Preskočiť na obsah
MKController Blog
InstagramYouTubeFacebook

Review

MikroTik RB3011: recenzia výkonu

Praktická recenzia výkonu MikroTik RB3011 — limity priepustnosti, stropy VPN, tlak na CPU a tipy na optimalizáciu pre ISP.

MKController5 min read

Zhrnutie MikroTik RB3011 je dvojjadrový ARM router s desiatimi gigabitovými Ethernet portmi, ktorý je už roky preferovanou “nákladovo efektívnou MikroTik” voľbou pre siete SMB a malých ISP. Jeho architektúra — dva switch čipy za CPU 1,4 GHz — formuje jeho silné stránky aj stropy. Táto recenzia pokrýva reálnu priepustnosť, kde sa CPU saturuje, ako sa VPN možnosti naozaj správajú, a kontrolný zoznam optimalizácie, ktorý vyťaží z platformy maximum.

Diagram vnútornej architektúry MikroTik RB3011 zobrazujúci dvojité switch čipy a CPU

Čo je MikroTik RB3011?

MikroTik RB3011UiAS-RM je dvojjadrový ARM router s desiatimi gigabitovými Ethernet portmi a SFP klietkou, navrhnutý ako nákladovo efektívny hraničný router pre siete SMB a malých ISP. Vo vnútri kombinuje CPU Qualcomm IPQ-8064 na 1,4 GHz s dvoma nezávislými switch čipmi, z ktorých každý obsluhuje polovicu z desiatich Ethernet portov. Rozdelený switch dizajn znižuje náklady aj spotrebu energie a zároveň udržuje rýchle vnútorné switch preposielanie, ale tiež vytvára architektonické obmedzenia, ktoré definujú, ako zariadenie funguje pod reálnou záťažou.

Ostatné špecifikácie sú rovnako pragmatické: 1 GB RAM, 128 MB NAND, pasívne chladenie, PoE-in na Ether1, PoE-out na Ether10 a malý LCD na prednom paneli pre rýchly stav. Šasi je rackovateľné, beží chladne vo väčšine kancelárskych prostredí a znesie okolité teploty až do približne 80 °C predtým, ako sa životnosť stane problémom.

Architektonické silné stránky a obmedzenia

Rozdelená switch architektúra RB3011 je rýchla, keď premávka zostáva v jednom switch čipe — hardvérovo odľahčené preposielanie dosahuje rýchlosť drôtu so zanedbateľnou záťažou CPU. Háčik je v tom, že čokoľvek prechádzajúce skupinami portov, čokoľvek potrebujúce smerovanie, čokoľvek potrebujúce NAT, čokoľvek potrebujúce pravidlá firewallu musí prejsť CPU. S dvoma jadrami žonglujúcimi smerovanie, NAT, firewall, fronty, PPPoE a VPN šifrovanie sa CPU saturuje rýchlejšie, ako naznačuje počet portov.

Existuje druhé obmedzenie, na ktorom záleží: spojenie medzi každým switch čipom a CPU je len 1–2 Gbps. RB3011 nemôže udržateľne tlačiť plné gigabitové smerovanie na všetkých portoch súčasne. Pre SMB pracovisko, ktoré tlačí niekoľko stoviek Mbps cez WAN, je to irelevantné. Pre malého ISP obsluhujúceho multi-gigabitovú agregovanú premávku je to kľúčové číslo.

Priepustnosť: čo skutočne dostanete v produkcii

Vlastné RFC2544 benchmarky MikroTiku publikujú ideálnu priepustnosť smerovania do približne 4 Gbps s 1518-bajtovými paketmi, keď je FastPath zapnutý. Toto číslo je teoretický strop, nie reálne očakávanie. Reálna internetová premávka obsahuje veľa malých paketov — DNS dopyty, TCP ACK, klebety riadiacej roviny — a malé pakety sú to, čo naráža na strop paketov za sekundu CPU.

Pri 64-bajtových rámcoch sa priepustnosť zrúti na približne 231 Mbps. CPU dochádzajú cykly za sekundu skôr, ako mu dôjde šírka pásma za sekundu. Zmiešané reálne pracovné zaťaženia sa ustália okolo 600–800 Mbps pre scenáre len smerovania. Pridanie NAT a typickej sady pravidiel firewallu zníži číslo na 300–600 Mbps v závislosti od zložitosti pravidiel a verzie RouterOS. RouterOS v7, ktorý odstránil cache trás, ktorý mal v6, funguje horšie na starších CPU ako IPQ-8064 RB3011 — kontraintuitívny výsledok pre operátorov, ktorí aktualizujú v očakávaní lepšieho výkonu.

