Guia MikroTik hAP ac³ per a CPE d'ISP

Resum El MikroTik hAP ac³ (RBD53iG-5HacD2HnD) és un CPE d’ISP cost-efectiu amb encaminament per cable proper al Gigabit quan FastTrack està habilitat. El WiFi 5 és el principal limitador en espais saturats, així que la planificació de canals i punts d’accés addicionals importa més que el datasheet. La flexibilitat del RouterOS és el diferenciador; la disciplina operativa — actualitzacions, baseline de firewall, enduriment de gestió — no és negociable quan aquest dispositiu seu a la vora del client en tota una flota.

Per a què serveix el MikroTik hAP ac³ en desplegaments d’ISP?

El MikroTik hAP ac³ (RBD53iG-5HacD2HnD) és un CPE ARM de quatre nuclis construït al voltant d’un SoC Qualcomm IPQ-4019, amb 256 MB de RAM, 128 MB de NAND, cinc ports Gigabit Ethernet en una matriu interna de commutació, un port USB 2.0 (emmagatzematge o dongle 4G/LTE) i Wi-Fi 5 de doble banda (2,4 GHz i 5 GHz) amb dues antenes externes. Per als ISP apunta a un punt dolç net: prou assequible per estandarditzar en un desplegament residencial, capaç d’encaminament per cable a prop del Gigabit sota càrrega realista, i amb RouterOS per a una flexibilitat que els CPE de consum no igualen.

Un CPE no és només “la caixa que converteix la fibra en Wi-Fi” — és la primera línia de l’experiència d’usuari i del cost de suport. Si el router no aguanta NAT, PPPoE o regles de firewall, apareixen tickets lents. Si el Wi-Fi cau en un barri sorollós, tornen tickets lents. I si el firmware està desactualitzat, apareix alguna cosa pitjor. El hAP ac³ se’n surt bé amb el primer, té límits predictibles amb el segon i recompensa la disciplina operativa amb el tercer. Per a comparacions de flota més àmplies, vegeu la nostra revisió del hAP ac² i la revisió del RB5009.

Instantània del maquinari

• CPU: Qualcomm IPQ-4019 ARM quatre nuclis
• RAM: 256 MB
• Emmagatzematge: 128 MB NAND
• Ethernet: 5× Gigabit
• Wi-Fi: Doble banda 2×2 WiFi 5 (802.11ac)
• USB: 1× USB 2.0
• Antenes: Dues externes de doble banda

Les antenes externes milloren la cobertura respecte als dissenys amb antenes internes, però no trenquen la física — la cobertura horitzontal sol ser millor que la vertical, així que les cases de diverses plantes poden necessitar un segon AP. Quan no es pot col·locar el router a mitja alçada de l’edifici, fes servir un AP amb backhaul cablejat en lloc d’un repetidor pur.

Throughput per cable: el FastTrack marca la diferència

En proves d’encaminament per cable i NAT, el hAP ac³ s’apropa al Gigabit en condicions favorables, sobretot amb RouterOS FastTrack activat. El principi és directe: les funcions consumeixen CPU. Amb un processament mínim per paquet, la caixa mou trànsit ràpid. Amb feina per paquet (firewall profund, cues, comptabilitat) el throughput cau.

Un firewall base pràctic per a CPE d’ISP

Mantén el firewall petit, explícit i coherent a tota la flota. Si necessites filtratge pesant, fes-lo aigües amunt quan sigui possible:

/ip firewall filter
add chain=input action=accept connection-state=established,related comment="Allow established/related"
add chain=input action=drop connection-state=invalid comment="Drop invalid"
add chain=input action=accept protocol=icmp comment="Allow ICMP for troubleshooting"
add chain=input action=accept in-interface-list=LAN comment="Allow management from LAN"
add chain=input action=drop in-interface-list=WAN comment="Drop everything else from WAN"

/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related comment="FastTrack"
add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalid
add chain=forward action=drop in-interface-list=WAN connection-nat-state=!dstnat comment="Block unsolicited inbound"

FastTrack salta algunes funcions de cues i comptabilitat. Si depens del QoS per abonat al mateix CPE, valida aquest camí abans del rollout — per a una guia NAT més àmplia, vegeu el tutorial de NAT a MikroTik.

