Skip to content
MKController Blog
InstagramYouTubeFacebook

Review

MikroTik RB3011: suorituskykytarkastelu

Käytännön suorituskykytarkastelu MikroTik RB3011:sta — läpimenorajat, VPN-katot, CPU-paine ja optimointivinkit ISP:lle.

MKController4 min read

Yhteenveto MikroTik RB3011 on kaksiytiminen ARM-reititin kymmenellä Gigabit Ethernet -portilla, joka on ollut vuosia “kustannustehokas MikroTik” SMB-verkoille ja pienille ISP:lle. Sen arkkitehtuuri — kaksi switch-sirua 1.4 GHz CPU:n takana — muotoilee sekä sen vahvuudet että katot. Tämä tarkastelu kattaa todellisen läpimenon, missä CPU kyllästyy, miten VPN-vaihtoehdot todella käyttäytyvät, ja optimointitarkistuslistan, joka saa alustasta maksimaalisen hyödyn.

MikroTik RB3011 sisäinen arkkitehtuurikaavio, joka näyttää kaksoiskytkinpiirit ja CPU:n

Mikä on MikroTik RB3011?

MikroTik RB3011UiAS-RM on kaksiytiminen ARM-reititin kymmenellä Gigabit Ethernet -portilla sekä SFP-häkillä, suunniteltu kustannustehokkaaksi reunareitittimeksi SMB-verkoille ja pienille ISP:lle. Sisäisesti se yhdistää Qualcomm IPQ-8064 CPU:n 1.4 GHz:n taajuudella kahteen itsenäiseen switch-siruun, joista kumpikin käsittelee puolet kymmenestä Ethernet-portista. Jaettu switch-suunnittelu vähentää sekä kustannuksia että virrankulutusta pitäen sisäisen switch-edelleenvälityksen nopeana, mutta luo myös arkkitehtuuriset rajoitukset, jotka määrittävät, miten laite toimii todellisen kuorman alla.

Muut tekniset tiedot ovat yhtä pragmaattisia: 1 GB RAM, 128 MB NAND, passiivinen jäähdytys, PoE-sisään Ether1:ssä, PoE-ulos Ether10:ssä, ja pieni etupaneelin LCD silmäyksellä tilaa varten. Runko on telinekiinnitettävä, toimii viileänä useimmissa toimistoympäristöissä ja sietää ympäristön lämpötiloja noin 80 °C asti ennen kuin elinikä muuttuu huoleksi.

Arkkitehtuuriset vahvuudet ja rajoitukset

RB3011:n jaettu switch-arkkitehtuuri on nopea, kun liikenne pysyy yhden switch-sirun sisällä — laitteistolla kuormitettu edelleenlähetys saavuttaa johtonopeuden vähäisellä CPU-kuormalla. Saalis on, että kaikki, mikä ylittää porttiryhmät, kaikki, mikä tarvitsee reititystä, kaikki, mikä tarvitsee NAT:n, kaikki, mikä tarvitsee palomuurisääntöjä, on kuljettava CPU:n läpi. Kahden ytimen jongleeratessa reititystä, NAT:ia, palomuuria, jonoja, PPPoE:ta ja VPN-salausta CPU kyllästyy nopeammin kuin porttimäärä antaa olettaa.

On olemassa toinen rajoitus, jolla on merkitystä: linkki kunkin switch-sirun ja CPU:n välillä on vain 1–2 Gbps. RB3011 ei voi kestävästi työntää täyttä Gigabit-reititystä kaikilla porteilla samanaikaisesti. SMB-sivustolle, joka työntää muutaman sata Mbps WAN:n yli, se on epäolennaista. Pienelle ISP:lle, joka palvelee multi-Gigabit-aggregaattiliikennettä, se on otsikkonumero.

Läpimeno: mitä todella saat tuotannossa

MikroTikin omat RFC2544-benchmarkit julkaisevat ihanteellisen reitityksen läpimenon noin 4 Gbps:iin asti 1518-tavuisilla paketeilla, kun FastPath on käytössä. Tuo luku on teoreettinen katto, ei realistinen odotus. Todellinen internet-liikenne sisältää paljon pieniä paketteja — DNS-kyselyitä, TCP ACK:ita, ohjaustason puhetta — ja pienet paketit ovat ne, jotka osuvat CPU:n pakettia sekunnissa kattoon.

64-tavuisilla kehyksillä läpimeno romahtaa noin 231 Mbps:iin. CPU:lta loppuvat syklit sekunnissa ennen kuin sen kaistanleveys sekunnissa loppuu. Sekoittuneet todelliset työkuormat asettuvat noin 600–800 Mbps:iin reitityksen-vain skenaarioille. NAT:n ja tyypillisen palomuurisääntösarjan lisääminen tuo luvun 300–600 Mbps:iin riippuen sääntöjen monimutkaisuudesta ja RouterOS-versiosta. RouterOS v7, joka poisti v6:n omistaman reittivälimuistin, toimii huonommin vanhemmilla CPU:illa kuten RB3011:n IPQ-8064 — vastainenhakuinen tulos operaattoreille, jotka päivittävät odottaen parempaa suorituskykyä.

