Přeskočit na obsah
MKController Blog
InstagramYouTubeFacebook

Review

Průvodce MikroTik hAP ac³ pro ISP CPE

Praktické posouzení MikroTik hAP ac³ jako ISP-CPE — drátový throughput, limity WiFi 5, základ firewallu a operační hardening.

MKController5 min read

Shrnutí MikroTik hAP ac³ (RBD53iG-5HacD2HnD) je cenově dostupné ISP-CPE s téměř-Gigabitovým drátovým routingem při zapnutém FastTracku. WiFi 5 je hlavním omezením v přeplněném éteru, takže plánování kanálů a další přístupové body jsou důležitější než datasheet. Flexibilita RouterOS je rozdílovým faktorem; operační disciplína — updaty, baseline firewallu, hardening managementu — je nesmlouvavá, když toto zařízení sedí na okraji u zákazníka napříč flotilou.

Přehled platformy MikroTik hAP ac³ jako ISP CPE

K čemu slouží MikroTik hAP ac³ v nasazeních ISP?

MikroTik hAP ac³ (RBD53iG-5HacD2HnD) je čtyřjádrové ARM CPE postavené kolem SoC Qualcomm IPQ-4019, s 256 MB RAM, 128 MB NAND, pěti Gigabit Ethernet porty na interním switchi, USB 2.0 portem (pro úložiště nebo 4G/LTE dongle) a dvoupásmovým Wi-Fi 5 (2,4 GHz a 5 GHz) se dvěma externími anténami. Pro ISP cílí na čistou sladkou polohu: dost levné na standardizaci v rezidenčním rolloutu, schopné téměř-Gigabitového drátového routingu při realistické zátěži a s RouterOS pro flexibilitu, kterou spotřebitelská CPE nedokážou nabídnout.

CPE není jen „krabice, která mění optiku na Wi-Fi“ — je to první linie uživatelské zkušenosti a nákladů na podporu. Pokud router nestíhá NAT, PPPoE nebo firewall pravidla, přicházejí pomalé tikety. Pokud Wi-Fi padá v hlučném sousedství, opět pomalé tikety. A pokud je firmware zastaralý, je to ještě horší. hAP ac³ dělá to první dobře, má předvídatelné limity ve druhém a odměňuje operační disciplínu ve třetím. Pro širší srovnání flotily viz naše recenze hAP ac² a recenze RB5009.

Přehled hardwaru

  • CPU: Qualcomm IPQ-4019 ARM čtyřjádrový
  • RAM: 256 MB
  • Úložiště: 128 MB NAND
  • Ethernet: 5× Gigabit
  • Wi-Fi: Dvoupásmové 2×2 WiFi 5 (802.11ac)
  • USB: 1× USB 2.0
  • Antény: Dvě externí dvoupásmové

Externí antény zlepšují pokrytí oproti návrhům s interními anténami, ale neporušují fyziku — horizontální pokrytí bývá lepší než vertikální, takže vícepatrové domy mohou stále potřebovat druhý AP. Pokud router nemůžeš umístit v polovině výšky budovy, použij AP s drátovým backhaulem místo čistého opakovače.

Drátový throughput: FastTrack dělá ten rozdíl

V testech drátového routingu a NAT se hAP ac³ za příznivých podmínek blíží Gigabitu, zvláště s aktivním RouterOS FastTrack. Princip je přímý: funkce stojí CPU. S minimálním zpracováním paketů krabice rychle posouvá provoz. S prací na každém paketu (hluboký firewall, fronty, účtování) throughput klesá.

Praktický základní firewall pro ISP CPE

Udržuj firewall malý, explicitní a konzistentní napříč flotilou. Pokud potřebuješ těžké filtrování, dělej ho proti proudu, kde to jde:

/ip firewall filter
add chain=input action=accept connection-state=established,related comment="Allow established/related"
add chain=input action=drop connection-state=invalid comment="Drop invalid"
add chain=input action=accept protocol=icmp comment="Allow ICMP for troubleshooting"
add chain=input action=accept in-interface-list=LAN comment="Allow management from LAN"
add chain=input action=drop in-interface-list=WAN comment="Drop everything else from WAN"


/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related comment="FastTrack"
add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalid
add chain=forward action=drop in-interface-list=WAN connection-nat-state=!dstnat comment="Block unsolicited inbound"

FastTrack obchází některé funkce front a účtování. Pokud spoléháš na QoS per-účastník přímo na CPE, ověř tuto cestu před rolloutem — širší příručku k NAT najdeš v tutoriálu NAT na MikroTiku.

