Перейти к содержимому
MKController Blog
InstagramYouTubeFacebook

Review

MikroTik RB3011: обзор производительности

Практический обзор производительности MikroTik RB3011 — пределы пропускной способности, потолки VPN, давление CPU и советы по оптимизации для ISP.

MKController5 min read

Резюме MikroTik RB3011 — это двухъядерный ARM-роутер с десятью гигабитными Ethernet-портами, который годами был предпочтительным “экономичным MikroTik” для сетей SMB и небольших ISP. Его архитектура — два switch-чипа за CPU 1,4 ГГц — формирует как его сильные стороны, так и потолки. Этот обзор охватывает реальную пропускную способность, где CPU насыщается, как опции VPN действительно ведут себя, и контрольный список оптимизации, который извлекает максимум из платформы.

Диаграмма внутренней архитектуры MikroTik RB3011, показывающая двойные switch-чипы и CPU

Что такое MikroTik RB3011?

MikroTik RB3011UiAS-RM — двухъядерный ARM-роутер с десятью гигабитными Ethernet-портами плюс SFP-клетка, разработанный как экономичный edge-роутер для сетей SMB и небольших ISP. Внутри он объединяет CPU Qualcomm IPQ-8064 на 1,4 ГГц с двумя независимыми switch-чипами, каждый из которых обрабатывает половину из десяти Ethernet-портов. Разделенный switch-дизайн снижает как стоимость, так и энергопотребление, сохраняя быструю внутри-switch пересылку, но также создает архитектурные ограничения, определяющие, как устройство работает под реальной нагрузкой.

Другие характеристики столь же прагматичны: 1 ГБ ОЗУ, 128 МБ NAND, пассивное охлаждение, PoE-вход на Ether1, PoE-выход на Ether10 и небольшой LCD на передней панели для статуса с одного взгляда. Шасси крепится в стойку, работает прохладно в большинстве офисных сред и выдерживает температуры окружающей среды до примерно 80 °C, прежде чем срок службы становится проблемой.

Архитектурные сильные стороны и ограничения

Архитектура разделенного switch RB3011 быстра, когда трафик остается внутри одного switch-чипа — пересылка с аппаратной разгрузкой достигает скорости провода с пренебрежимо малой нагрузкой на CPU. Подвох в том, что все, что пересекает группы портов, все, что нуждается в маршрутизации, все, что нуждается в NAT, все, что нуждается в правилах файрвола, должно проходить через CPU. С двумя ядрами, жонглирующими маршрутизацией, NAT, файрволом, очередями, PPPoE и шифрованием VPN, CPU насыщается быстрее, чем предполагает количество портов.

Есть второе ограничение, которое имеет значение: связь между каждым switch-чипом и CPU составляет всего 1–2 Gbps. RB3011 не может устойчиво обеспечивать полную гигабитную маршрутизацию на всех портах одновременно. Для SMB-сайта, проталкивающего несколько сотен Mbps через WAN, это неактуально. Для небольшого ISP, обслуживающего мульти-гигабитный агрегированный трафик, это ключевой показатель.

Пропускная способность: что вы реально получаете в продакшене

Собственные RFC2544-тесты MikroTik публикуют идеальную пропускную способность маршрутизации до примерно 4 Gbps с пакетами 1518 байт при включенном FastPath. Это число — теоретический потолок, а не реалистичное ожидание. Реальный интернет-трафик содержит много мелких пакетов — DNS-запросы, TCP ACK, болтовня плоскости управления — и мелкие пакеты — это то, что ударяет в потолок пакетов в секунду CPU.

При кадрах 64 байт пропускная способность падает до примерно 231 Mbps. У CPU заканчиваются циклы в секунду раньше, чем заканчивается полоса пропускания в секунду. Смешанные реальные рабочие нагрузки устанавливаются вокруг 600–800 Mbps для сценариев только маршрутизации. Добавление NAT и типичного набора правил файрвола снижает число до 300–600 Mbps в зависимости от сложности правил и версии RouterOS. RouterOS v7, который удалил кэш маршрутов, который был у v6, работает хуже на старых CPU, таких как IPQ-8064 RB3011 — контринтуитивный результат для операторов, обновляющихся в ожидании лучшей производительности.