Vinkki: FastTrack on välttämätön RB3011:lla. Ilman sitä reitityksen plus NAT:n läpimeno usein laskee alle 350 Mbps. Se ei ole “mukavaa olla” — sitä vaaditaan, jotta alusta toimii.

Palomuuri, jonot ja CPU-paine

CPU-sidottu käsittely tulee ilmeiseksi heti kun alat lisätä palomuurisääntöjä tai jonopuita. MikroTikin omissa testeissä 25 palomuurisääntöä laski läpimenon noin 60 Mbps:iin 64-tavuisilla paketeilla. Jopa suuremmilla paketinkoilla läpimeno leijui alle 500 Mbps:n. Jonotus lisää lisäkustannuksia: monet asetukset havaitsevat 40–60% läpimenon menetyksen kohtuullisten jonokuormien alla.

Käytännön vaikutus on suoraviivainen — RB3011 käsittelee kohtuullista suodatusta hyvin, mutta on väärä laite raskaisiin UTM-tyylisiin työkuormiin. Jos tarvitset syvää pakettitarkastusta, kerros-7 suodatusta tai aggressiivista muotoilua Gigabit-nopeuksilla, RB3011 ei vie sinua sinne. CCR2004- ja CCR2216-sarjat ovat oikea vastaus tuolle työkuormalle.

VPN-suorituskyky: IPsec, PPPoE, OpenVPN

IPsec-suorituskyky RB3011:lla on yllättävän hyvä isoilla paketeilla — jopa noin 780 Mbps ARM NEON -kiihdytyksen ansiosta. Pudota pieniin paketteihin ja läpimeno putoaa noin 38 Mbps:iin. Sekoittuneet todelliset VPN-työkuormat laskeutuvat noin 300 Mbps:iin.

PPPoE on yksisäikeinen suunnittelultaan, joten se maksimaa yhden CPU-ytimen. Jopa FastTrack käytössä, odota noin 500 Mbps. OpenVPN toimii heikosti, koska siitä puuttuu laitteistokiihdytys ja TCP-kuljetus lisää yleiskustannuksia — jos tarvitset nopean tunnelin tähän laitteeseen, katso WireGuard MikroTikissä -opastusta, koska WireGuard ylittää sekä OpenVPN:n että IPsec:n useimmissa MikroTik-laitteissa.

Käytännön optimoinnin tarkistuslista

Saa platformista maksimum näiden kuuden askeleen avulla:

  1. Ota FastTrack käyttöön IPv4-liikenteelle. Ei valinnaista.
  2. Käytä laitteistolla kuormitettua bridging-toimintoa mahdollisuuksien mukaan — se ohittaa CPU:n switchingissä.
  3. Minimoi palomuurisääntöjen määrä ja monimutkaisuus. Järjestä säännöt niin, että eniten osuvat ovat ensin.
  4. Vältä syviä jonopuita muotoiltaessa Gigabit-linkkejä — jokainen sisäkkäisyystaso maksaa CPU:n.
  5. Pidä laite hyvin tuuletettuna. Passiivinen jäähdytys sietää suljettua kaappia vain tietyn ajan.
  6. Linjaa porttien käyttö niin, että korkean kysynnän polut pysyvät saman switch-sirun sisällä.

Laajemman toiminnallisen kontekstin saamiseksi katso oppaamme NAT:n konfigurointi MikroTikissä ja SNMP-pohjainen valvontaopas RB3011:n suorituskykytrendien seuraamiseksi ajan myötä.

Ota seuraava askel

RB3011-laitteiden laivueen käyttäminen tarkoittaa CPU-kyllästymisen, palomuurisääntöjen ajautumisen ja FastTrackin yhdenmukaisuuden hallintaa monilla sivustoilla. Väärä sääntöjärjestys yhdellä laitteella ajaa 200 Mbps pois sen läpimenosta; puuttuva FastTrack-sääntö toisessa rajoittaa sen 60%:iin kapasiteetista. Et huomaa, ennen kuin asiakkaat huomaavat.

MKController nostaa esiin CPU-kyllästymisen, läpimenotrendit, konfiguraatiosumun ja lämpötilatiedot jokaisesta inventaariosi MikroTikistä yhdessä koontinäytössä. Kun laite alkaa kamppailla — hitaasti, kuten RB3011:t usein tekevät — koontinäyttö näkee sen ennen kuin tukitiketit saapuvat.

Aloita ilmainen MKController-kokeilu