Salta ai contenuti
MKController Blog
InstagramYouTubeFacebook

Review

MikroTik RB3011: revisione delle prestazioni

Revisione pratica delle prestazioni del MikroTik RB3011 — limiti di throughput, soffitti VPN, pressione CPU e consigli di ottimizzazione per ISP.

MKController6 min read

Riepilogo Il MikroTik RB3011 è un router ARM dual-core con dieci porte Gigabit Ethernet che è stato il “MikroTik conveniente” di riferimento per reti SMB e piccoli ISP per anni. La sua architettura — due chip switch dietro una CPU da 1.4 GHz — è ciò che plasma sia i suoi punti di forza che i suoi soffitti. Questa revisione copre il throughput reale, dove la CPU si satura, come si comportano davvero le opzioni VPN, e la checklist di ottimizzazione che trae il massimo dalla piattaforma.

Diagramma di architettura interna MikroTik RB3011 che mostra chip switch doppi e CPU

Cos’è il MikroTik RB3011?

Il MikroTik RB3011UiAS-RM è un router ARM dual-core con dieci porte Gigabit Ethernet più una gabbia SFP, progettato come router edge conveniente per reti SMB e piccoli ISP. Internamente abbina una CPU Qualcomm IPQ-8064 a 1.4 GHz con due chip switch indipendenti, ciascuno che gestisce metà delle dieci porte Ethernet. Il design a switch diviso riduce sia il costo che il consumo energetico mantenendo veloce l’inoltro intra-switch, ma crea anche i vincoli architetturali che definiscono come il dispositivo si comporta sotto carico reale.

Altre specifiche sono ugualmente pragmatiche: 1 GB RAM, 128 MB NAND, raffreddamento passivo, PoE-in su Ether1, PoE-out su Ether10 e un piccolo LCD frontale per stato a colpo d’occhio. Lo chassis è montabile su rack, gira fresco nella maggior parte degli ambienti d’ufficio e tollera temperature ambiente fino a circa 80 °C prima che la durata diventi una preoccupazione.

Punti di forza e limiti architetturali

L’architettura a switch diviso del RB3011 è veloce quando il traffico resta dentro un singolo chip switch — l’inoltro offloaded via hardware raggiunge la velocità del cavo con carico CPU trascurabile. Il trucco è che qualsiasi cosa attraversi i gruppi di porte, qualsiasi cosa necessiti di routing, qualsiasi cosa necessiti di NAT, qualsiasi cosa necessiti di regole firewall deve attraversare la CPU. Con due core che giocolano routing, NAT, firewall, queueing, PPPoE e crittografia VPN, la CPU si satura più velocemente di quanto suggerito dal numero di porte.

C’è un secondo vincolo che conta: il collegamento tra ogni chip switch e la CPU è solo di 1–2 Gbps. Il RB3011 non può sostenibilmente spingere routing Gigabit completo su tutte le porte simultaneamente. Per un sito SMB che spinge qualche centinaio di Mbps sulla WAN, è irrilevante. Per un piccolo ISP che serve traffico aggregato multi-Gigabit, è il numero principale.

Throughput: cosa ottieni davvero in produzione

I benchmark RFC2544 di MikroTik pubblicano un throughput di routing ideale fino a circa 4 Gbps con pacchetti da 1518 byte quando FastPath è abilitato. Quel numero è un soffitto teorico, non un’aspettativa realistica. Il traffico internet reale contiene molti pacchetti piccoli — query DNS, ACK TCP, chiacchiera del piano di controllo — e i pacchetti piccoli sono ciò che colpisce il soffitto pacchetti per secondo della CPU.

A frame da 64 byte, il throughput crolla a circa 231 Mbps. La CPU esaurisce i cicli al secondo prima di esaurire la banda al secondo. I carichi di lavoro misti reali si stabilizzano intorno a 600–800 Mbps per scenari solo routing. Aggiungere NAT e un tipico set di regole firewall riduce il numero a 300–600 Mbps a seconda della complessità delle regole e della versione di RouterOS. RouterOS v7, che ha rimosso la cache di routing che v6 aveva, si comporta peggio su CPU più vecchie come l’IPQ-8064 del RB3011 — un risultato controintuitivo per gli operatori che aggiornano aspettandosi prestazioni migliori.