Tip: FastTrack je nevyhnutný na RB3011. Bez neho priepustnosť smerovanie plus NAT často klesá pod 350 Mbps. Nie je to “príjemné mať” — je vyžadovaný, aby platforma fungovala.

Firewall, fronty a tlak na CPU

Spracovanie viazané na CPU sa stáva zjavným, len čo začnete pridávať pravidlá firewallu alebo stromy front. Vo vlastných testoch MikroTiku 25 pravidiel firewallu znížilo priepustnosť na približne 60 Mbps pri 64-bajtových paketoch. Aj pri väčších veľkostiach paketov sa priepustnosť pohybovala pod 500 Mbps. Front pridáva ďalšie náklady: mnohé nastavenia pozorujú 40–60% stratu priepustnosti pri miernych záťažiach front.

Praktický dôsledok je priamy — RB3011 dobre zvláda mierne filtrovanie, ale je zlým zariadením pre ťažké UTM-style pracovné zaťaženia. Ak potrebujete hĺbkovú inšpekciu paketov, filtrovanie vrstvy 7 alebo agresívne tvarovanie pri gigabitových rýchlostiach, RB3011 vás tam nedostane. Línie CCR2004 a CCR2216 sú správnou odpoveďou pre toto zaťaženie.

Výkon VPN: IPsec, PPPoE, OpenVPN

Výkon IPsec na RB3011 je prekvapivo dobrý s veľkými paketmi — až do približne 780 Mbps vďaka akcelerácii ARM NEON. Klesnite k malým paketom a priepustnosť padne na približne 38 Mbps. Zmiešané reálne VPN pracovné zaťaženia sa ustália okolo 300 Mbps.

PPPoE je z dizajnu jednovláknový, takže maximálne využíva jedno CPU jadro. Aj so zapnutým FastTrack očakávajte približne 500 Mbps. OpenVPN funguje slabo, pretože mu chýba hardvérová akcelerácia a TCP transport pridáva réžiu — ak potrebujete rýchly tunel na tomto zariadení, pozrite náš tutoriál WireGuard na MikroTik, pretože WireGuard prekonáva OpenVPN aj IPsec na väčšine MikroTik hardvéru.

Praktický kontrolný zoznam optimalizácie

Vyťažte z platformy maximum týmito šiestimi krokmi:

  1. Zapnite FastTrack pre premávku IPv4. Nie voliteľné.
  2. Používajte hardvérovo odľahčený bridging, kde je to možné — obchádza CPU pre prepínanie.
  3. Minimalizujte počet a zložitosť pravidiel firewallu. Zoraďte pravidlá tak, aby najviac zasiahnuté boli prvé.
  4. Vyhnite sa hlbokým stromom front pri tvarovaní gigabitových liniek — každá úroveň vnárania stojí CPU.
  5. Udržujte zariadenie dobre vetrané. Pasívne chladenie znesie uzavretú skrinku len do určitej miery.
  6. Zarovnajte využitie portov tak, aby cesty s vysokým dopytom zostali v rovnakom switch čipe.

Pre širší prevádzkový kontext pozrite nášho sprievodcu konfiguráciou NAT na MikroTik a tutoriál monitorovania založeného na SNMP na sledovanie trendov výkonu RB3011 v čase.

Urobte ďalší krok

Prevádzkovanie flotily zariadení RB3011 znamená správu saturácie CPU, driftu pravidiel firewallu a konzistencie FastTrack naprieč mnohými pracoviskami. Zlé poradie pravidiel na jednom zariadení odsekne 200 Mbps z jeho priepustnosti; chýbajúce pravidlo FastTrack na inom ho obmedzí na 60% kapacity. Nevšimnete si, kým si nevšimnú zákazníci.

MKController odhaľuje saturáciu CPU, trendy priepustnosti, drift konfigurácie a teplotné údaje pre každý MikroTik vo vašom inventári na jednom dashboarde. Keď zariadenie začne mať problémy — pomaly, ako to RB3011 často robia — dashboard to vidí skôr, ako dorazia tikety podpory.

Začnite svoju bezplatnú skúšobnú verziu MKController