Совет: FastTrack необходим на RB3011. Без него пропускная способность маршрутизация плюс NAT часто падает ниже 350 Mbps. Это не “приятное дополнение” — это требуется для работы платформы.

Файрвол, очереди и давление CPU

Обработка, связанная с CPU, становится очевидной, как только вы начинаете добавлять правила файрвола или деревья очередей. В собственных тестах MikroTik 25 правил файрвола снизили пропускную способность до примерно 60 Mbps на пакетах 64 байта. Даже при больших размерах пакетов пропускная способность парила ниже 500 Mbps. Очереди добавляют дополнительные затраты: многие настройки наблюдают потери пропускной способности 40–60% при умеренных нагрузках очереди.

Практический вывод прост — RB3011 хорошо справляется с умеренной фильтрацией, но является неправильным устройством для тяжелых UTM-стиль рабочих нагрузок. Если вам нужна глубокая инспекция пакетов, фильтрация уровня 7 или агрессивная формовка на гигабитных скоростях, RB3011 не доведет вас до этого. Линии CCR2004 и CCR2216 — правильный ответ для этой нагрузки.

Производительность VPN: IPsec, PPPoE, OpenVPN

Производительность IPsec на RB3011 удивительно хороша с большими пакетами — до примерно 780 Mbps благодаря ускорению ARM NEON. Спуститесь до маленьких пакетов, и пропускная способность падает до примерно 38 Mbps. Смешанные реальные рабочие нагрузки VPN приземляются вокруг 300 Mbps.

PPPoE по дизайну однопоточен, поэтому максимально использует одно ядро CPU. Даже с включенным FastTrack ожидайте примерно 500 Mbps. OpenVPN работает плохо, потому что у него нет аппаратного ускорения, а транспорт TCP добавляет накладные расходы — если вам нужен быстрый туннель на этом устройстве, см. наш учебник WireGuard на MikroTik, так как WireGuard превосходит как OpenVPN, так и IPsec на большинстве оборудования MikroTik.

Практический контрольный список оптимизации

Получите максимум от платформы с помощью этих шести шагов:

  1. Включите FastTrack для трафика IPv4. Не опционально.
  2. Используйте бриджинг с аппаратной разгрузкой, где возможно — он обходит CPU для коммутации.
  3. Минимизируйте количество и сложность правил файрвола. Упорядочите правила так, чтобы наиболее затрагиваемые были первыми.
  4. Избегайте глубоких деревьев очередей при формовке гигабитных каналов — каждый уровень вложенности стоит CPU.
  5. Держите устройство хорошо проветриваемым. Пассивное охлаждение переносит закрытый шкаф только до определенного предела.
  6. Выровняйте использование портов так, чтобы пути с высоким спросом оставались внутри того же switch-чипа.

Для более широкого операционного контекста см. наше руководство по настройке NAT на MikroTik и учебник мониторинга на основе SNMP для отслеживания трендов производительности RB3011 со временем.

Сделайте следующий шаг

Эксплуатация парка устройств RB3011 означает управление насыщением CPU, дрейфом правил файрвола и согласованностью FastTrack по многим сайтам. Неправильный порядок правил на одном устройстве срезает 200 Mbps с его пропускной способности; отсутствующее правило FastTrack на другом ограничивает его до 60% от мощности. Вы не заметите, пока не заметят клиенты.

MKController выводит на поверхность насыщение CPU, тренды пропускной способности, дрейф конфигурации и температурные данные по каждому MikroTik в вашем инвентаре на одной панели. Когда устройство начинает бороться — медленно, как часто делают RB3011 — панель видит это до прибытия тикетов поддержки.

Начните бесплатную пробную версию MKController