Skip to content
MKController Blog
InstagramYouTubeFacebook

Review

MikroTik hAP ac³ ISP CPE juhend

MikroTik hAP ac³ praktiline ülevaade ISP-CPE-na — juhtmega läbilaskvus, WiFi 5 piirid, ISP tulemüüri lähtetase ja operatsiooniline tugevdamine.

MKController5 min read

Kokkuvõte MikroTik hAP ac³ (RBD53iG-5HacD2HnD) on kulutõhus ISP-CPE peaaegu Gigabit kiirusega juhtmega marsruutimisega, kui FastTrack on lubatud. WiFi 5 on peamine piiraja tihedas eetris, seetõttu loevad kanaliplaneerimine ja lisaaccess-pointid rohkem kui andmeleht. RouterOS-i paindlikkus on eristaja; operatsiooniline distsipliin — uuendused, tulemüüri lähtetasemed, halduse tugevdamine — pole läbiräägitav, kui see seade istub kliendi servas üle terve pargi.

MikroTik hAP ac³ ISP CPE platvormi ülevaade

Milleks on MikroTik hAP ac³ ISP juurutustes?

MikroTik hAP ac³ (RBD53iG-5HacD2HnD) on neljatuumaline ARM CPE, mis on ehitatud Qualcomm IPQ-4019 SoC ümber, koos 256 MB RAM-i, 128 MB NAND-välkmäluga, viie Gigabit Ethernet pordiga sisemisel kommutatsioonimatriksil, USB 2.0 pordiga (salvestus või 4G/LTE dongli jaoks) ja kahesagedusala Wi-Fi 5-ga (2,4 GHz ja 5 GHz) kahe välise antenniga. ISP-de jaoks tabab see puhast magusat punkti: piisavalt taskukohane standardimiseks elamupiirkonna juurutuses, võimeline juhtmega marsruutima peaaegu Gigabit kiirusel realistliku koormuse all ja jooksutab RouterOS-i paindlikkuse jaoks, millega tarbija CPE-d ei suuda võrrelda.

CPE pole lihtsalt „kast, mis muudab fiibri Wi-Fi-ks“ — see on kasutajakogemuse ja tugiteenuste kulude eesliin. Kui ruuter ei pea sammu NAT-i, PPPoE või tulemüürireeglitega, tulevad aeglased piletid. Kui Wi-Fi kukub kokku mürarikkas naabruskonnas, tulevad jälle aeglased piletid. Ja kui püsivara on aegunud, tuleb midagi halvemat. hAP ac³ saab esimesega hästi hakkama, sellel on teises ettearvatavad piirid ja kolmandas tasub operatsiooniline distsipliin ära. Laiemate parkide võrdluste jaoks vaadake meie hAP ac² ülevaadet ja RB5009 ülevaadet.

Riistvara hetkepilt

  • CPU: Qualcomm IPQ-4019 neljatuumaline ARM
  • RAM: 256 MB
  • Salvestus: 128 MB NAND
  • Ethernet: 5× Gigabit
  • Wi-Fi: Kahesagedusala 2×2 WiFi 5 (802.11ac)
  • USB: 1× USB 2.0
  • Antennid: Kaks välist kahesagedusala

Välised antennid parandavad katet võrreldes siseantennide disainidega, kuid füüsikat nad ei murra — horisontaalne kate on tavaliselt parem kui vertikaalne, nii et mitmekorruselised majad võivad ikkagi vajada teist AP-d. Kui ruuterit ei saa paigaldada hoone keskele kõrgusele, kasutage juhtmega backhauliga AP-d, mitte puhast repiiterit.

Juhtmega läbilaskvus: FastTrack teeb vahet

Juhtmega marsruutimise ja NAT testides läheneb hAP ac³ soodsates tingimustes Gigabit läbilaskvusele, eriti kui RouterOS FastTrack on lubatud. Põhimõte on sirgjooneline: funktsioonid maksavad CPU-d. Minimaalse pakkettöötlusega liigutab kast liiklust kiiresti. Paketipõhise tööga (sügav tulemüür, järjekorrad, arvestus) läbilaskvus langeb.

Praktiline lähtetaseme tulemüür ISP CPE jaoks

Hoidke tulemüür väike, selge ja kogu pargis järjekindel. Kui vajate rasket filtreerimist, tehke seda võimaluse korral ülesvoolu:

/ip firewall filter
add chain=input action=accept connection-state=established,related comment="Allow established/related"
add chain=input action=drop connection-state=invalid comment="Drop invalid"
add chain=input action=accept protocol=icmp comment="Allow ICMP for troubleshooting"
add chain=input action=accept in-interface-list=LAN comment="Allow management from LAN"
add chain=input action=drop in-interface-list=WAN comment="Drop everything else from WAN"


/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related comment="FastTrack"
add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalid
add chain=forward action=drop in-interface-list=WAN connection-nat-state=!dstnat comment="Block unsolicited inbound"

FastTrack vahistab mõned järjekorra- ja arvestusfunktsioonid. Kui sõltute abonenditasandi QoS-ist CPE-l endal, valideerige see tee enne juurutust — laiema NAT juhendi jaoks vaadake MikroTik NAT õpetust.

