Mikrotik hAP AC – Роутер на всі випадки життя. Сильні та слабкі сторони MikroTik hAP lite RB941 Живлення Мікротик hAP lite

Зараз навіть відсутність води чи світла часто сприймається простіше, ніж відсутність чи погана робота інтернету. Ну світло, ясна річ, потрібне, але є ще LTE і 3G підключення:)
Для мене липень був справжнім кошмаром, мій старенький роутер DLink DIR620 повільно, але правильно божеволів, заодно зводячи з розуму і мене самого. Постійні пропадання пінгу як у зовнішню мережу, так і до самого роутера, відсутність можливості підключитися до інтерфейсу адміністрування, та й необхідність все частіше перешивати роутер, щоб привести до тями на якийсь час. Все це мене остаточно дістало і було ухвалено рішення – потрібне нове джерело котиків знань у квартирі.

Останнім часом у мене вдома були DLink та Zyxel. Хоча по роботі стикався ще з Ubiquiti, TP-Link та Asus. DLink не хотілося брати з певних причин, включаючи вироблену ненависть до мого дідка. З рештою сидів і думав, кого взяти на зміну. Бентежили вічні збочення із системою адміністрування роутерів, то прошивки перестануть випускати, то з глюками щось, то з продуктивністю, одні компромісні варіанти. На 100% робочий кінь коштуватиме тисяч 5-7. Для безробітного, зараз, мене це якось забагато.

Спілкуючись зі знайомим, дізнався, що в нього друг роздає сусідам інтернет через роутер MikroTik, плюс начебто сам цей друг працював на місцевого невеликого провайдера і аби навряд чи поставив би. Скептично зреагувавши на нове собі ім'я, пішов шукати інформацію.

Виявилося, що MikroTik – нове ім'я лише для мене. Ця невелика латвійська компанія (всього зі 100 з невеликим чоловік) була створена далекого 1995 року. MikroTik випускає досить великий спектр мережного обладнання, провідного та бездротового (маршрутизатори, комутатори, точки доступу), а також свою RouterOS, яка встановлюється НА ВСЕ Карл! продукти підприємства.

Подивився я на роутери за 20000+, пооблизывался на можливості налаштування цієї RouterOS і вирішив, що доведеться мабуть брати щось із запланованого, бюджетного. Втішився, коли виявив, що в лінійці продуктів MikroTik є пристрої за цілком демократичною ціною, які підійдуть для дому.

Так я дізнався про…

Microtik hAP lite

Комплект поставки

На коробці коротка інструкціяпо підключенню до роутера:

1. Підключитись до WIFI або безпосередньо кабелем
2. Зайти до браузера за адресою 192.168.88.1
3. Користувач admin без пароля

Усередині коробки блок живлення з роз'ємом microUSB (підійде стандартний 5В-2А), невелика інструкція та все.

Маленький LifeHack: MikroTik hAP lite, як ви бачите, пристрій невеликий за розмірами, до того ж його можна запитати від ноута. Це я до того, що в житті можуть бути ситуації, коли роутер, який роздає WiFi локально – зручна штука. Мені б він став у нагоді рік тому, коли я був на мобільному інтернетічерез свисток 4G, а WiFi від комп'ютера завжди відрубував мобільник, планшет і ще один ноут.

Звичний патч-корд відсутній, але при включенні роутер стартує WiFi і його можна налаштувати без провідного підключення. Для мене відсутність «рюшок» тільки плюс, всі ми розуміємо, що кольорова коробка, керівництво, диски, патч-корд вартує наших з вами грошей. На мій погляд, хай краще за них не буде.

Зовнішній вигляд

Взагалі, зовнішній виглядпристрої, як і упаковки – мінімалістичний. Роз'єм живлення, роз'єм Ethernet, індикація живлення та активності, а також кнопка reset винесені на один бік пристрою, всі інші нічого не містять. Крім заглушки для відсутнього в lite версії USB порту.

Трохи більша різноманітність чекає на нас знизу корпусу. Ніжки, вентиляційні отвори, наклейка з такою ж інформацією, як і на коробці: MAC, серійник, назва моделі. На додаток на нижній частині hAP lite є 2 хрестоподібні кріплення для встановлення пристрою на стіні. Здорово, що можна повісити роутер вертикально і горизонтально.

Лізти в утробу не бачу сенсу, за бажання можна знайти необхідне в інтернеті, тому технічні характеристикивізьму із доступних джерел для загальної інформації.

