Aller au contenu
MKController Blog
InstagramYouTubeFacebook

Review

MikroTik RB3011 : revue de performance

Revue pratique des performances du MikroTik RB3011 — limites de débit, plafonds VPN, pression CPU et conseils d'optimisation pour FAI.

MKController6 min read

Résumé Le MikroTik RB3011 est un routeur ARM double cœur avec dix ports Gigabit Ethernet qui a été pendant des années le “MikroTik économique” de référence pour les réseaux PME et petits FAI. Son architecture — deux puces switch derrière un CPU 1.4 GHz — façonne à la fois ses forces et ses plafonds. Cette revue couvre le débit réel, où le CPU sature, comment les options VPN se comportent réellement, et la checklist d’optimisation qui tire le maximum de la plateforme.

Diagramme d'architecture interne du MikroTik RB3011 montrant les doubles puces switch et le CPU

Qu’est-ce que le MikroTik RB3011 ?

Le MikroTik RB3011UiAS-RM est un routeur ARM double cœur avec dix ports Gigabit Ethernet plus une cage SFP, conçu comme routeur edge économique pour réseaux PME et petits FAI. En interne, il associe un CPU Qualcomm IPQ-8064 à 1.4 GHz à deux puces switch indépendantes, chacune gérant la moitié des dix ports Ethernet. La conception switch divisé réduit à la fois le coût et la consommation d’énergie tout en gardant rapide le forwarding intra-switch, mais crée aussi les contraintes architecturales qui définissent comment l’appareil performe sous charge réelle.

Les autres spécifications sont tout aussi pragmatiques : 1 Go RAM, 128 Mo NAND, refroidissement passif, PoE-in sur Ether1, PoE-out sur Ether10, et un petit LCD en façade pour un statut d’un coup d’œil. Le châssis est rackable, fonctionne au frais dans la plupart des environnements de bureau et tolère des températures ambiantes jusqu’à environ 80 °C avant que la durée de vie ne devienne une préoccupation.

Forces et limites architecturales

L’architecture switch divisé du RB3011 est rapide lorsque le trafic reste à l’intérieur d’une seule puce switch — le forwarding offloadé matériellement atteint la vitesse fil avec une charge CPU négligeable. Le piège est que tout ce qui traverse les groupes de ports, tout ce qui a besoin de routage, tout ce qui a besoin de NAT, tout ce qui a besoin de règles de pare-feu doit traverser le CPU. Avec deux cœurs jonglant routage, NAT, pare-feu, queueing, PPPoE et chiffrement VPN, le CPU sature plus vite que le nombre de ports ne le suggère.

Il y a une seconde contrainte qui compte : le lien entre chaque puce switch et le CPU est seulement de 1–2 Gbps. Le RB3011 ne peut pas pousser de manière soutenue le routage Gigabit complet sur tous les ports simultanément. Pour un site PME qui pousse quelques centaines de Mbps sur le WAN, c’est sans importance. Pour un petit FAI servant du trafic agrégé multi-Gigabit, c’est le chiffre titre.

Débit : ce que vous obtenez vraiment en production

Les benchmarks RFC2544 de MikroTik publient un débit de routage idéal jusqu’à environ 4 Gbps avec des paquets de 1518 octets lorsque FastPath est activé. Ce chiffre est un plafond théorique, pas une attente réaliste. Le trafic internet réel contient beaucoup de petits paquets — requêtes DNS, ACK TCP, bavardage du plan de contrôle — et les petits paquets sont ce qui frappe le plafond paquets-par-seconde du CPU.

À des trames de 64 octets, le débit s’effondre à environ 231 Mbps. Le CPU manque de cycles par seconde avant de manquer de bande passante par seconde. Les charges de travail réelles mixtes s’établissent autour de 600–800 Mbps pour les scénarios routage uniquement. L’ajout de NAT et d’un ensemble typique de règles de pare-feu fait baisser le chiffre à 300–600 Mbps selon la complexité des règles et la version de RouterOS. RouterOS v7, qui a supprimé le cache de routes que v6 avait, performe pire sur les anciens CPU comme l’IPQ-8064 du RB3011 — un résultat contre-intuitif pour les opérateurs qui mettent à jour en s’attendant à de meilleures performances.

