Přeskočit na obsah
MKController Blog
InstagramYouTubeFacebook

Review

Recenze výkonu MikroTik RB3011

Praktická recenze výkonu MikroTik RB3011 — limity propustnosti, stropy VPN, tlak na CPU a tipy na optimalizaci pro ISP.

MKController5 min read

Shrnutí MikroTik RB3011 je dvoujádrový ARM router s deseti gigabitovými Ethernet porty, který je již roky volbou “nákladově efektivního MikroTiku” pro sítě SMB a malé ISP. Jeho architektura — dva switch čipy za CPU 1.4 GHz — utváří jak jeho silné stránky, tak i stropy. Tato recenze pokrývá reálnou propustnost, kde se CPU saturuje, jak se VPN možnosti skutečně chovají, a kontrolní seznam optimalizací, který z platformy dostane maximum.

Diagram vnitřní architektury MikroTik RB3011 ukazující dva switch čipy a CPU

Co je MikroTik RB3011?

MikroTik RB3011UiAS-RM je dvoujádrový ARM router s deseti gigabitovými Ethernet porty plus klec SFP, navržený jako nákladově efektivní hraniční router pro sítě SMB a malé ISP. Interně kombinuje CPU Qualcomm IPQ-8064 na 1.4 GHz se dvěma nezávislými switch čipy, z nichž každý obsluhuje polovinu z deseti Ethernet portů. Rozdělený switch design snižuje jak náklady, tak spotřebu energie a zároveň udržuje rychlé předávání uvnitř switche, ale také vytváří architektonická omezení, která definují, jak zařízení funguje pod reálnou zátěží.

Ostatní specifikace jsou stejně pragmatické: 1 GB RAM, 128 MB NAND, pasivní chlazení, PoE-in na Ether1, PoE-out na Ether10 a malý LCD na předním panelu pro rychlý stav. Šasi je rackovatelné, běží chladně ve většině kancelářských prostředí a snáší okolní teploty až přibližně 80 °C, než se životnost stane problémem.

Architektonické silné stránky a omezení

Architektura rozděleného switche RB3011 je rychlá, když provoz zůstává uvnitř jednoho switch čipu — hardwarově odlehčené předávání dosahuje rychlosti drátu se zanedbatelnou zátěží CPU. Háček je v tom, že vše, co překračuje skupiny portů, vše, co potřebuje směrování, vše, co potřebuje NAT, vše, co potřebuje pravidla firewallu, musí projít CPU. Se dvěma jádry žonglujícími se směrováním, NAT, firewallem, frontami, PPPoE a šifrováním VPN se CPU saturuje rychleji, než počet portů naznačuje.

Existuje druhé omezení, na kterém záleží: spojení mezi každým switch čipem a CPU je pouze 1–2 Gbps. RB3011 nemůže udržitelně tlačit plné gigabitové směrování na všech portech současně. Pro SMB pracoviště, které tlačí několik stovek Mbps přes WAN, je to irelevantní. Pro malé ISP obsluhující multi-gigabitový agregovaný provoz je to klíčové číslo.

Propustnost: co skutečně dostanete v produkci

Vlastní RFC2544 benchmarky MikroTiku publikují ideální směrovací propustnost až přibližně 4 Gbps s pakety 1518 bajtů při zapnutém FastPath. Toto číslo je teoretický strop, nikoli realistické očekávání. Reálný internetový provoz obsahuje mnoho malých paketů — DNS dotazy, TCP ACK, řídicí klábosení — a malé pakety jsou to, co naráží na strop paketů za sekundu CPU.

Při 64bajtových rámech se propustnost zhroutí na přibližně 231 Mbps. CPU dochází cykly za sekundu dříve, než dojde šířka pásma za sekundu. Smíšené reálné zátěže se ustálí kolem 600–800 Mbps pro scénáře pouze směrování. Přidání NAT a typické sady pravidel firewallu sníží číslo na 300–600 Mbps v závislosti na složitosti pravidel a verzi RouterOS. RouterOS v7, který odstranil cache tras, kterou v6 měl, funguje hůře na starších CPU jako IPQ-8064 RB3011 — kontraintuitivní výsledek pro operátory, kteří upgradují s očekáváním lepšího výkonu.

