Zum Inhalt springen
MKController Blog
InstagramYouTubeFacebook

Review

MikroTik RB3011 Leistungs-Review

Praktischer Leistungs-Review des MikroTik RB3011 — Durchsatzgrenzen, VPN-Limits, CPU-Druck und Optimierungstipps für ISPs.

MKController5 min read

Zusammenfassung Der MikroTik RB3011 ist ein Dual-Core-ARM-Router mit zehn Gigabit-Ethernet-Ports, der seit Jahren der “kostengünstige MikroTik” für SMB-Netzwerke und kleine ISPs ist. Seine Architektur — zwei Switch-Chips hinter einer 1.4-GHz-CPU — prägt sowohl seine Stärken als auch seine Grenzen. Dieser Review behandelt den realen Durchsatz, wo die CPU sättigt, wie sich die VPN-Optionen tatsächlich verhalten, und die Optimierungs-Checkliste, die das Maximum aus der Plattform herausholt.

MikroTik RB3011 internes Architekturdiagramm mit doppelten Switch-Chips und CPU

Was ist der MikroTik RB3011?

Der MikroTik RB3011UiAS-RM ist ein Dual-Core-ARM-Router mit zehn Gigabit-Ethernet-Ports plus einem SFP-Käfig, konzipiert als kostengünstiger Edge-Router für SMB-Netzwerke und kleine ISPs. Intern kombiniert er eine Qualcomm IPQ-8064 CPU mit 1.4 GHz mit zwei unabhängigen Switch-Chips, von denen jeder die Hälfte der zehn Ethernet-Ports verwaltet. Das geteilte Switch-Design reduziert sowohl Kosten als auch Stromverbrauch, während es das Intra-Switch-Forwarding schnell hält, schafft aber auch die architektonischen Beschränkungen, die definieren, wie das Gerät unter realer Last performt.

Andere Spezifikationen sind ebenso pragmatisch: 1 GB RAM, 128 MB NAND, passive Kühlung, PoE-in auf Ether1, PoE-out auf Ether10 und ein kleines LCD auf der Frontplatte für Status auf einen Blick. Das Chassis ist rackmontierbar, läuft in den meisten Büroumgebungen kühl und toleriert Umgebungstemperaturen bis ca. 80 °C, bevor die Lebensdauer zum Problem wird.

Architektonische Stärken und Grenzen

Die geteilte Switch-Architektur des RB3011 ist schnell, wenn der Verkehr innerhalb eines einzelnen Switch-Chips bleibt — hardware-entlastetes Forwarding erreicht Drahtgeschwindigkeit mit vernachlässigbarer CPU-Last. Der Haken ist, dass alles, was Port-Gruppen überquert, alles, was Routing benötigt, alles, was NAT benötigt, alles, was Firewall-Regeln benötigt, die CPU durchqueren muss. Mit zwei Kernen, die Routing, NAT, Firewall, Queuing, PPPoE und VPN-Verschlüsselung jonglieren, sättigt die CPU schneller, als die Portanzahl vermuten lässt.

Es gibt eine zweite Beschränkung, die zählt: Die Verbindung zwischen jedem Switch-Chip und der CPU beträgt nur 1–2 Gbps. Der RB3011 kann nicht nachhaltig vollständiges Gigabit-Routing auf allen Ports gleichzeitig pushen. Für eine SMB-Site, die ein paar Hundert Mbps über das WAN drückt, ist das irrelevant. Für einen kleinen ISP, der Multi-Gigabit-Aggregatverkehr bedient, ist es die Schlagzeile.

Durchsatz: was Sie in der Produktion tatsächlich erhalten

MikroTiks eigene RFC2544-Benchmarks veröffentlichen idealen Routing-Durchsatz bis zu ca. 4 Gbps mit 1518-Byte-Paketen, wenn FastPath aktiviert ist. Diese Zahl ist eine theoretische Obergrenze, keine realistische Erwartung. Realer Internetverkehr enthält viele kleine Pakete — DNS-Anfragen, TCP-ACKs, Control-Plane-Chatter — und kleine Pakete sind das, was die Pakete-pro-Sekunde-Obergrenze der CPU trifft.

Bei 64-Byte-Frames bricht der Durchsatz auf ca. 231 Mbps zusammen. Der CPU gehen die Zyklen pro Sekunde aus, bevor ihr die Bandbreite pro Sekunde ausgeht. Gemischte reale Workloads stabilisieren sich bei 600–800 Mbps für reine Routing-Szenarien. Das Hinzufügen von NAT und einem typischen Firewall-Regelsatz reduziert die Zahl auf 300–600 Mbps, abhängig von der Regelkomplexität und der RouterOS-Version. RouterOS v7, das den Route-Cache, den v6 hatte, entfernte, performt schlechter auf älteren CPUs wie der IPQ-8064 des RB3011 — ein kontraintuitives Ergebnis für Betreiber, die in Erwartung besserer Leistung aufrüsten.