Технічні характеристики

Загалом залізо hAP lite зірок з неба не вистачає, потужності WiFi вистачить на середньостатистичну квартиру або невеликий офіс, втім, як і заявлено - SOHO. Найцікавіше у цьому випадку – програмна частина.

RouterOS

RouterOS – це перший продукт компанії MikroTik, випущений у 1997 році. Так-так, спочатку був софт, потім (через 5 років) під нього зробили ще залізо.

Базується на RouterOS на ядрі Linux v3.3.5 (на момент написання статті), надаючи швидкий та зручний інтерфейс для керування всіма функціями. До речі, можна спробувати RouterOS абсолютно так, достатньо завантажити образ з офіційного сайту http://www.mikrotik.com і встановити на будь-який ПК.

RouterOS підтримує багатоядерні та багатопроцесорні конфігурації комп'ютерів, встановлюється на IDE, SATA та USB накопичувачі. Для встановлення потрібно хоча б 64 Мб вільного місця. Звичайно підтримується безліч мережевих інтерфейсів, включаючи новітні 10 гігабітні карти, 802.11a/b/g/n бездротові пристрої, SFP модулі та 3G/LTE модеми.

Повторюся, ця наворочена операційна система для роутерів стоятиме у вашому hAP lite, готова на все.

Варіанти налаштування RouterOS:

• Графічний інтерфейс- Winbox (додаток під windows), Web інтерфейс
• Командний інтерфейс- Telnet, ssh, локальна консоль, серійна консоль
• API– дозволяє побудувати свій додаток

Тут зібрані воєдино основні базові налаштуванняроутера:
Назва WiFi мережі, ключ доступу, моніторинг підключених бездротових пристроїв. Тут же можна налаштувати доступ до провайдера, в моєму випадку – це статичне підключення: вказуємо IP, маску, можна підставити потрібну адресу MAC, якщо провайдер обмежує доступ по ньому. Налаштування вашої локальної мережітакож доступні у цьому розділі.
Apply Configuration та доступ до Інтернету налаштований.

Це базові налаштування, щось на кшталт звичайних сторінок у звичних всім роутерах. Деталі чекають на користувача в додаткових розділах.

Там за умовчанням увімкнено небезпечний WPA (на картинці вже вимкнено)

Дуже бавить, коли, зайшовши в налаштування WiFiінтерфейсу та подивившись на 4 сторінки налаштувань, виявляєш кнопку Advanced Settings. "А, то це був Easy mode", - з подивом подумав я. Втім, всі ці складності потрібні тільки коли перед вами стоїть певне завданняі, швидше за все, ви вже знаєте, що саме потрібно зробити.

Також варто звернути увагу на розділ IP -> Services. Я люблю тримати все зайве вимкненим, від гріха подалі, тому для себе відключив все, крім ssh та web інтерфейсу.

Коротко пройдуся основними можливостями. RouterOS дуже багата на налаштування, тому всі описувані пункти показувати скріншотами не бачу сенсу, буде дуже багато картинок, що ні про що не говорять. Якщо ви зацікавитеся системою – поставте собі на віртуальну машинуі пограйтеся. Толку буде більше.

Можливості

Повноцінний Firewall

CAPsMAN

Маршрутизація

Але і це ще не все (с)

Перенаправлення

MPLS (MultiProtocol Label Switching)

VPN

Wireless

Hotspot

Quality of Service (QoS)

Проксі сервер

Утиліти

Чувак (The Dude)

Ліцензії

От і все. В іншому ваша залозка і та, що за 20000 рублів, у можливостях збігаються. Звичайно, потрібно розуміти, що при складній конфігурації ви упреєтеся в продуктивність заліза, але це буде не так легко в домашніх умовах, а для офісу можна купити залізницю дорожче.

Мене, наприклад, вразив RB 2011 UiAS-2HnD-IN. Ошатно. Модно:)

Повинен відзначити, що не всі можливості RouterOS для мене зрозумілі відразу, зважаючи на відсутність досвіду управління складними мережами, так що вибачте, якщо чогось не описав або описав не так. Думаю ті, хто все це знає, можуть розібратися в деталях краще за мого. В рамках однієї оглядової статті все розглянути неможливо у будь-якому випадку. Та й стаття не про RouterOS, а про маленький пристрій, ціною як початкове рішення від звичайних представників домашнього інтернету, з можливостями рівня невеликого провайдера та деякими очевидними обмеженнями.