Wi-Fi jõudlus: hea WiFi 5 jaoks, aga WiFi 5 jääb ikka WiFi 5

Lähedalt 5 GHz peal annab hAP ac³ tugevat TCP läbilaskvust 2×2 WiFi 5 disainile. Teine pool: Wi-Fi jõudlust domineerib keskkond, mitte andmeleht. Tihedas linnaspektris ülekattuvate võrkudega muutub 2,4 GHz viimase abinõu sagedusalaks ja tegelik läbilaskvus langeb järsult häirete ja eetriaja konkurentsi tõttu.

Juurutusnõuanded, mis tegelikult pileteid vähendavad:

  1. Eelistage jõudluse jaoks 5 GHz, kuid ärge sundige seda pimedalt. Mõned majad vajavad 2,4 GHz ulatust.
  2. Kasutage 2,4 GHz peal 20 MHz kanaleid. Laiemad kanalid loovad enamasti vaid rohkem probleeme.
  3. Kasutage 5 GHz peal 80 MHz ainult puhtas spektris. Vastasel juhul langege 40 MHz peale.
  4. Kogu maja katte jaoks lisage juhtmega backhauliga AP, mitte repiiter.

RouterOS v7 juurutustes kaaluge MikroTiku uuemaid Wi-Fi pakette (wifiwave2 / Qualcommi-põhised draiverid), kui need on toetatud. Need parandavad oluliselt läbilaskvust ja kaasaegseid turvarežiime sõltuvalt konfiguratsioonist.

VPN ja haldus ISP operatsioonide jaoks

hAP ac³ toetab IPseci riistvaralise kiirendusega turvalisteks tunneliteks. RouterOS v7 toetab ka WireGuardi lihtsama kaasaegse VPN-i jaoks — vaadake meie WireGuardi õpetust. Pargi operatsioonide jaoks on standardipõhine provisioneerimine mängumuutja: RouterOS v7 tutvustas TR-069 klienti, mis võimaldab integratsiooni ACS-iga kaugprovisioneerimiseks ja jälgimiseks. Vaadake meie TR-069 halduse juhendit ja järglase TR-369 USP protokolli.

„Provisioneerimise mastaabis“ ühendamiseks „silmapilkse kättesaadavusega NAT/CGNAT-i taga“ täiendage TR-069-t turvalise kaugjuurdepääsu kihiga. MKControlleri NATCloud pakub seestpoolt-väljapoole ühenduvust ilma pordi suunamisteta, hoides kaugtuge kiirena ja turvalisemana.

Turvalisus: seade on korras; internet pole

RouterOS on võimas ja võim lõikab mõlemas suunas. Platvormil on olnud haavatavusi vanemates harudes ja valvsa paikamise operatsiooniline vajadus on reaalne. Sinu tugevaim kontroll on distsipliin:

  • Standardiseerige tugevdatud lähtetaseme konfiguratsioon kogu pargis.
  • Lülitage välja kasutamata teenused (Telnet, FTP, kasutamata API-d).
  • Piira haldus usaldusväärsete IP-de või VPN-iga.
  • Sundige uuendusi stabiilsest või pikaajalisest väljalaskekanalist.
  • Jälgi anomaaliaid SNMP, Syslogi ja NetFlow kaudu.

„Vaikimisi turvaline“ pole sama mis „ISP-turvaline“. Turvaline vaikeväärtus on hea; sinu juurutus vajab korratavat halduskorda. Sügavama halduspinna tugevdamise jaoks vaadake meie Winboxi turvalisuse parimaid tavasid ja seadme-režiimi turvajuhendit.

Soojus, paigaldus ja „see on kapis“ probleem

Seade on passiivselt jahutatud ja sobib soojadeks keskkondadeks, kuid õhuvool on endiselt oluline. Vältige suletud kappe ja kitsaid seinakarpe. Väikesed paigutuse muutused hoiavad ära pikaajalise ebastabiilsuse ja need juhuslikud Wi-Fi kaebused, mis tunduvad salapärased, kuni leiate termilise põhjuse.

Millal on hAP ac³ õige valik

hAP ac³ on mõistlik CPE teenusepakettidele kuni umbes keskmise saja Mbps-ni mõõduka Wi-Fi nõudlusega. See särab, kui hindate RouterOS-i paindlikkust, VLAN-i märgistamist ja integratsiooni oma haldusvoogudega. Astuge üle kõrgema klassi ruuteri või WiFi 6 riistvara peale, kui kliendid suruvad regulaarselt täismahus Gigabitit aktiivse raske tulemüüri/QoS-iga, kui igas majapidamises on palju samaaegseid Wi-Fi kliente või kui vajate paremat jõudlust tihedas RF keskkonnas.

Astu järgmine samm

Kui haldate paljusid asukohti, tsentraliseerib MKController nähtavuse, standardib konfiguratsioone ja vähendab tehnikute väljakutseid. NATCloudiga jõuate seadmeteni CGNAT-i taga ilma portide avamiseta, hoides kaugtuge kiirena ja turvalisemana ISP mastaabis CPE pargi jaoks.

Alusta tasuta MKControlleri prooviperioodi