Pāriet uz saturu
MKController Blog
InstagramYouTubeFacebook

Review

MikroTik hAP ac³ ISP CPE rokasgrāmata

Praktisks MikroTik hAP ac³ kā ISP-CPE vērtējums — vadu caurlaide, WiFi 5 robežas, ISP ugunsmūra bāze un operacionālā sacietēšana.

MKController5 min read

Kopsavilkums MikroTik hAP ac³ (RBD53iG-5HacD2HnD) ir izmaksu efektīvs ISP-CPE ar vadu maršrutēšanu, kas tuvojas Gigabit, kad ir aktivizēts FastTrack. Pārpildītā ēterī WiFi 5 ir galvenais ierobežotājs, tādēļ kanālu plānošana un papildu piekļuves punkti ir svarīgāki par datu lapu. RouterOS elastība ir atšķirības faktors; operacionālā disciplīna — atjauninājumi, ugunsmūra bāzes, pārvaldības sacietēšana — nav apspriežama, kad šī ierīce sēž klienta malā visā parkā.

MikroTik hAP ac³ ISP CPE platformas pārskats

Kam paredzēts MikroTik hAP ac³ ISP izvietojumos?

MikroTik hAP ac³ (RBD53iG-5HacD2HnD) ir četrkodolu ARM CPE, kas veidots ap Qualcomm IPQ-4019 SoC, ar 256 MB RAM, 128 MB NAND, pieciem Gigabit Ethernet portiem iekšējā komutācijas matricā, USB 2.0 portu (krātuvei vai 4G/LTE adapterim) un divu joslu Wi-Fi 5 (2,4 GHz un 5 GHz) ar divām ārējām antenām. ISP nozarē tas mērķē uz tīru saldo punktu: pietiekami pieejams, lai standartizētu mājsaimniecību izvietojumā, spējīgs uz vadu maršrutēšanu, kas tuva Gigabit, reālā slodzē un darbojas ar RouterOS elastībai, kuru lietotāju klases CPE nesasniedz.

CPE nav tikai “kastīte, kas pārvērš šķiedru par Wi-Fi” — tā ir lietotāja pieredzes un atbalsta izmaksu pirmā līnija. Ja maršrutētājs neseko līdzi NAT, PPPoE vai ugunsmūra noteikumiem, parādās lēni pieteikumi. Ja Wi-Fi sabrūk trokšņainā apkārtnē, atkal lēni pieteikumi. Un ja programmaparatūra ir novecojusi, parādās kaut kas sliktāks. hAP ac³ pirmajā veicas labi, otrajā ir paredzamas robežas, bet trešajā atalgo operacionālo disciplīnu. Plašākiem parka salīdzinājumiem skatiet mūsu hAP ac² apskatu un RB5009 apskatu.

Aparatūras pārskats

  • CPU: Qualcomm IPQ-4019 četrkodolu ARM
  • RAM: 256 MB
  • Krātuve: 128 MB NAND
  • Ethernet: 5× Gigabit
  • Wi-Fi: Divu joslu 2×2 WiFi 5 (802.11ac)
  • USB: 1× USB 2.0
  • Antenas: Divas ārējās divu joslu

Ārējās antenas uzlabo pārklājumu salīdzinājumā ar iekšējo antenu konstrukcijām, taču nepārkāpj fiziku — horizontālais pārklājums parasti ir labāks par vertikālo, tādēļ daudzstāvu mājām joprojām var būt nepieciešams otrs AP. Ja maršrutētāju nevar novietot ēkas vidusaugstumā, izmantojiet AP ar vadu backhaul, nevis tīru atkārtotāju.

Vadu caurlaide: FastTrack veido atšķirību

Vadu maršrutēšanas un NAT testos hAP ac³ labvēlīgos apstākļos, īpaši ar aktivizētu RouterOS FastTrack, tuvojas Gigabit caurlaidei. Princips ir vienkāršs: funkcijas maksā CPU. Ar minimālu pakešu apstrādi kastīte pārvieto trafiku ātri. Ar darbu uz pakešu (dziļš ugunsmūris, rindas, uzskaite) caurlaide krīt.

Praktiska bāzes ugunsmūra ISP CPE

Saglabājiet ugunsmūri mazu, skaidru un konsekventu visā parkā. Ja nepieciešama smaga filtrēšana, dariet to augšpus, kur iespējams:

/ip firewall filter
add chain=input action=accept connection-state=established,related comment="Allow established/related"
add chain=input action=drop connection-state=invalid comment="Drop invalid"
add chain=input action=accept protocol=icmp comment="Allow ICMP for troubleshooting"
add chain=input action=accept in-interface-list=LAN comment="Allow management from LAN"
add chain=input action=drop in-interface-list=WAN comment="Drop everything else from WAN"


/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related comment="FastTrack"
add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalid
add chain=forward action=drop in-interface-list=WAN connection-nat-state=!dstnat comment="Block unsolicited inbound"

FastTrack apiet dažas rindu un uzskaites funkcijas. Ja paļaujaties uz QoS uz abonentu tieši uz CPE, validējiet šo ceļu pirms izvietošanas — plašākam NAT ceļvedim skatiet MikroTik NAT pamācību.