Rendiment Wi-Fi: bo per a WiFi 5, però WiFi 5 segueix sent WiFi 5

A curta distància en 5 GHz, el hAP ac³ ofereix un throughput TCP fort per a un disseny 2×2 WiFi 5. L’altra cara: l’entorn domina el rendiment Wi-Fi, no el datasheet. En espectre urbà dens amb xarxes superposades, els 2,4 GHz esdevenen la banda d’últim recurs i el throughput real cau abruptament per interferències i competència d’airtime.

Consells de desplegament que de veritat redueixen tickets:

1. Prefereix 5 GHz per al rendiment, però no la forcis a cegues. Algunes cases necessiten l’abast de 2,4 GHz.
2. Fes servir canals de 20 MHz a 2,4 GHz. Canals més amples normalment només creen més problemes.
3. Fes servir 80 MHz a 5 GHz només en espectre net. Si no, baixa a 40 MHz.
4. Per a cobertura de tota la casa, afegeix un AP amb backhaul cablejat en lloc d’un repetidor.

Per a desplegaments amb RouterOS v7, considera els paquets Wi-Fi més nous de MikroTik (wifiwave2 / drivers basats en Qualcomm) quan estiguin suportats. Milloren materialment el throughput i els modes de seguretat moderns segons la configuració.

VPN i gestió per a operacions d’ISP

El hAP ac³ admet IPsec amb acceleració per maquinari per a túnels segurs. RouterOS v7 també admet WireGuard per a una VPN moderna més simple — vegeu el nostre tutorial de WireGuard. Per a operacions de flota, l’aprovisionament basat en estàndards és el factor decisiu: RouterOS v7 va introduir un client TR-069, que permet integració amb un ACS per a aprovisionament i monitoratge remots. Vegeu la nostra guia de gestió TR-069 i el protocol successor TR-369 USP.

Per combinar “aprovisionament a escala” amb “abast instantani darrere de NAT/CGNAT”, complementa TR-069 amb una capa segura d’accés remot. NATCloud de MKController ofereix connectivitat de dins cap a fora sense obrir ports, mantenint el suport remot ràpid i més segur.

Seguretat: el dispositiu va bé; internet no

RouterOS és potent, i la potència talla en tots dos sentits. La plataforma ha tingut vulnerabilitats en branques antigues i la necessitat operativa de patching vigilant és real. El teu control més fort és la disciplina:

• Estandarditza una configuració base endurida a tota la flota.
• Desactiva serveis no utilitzats (Telnet, FTP, APIs no usades).
• Restringeix la gestió a IPs de confiança o VPN.
• Imposa actualitzacions des d’un canal estable o de llarg termini.
• Monitoritza anomalies via SNMP, Syslog i NetFlow.

“Per defecte segur” no és el mateix que “segur per a ISP”. Un valor per defecte segur està bé; el teu rollout necessita governança repetible. Per a un enduriment més profund del pla de gestió, vegeu les nostres bones pràctiques de seguretat de Winbox i la guia de seguretat de device-mode.

Calor, muntatge i el problema de “l’armari tancat”

El dispositiu és de refrigeració passiva i està classificat per a entorns càlids, però el flux d’aire continua sent important. Evita armaris segellats i caixes de paret estretes. Petits canvis d’ubicació prevenen inestabilitat a llarg termini i aquelles queixes aleatòries de Wi-Fi que semblen misterioses fins que descobreixes la causa tèrmica.

Quan el hAP ac³ és l’opció correcta

El hAP ac³ és el CPE sensat per a plans de servei fins a aproximadament centenars mitjans de Mbps amb demanda Wi-Fi moderada. Brilla quan valores la flexibilitat de RouterOS, el etiquetatge VLAN i la integració amb els teus propis fluxos de gestió. Salta a un router de tier superior o a maquinari WiFi 6 quan els clients sovint empenyen Gigabit complet amb firewall/QoS pesant, quan hi ha molts clients Wi-Fi simultanis per llar o quan necessites millor rendiment en condicions denses de RF.

Fes el següent pas

Si gestiones moltes seus, MKController centralitza la visibilitat, estandarditza configuracions i redueix visites tècniques. Amb NATCloud arribes a equips darrere de CGNAT sense exposar ports, mantenint el suport remot ràpid i més segur per a una flota de CPE a escala d’ISP.

Comença la teva prova gratuïta de MKController