Skip to content
Blog

MikroTik hEX su MKController debesų valdymu

Santrauka
Sužinokite, kaip MikroTik hEX (RB750Gr3) pritaikomas SOHO ir SMB tinkluose, kokie yra jo realūs apribojimai ir kaip MKController debesų valdymas padeda lengviau ir saugiau valdyti šioms įrenginių grupes.

MikroTik hEX su MKController debesų valdymu

Topology with MikroTik hEX routers managed centrally by MKController cloud

Susipažinkite su MikroTik hEX RB750Gr3

MikroTik hEX (RB750Gr3) – mažas penkių uostų Gigabit Ethernet maršrutizatorius su dviejų branduolių 880 MHz CPU, 256 MB RAM ir tylia pasyvią aušinimo sistema. Jame veikia visas RouterOS funkcijų rinkinys, įskaitant pažangų maršrutizavimą, ugniasienę, VPN, QoS ir net mažą Dude serverio instanciją pagrindiniam stebėjimui.

Turite penkis 10/100/1000 Mbps Ethernet uostus, USB 2.0 prievadą ir microSD lizdą papildomai atminčiai ir žurnalams. Energijos sąnaudos vos keli vatai, o maitinimas gali būti tiekiamas per standartinį DC adapterį arba pasyvų PoE per Ether1, kas pravartu mažose ar nutolusiose instaliacijose.

Skirtingai nuo hAP serijos, hEX neturi įmontuoto Wi-Fi. Tai yra laidinis maršrutizatorius ar ugniasienė ribiniame taške, dažnai derinama su atskirais prieigos taškais. Viduje integruotas perjungiklio lustas leidžia atlikti laidinio greičio perjungimą tarp uostų naudojant tiltelį, o maršrutizavimas bei intensyvi apdorojimo veikla vis dar remiasi CPU.

Pastaba: ši lankstumas yra galingas, bet reiškia, kad konfigūravimas nėra tinkamas pradedantiesiems. RouterOS turi daugybę nustatymų, todėl geriausia, kai juos valdo technikai ar pažengę vartotojai, o ne tikėtis „plug-and-play“.

Daugiau techninių duomenų rasite oficialiame MikroTik hEX produkto puslapyje.

Veikimas realiuose tinkluose

Paprastuose maršrutizavimo ir NAT scenarijuose hEX gali pasiekti beveik Gigabit spartą viename prievado poroje, naudojant FastPath ir FastTrack iš anksto nustatytiems srautams. Idealiomis sąlygomis testai su dideliais paketais rodo pralaidumą virš 900 Mbps, su pakankama CPU resurso atsarga įprastam SOHO ir SMB srautui.

Kai pridedama daugiau darbo vienam paketui, situacija keičiasi. Pridėjus dešimtis ugniasienės taisyklių, sudėtingus eilės mechanizmus ar pažangias QoS politikas maksimalus pralaidumas greitai mažėja. Su daug taisyklių, mažų 64 baitų paketų našumas gali smarkiai kristi, kas yra suprantama mažam CPU, kuris kiekvieną paketą apdoroja lėtame kelyje.

Gera žinia ta, kad subalansuotu taisyklių rinkiniu ir FastTrack naudojimu patikimam srautui hEX patogiai tvarko įprastus plačiajuosčius ryšius (100–500 Mbps) ir net daugelį Gigabit ryšių biuro darbo krūviams, VoIP ir nuotoliniam prisijungimui.

VPN srityje aparatinė IPsec pagalba leidžia RB750Gr3 tvarkyti užšifruotus tunelius įspūdingai gerai savo kainų kategorijoje. Naudojant AES-128 ir didesnius paketus, galima pasiekti kelis šimtus Mbps užšifruoto pralaidumo, pakankamai daugumai filialų, mažmeninės prekybos vietų ir nuotolinių vartotojų poreikiams, jei WAN ryšys nėra Gigabit.

Saugumo rizikos, kurių negalima ignoruoti

RouterOS yra galinga ir lanksti sistema, tačiau tai reiškia, kad ji turėjo saugumo spragų ir klaidingo konfigūravimo atvejų. Istoriškai įrenginiai buvo siunčiami su numatytais administratoriaus prisijungimo duomenimis ir atvirais valdymo servisais, todėl buvo lengvi taikiniai, jei likdavo senoje programinėje įrangoje ar atidaryti WinBox arba WebFig prievadai.

Šiandien naujos RouterOS versijos verčia nustatyti slaptažodį pirmojo paleidimo metu ir siunčiamos su saugesne numatytąja ugniasienės konfigūracija. Vis dėlto problemų receptas lieka tas pats: pasenusi programinė įranga, silpni slaptažodžiai ir atviri valdymo sąsajų prievadai WAN pusėje.

Geras hEX saugumo tvarkymas atrodo taip:

  1. Laikykite RouterOS atnaujintą stabilios ar ilgalaikės versijos, sekite MikroTik saugumo patarimus.
  2. Užblokuokite WinBox, WebFig ir API ryšius WAN tinkluose; geriau naudokite SSH per VPN ar debesų valdiklį prieiti prie maršrutizatoriaus.
  3. Naudokite stiprius unikalius slaptažodžius ar SSH raktus ir naudokite dviejų faktorių autentifikavimą, jei įmanoma.
  4. Registruokite neįprastą veiklą ir siųskite žurnalus į centrinę sistemą, kad būtų matomi įsibrovimo bandymai ir anomalijos.