Tip: FastTrack je nezbytný na RB3011. Bez něj propustnost směrování plus NAT často klesá pod 350 Mbps. Není to “hezké mít” — je vyžadován, aby platforma fungovala.

Firewall, fronty a tlak na CPU

Zpracování vázané na CPU se stává zřejmým, jakmile začnete přidávat pravidla firewallu nebo stromy front. Ve vlastních testech MikroTiku 25 pravidel firewallu snížilo propustnost na přibližně 60 Mbps při 64bajtových paketech. I při větších velikostech paketů se propustnost držela pod 500 Mbps. Fronty přidávají další náklady: mnoho nastavení pozoruje 40–60% ztrátu propustnosti při mírném zatížení front.

Praktický důsledek je přímočarý — RB3011 dobře zvládá mírné filtrování, ale je špatným zařízením pro těžké UTM-styl zátěže. Pokud potřebujete hloubkovou inspekci paketů, filtrování vrstvy 7 nebo agresivní tvarování při gigabitových rychlostech, RB3011 vás tam nedostane. Řady CCR2004 a CCR2216 jsou správnou odpovědí pro tuto zátěž.

Výkon VPN: IPsec, PPPoE, OpenVPN

Výkon IPsec na RB3011 je překvapivě dobrý s velkými pakety — až přibližně 780 Mbps díky ARM NEON akceleraci. Sestupte k malým paketům a propustnost klesne na přibližně 38 Mbps. Smíšené reálné VPN zátěže přistanou kolem 300 Mbps.

PPPoE je z designu jednovláknové, takže maximálně využívá jedno CPU jádro. Dokonce i se zapnutým FastTrack očekávejte přibližně 500 Mbps. OpenVPN funguje špatně, protože postrádá hardwarovou akceleraci a TCP transport přidává režii — pokud potřebujete rychlý tunel na tomto zařízení, viz náš tutoriál WireGuard na MikroTik, protože WireGuard překonává jak OpenVPN, tak IPsec na většině MikroTik hardwaru.

Praktický kontrolní seznam optimalizace

Dostaňte z platformy maximum těmito šesti kroky:

  1. Zapněte FastTrack pro IPv4 provoz. Není volitelný.
  2. Používejte hardwarově odlehčené bridging tam, kde je to možné — obchází CPU pro přepínání.
  3. Minimalizujte počet a složitost pravidel firewallu. Seřaďte pravidla tak, aby nejvíce zasažená byla první.
  4. Vyhněte se hlubokým stromům front při tvarování gigabitových linek — každá úroveň hnízdění stojí CPU.
  5. Udržujte zařízení dobře větrané. Pasivní chlazení snáší uzavřenou skříň jen do určité míry.
  6. Zarovnejte využití portů tak, aby cesty s vysokou poptávkou zůstaly uvnitř stejného switch čipu.

Pro širší provozní kontext viz našeho průvodce konfigurací NAT na MikroTik a tutoriál monitorování přes SNMP pro sledování trendů výkonu RB3011 v čase.

Udělejte další krok

Provoz flotily zařízení RB3011 znamená správu saturace CPU, driftu pravidel firewallu a konzistence FastTrack napříč mnoha pracovišti. Špatné pořadí pravidel na jednom zařízení odřízne 200 Mbps z jeho propustnosti; chybějící pravidlo FastTrack na jiném ho omezí na 60 % kapacity. Nevšimnete si, dokud zákazníci nevšimnou.

MKController odhaluje saturaci CPU, trendy propustnosti, drift konfigurace a teplotní data napříč každým MikroTikem ve vašem inventáři v jednom dashboardu. Když zařízení začne mít potíže — pomalu, jak to RB3011 často dělají — dashboard to vidí dříve, než dorazí tickety podpory.

Začněte zkušební verzi MKController zdarma