Ga naar inhoud
MKController Blog
InstagramYouTubeFacebook

Review

MikroTik RB3011: prestatiebeoordeling

Praktische prestatiebeoordeling van de MikroTik RB3011 — doorvoerlimieten, VPN-plafonds, CPU-druk en optimalisatietips voor ISP's.

MKController5 min read

Samenvatting De MikroTik RB3011 is een dual-core ARM-router met tien Gigabit Ethernet-poorten die al jaren de “kosteneffectieve MikroTik” is voor SMB-netwerken en kleine ISP’s. De architectuur — twee switch-chips achter een 1,4 GHz CPU — vormt zowel de sterke punten als de plafonds. Deze beoordeling behandelt de werkelijke doorvoer, waar de CPU verzadigt, hoe de VPN-opties zich werkelijk gedragen, en de optimalisatiechecklist die het maximum uit het platform haalt.

MikroTik RB3011 interne architectuurdiagram met dubbele switch-chips en CPU

Wat is de MikroTik RB3011?

De MikroTik RB3011UiAS-RM is een dual-core ARM-router met tien Gigabit Ethernet-poorten plus een SFP-cage, ontworpen als kosteneffectieve edge-router voor SMB-netwerken en kleine ISP’s. Intern koppelt hij een Qualcomm IPQ-8064 CPU op 1,4 GHz aan twee onafhankelijke switch-chips, elk verantwoordelijk voor de helft van de tien Ethernet-poorten. Het gesplitste switch-ontwerp vermindert zowel de kosten als het stroomverbruik terwijl intra-switch forwarding snel blijft, maar creëert ook de architectonische beperkingen die bepalen hoe het apparaat presteert onder werkelijke belasting.

Andere specificaties zijn even pragmatisch: 1 GB RAM, 128 MB NAND, passieve koeling, PoE-in op Ether1, PoE-out op Ether10 en een kleine LCD op het frontpaneel voor status in één oogopslag. Het chassis is rackmonteerbaar, draait koel in de meeste kantooromgevingen en tolereert omgevingstemperaturen tot ongeveer 80 °C voordat de levensduur een zorg wordt.

Architectonische sterktes en beperkingen

De gesplitste switch-architectuur van de RB3011 is snel wanneer verkeer binnen één switch-chip blijft — hardware-offloaded forwarding bereikt wire-snelheid met verwaarloosbare CPU-belasting. De vangst is dat alles wat poortgroepen kruist, alles wat routing nodig heeft, alles wat NAT nodig heeft, alles wat firewallregels nodig heeft, door de CPU moet. Met twee cores die routing, NAT, firewall, queueing, PPPoE en VPN-encryptie jongleren, verzadigt de CPU sneller dan het poortaantal suggereert.

Er is een tweede beperking die telt: de link tussen elke switch-chip en de CPU is slechts 1–2 Gbps. De RB3011 kan niet duurzaam volledige Gigabit-routing op alle poorten tegelijk pushen. Voor een SMB-site die een paar honderd Mbps over de WAN drukt, is dat irrelevant. Voor een kleine ISP die multi-Gigabit aggregaatverkeer bedient, is het het kopcijfer.

Doorvoer: wat je werkelijk in productie krijgt

MikroTiks eigen RFC2544-benchmarks publiceren ideale routing-doorvoer tot ongeveer 4 Gbps met 1518-byte pakketten wanneer FastPath is ingeschakeld. Dat getal is een theoretisch plafond, geen realistische verwachting. Werkelijk internetverkeer bevat veel kleine pakketten — DNS-queries, TCP ACK’s, control-plane-gepraat — en kleine pakketten zijn wat het pakketten-per-seconde-plafond van de CPU raakt.

Bij 64-byte frames stort de doorvoer in tot ongeveer 231 Mbps. De CPU raakt zonder cycli per seconde voordat hij zonder bandbreedte per seconde raakt. Gemengde werkelijke werklasten stabiliseren zich rond 600–800 Mbps voor alleen-routing-scenario’s. Het toevoegen van NAT en een typische firewall-regelset brengt het cijfer omlaag naar 300–600 Mbps afhankelijk van regelcomplexiteit en RouterOS-versie. RouterOS v7, dat de route-cache die v6 had heeft verwijderd, presteert slechter op oudere CPU’s zoals de IPQ-8064 van de RB3011 — een contra-intuïtief resultaat voor operators die upgraden in verwachting van betere prestaties.