Įspėjimas: Pažeistas ribinis maršrutizatorius nėra tik „dar vienas įrenginys“. Jis gali tapti įėjimo tašku į jūsų LAN, tapti botneto dalimi arba tyliai sėdėti tarp vartotojo ir tinklo, perimdamas srautą.

Kodėl verta naudoti debesų valdiklį, kaip MKController

Vieno hEX valdymas ant stalo yra paprastas. Valdyti dešimtis, išdėstytų klientų vietose, filialuose ir namuose, yra kita istorija. Čia praverčia tokie debesų valdikliai kaip MKController.

Užuot viešai atvėrę WinBox ar WebFig internetui, kiekvienas hEX užmezga išeinančią užšifruotą tunelio jungtį su MKController. Iš ten galite tiesiogiai atidaryti proksi WinBox arba WebFig sesijas naršyklėje, tikrinti įrenginių būklę, matyti, kada įrenginiai eina offline, ir gauti automatinį konfigūracijų atsarginį kopijavimą be uostų persiuntimų ar viešų IP.

Kaip MKController padeda: MKController leidžia jūsų MikroTik įrenginių parkui būti pasiekiamam per saugius tunelius, centralizuoja stebėjimą ir automatizuoja atsargines kopijas. Tai reiškia mažiau atvirų rizikingų prievadų, mažiau rankinių prisijungimų ir kur kas spartesnį pakeitimų diegimą daugelyje mažų maršrutizatorių.

Tipinis darbo procesas atrodo taip:

  1. Diegiate hEX su pagrindiniu saugiu šablonu: atnaujinta RouterOS, užrakinta ugniasienė ir pažymėta VPN ar MKController tunelio jungtis.
  2. Paleidžiate MKController įdarbinimo skriptą maršrutizatoriuje, kad įrenginys užregistruotųsi debesyje.
  3. Naudojate MKController panelę atidaryti WebFig arba WinBox, stebėti CPU, atmintį, prievadus ir gauti signalus kai įrenginys nepasiekiamas ar viršija ribas.
  4. Leiskite MKController reguliariai traukti konfigūracijų eksporto ir atsargines kopijas, kad greitai atkurtumėte maršrutizatorių ar kopijuotumėte konfigūraciją į atsarginį įrenginį.

Perkeliant kasdienį prieigą ir stebėjimą į valdiklį, sumažėja statinių IP, dinaminio DNS triukai ar VPN kiekvienoje vietoje poreikis valdyti įrenginius.

Kada hEX yra tinkamiausias sprendimas (ir kada ne)

RB750Gr3 puikiai tinka šiose situacijose:

  • Mažos biuro ir namų biuro atvejai, reikalingas patikimas laidinis ribinis maršrutizatorius su atskirais Wi-Fi prieigos taškais.
  • Filialai ir mažmeninės prekybos vietos, kurioms reikalingas saugus VPN ryšys į centrinį tinklą su nedideliu pralaidumu.
  • Valdomų paslaugų tiekėjai, ieškantys pigių, scenarijumi valdomų CPE įrenginių, kuriuos galima stebėti ir valdyti centralizuotai.
  • Laboratorijos, mokymo aplinkos ir namų laboratorijos, kur technikai nori praktikuotis su RouterOS funkcijomis neišleisdami daug pinigų įrangai.

Taip pat yra atvejų, kai verta rinktis didesnį įrenginį:

  • Aplinkos, kur reikalinga ilgalaikė Gigabit sparta su intensyvia ugniasiene, daug VPN ar sudėtingomis QoS funkcijomis.
  • Tinklai, reikalaujantys integruoto Wi-Fi, 10G ryšio arba pažangios saugos funkcijų, tokių kaip IDS ar turinio filtravimas.
  • Didelės maršrutizavimo sritys su pilnais BGP lentelėmis ar labai didelėmis dinaminėmis maršrutizavimo bazėmis, kurios nepatogiai telpa į 256 MB RAM.

Patartina: Įsivaizduokite hEX kaip kompaktišką Šveicarišką kariuomenės peilį ribiniam maršrutizavimui. Jis puikus, kai naudojamas savo ribose, bet nepakeis pilnaverčio ugniasienės ar duomenų centro maršrutizatoriaus.

Daugumai organizacijų aiški nauda: naudokite hEX ekonomiškam ribiniam maršrutizavimui ir VPN mažose vietose ir MKController, kad šią įrangą matytumėte, apsaugotumėte ir ilgai prižiūrėtumėte. Jei poreikiai viršija įrangos galimybes, galima pereiti prie didesnių MikroTik modelių, išlaikant tą patį debesų valdymo principą.

Apie MKController

Tikimės, kad ši informacija padėjo geriau suvokti MikroTik ir interneto pasaulį! 🚀
Nesvarbu, ar derinate konfigūracijas, ar siekiate tinklo tvarkos, MKController padės jums lengviau valdyti tinklą.

Su centralizuotu debesų valdymu, automatiniais saugumo atnaujinimais ir lengvai suprantama valdymo pultu – turime viską, ko reikia jūsų operacijų patobulinimui.

👉 Pradėkite nemokamą 3 dienų bandymą dabar adresu mkcontroller.com — ir pamatykite, kas yra tikras tinklo valdymas be rūpesčių.