Тестування

Умови тестування

Роутер був молодцем, відео не гальмувало на жодному пристрої. Торренти гойдалися із цілком прийнятною швидкістю. Як тільки було вимкнено відео – піднімалася швидкість закачування.

Зі SpeedTest сильно не морочився:

WiFi @ MacBook Pro(початок 2011)

LAN там же

WiFi @ iPad

Для мене взагалі було здивуванням дізнатися про існування цієї невеликої компанії, а зараз я знаю, що вони роблять велику кількість цікавих апаратних рішень, беруть участь у побудові національних мережу деяких країнах, створені тренінг-центри по всьому світу, у тому числі в Санкт-Петербурзі та Москві, де можна пройти навчання, стати сертифікованим фахівцем MikroTik та застосовувати в роботі ці по-своєму цікаві та функціональні пристрої.

Двома словами про що це ми тут

Пристрій добре підійде сисадмін: молодшим – як інструмент підвищення кваліфікації, шляхом самостійного вивчення«на кішках», і більш досвідченим – щоб підключити по «фэншую» всі будинки, налаштувати зв'язок з офісом, та й мало чого ще.
Зовсім недосвідченим людям, без бажання мінімально зрозуміти RouterOS, ставити додому такий пристрій не варто. Як інженери підтримки провайдера вам допоможуть по телефону?
Ті, хто здатний сам налаштувати звичайний домашній роутер, цілком зможуть розібратися і з цим малюком.

Плюси:
Вартість
Можливості
Мініатюрність
Продуктивність

Мінуси:
Відсутня модель з 5Ghz WiFi (взагалі MikroTik має 5Ghz пристрої, але вони в дорожчому сегменті)
Немає можливості написати свій модуль

Чесно зізнаюся, що донедавна я взагалі не був знайомий з маршрутизаторами від MikroTik. Щось чув, читав і весь час думав, що це якісь мережеві пристроїдля професіоналів. Складне налаштування, багато функцій і таке інше. Але побачив у продажу нещодавно кілька моделей MikroTik. Вирішив купити MikroTik hAP Lite TC, щоб самому подивитися, налаштувати його і розповісти про це вам.

У цій інструкції я покажу, як налаштувати MikroTik hAP Lite TC. Використовуючи цей посібник, ви зможете налаштувати практично будь-який маршрутизатор MikroTik RouterBOARD. Сама RouterOS, на якій працюють пристрої цього виробника, на перший погляд, дуже складна. Насправді вона складна не тільки на перший погляд 🙂 Там реального багато різних розділів, налаштувань і т. д. На моєму роутері сама система RouterOS англійською мовою. Як я розумію, там немає можливості змінити мову налаштувань на російську. Але, якщо розібратися, то розумієш, що для звичайного налаштування MikroTik взагалі не потрібно лазити по якихось розділах, щось шукати і т. д. Там всі необхідні і важливі налаштування знаходяться на одній сторінці. Яка відкривається одразу після входу в панель керування. Зараз ми все це розглянемо докладніше.

Хочу ще сказати кілька слів про сам роутер MikroTik hAP Lite TC. Пристрій мені сподобався. Корпус з якісного пластику, хоч і трохи смердить. Недорогий, прикольний, зважаючи на все потужний і дуже функціональний. Але весь цей функціонал не потрібний більшості користувачів. Прикольно, що живлення від microUSB. Можна записати навіть від USB-порту комп'ютера або повербанка. Або без проблем знайти інший адаптер, якщо рідний зламається. Не сподобалася дуже нудна упаковка, зовсім незрозуміла інструкція з налаштування (англійською мовою), і що найголовніше – відсутність кабелю мережі в комплекті. Такі вони маршрутизатори MikroTik RouterBOARD. Принаймні, модель hAP Lite TC.

Судячи з тієї інструкції, яка йде в комплекті, цей посібник має стати в нагоді багатьом. Щодо MikroTik, то тут я повний чайник. Так що інструкція, як ви розумієте, для таких же чайників, як я 🙂

Підключення роутера MikroTik та підготовка до налаштування

Щоб встановити всі необхідні параметри, нам спочатку потрібно підключитися до маршрутизатора і підключити до нього інтернет. Так як мережевого кабелю в комплекті немає, то ви швидше за все підключатимуться до нього по Wi-Fi мережі. Налаштувати можна не тільки з ноутбука або ПК. Можна використовувати планшет, телефон або інший пристрій.

Спочатку підключіть адаптер живлення та увімкніть його в розетку. Також відразу можете підключити до MikroTik інтернет (Мережевий кабель від провайдера, або модему). У порт Internet.

