Pāriet uz saturu
Blog

MikroTik hEX ar MKController mākoņpārvaldību

Kopsavilkums
Uzziniet, kā MikroTik hEX (RB750Gr3) iederas SOHO un SMB tīklos, kādas ir tā reālās robežas un kā MKController mākoņpārvaldība palīdz izvietot, aizsargāt un vadīt šo maršrutētāju kopas ar mazāku risku un manuālu darbu.

MikroTik hEX ar MKController mākoņpārvaldību

Topology with MikroTik hEX routers managed centrally by MKController cloud

Iepazīstieties ar MikroTik hEX RB750Gr3

MikroTik hEX (RB750Gr3) ir kompakts piecu portu Gigabit Ethernet maršrutētājs ar divkodolu 880 MHz CPU, 256 MB RAM un klusējošu pasīvo dzesēšanu. Tas darbojas ar pilnu RouterOS funkciju komplektu, ieskaitot uzlabotu maršrutēšanu, ugunsmūri, VPN, QoS un pat nelielu Dude servera vienību pamata uzraudzībai.

Jūs saņemat piecus 10/100/1000 Mbps Ethernet portus, USB 2.0 portu un microSD slotu papildu datu glabāšanai un žurnāliem. Enerģijas patēriņš ir tikai daži vati, un to var barot ar standarta DC adapteri vai pasīvo PoE Ether1 portā, kas noder ierobežotās vai attālās vietās.

Atšķirībā no hAP sērijas, hEX nav iebūvēts Wi-Fi. Tas paredzēts kā vadu maršrutētājs vai ugunsmūris malā, bieži kopā ar atsevišķiem piekļuves punktiem. Iekšēji integrēta slēdža mikroshēma ļauj veikt pāreju ar līnijas ātrumu starp portiem tilta režīmā, kamēr maršrutēšana un intensīva apstrāde joprojām balstās uz CPU.

Piezīme: Šī elastība ir jaudīga, bet konfigurācija nav draudzīga iesācējiem. RouterOS piedāvā daudz opciju, tāpēc to vislabāk pārvalda tehniķi vai pieredzējuši lietotāji, nevis plug-and-play gaidītāji.

Pilnīgas aparatūras detaļas varat skatīt oficiālajā MikroTik hEX produktu lapā.

Veiktspēja reālos tīklos

Vienkāršos maršrutēšanas un NAT scenārijos hEX var sasniegt gandrīz gigabitu līnijas ātrumu uz viena porta pāra, izmantojot FastPath un FastTrack izveidotiem plūsmas procesiem. Ideālos apstākļos testi ar lieliem paketiem rāda caurlaidi 900+ Mbps diapazonā ar ievērojamu CPU rezervei ierastam SOHO un SMB datplūsmai.

Kad pieskaita vairāk darba vienam paketam, situācija mainās. Daudz ugunsmūra noteikumu, sarežģītu rindu vai uzlabotu QoS politiku pievienošana ātri samazina maksimālo caurlaidspēju. Ar daudziem filtrēšanas noteikumiem veiktspēja mazām 64 baitu paketēm var strauji krist, kas ir gaidāms, jo mazs CPU apstrādā katru paketi lēnajā ceļā.

Laba ziņa ir tā, ka ar sabalansētu noteikumu kopu un FastTrack izmantošanu uzticamai datplūsmai hEX ērti apstrādā tipiskos platjoslas savienojumus (100–500 Mbps) un pat daudzas gigabita līnijas biroja darba slodzēm, VoIP un attālai piekļuvei.

VPN pusē aparatūras atbalstīts IPsec ļauj RB750Gr3 pārvaldīt šifrētus tuneļus pārsteidzoši labi attiecīgajā cenu kategorijā. Ar AES-128 un lielākiem paketēm var sasniegt dažus simtus Mbps šifrētas caurlaides, kas ir pietiekami lielākajai daļai filiāļu, mazumtirdzniecības vienību un attālo lietotāju vajadzībām, ja WAN savienojums nav gigabita līmenī.

Drošības riski, kurus nevar ignorēt

RouterOS ir jaudīgs un elastīgs, bet tas nozīmē arī to, ka tam bijušas drošības ievainojamības un konfigurācijas kļūdas. Vēsturiski ierīces tika piegādātas ar noklusējuma administrētāja piekļuves datiem un atklātām pārvaldības servisiem, kas padarīja tās vieglus mērķus, it īpaši novecojušās programmaparatūrās vai ar atvērtām WinBox vai WebFig portiem.

Mūsdienās jaunākas RouterOS versijas pieprasa uzstādīt paroli pirmajā palaišanā un piegādājas ar drošāku noklusējuma ugunsmūri. Tomēr problēmu recepte paliek tāda pati: novecojusi programmaparatūra, vājas paroles un atvērtas pārvaldības saskarnes WAN pusē.

Laba hEX higiēna izskatās šādi:

  1. Turiet RouterOS atjauninātu ar stabilu vai ilgtermiņa versiju un sekojiet MikroTik drošības brīdinājumiem.
  2. Aizveriet WinBox, WebFig un API piekļuvi WAN pusē; priekšroku dodiet SSH pāri VPN vai mākoņa vadības panelim, lai piekļūtu maršrutētājam.
  3. Lietojiet spēcīgas unikālas paroles vai SSH atslēgas un ieslēdziet divfaktoru autentifikāciju, ja iespējams.
  4. Reģistrējiet neparastas aktivitātes un sūtiet žurnālus uz centrālu sistēmu, lai bruteforce mēģinājumi un novirzes būtu redzamas.