Výkon Wi-Fi: dobrý pro WiFi 5, ale WiFi 5 stále zůstává WiFi 5

Na krátkou vzdálenost na 5 GHz dává hAP ac³ silný TCP throughput pro 2×2 WiFi 5 design. Druhá strana: výkon Wi-Fi dominuje prostředí, ne datasheet. V hustém městském spektru s překrývajícími se sítěmi se 2,4 GHz stává pásmem poslední záchrany a reálný throughput ostře klesá kvůli rušení a soupeření o airtime.

Tipy pro nasazení, které opravdu snižují tikety:

  1. Preferuj 5 GHz pro výkon, ale nevnucuj ji slepě. Některé domy potřebují dosah 2,4 GHz.
  2. Používej 20 MHz kanály na 2,4 GHz. Širší kanály obvykle jen tvoří víc problémů.
  3. Používej 80 MHz na 5 GHz jen v čistém spektru. Jinak slez na 40 MHz.
  4. Pro pokrytí celého domu přidej AP s drátovým backhaulem místo opakovače.

Pro nasazení s RouterOS v7 zvaž novější Wi-Fi balíčky MikroTiku (wifiwave2 / Qualcomm ovladače), kde jsou podporované. Podle konfigurace materiálně zlepšují throughput a moderní bezpečnostní módy.

VPN a management pro provoz ISP

hAP ac³ podporuje IPsec s hardwarovou akcelerací pro bezpečné tunely. RouterOS v7 podporuje i WireGuard pro jednodušší moderní VPN — viz náš tutoriál WireGuard. Pro provoz flotily je standardizovaný provisioning zlomovým prvkem: RouterOS v7 zavedl klienta TR-069, který umožňuje integraci s ACS pro vzdálený provisioning a monitoring. Viz naši příručku k TR-069 a nástupnický protokol TR-369 USP.

Aby ses spojil „provisioning ve velkém“ s „okamžitou dosažitelností za NAT/CGNAT“, doplň TR-069 bezpečnou vrstvou vzdáleného přístupu. NATCloud od MKControlleru přináší konektivitu zevnitř ven bez port forwardingu, takže vzdálená podpora zůstává rychlá a bezpečnější.

Bezpečnost: zařízení je v pořádku; internet ne

RouterOS je mocný a moc seká na obě strany. Platforma měla zranitelnosti ve starších větvích a operační potřeba pečlivého patchování je reálná. Tvou nejsilnější kontrolou je disciplína:

  • Standardizuj ztvrzenou základní konfiguraci napříč flotilou.
  • Vypni nepoužívané služby (Telnet, FTP, nepoužité API).
  • Omez management na důvěryhodné IP nebo VPN.
  • Vynucuj upgrady ze stabilního nebo dlouhodobého releasového kanálu.
  • Sleduj anomálie přes SNMP, Syslog a NetFlow.

„Bezpečný default“ není totéž co „bezpečný pro ISP“. Bezpečný default je dobrý; tvůj rollout potřebuje opakovatelné řízení. Pro hlubší ztvrzení manažerské roviny viz naše nejlepší postupy zabezpečení Winbox a příručku zabezpečení device-mode.

Teplo, montáž a problém „je v rozvodné skříni“

Zařízení je pasivně chlazené a navržené pro teplá prostředí, ale proud vzduchu pořád hraje roli. Vyhni se uzavřeným skříním a těsným stěnovým krabicím. Drobné změny v umístění předejdou dlouhodobé nestabilitě a těm náhodným stížnostem na Wi-Fi, které vypadají záhadně, dokud nenajdeš tepelnou příčinu.

Kdy je hAP ac³ správnou volbou

hAP ac³ je rozumné CPE pro servisní úrovně zhruba do středních stovek Mbps s mírnou poptávkou po Wi-Fi. Vyniká, když oceňuješ flexibilitu RouterOS, VLAN tagging a integraci s vlastními manažerskými procesy. Sáhni po vyšším routeru nebo WiFi 6 hardwaru, když zákazníci pravidelně tlačí plný Gigabit s těžkým firewallem/QoS, když je v domácnostech mnoho současných Wi-Fi klientů nebo když potřebuješ lepší výkon v hustých RF podmínkách.

Udělej další krok

Pokud spravuješ mnoho lokalit, MKController centralizuje viditelnost, standardizuje konfigurace a snižuje výjezdy techniků. S NATCloudem se dostaneš k zařízení za CGNAT bez otevírání portů, takže vzdálená podpora zůstane rychlá a bezpečnější pro flotilu CPE v měřítku ISP.

Vyzkoušejte MKController zdarma