює, з непоганою швидкістю, але при цьому завантаження ресурсів процесора досягає 100%, що для маршрутизатора, що забезпечує й інші функції, такі як вихід в Інтернет, неприпустимо.

У першому тесті в ролі накопичувача виступив флеш-накопичувач Goodram Point 8 GB (PD8GH3GRPOSR10) із підтримкою USB 3.0. Швидкість запису на флешку не піднялася вище 1.66 МБайт/сек, щоправда, завантаження ресурсів склала в середньому всього 3%.

Копіювання на флеш-накопичувач

Використання ресурсів при копіюванні

Після чого було ухвалено рішення підключити зовнішній вінчестер. Під руками виявився старенький диск 2.5” на 120 Гб виробництва Seagate. При форматуванні диска FAT32, завантаження процесора досягала 9%.

Форматування диска

Середня швидкість запису на диск склала 10 Мбайт/сек, що досить хороший результат. Завантаження процесора – лише 15%.

Копіювання на диск

Використання ресурсів при копіюванні

Тест швидкості читання з диска показав 5.9 Мбайт/сек, при завантаженні процесора 12%. Запис даних здійснювався на твердотільний накопичувач OCZ Agility 3.

Копіювання з диска

Завантаження під час копіювання

В цілому робота з накопичувачами дається RB3011 легко. У нашому випадку вузьким місцем був старий жорсткий диск. Якщо передбачається використання маршрутизатора як сервер для підприємства, найкраще використовувати спеціальні моделі дисків, розрахованих постійну роботу, наприклад, Constellation ES виробництва Seagate. Можна також використовувати SSD-накопичувачі, якщо вас не лякає їхнє зношування при постійному перезаписі. Основна рекомендація – наявність USB 3.0 та підтримка SATA II (SATA III) на вінчестері, так ви зможете отримати хорошу швидкість запису/копіювання.

Для важливих даних найбільш правильним варіантом є використання окремого мережевого сховища - NAS. Бажано з 2 вінчестерами в RAID (дзеркалювання) та гігабітним мережевим інтерфейсом.

Висновки з тестів RB850Gx2 та RB3011UiAS-RM

Новий RB850Gx2 є чудовим рішенням, якщо вам необхідно створити сервер VPN L2TP з метою об'єднання в одну мережу кількох невеликих філій. Швидкість підключення до інтернет-провайдера, у такому разі, може становити 100 Мбіт, при цьому у вас залишиться достатній запас продуктивності для додаткових правил, політик та обмежень. Свого роду типовий варіант використання у мережі підприємства, коли підключені віддалені офіси, внутрішня мережа гігабітна, а співробітникам необхідно обмежити швидкість чи доступ.

RB850Gx2 для таких цілей буде чудовим варіантом, надавши хорошу продуктивність та можливість складної конфігурації мережі підприємства.

Якщо VPN не використовується, цей маршрутизатор буде відмінним варіантом для офісу зі швидкістю зовнішнього каналу до 1 Гбіт/сек. Великий обсяг оперативної пам'яті та хороший потенціал процесора дозволяють розмежувати доступ користувачам до ресурсів Інтернету так, як це необхідно (ліміт швидкості, шейпінг, Burst, обмеження та лімітування пірингового трафіку тощо).

Третій варіант використання – як сервер HotSpot і CAPsMAN із зовнішнім каналом до 1 Гбіт/сек.

Завантаження процесора RB850Gx2 під час тестування

Завантаження процесора RB3011 під час тестування

Що ж до оновлення стійкових маршрутизаторів початкового рівня, RB3011UiAS-RM показує відмінну продуктивність за відносно невисоку вартість. У плані продуктивності цей маршрутизатор, залежно від конфігурації мережі, в 2-3 рази перевищує RB850Gx2. Не кажучи вже про RB2011, в порівнянні з яким, новинка має перевагу, впевнено обганяючи попередника в 3-6 разів.

RB3011 – відмінний варіант для організації доступу до мережі Інтернет на підприємстві із зовнішнім каналом 1 Гбіт/сек. Наявність слота SFP дозволяє підключитися до провайдера оптоволоконним кабелем без необхідності застосування додаткового обладнання. Маршрутизатор може бути центральним сервером VPN для організації віддалених підключень, наприклад, з метою об'єднання офісів з кількома підмережами.

Якщо передбачається використовувати шифрування AES, найбільш комфортно RB3011 почувається в умовах, коли вхідний трафік перевершує вихідний. Наприклад, коли в головному офісі знаходиться сервер компанії, на який надсилаються дані з периферійних офісів (філій). При цьому периферійні філії можуть бути оснащені менш продуктивними (більш доступними) маршрутизаторами Mikrotik. При побудові бездротової мережі у великому готелі (торговому центрі, навчальному закладі), RB3011 може виступити як потужний сервер HotSpot.