Preskočiť na obsah
MKController Blog
InstagramYouTubeFacebook

Review

Sprievodca MikroTik hAP ac³ pre ISP CPE

Praktické posúdenie MikroTik hAP ac³ ako ISP-CPE — káblová priepustnosť, hranice WiFi 5, základ firewallu a operačné spevnenie.

MKController5 min read

Zhrnutie MikroTik hAP ac³ (RBD53iG-5HacD2HnD) je nákladovo efektívne ISP-CPE s káblovým smerovaním takmer na Gigabite, keď je zapnutý FastTrack. WiFi 5 je hlavnou hranicou v preplnenom éteri, takže plánovanie kanálov a ďalšie prístupové body majú väčšiu váhu než katalógový list. Flexibilita RouterOS je rozlišujúcim faktorom; operačná disciplína — aktualizácie, základné firewally, spevnenie správy — sa nevyjednáva, keď zariadenie sedí na okraji zákazníka v celej flotile.

Prehľad platformy MikroTik hAP ac³ ako ISP CPE

Na čo slúži MikroTik hAP ac³ v ISP nasadeniach?

MikroTik hAP ac³ (RBD53iG-5HacD2HnD) je štvorjadrové ARM CPE postavené okolo SoC Qualcomm IPQ-4019, s 256 MB RAM, 128 MB NAND, piatimi Gigabit Ethernet portami na vnútornej spínacej štruktúre, USB 2.0 portom (pre úložisko alebo 4G/LTE dongle) a dvojpásmovým Wi-Fi 5 (2,4 GHz a 5 GHz) s dvomi vonkajšími anténami. Pre ISP cieli na čistú sladkú zónu: dostatočne lacné na štandardizáciu v rezidenčnom nasadení, schopné káblového smerovania takmer na Gigabite pri realistickej záťaži a s RouterOS pre flexibilitu, akú spotrebiteľské CPE nedosahujú.

CPE nie je len „škatuľka, ktorá mení optiku na Wi-Fi“ — je to predná línia používateľského zážitku a nákladov na podporu. Ak smerovač nestíha NAT, PPPoE alebo pravidlá firewallu, prídu pomalé tikety. Ak Wi-Fi padá v hlučnom okolí, opäť pomalé tikety. A ak je firmvér zastaraný, príde niečo horšie. hAP ac³ sa s prvým bodom dobre vyrovná, v druhom má predvídateľné hranice a v treťom odmení operačnú disciplínu. Pre širšie porovnania flotily pozri našu recenziu hAP ac² a recenziu RB5009.

Prehľad hardvéru

  • CPU: Qualcomm IPQ-4019 ARM štvorjadrové
  • RAM: 256 MB
  • Úložisko: 128 MB NAND
  • Ethernet: 5× Gigabit
  • Wi-Fi: Dvojpásmové 2×2 WiFi 5 (802.11ac)
  • USB: 1× USB 2.0
  • Antény: Dve vonkajšie dvojpásmové

Vonkajšie antény zlepšujú pokrytie oproti návrhom s internými anténami, no fyziku neporušia — horizontálne pokrytie je zvyčajne lepšie než vertikálne, takže viacposchodové domy môžu stále potrebovať druhý AP. Keď nemôžeš umiestniť smerovač do polovičnej výšky budovy, použi AP s káblovým backhaul namiesto čistého opakovača.

Káblová priepustnosť: FastTrack robí rozdiel

V testoch káblového smerovania a NAT sa hAP ac³ v priaznivých podmienkach, najmä so zapnutým RouterOS FastTrack, blíži k Gigabit priepustnosti. Princíp je priamy: funkcie stoja CPU. Pri minimálnom spracovaní paketov škatuľka pohybuje premávku rýchlo. Pri práci na pakete (hlboký firewall, fronty, účtovanie) priepustnosť klesá.

Praktický základný firewall pre ISP CPE

Drž firewall malý, explicitný a konzistentný v celej flotile. Ak potrebuješ ťažké filtrovanie, urob ho proti prúdu, kde je to možné:

/ip firewall filter
add chain=input action=accept connection-state=established,related comment="Allow established/related"
add chain=input action=drop connection-state=invalid comment="Drop invalid"
add chain=input action=accept protocol=icmp comment="Allow ICMP for troubleshooting"
add chain=input action=accept in-interface-list=LAN comment="Allow management from LAN"
add chain=input action=drop in-interface-list=WAN comment="Drop everything else from WAN"


/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related comment="FastTrack"
add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalid
add chain=forward action=drop in-interface-list=WAN connection-nat-state=!dstnat comment="Block unsolicited inbound"

FastTrack obchádza niektoré funkcie front a účtovania. Ak sa spoliehaš na QoS na účastníka priamo na CPE, validuj túto cestu pred nasadením — pre širší sprievodca NAT pozri tutoriál NAT na MikroTiku.