Якщо у вас є мережевий кабель, і немає можливості підключитися через Wi-Fi, то просто підключіть один кінець кабелю в LAN порт роутера, а другий в порт мережевої карти вашого комп'ютера.

Якщо у вашому випадку мережа буде закрита паролем, або при вході в налаштування роутера з'являтиметься запит пароля, то швидше за все його хтось налаштовував. Зробіть скидання налаштувань за інструкцією: .

Виглядає це так:

Доступу до інтернету одразу може не бути. Ми ще не налаштували підключення маршрутизатора до провайдера. Це нормально. Переходимо до налаштування.

Налаштування MikroTik на прикладі моделі hAP Lite TC

Щоб зайти до налаштувань роутера, потрібно в будь-якому браузері перейти за адресою 192.168.88.1 . Докладніше про це я писав у статті: . Відразу має відкритися панель керування RouterOS (У моєму випадку версії v6.34.2). Перевірте, щоб роутер працював у режимі "Home AP".

Як я вже писав вище, всі базові налаштування можна задати прямо на головній сторінці"Quick Set". Вона поділена на блоки. Налаштувати нам потрібно таке:

1. Підключення до Інтернету (Internet).
2. Wi-Fi мережа (Wireless).
3. Встановити пароль для захисту панелі керування (System).

Цих налаштувань цілком достатньо у більшості випадків.

Налаштування інтернету на MikroTik (Динамічний IP, PPPoE)

Важливий момент! Якщо інтернет у вас вже працює через маршрутизатор, то швидше за все ваш провайдер використовує тип підключення Динамічний IP, та додаткове налаштуванняне потрібна. Так як тип підключення "Automatic" стоїть за замовчуванням. Можете одразу налаштовувати Wi-Fi мережу.

Ви повинні мати інформацію про тип підключення, яке використовує ваш інтернет-провайдер. А також всі необхідні дані для підключення до інтернету (якщо у вас НЕ динамічний IP). Також бажано відразу з'ясувати, чи робить провайдер прив'язку по MAC-адресі.

Значить так, якщо у вас тип підключення "Динамічний IP", без прив'язки за MAC-адресою, то все одразу має працювати. Якщо є прив'язка за MAC-адресою, то вам потрібно або прописати у провайдера MAC-адресу роутера (він вказаний у полі MAC Address), або до якого прив'язаний інтернет і прописати його в полі "MAC-адреса" в налаштуваннях роутера.

Налаштування PPPoE

Виділяємо тип підключення PPPoE, задаємо ім'я користувача та пароль (їх видає провайдер)та натискаємо на кнопку "Reconnect". Роутер повинен підключитись до інтернету. Якщо все добре, то переходьте до налаштування Wi-Fiмережі. Про це нижче у статті.

Налаштування L2TP/PPTP

Спочатку у розділі "PPP" потрібно додати "PPTP Client".

Далі задаємо адресу сервера (Connect To), ім'я користувача (User) та пароль (Password). Ці дані видає провайдер. Ставимо галочку біля "Add Default Route". Потім зберігаємо профіль натиснувши на кнопку "Apply" та "Ok".

Друзі, я не впевнений, що інструкція з налаштування PPTP є правильною. На жаль, немає можливості це перевірити. Якщо я щось написав не так, будь ласка, виправте мене в коментарях.

Налаштування Wi-Fi мережі та пароля на MikroTik hAP Lite TC

На цій же сторінці нас цікавить розділ "Wireless". Він ліворуч.

У полі "Network Name" змінюємо ім'я Wi-Fi-мережі. У меню "Country" бажано вказати свій регіон, і в полі "WiFi Password" задаємо пароль (мінімум 8 символів), який буде використовуватися при підключенні до мережі Wi-Fi.

Нижче можна налаштувати гостьову Wi-Fiмережу, і переглянути список підключених по Wi-Fi клієнтів.

Запам'ятайте або запишіть пароль від Wi-Fi. Можете зберегти налаштування кнопкою "Apply Configuration", або встановіть пароль на захист налаштувань.

Пароль на web-інтерфейс RouterOS

Ми колись переходили за адресою 192.168.88.1, то панель управління відкрилася відразу. До неї зможе зайти кожен, хто підключений до роутера через Wi-Fi мережу, або по кабелю. Щоб захистити її, потрібно встановити пароль.

На головній сторінці, у правому нижньому кутку, у розділі "System", у полі "Password" та "Confirm Password" придумайте та вкажіть пароль. Збережіть налаштування, натиснувши на "Apply Configuration" .