Suggerimento: FastTrack è essenziale sul RB3011. Senza di esso, il throughput routing più NAT spesso scende sotto 350 Mbps. Non è un “bello da avere” — è richiesto perché la piattaforma performi.

Firewall, code e pressione CPU

L’elaborazione CPU-bound diventa ovvia non appena si iniziano ad aggiungere regole firewall o alberi di code. Nei test di MikroTik stessi, 25 regole firewall hanno ridotto il throughput a circa 60 Mbps su pacchetti da 64 byte. Anche a dimensioni di pacchetto maggiori, il throughput restava sotto 500 Mbps. Il queueing aggiunge ulteriore costo: molte configurazioni osservano perdite di throughput del 40–60% sotto carichi di coda moderati.

L’implicazione pratica è diretta — il RB3011 gestisce bene il filtraggio moderato ma è il dispositivo sbagliato per carichi di lavoro pesanti stile UTM. Se hai bisogno di ispezione profonda dei pacchetti, filtraggio layer-7 o shaping aggressivo a velocità Gigabit, il RB3011 non ti ci porterà. Le linee CCR2004 e CCR2216 sono la risposta giusta per quel carico.

Prestazioni VPN: IPsec, PPPoE, OpenVPN

Le prestazioni IPsec sul RB3011 sono sorprendentemente buone con pacchetti grandi — fino a circa 780 Mbps grazie all’accelerazione ARM NEON. Scendi a pacchetti piccoli e il throughput cade a circa 38 Mbps. I carichi VPN reali misti atterrano intorno a 300 Mbps.

PPPoE è single-threaded per design, quindi massimizza un core CPU. Anche con FastTrack abilitato, aspettati circa 500 Mbps. OpenVPN si comporta male perché manca di accelerazione hardware e il trasporto TCP aggiunge overhead — se hai bisogno di un tunnel veloce su questo dispositivo, vedi il nostro tutorial WireGuard su MikroTik, poiché WireGuard supera sia OpenVPN che IPsec sulla maggior parte dell’hardware MikroTik.

Checklist pratica di ottimizzazione

Trai il massimo dalla piattaforma con questi sei passaggi:

  1. Abilita FastTrack per il traffico IPv4. Non opzionale.
  2. Usa il bridging offloaded via hardware quando possibile — bypassa la CPU per lo switching.
  3. Minimizza numero e complessità delle regole firewall. Ordina le regole in modo che le più colpite siano prime.
  4. Evita alberi di code profondi quando modelli link Gigabit — ogni livello di nidificazione costa CPU.
  5. Mantieni il dispositivo ben ventilato. Il raffreddamento passivo tollera un armadio chiuso solo fino a un certo punto.
  6. Allinea l’uso delle porte in modo che i percorsi ad alta domanda restino dentro lo stesso chip switch.

Per un contesto operativo più ampio, vedi la nostra guida alla configurazione NAT su MikroTik e il tutorial di monitoraggio basato su SNMP per tracciare le tendenze prestazionali del RB3011 nel tempo.

Fai il prossimo passo

Operare una flotta di dispositivi RB3011 significa gestire la saturazione CPU, il drift delle regole firewall e la coerenza FastTrack su molti siti. L’ordine di regole sbagliato su un dispositivo rade 200 Mbps dal suo throughput; la regola FastTrack mancante su un altro lo limita al 60% della capacità. Non te ne accorgerai finché i clienti non se ne accorgono.

MKController fa emergere la saturazione CPU, le tendenze del throughput, il drift di configurazione e i dati di temperatura su ogni MikroTik del tuo inventario in una sola dashboard. Quando un dispositivo inizia a faticare — lentamente, come fanno spesso i RB3011 — la dashboard lo vede prima che arrivino i ticket di supporto.

Inizia la tua prova gratuita di MKController