Tipp: FastTrack ist auf dem RB3011 essenziell. Ohne es fällt der Routing-plus-NAT-Durchsatz oft unter 350 Mbps. Es ist kein “nice to have” — es wird benötigt, damit die Plattform funktioniert.

Firewall, Queues und CPU-Druck

CPU-gebundene Verarbeitung wird offensichtlich, sobald Sie anfangen, Firewall-Regeln oder Queue-Trees hinzuzufügen. In MikroTiks eigenen Tests reduzierten 25 Firewall-Regeln den Durchsatz auf ca. 60 Mbps bei 64-Byte-Paketen. Auch bei größeren Paketgrößen blieb der Durchsatz unter 500 Mbps. Queuing fügt weitere Kosten hinzu: viele Setups beobachten 40–60% Durchsatzverlust unter moderaten Queue-Lasten.

Die praktische Konsequenz ist einfach — der RB3011 bewältigt moderate Filterung gut, ist aber das falsche Gerät für schwere UTM-Style-Workloads. Wenn Sie Deep-Packet-Inspection, Layer-7-Filterung oder aggressives Shaping bei Gigabit-Geschwindigkeiten benötigen, wird der RB3011 Sie nicht dorthin bringen. Die CCR2004- und CCR2216-Linien sind die richtige Antwort für diese Workload.

VPN-Leistung: IPsec, PPPoE, OpenVPN

Die IPsec-Leistung auf dem RB3011 ist mit großen Paketen überraschend gut — bis zu ca. 780 Mbps dank ARM-NEON-Beschleunigung. Auf kleine Pakete reduziert, fällt der Durchsatz auf ca. 38 Mbps. Gemischte reale VPN-Workloads landen bei ca. 300 Mbps.

PPPoE ist designbedingt Single-Thread, also maximiert es einen CPU-Kern. Selbst mit aktivem FastTrack erwarten Sie ca. 500 Mbps. OpenVPN performt schlecht, weil ihm Hardware-Beschleunigung fehlt und der TCP-Transport Overhead hinzufügt — wenn Sie einen schnellen Tunnel auf diesem Gerät benötigen, siehe unser WireGuard auf MikroTik-Tutorial, da WireGuard sowohl OpenVPN als auch IPsec auf den meisten MikroTik-Hardware übertrifft.

Praktische Optimierungs-Checkliste

Holen Sie das Maximum aus der Plattform mit diesen sechs Schritten:

  1. Aktivieren Sie FastTrack für IPv4-Verkehr. Nicht optional.
  2. Verwenden Sie hardware-entlastetes Bridging, wo möglich — es umgeht die CPU für Switching.
  3. Minimieren Sie Anzahl und Komplexität von Firewall-Regeln. Ordnen Sie Regeln so, dass die häufigsten zuerst stehen.
  4. Vermeiden Sie tiefe Queue-Trees bei Shaping von Gigabit-Links — jede Verschachtelungsebene kostet CPU.
  5. Halten Sie das Gerät gut belüftet. Passive Kühlung verträgt einen geschlossenen Schrank nur so lange.
  6. Richten Sie die Portnutzung so aus, dass nachfragestarke Pfade innerhalb desselben Switch-Chips bleiben.

Für breiteren operativen Kontext, siehe unseren Leitfaden zur NAT-Konfiguration auf MikroTik und das SNMP-basierte Überwachungstutorial zur Verfolgung von RB3011-Leistungstrends über die Zeit.

Machen Sie den nächsten Schritt

Den Betrieb einer Flotte von RB3011-Geräten zu führen, bedeutet, CPU-Sättigung, Firewall-Regel-Drift und FastTrack-Konsistenz über viele Sites zu managen. Die falsche Regelreihenfolge auf einem Gerät schert 200 Mbps von seinem Durchsatz ab; die fehlende FastTrack-Regel auf einem anderen begrenzt es auf 60% der Kapazität. Sie werden es nicht bemerken, bis Kunden es tun.

MKController bringt CPU-Sättigung, Durchsatz-Trends, Konfigurations-Drift und Temperaturdaten über jeden MikroTik in Ihrem Inventar in einem Dashboard zum Vorschein. Wenn ein Gerät anfängt zu kämpfen — langsam, wie es RB3011s oft tun — sieht das Dashboard es, bevor die Support-Tickets eintreffen.

Starten Sie Ihre kostenlose MKController-Testversion