Wi-Fi výkon: dobrý pre WiFi 5, no WiFi 5 ostáva WiFi 5

Na krátku vzdialenosť na 5 GHz dáva hAP ac³ silnú TCP priepustnosť pre 2×2 WiFi 5 dizajn. Druhá strana: výkon Wi-Fi dominuje prostredie, nie katalógový list. V hustom mestskom spektre s prekrývajúcimi sa sieťami sa 2,4 GHz stáva pásmom poslednej záchrany a reálna priepustnosť ostro klesá kvôli rušeniu a súpereniu o airtime.

Tipy na nasadenie, ktoré naozaj znížia tikety:

  1. Uprednostni 5 GHz pre výkon, ale nevynucuj ho slepo. Niektoré domy potrebujú dosah 2,4 GHz.
  2. Používaj kanály 20 MHz na 2,4 GHz. Širšie kanály obyčajne tvoria iba viac problémov.
  3. Používaj 80 MHz na 5 GHz len v čistom spektre. Inak zíď na 40 MHz.
  4. Pre pokrytie celého domu pridaj AP s káblovým backhaul namiesto opakovača.

Pre nasadenia s RouterOS v7 zváž novšie Wi-Fi balíčky MikroTiku (wifiwave2 / Qualcomm ovládače), kde sú podporované. V závislosti od konfigurácie podstatne zlepšujú priepustnosť a moderné bezpečnostné režimy.

VPN a manažment pre ISP prevádzku

hAP ac³ podporuje IPsec s hardvérovou akceleráciou pre bezpečné tunely. RouterOS v7 podporuje aj WireGuard pre jednoduchšie moderné VPN — pozri náš tutoriál WireGuard. Pre prevádzku flotily je provisioning založený na štandardoch zmenou hry: RouterOS v7 zaviedol klienta TR-069 umožňujúceho integráciu s ACS pre vzdialený provisioning a monitoring. Pozri náš sprievodcu manažmentom TR-069 a nástupnícky protokol TR-369 USP.

Aby si spojil „provisioning v mierke“ s „okamžitou dostupnosťou za NAT/CGNAT“, doplň TR-069 bezpečnou vrstvou vzdialeného prístupu. NATCloud od MKControlleru poskytuje konektivitu zvnútra von bez prekladu portov, udržujúc vzdialenú podporu rýchlu a bezpečnejšiu.

Bezpečnosť: zariadenie je v poriadku; internet nie

RouterOS je mocný a moc seká do oboch strán. Platforma mala zraniteľnosti v starších vetvách a operačná potreba bdelej opráv je reálna. Tvojou najsilnejšou kontrolou je disciplína:

  • Štandardizuj spevnenú základnú konfiguráciu v celej flotile.
  • Vypni nepoužívané služby (Telnet, FTP, nepoužívané API).
  • Obmedz správu na dôveryhodné IP alebo VPN.
  • Vynucuj upgrady zo stabilného alebo dlhodobého releasového kanálu.
  • Sleduj anomálie cez SNMP, Syslog a NetFlow.

„Bezpečné predvolene“ nie je to isté ako „bezpečné pre ISP“. Bezpečná predvolená hodnota je dobrá; tvoje nasadenie potrebuje opakovateľné riadenie. Pre hlbšie spevnenie roviny manažmentu pozri naše najlepšie postupy bezpečnosti Winboxu a sprievodcu bezpečnosti device-mode.

Teplo, montáž a problém „je v skrini“

Zariadenie je chladené pasívne a navrhnuté pre teplé prostredie, no prúdenie vzduchu stále hrá rolu. Vyhni sa uzavretým skriniam a tesným nástenným krabiciam. Drobné zmeny umiestnenia predchádzajú dlhodobej nestabilite a tým náhodným sťažnostiam na Wi-Fi, ktoré pôsobia záhadne, kým nenájdeš tepelnú príčinu.

Kedy je hAP ac³ správnou voľbou

hAP ac³ je rozumné CPE pre servisné úrovne približne do stredných stoviek Mbps s miernym dopytom po Wi-Fi. Vyniká, keď ceníš flexibilitu RouterOS, tagovanie VLAN a integráciu s vlastnými manažérskymi procesmi. Posuň sa na router vyššej triedy alebo WiFi 6 hardvér, keď zákazníci pravidelne tlačia plný Gigabit s ťažkým firewallom/QoS, keď je v domácnostiach veľa súčasných Wi-Fi klientov alebo keď potrebuješ lepší výkon v hustých RF podmienkach.

Sprav ďalší krok

Ak spravuješ veľa lokalít, MKController centralizuje viditeľnosť, štandardizuje konfigurácie a znižuje výjazdy technikov. S NATCloudom dosiahneš zariadenia za CGNAT bez otvárania portov, čím udržíš vzdialenú podporu rýchlu a bezpečnejšiu pre CPE flotilu v mierke ISP.

Vyskúšaj MKController zadarmo