Wi-Fi veiktspēja: laba WiFi 5, bet WiFi 5 paliek WiFi 5

Tuvā attālumā 5 GHz hAP ac³ piegādā spēcīgu TCP caurlaidi 2×2 WiFi 5 dizainam. Otrā puse: Wi-Fi veiktspēju dominē vide, nevis datu lapa. Blīvā pilsētas spektrā ar pārklājošiem tīkliem 2,4 GHz kļūst par pēdējās izvēles joslu, un reālā caurlaide strauji krīt traucējumu un ēterā laika konkurences dēļ.

Izvietošanas padomi, kas patiešām samazina pieteikumus:

  1. Veikamspējai dodiet priekšroku 5 GHz, bet ne akli to piespiediet. Dažām mājām nepieciešams 2,4 GHz tālums.
  2. 2,4 GHz joslā izmantojiet 20 MHz kanālus. Platāki kanāli parasti rada tikai vairāk problēmu.
  3. 5 GHz joslā 80 MHz izmantojiet tikai tīrā spektrā. Pretējā gadījumā nokāpiet uz 40 MHz.
  4. Lai pārklātu visu māju, pievienojiet AP ar vadu backhaul, nevis atkārtotāju.

RouterOS v7 izvietojumiem apsveriet jaunākās MikroTik Wi-Fi pakotnes (wifiwave2 / Qualcomm balstītus draiverus), kur tās ir atbalstītas. Atkarībā no konfigurācijas tās būtiski uzlabo caurlaidi un mūsdienīgus drošības režīmus.

VPN un pārvaldība ISP operācijām

hAP ac³ atbalsta IPsec ar aparatūras paātrinājumu drošiem tuneļiem. RouterOS v7 atbalsta arī WireGuard vienkāršākam mūsdienīgam VPN — skatiet mūsu WireGuard pamācību. Parka operācijām standartu balstīta nodrošināšana maina spēli: RouterOS v7 ieviesa TR-069 klientu, kas atļauj integrāciju ar ACS attālinātai nodrošināšanai un monitoringam. Skatiet mūsu TR-069 pārvaldības ceļvedi un TR-369 USP pēcteča protokolu.

Lai apvienotu „nodrošināšanu mērogā“ ar „tūlītēju sasniedzamību aiz NAT/CGNAT“, papildiniet TR-069 ar drošu attālinātās piekļuves slāni. MKController NATCloud piegādā no iekšpuses uz āru savienojamību bez portu pārsūtīšanas, saglabājot attālinātu atbalstu ātru un drošāku.

Drošība: ierīce ir kārtībā; internets — ne

RouterOS ir spēcīgs, un spēks griež abos virzienos. Platformā vecākās zaros bija ievainojamības, un operacionālā vajadzība pēc vērīgas labošanas ir reāla. Jūsu spēcīgākā kontrole ir disciplīna:

  • Standartizējiet sacietētu bāzes konfigurāciju visā parkā.
  • Atspējojiet neizmantotos pakalpojumus (Telnet, FTP, neizmantotas API).
  • Ierobežojiet pārvaldību līdz uzticamām IP vai VPN.
  • Piespiediet jauninājumus no stabila vai ilgtermiņa laidiena kanāla.
  • Uzraugiet anomālijas, izmantojot SNMP, Syslog un NetFlow.

„Drošs pēc noklusējuma“ nav tas pats kas „drošs ISP“. Drošs noklusējums ir labs; jūsu izvietošanai nepieciešama atkārtojama pārvaldība. Dziļākai pārvaldības plaknes sacietēšanai skatiet mūsu Winbox drošības labākās prakses un device-mode drošības ceļvedi.

Karstums, montāža un „tas ir skapī“ problēma

Ierīce ir pasīvi dzesēta un piemērota siltai videi, bet gaisa plūsma joprojām ir svarīga. Izvairieties no slēgtiem skapjiem un šaurām sienas kastēm. Mazas novietojuma izmaiņas novērš ilgtermiņa nestabilitāti un tās nejaušās Wi-Fi sūdzības, kas izskatās mistiskas, līdz atradīsiet siltuma cēloni.

Kad hAP ac³ ir pareizā izvēle

hAP ac³ ir saprātīgs CPE pakalpojumu līmeņiem aptuveni līdz vidējiem simtiem Mbps ar mērenu Wi-Fi pieprasījumu. Tas mirdz, ja novērtējat RouterOS elastību, VLAN marķēšanu un integrāciju ar saviem pārvaldības darba plūsmām. Ejiet uz augstāka līmeņa maršrutētāju vai WiFi 6 aparatūru, kad klienti regulāri stumj pilnu Gigabit ar smagu ugunsmūri/QoS, kad katrā mājā ir daudz vienlaicīgu Wi-Fi klientu vai kad nepieciešama labāka veiktspēja blīvos RF apstākļos.

Speriet nākamo soli

Ja pārvaldāt daudzas vietas, MKController centralizē redzamību, standartizē konfigurācijas un samazina tehniskos braucienus. Ar NATCloud jūs sasniedzat iekārtas aiz CGNAT, neatverot portus, un saglabājat attālinātu atbalstu ātru un drošāku ISP mēroga CPE parkam.

Sāciet bezmaksas MKController izmēģinājumu