Tip: FastTrack is essentieel op de RB3011. Zonder dit valt routing-plus-NAT-doorvoer vaak onder 350 Mbps. Het is geen “nice to have” — het is vereist voor de prestaties van het platform.

Firewall, wachtrijen en CPU-druk

CPU-gebonden verwerking wordt evident zodra je firewallregels of queue-trees gaat toevoegen. In MikroTiks eigen tests verminderden 25 firewallregels de doorvoer tot ongeveer 60 Mbps bij 64-byte pakketten. Zelfs bij grotere pakketgroottes bleef de doorvoer onder 500 Mbps. Queueing voegt extra kosten toe: veel setups observeren 40–60% doorvoerverlies onder matige wachtrijbelasting.

De praktische implicatie is rechttoe rechtaan — de RB3011 verwerkt gematigde filtering goed, maar is het verkeerde apparaat voor zware UTM-stijl werklasten. Als je deep packet inspection, layer-7-filtering of agressieve shaping bij Gigabit-snelheden nodig hebt, brengt de RB3011 je daar niet. De CCR2004- en CCR2216-lijnen zijn het juiste antwoord voor die werklast.

VPN-prestaties: IPsec, PPPoE, OpenVPN

IPsec-prestaties op de RB3011 zijn verrassend goed met grote pakketten — tot ongeveer 780 Mbps dankzij ARM NEON-versnelling. Daal naar kleine pakketten en de doorvoer valt naar ongeveer 38 Mbps. Gemengde werkelijke VPN-werklasten landen rond 300 Mbps.

PPPoE is single-threaded door ontwerp, dus het maximaliseert één CPU-core. Zelfs met FastTrack ingeschakeld, verwacht ongeveer 500 Mbps. OpenVPN presteert slecht omdat het hardware-versnelling mist en het TCP-transport overhead toevoegt — als je een snelle tunnel op dit apparaat nodig hebt, zie onze WireGuard op MikroTik-tutorial, aangezien WireGuard zowel OpenVPN als IPsec overtreft op de meeste MikroTik-hardware.

Praktische optimalisatiechecklist

Haal het maximum uit het platform met deze zes stappen:

  1. Schakel FastTrack in voor IPv4-verkeer. Niet optioneel.
  2. Gebruik hardware-offloaded bridging waar mogelijk — het omzeilt de CPU voor switching.
  3. Minimaliseer aantal en complexiteit van firewallregels. Sorteer regels zo dat de meest geraakte vooraan staan.
  4. Vermijd diepe queue-trees bij het shapen van Gigabit-links — elk niveau van nesting kost CPU.
  5. Houd het apparaat goed geventileerd. Passieve koeling tolereert een gesloten kast slechts zo lang.
  6. Lijn poortgebruik uit zodat hoge-vraag-paden binnen dezelfde switch-chip blijven.

Voor bredere operationele context, zie onze gids voor NAT-configuratie op MikroTik en de SNMP-gebaseerde monitoring-tutorial voor het volgen van RB3011-prestatietrends over tijd.

Zet de volgende stap

Het beheren van een vloot RB3011-apparaten betekent CPU-verzadiging, firewallregel-drift en FastTrack-consistentie beheren over veel sites. De verkeerde regelvolgorde op één apparaat scheert 200 Mbps van zijn doorvoer; de ontbrekende FastTrack-regel op een andere beperkt het tot 60% van de capaciteit. Je zult het niet merken totdat klanten het doen.

MKController brengt CPU-verzadiging, doorvoertrends, configuratie-drift en temperatuurgegevens over elke MikroTik in je inventaris naar voren in één dashboard. Wanneer een apparaat begint te worstelen — langzaam, zoals RB3011’s vaak doen — ziet het dashboard het voordat de supporttickets aankomen.

Start je gratis MKController-proefperiode