Brīdinājums: Kompromitēts malējais maršrutētājs nav tikai „viens vairāk ierīce.” Tas var kļūt par atslēgu uz jūsu LAN, botnet biedru vai klusējošu starpnieku jūsu lietotāju trafikam.

Kāpēc pievienot mākoņa vadības paneli kā MKController

Viena hEX pārvaldība pie galda ir vienkārša. Daudzu maršrutētāju pārvaldība klientu vietās, filiālēs un mājas birojos ir pavisam savādāk. Šeit noder mākoņa vadības panelis kā MKController.

Tā vietā, lai atklātu WinBox vai WebFig internetā, katrs hEX izveido izejošu šifrētu tuneli uz MKController. No turienes var atvērt starpniekserverā WinBox vai WebFig sesijas tieši pārlūkprogrammā, pārbaudīt ierīču veselības rādītājus, redzēt ierīces bezsaistes stāvokli un saņemt automātiskas konfigurācijas rezerves kopijas bez porta pāradresācijas vai publisku IP izmantošanas.

Kur MKController palīdz: MKController saglabā jūsu MikroTik ierīču pieejamību drošos tuneļos, centralizē uzraudzību un automatizē rezerves kopiju veidošanu. Tas nozīmē mazāk atvērtu neaizsargātu portu, mazāk manuālu pieslēgumu un daudz ātrāku izmaiņu izplatīšanu daudziem maziem maršrutētājiem.

Tipisks darba process izskatās šādi:

  1. Izvietojiet hEX ar drošu pamata šablonu: atjaunināts RouterOS, stingrs ugunsmūris un aktivizēts VPN vai MKController tunelis.
  2. Izpildiet MKController adotācijas skriptu maršrutētājā, lai tas pieslēgtos un reģistrētos mākoņservisā.
  3. Izmantojiet MKController vadības paneli, lai atvērtu WebFig vai WinBox, uzraudzītu CPU, atmiņu un interfeisus, kā arī saņemtu brīdinājumus, ja ierīce kļūst nepieejama vai pārsniedz ierobežojumus.
  4. Ļaujiet MKController regulāri izvilkt konfigurācijas eksportus un rezerves kopijas, lai ātri atjaunotu maršrutētāju vai kopētu tā iestatījumus citai ierīcei.

Pārvietojot ikdienas piekļuvi un pārraudzību uz vadības paneli, samazina statisku IP vajadzību, dinamiskā DNS trikus vai katras vietas VPN tikai ierīču pārvaldībai.

Kad hEX ir piemērots instruments (un kad ne)

RB750Gr3 labi piemērots šādās situācijās:

  • Mazās biroju un mājas biroju vajadzības pēc uzticama vada maršrutētāja ar atsevišķiem Wi-Fi piekļuves punktiem.
  • Filiāļu vietas un mazumtirdzniecības veikali, kuriem nepieciešama droša VPN saikne uz centrālo tīklu ar mērenu joslas platumu.
  • Pārvaldīti pakalpojumu sniedzēji, kas vēlas lētus, skriptējamus CPE ierīču risinājumus centrālai pārvaldībai un uzraudzībai.
  • Laboratorijas, apmācības un mājas laboratorijas, kur tehniķi vēlas praktizēt RouterOS funkcijas bez dārgas aparatūras iegādes.

Ir arī situācijas, kad jāapsver lielākas ierīces izmantošana:

  • Vides ar nepieciešamību pēc pastāvīgas gigabita caurlaides ar intensīvu ugunsmūri, daudzām VPN vai sarežģītu QoS.
  • Tīkli ar integrētu Wi-Fi, 10G pieslēgumiem vai uzlabotām drošības funkcijām, piemēram, IDS vai satura filtrēšanu.
  • Lieli maršrutēšanas domēni ar pilnām BGP tabulām vai ļoti lielām dinamiskajām maršrutēšanas datu bāzēm, kas nav ērti uz 256 MB RAM.

Padoms: Uzskatiet hEX par kompaktu Šveices armijas nazīti malējai maršrutēšanai. Tas ir lielisks ierobežojumu robežās, bet neaizstās pilnvērtīgu ugunsmūri vai datu centra maršrutētāju.

Daudzām organizācijām skaidrākais variants ir izmantot hEX kā rentablu malējās maršrutēšanas un VPN risinājumu mazos objektos, tad lietot MKController, lai padarītu šo ierīču floti redzamu, drošu un viegli uzturamu laika gaitā. Ja vajadzības pāraug aparatūru, var migrēt uz lielākiem MikroTik modeļiem, saglabājot to pašu mākoņpārvaldības pieeju.

Par MKController

Cerams, ka šī informācija palīdzēja labāk orientēties MikroTik un interneta pasaulē! 🚀
Neatkarīgi no tā, vai precizējat konfigurācijas vai vēlaties sakārtot tīkla haosu, MKController ir šeit, lai atvieglotu jūsu darbu.

Ar centralizētu mākoņpārvaldību, automatizētiem drošības atjauninājumiem un vadības paneli, ko spēj apgūt ikviens, mēs piedāvājam risinājumu jūsu darbības uzlabošanai.

👉 Sāciet bezmaksas trīs dienu izmēģinājumu vietnē mkcontroller.com — un redziet, cik vienkārša patiešām var būt tīkla pārvaldība.