Вас "викине" із системи. І щоб знову зайти до налаштувань, потрібно вказати пароль, який ви встановили. Ім'я користувача – admin. Тепер авторизуватися потрібно буде при кожному вході до RouterOS.

Постарайтеся не забути пароль, бо доведеться скидати налаштування свого роутера MikroTik і налаштовувати все заново.

Післямова

Заздалегідь перепрошую, якщо десь помилився в інструкції. Немає можливості перевірити все на собі. Наприклад, підключення за PPPoE, або PPTP. Потрібен провайдер, який використовує певний протокол. Саме налаштування мені здалося навіть простіше, ніж у популярних виробників з більш доброзичливим інтерфейсом. Погоджуся, що налаштувати наприклад фільтрацію за MAC-адресами, блокування сайтів, обмеження швидкості та інші функції там буде важкувато. Потрібно знатися.

Довго було зрозуміти, як працює сама система RouterOS. І я зрозумів. Вона працює "чітко". Так, налаштувань там багато. Але все швидко відкривається, зберігається, видаляється і т.д. Нічого не висить і не перезавантажується по кілька разів.

Залишайте коментарі, поділіться корисними порадамита ставте питання!

Коли свого часу Mikrotik представили hAP lite, це стало справжнім поштовхом для широкого використання маршрутизаторів цієї компанії. Відмінний набір можливостей, багатий функціонал, гнучкість, надійність та доступна ціна перетворили на справжній bestseller, який і сьогодні очолює рейтинги продажів багатьох інтернет-магазинів.

Зустрічайте, hAP ​​ac²!

Багато хто помилково вважає hAP ac² заміною попереднього флагману hAP, частково це вірно, але не зовсім. Розбиратимемося.

Постачається hAP ac² у звичній картонній упаковці, єдине, що змінилося за останні кілька років, так це візерунок, доданий на коробку і нагадує вишиванку.

Як і раніше, пристрій поставляється без патчкорду та кольорової поліграфії. Втім, від якісного патчкорду багато хто б, напевно, не відмовився.

Через матовий софттач покриття упакований hAP ac² в поліетилен, що має забезпечити збереження до того моменту, поки пристрій не потрапить до рук кінцевого клієнта.

З нестандартних опцій у комплектації присутня тільки кріплення-підставка та коротка ілюстрована інструкція щодо використання цієї самої підставки.

Артикул моделі вийшов досить хитромудрий - RBD52G-5HacD2HnD-TC, якщо для того ж hEX місцями при спілкуванні на форумах користувачі могли використовувати артикульний ідентифікатор, то у випадку з цією моделлю, запам'ятати артикул з першого разу не у всіх вийде.

Втім, з артикула можна отримати дуже багато інформації:

RB - RouterBOARD

D - Dual-Chain (Full)

52 - Dual-Band 5+2.4 ГГц

G - Gigabit Ethernet

5HacD - 5 ГГц 802.11ac, High-Power (тип 1), Dual-Chain

2HnD - 2.4 ГГц 802.11n, High-Power (тип 1), Dual-Chain

Що стосується потужності передавача, у Mikrotik присутні 4 градації:

нормальна потужність (індекс відсутня), менше ніж 23-24 дБм;

H – підвищена потужність, 23-27 дБм;

HP - висока потужність, 25-29 дБм;

SHP – дуже висока потужність, більше 27-30 дБм;

Власне під "тип 1" мається на увазі індекс "H". А ось індекс «U» (USB) у назві не використовується, хоча даний інтерфейстут є.

Взагалі сам дизайн досить незвичний. Компанія продовжує експерименти з Tower-Case, у свій час першим «експериментальним» пристроєм став hAP lite TC. Потім з'явився hAP ac lite TC (RB952Ui-5ac2nD-TC) та hAP mini (RB931-2nD).

Як свідчать опитування, майже 70% респондентів схвалюють одомашнений дизайн hAP ac2.

Індикатори та самі інтерфейси розташовані на протилежних гранях, що є стандартом домашніх та SOHO-рішень. Індикація портів не надто зручна, зате не нав'язлива і не діставатиме своєю роботою в нічний час.

Всі 5 екранованих інтерфейсів, при цьому на корпусі не передбачено ніякої можливості підключення заземлення.

Крім індикатора живлення є у hAP ac² і додатковий індикатор, який зручно налаштовувати, наприклад, під статус VPN-підключення.