Conseil: FastTrack est essentiel sur le RB3011. Sans lui, le débit routage plus NAT tombe souvent sous 350 Mbps. Ce n’est pas un “agréable à avoir” — c’est requis pour que la plateforme performe.

Pare-feu, files d’attente et pression CPU

Le traitement lié au CPU devient évident dès que vous commencez à ajouter des règles de pare-feu ou des arbres de files d’attente. Dans les propres tests de MikroTik, 25 règles de pare-feu ont réduit le débit à environ 60 Mbps à des paquets de 64 octets. Même à des tailles de paquet plus grandes, le débit stagnait sous 500 Mbps. Le queueing ajoute un coût supplémentaire : de nombreuses configurations observent une perte de débit de 40–60% sous des charges de files d’attente modérées.

L’implication pratique est directe — le RB3011 gère bien le filtrage modéré mais est le mauvais appareil pour les charges de travail lourdes style UTM. Si vous avez besoin d’inspection profonde de paquets, de filtrage couche-7 ou de mise en forme agressive aux vitesses Gigabit, le RB3011 ne vous y emmènera pas. Les lignes CCR2004 et CCR2216 sont la bonne réponse pour cette charge de travail.

Performance VPN : IPsec, PPPoE, OpenVPN

Les performances IPsec sur le RB3011 sont étonnamment bonnes avec de gros paquets — jusqu’à environ 780 Mbps grâce à l’accélération ARM NEON. Descendez aux petits paquets et le débit tombe à environ 38 Mbps. Les charges de travail VPN réelles mixtes atterrissent autour de 300 Mbps.

PPPoE est mono-thread par conception, donc il maximise un cœur CPU. Même avec FastTrack activé, attendez-vous à environ 500 Mbps. OpenVPN performe pauvrement car il manque d’accélération matérielle et le transport TCP ajoute une surcharge — si vous avez besoin d’un tunnel rapide sur cet appareil, voyez notre tutoriel WireGuard sur MikroTik, car WireGuard surpasse à la fois OpenVPN et IPsec sur la plupart du matériel MikroTik.

Checklist pratique d’optimisation

Tirez le maximum de la plateforme avec ces six étapes :

  1. Activez FastTrack pour le trafic IPv4. Pas optionnel.
  2. Utilisez le bridging offloadé matériellement quand possible — il contourne le CPU pour le switching.
  3. Minimisez le nombre et la complexité des règles de pare-feu. Ordonnez les règles pour que les plus fréquentées soient en premier.
  4. Évitez les arbres de files d’attente profonds lors de la mise en forme de liens Gigabit — chaque niveau d’imbrication coûte du CPU.
  5. Gardez l’appareil bien ventilé. Le refroidissement passif tolère une armoire fermée seulement jusqu’à un certain point.
  6. Alignez l’utilisation des ports pour que les chemins à forte demande restent à l’intérieur de la même puce switch.

Pour un contexte opérationnel plus large, voyez notre guide de configuration NAT sur MikroTik et le tutoriel de monitoring basé sur SNMP pour suivre les tendances de performance du RB3011 dans le temps.

Passez à l’étape suivante

Exploiter une flotte d’appareils RB3011 signifie gérer la saturation CPU, la dérive des règles de pare-feu et la cohérence FastTrack sur de nombreux sites. Le mauvais ordre de règles sur un appareil rase 200 Mbps de son débit ; la règle FastTrack manquante sur un autre le plafonne à 60% de capacité. Vous ne le remarquerez pas avant que les clients ne le fassent.

MKController fait remonter la saturation CPU, les tendances de débit, la dérive de configuration et les données de température à travers chaque MikroTik de votre inventaire dans un seul tableau de bord. Quand un appareil commence à peiner — lentement, comme les RB3011 le font souvent — le tableau de bord le voit avant que les tickets de support n’arrivent.

Commencez votre essai gratuit MKController