Кнопка WPS і скидання суміщені, більше немає необхідності носити з собою скріпку, тепер згодиться ручка або олівець - довго утримувати кнопку, як і раніше, незручно, що захистить від випадкового скидання.

Однією із родзинок у дизайні hAP ac² можна назвати підставку.

Це не просто підставка, це елемент кріплення для установки на стелю або стіну. Одному з наших клієнтів ми вже встановлювали цей пристрійсаме на стелю із гіпсокартону. Процес монтажу швидкий та зручний, при висоті розміщення в 4 метри немає жодних проблем з якістю покриття.

Елемент кріпиться на клямці до нижньої грані чи кришці. У першому випадку ви отримаєте настільний стоячий варіант, у другому - настільний лежачий варіант або кріплення на стіну (стелю). На ніжках присутні силіконові вставки, що забезпечують антиковзкі властивості підставки.

Сам ac2 вкрай компактний, за розмірами новинка порівнянна зі звичайним hAP lite, а стоячому положенні забере мінімум місця.

Начинка Mikrotik hAP ac²

Дуже багато власників намагалися зазирнути у нутрощі ac^2, але далеко не кожному він піддався, частина з тих, кому він піддався, просто виламали клямки. Тому наполегливо просимо утриматися від розтину цієї моделі.

Перше, на що варто звернути увагу – замкнутість внутрішнього простору корпусу. Тобто, вентиляційні «щілини» є на передній панелі, але сказати, що вони особливо покращують вентиляцію, не доводиться. Начинка пристрою легко прогрівається до 45 градусів при простої, а під час навантаження може підніматися до 52 градусів.

Панікувати з цього приводу не варто, колишній hAP ac грівся значно більше. Пристрій, який ми вибрали як сервер і зовсім просто прогрівається до 62-65 градусів.

Майже половина верхньої частини плати RBD52G-5HacD2HnD-TC закрита потужним радіатором голчастого типу.

З цього ж боку плати розпаяно 2 антени, інтерфейси, підсистема живлення та порт USB.

По периметру плати є 4 посадкові отвори, ймовірно, компанія раніше експериментувала з різними варіантамикорпуси, у тому числі класичним.

Вся основна начинка hAP ac^2 знаходиться на звороті PCB.

Основу пристрою складає чіп IPQ-4018 виробництва Qualcomm. Це високо інтегроване рішення, що поєднує 32-побутовий ARM-процесор та бездротові модулі.

Незважаючи на велику схожість з IPQ-4019, ці два чіпи не взаємозамінні. У старшого IPQ-4019 більший фізичний розмір, інше виконання та схема розпаювання.

Хоча в цілому, IPQ-4018 та IPQ-4019 відрізняються лише набором інтерфейсів.

Основним обчислювальним блоком IPQ-4018 служать 4 ARM-ядра Cortex A7 з тактовою частотою 717 МГц. До складу чіпа входить блок Hardware NAT і Crypto Engine, як нескладно здогадатися, перший блок відповідає за розвантаження NAT, другий – за апаратне шифрування.

Обидва бездротові модулімають конфігурацію MIMO 2x2 (Dual-Chain), причому кожен із модулів має свій власний ко-процесор, що забезпечує апаратне розвантаження. На блок-схемі вони позначені як CPU#1 та CPU#2.

На виході кожного чейну розпаяно по одному блоку посилення (заховані під екранами), загалом їх 4 шт.

Якщо ви подивіться на офіційну блок-схему hAP ac2, там вказаний гігабітний комутатор AR8327, і позначений як вбудований безпосередньо в IPQ-4018.

Разом з цим, поруч із процесором на платі розпаяно QCA8075, який і реалізує 5 гігабітних портів.

Якщо повернутися до офіційної блок-діаграми Qualcomm, у складі IPQ-4018 вказано "5GE L2/3/4 Switch Engine", трохи лівіше на схемі вказано зовнішній блок "QFE8075/2 (5/2 ports PHY)".

Таким чином, фактично, фізичний рівень(PHY) реалізований на окремому зовнішньому чіпі QCA8075, але обв'язка, що залишилася, знаходиться безпосередньо в складі SoC. Сама RouterOS визначає комутатор як Atheros-8327.

Постійної пам'яті, як завжди, небагато - всього 16 МБ (Winbond 25Q128JVSM).

З оперативною пам'яттю ситуація цікавіша. Офіційно для hAP ac2 заявлено 128 МБ оперативної пам'яті. У той самий час перші партії оснащуються чіпами Nanya NT5CC128M16IP-DI на 256 МБ.

Кінцевого користувача доступно 233 МБ. У Mikrotik цей факт підтвердили, але виправляти опис і характеристики hAP ac^2 не будуть, т.к. є партії із 128 МБ. Хтось із відділу логістики здорово накосячив.

Поки нам не попалося жоден пристрій з 128 МБ, всі перевірені нами екземпляри оснащувалися 256 МБ оперативної пам'яті.

Частково платформа hAP ac2 буде використана в RB450Gx4, правда за основу там взято IPQ-4019 з відключеними бездротовими інтерфейсами. Вартість плати буде майже вдвічі вищою, ніж у пристрою, що тестується. Натомість Mikrotik пропонує 1 ГБ оперативної пам'яті, 512 МБ NAND Flash, 5-й рівень ліцензії та підтримку microSD.

Продуктивність hAP ac 2 під час роботи з L2TP/MPPE

На даний момент існує досить широкий набір можливостей щодо об'єднання віддалених мереж в єдину обчислювальну мережу. З найбільш популярних інструментів – PPTP, L2TP, OpenVPN та IPsec.

Протокол PPTP найстаріший і небезпечний, в той же час, як не дивно, переважна кількість користувачів Mikrotik для віддаленого підключення використовують саме застарілий протокол pptp. В зв'язку з тим що даний протоколповністю застарів і навіть у пристроях Appleприпинено його підтримку, тестувати цей протокол ми не будемо.

Найбільш оптимальними протоколами можна назвати IPsec та OpenVPN.

IPsec - один із найбезпечніших методів об'єднання мереж, який існує на сьогоднішній день. Завдяки надійному шифрування AESз підтримкою 128 та 256-бітних ключів, даний протокол забезпечує найвищу надійністьі конфіденційність переданих даних, які можуть мати критичну важливість для бізнесу та державних установ. На сьогоднішній день, навіть використовуючи потужності суперкомп'ютерів, для розшифрування даних, зашифрованих за допомогою AES, підуть мільярди років. Мінуси у даного методутакож є наявність зовнішніх статичних IP на обох кінцях з'єднання і високі вимоги до апаратної платформи. В принципі, з'єднання IPsec можливе і між динамічними IP, правда в цьому випадку доведеться переналаштовувати параметри при кожній зміні однієї з адрес. З апаратною платформою також не все так просто, бюджетні RouterBOARD початкового рівняможуть забезпечити у кращому разі 10-20 Мбіт при повному завантаженні CPU.

Більш просунуті пристрої, такі як RB750Gr3, RB850Gx2 (знятий з виробництва), RB450Gx4, RB3011, RB1100AHx2, RB1100AHx4 та CCR1009 здатні забезпечити більш високу швидкістьпід час роботи з IPsec. З появою hAP ac2 цей список можна доповнити ще однією модельною, але про все по порядку.

Існує також можливість використання L2TP у зв'язці з IPsec, основною перевагою такого поєднання є висока захищеність, швидкість та зручність налаштування, а також велика лояльність до NAT на стороні кінцевого клієнта. З серйозних недоліків цього варіанта слід відзначити дуже високі вимоги до апаратної платформи, мабуть, L2TP/IPsec - це найвибагливіший протокол. У всьому виною подвійна інкапсуляція даних та необхідність шифрування.

Цих недоліків позбавлений протокол OpenVPN, основу якого бібліотека OpenSSL і протоколи SSL/TLS. Сам OVPN надзвичайно гнучкий у налаштуванні і навіть дозволяє маскувати трафік під звичайний HTTPS, уможливлюючи обхід усіляких обмежень з боку провайдера. Як правило, OVPN працює швидше за IPsec і при цьому підтримує різноманітні алгоритми шифрування, включаючи AES. Недоліки у даного методу все ж таки є - більш складне налаштування та високі вимоги до заліза (як і для IPsec).

Зі свого боку, для початку ми проведемо тестування L2TP зі штатним шифруванням MPPE 128-bit.

L2TP надійніший і безпечніший на тлі протоколу попереднього покоління- PPTP. Рекомендуємо відмовлятися від використання PPTP на користь більш сучасних протоколів. Якщо у вас немає можливості та/або бажання використовувати OVPN/IPsec/L2TP+IPsec, рекомендуємо використовувати L2TP/MPPE.

Основна рекомендація щодо підвищення безпеки L2TP/MPPE – використання дуже довгих паролів, що складаються з набору випадкових букв (з різною розкладкою), цифр та спецсимволів. Використання «словникових» паролів не рекомендується, оскільки L2TP/MPPE має низку недоліків, дозволяють використовувати словникові методи підбору пароля, що у результаті призводить до зниження захищеності 128-бітного ключа, роблячи його еквівалентним 56-бітному (). У будь-якому випадку це набагато краще, ніж використання PPTP.

Як пара для hAP ac2 ми вибрали перевірену платформу CCR1009, а саме модель .

Є найдоступнішим представником лінійки CCR, у розпорядженні якого є потужний 9-ядерний процесор Tile Gx та 1 ГБ оперативної пам'яті. Подібне поєднання забезпечує високу продуктивність та здатність обробити до 2.5 Гбіт трафіку IPsec.

У процесі тестування додатково перевірялася стабільність роботи і надійність при високих навантаженнях, дані продуктивності вказані для користувальницького трафіку (корисний трафік), у розрахунок взято усереднену вибірку. Пікові значення продуктивності для розрахунку усередненого показника не беруться, якщо їх тривалість менше 30 сек.

По обидва боки як генератори трафіку використовуються ПК з iperf, що дає більш достовірні значення та гнучкість, ніж вбудований BTest.

CCR1009 - WAN IP 192.168.106.20/VPN 10.0.0.1/LAN 192.168.1.0

hAP ac2 - WAN IP 192.168.106.30/VPN 10.0.0.2/LAN 192.168.2.0

Для CCR1009 використовувалася ручна конфігурація, аналогічна до defconf на низькорівневих пристроях. Як WAN використовують ETH1 (не Combo), стандартні правила Firewall, додатково відкритий порт 1701.

За основу конфігурації L2TP Server взято стандартний профіль із шифруванням, MTU змін не піддавався, додатково активовано опцію «Allow Fast Path».

Усі застарілі методи аутентифікації MSCHAP1, CHAP та PAP відключені, активний лише MSCHAP2 (MS-CHAPv2).

У сучасних реаліях стиск краще не використовуватиме досягнення максимальної продуктивності.

На стороні клієнта налаштування аналогічні, використовується профіль за замовчуванням із шифруванням, а також опція "Allow Fast Path".

Маршрутизація у віддалену мережу забезпечується статичним маршрутом у поєднанні з NAT masquerade, default route не використовується.

На обох пристроях у Firewall налаштований fasttrack connection для з'єднань established і related.

На виході маємо класичне поєднання 2 мереж на базі L2TP/MPPE

Залежно від напряму трафіку та конфігурації, CCR завантажує 1 ядро ​​або розподіляє обчислення між усіма 9 ядрами. Наприклад, при надсиланні даних з CCR, задіюється 1 ядро, тоді як при отриманні для розшифровки всі ядра завантажуються поступово.

Обмін пакета і по 1400 байт, режим TCP

Перший тест пропускної спроможності проводимо для пакетів по 1400 байт.

Середня продуктивність 1-потокового тесту – 112 Мбіт на прийом та 128 Мбіт на відправлення.

При збільшенні кількості сесія до 10 швидкість змінюється на 111 і 170 Мбіт, як бачимо, на відправку при збільшенні кількості сесій є збільшення продуктивності.

Для Download (прийом) особливого збільшення немає, незалежно від розміру пакетів. Що цікаво, у всіх перерахованих випадках завантаження IPQ-4018 склало в середньому до 25%. Завантажено всього 1 ядро, лише зрідка система виконує розвантаження інших ядрах - в многопоточных режимах.

Подальший тест проводимо для Upload (надсилання) і збільшуємо кількість сесій до 20 і 100, як результат, швидкість зростає до 201 і 235 Мбіт відповідно.

Для додаткового моніторингу під час тестів періодично використовувався інструмент Tools- Profile, за допомогою якого ми відстежували розподіл ресурсів та їх завантаження.

Власне в ньому чітко видно, що при збільшенні кількості одночасних з'єднань, RouterOS, хоч і з перекосом, розподіляє частину обчислень на інші ядра. Разом із зростанням продуктивності навантаження на CPU зростає до 35-45%.

Останній тест у даному блоці проводимо для FDX (Full Duplex) з 10 зустрічними з'єднаннями в кожну сторону, разом 10+10 сесій.

Як підсумок, загальна пропускна здатністьстановила 185 Мбіт.

Підсумкова діаграма продуктивності при роботі з 1400-байтовими пакетами має такий вигляд: