Skip to content
MKController Blog
InstagramYouTubeFacebook

Review

Vodnik MikroTik hAP ac³ za ISP CPE

Praktična ocena MikroTik hAP ac³ kot ISP-CPE — žičnata propustnost, omejitve WiFi 5, osnova požarnega zidu in operativna utrjenost.

MKController5 min read

Povzetek MikroTik hAP ac³ (RBD53iG-5HacD2HnD) je stroškovno učinkovit ISP-CPE z žičnim usmerjanjem blizu Gigabita, ko je FastTrack omogočen. WiFi 5 je glavna omejitev v polnem eterju, zato sta načrtovanje kanalov in dodatne dostopne točke pomembnejša od podatkovnega lista. Prilagodljivost RouterOS je razlikovalni dejavnik; operativna disciplina — posodobitve, osnovne nastavitve požarnega zidu, utrjevanje upravljanja — ni pogajalska, ko ta naprava sedi na robu stranke po celotni floti.

Pregled platforme MikroTik hAP ac³ kot ISP CPE

Za kaj je MikroTik hAP ac³ v uvedbah ISP?

MikroTik hAP ac³ (RBD53iG-5HacD2HnD) je štirijedrno ARM CPE, zgrajeno okoli SoC Qualcomm IPQ-4019, z 256 MB RAM, 128 MB NAND, petimi vrati Gigabit Ethernet na notranji preklopni matriki, vratima USB 2.0 (za pomnilnik ali 4G/LTE ključ) in dvopasovnim Wi-Fi 5 (2,4 GHz in 5 GHz) z dvema zunanjima antenama. Za ISP cilja na čisto sladko točko: dovolj cenovno dostopen za standardizacijo v stanovanjskem rolloutu, sposoben žičnega usmerjanja blizu Gigabita pri realni obremenitvi in poganja RouterOS za prilagodljivost, ki je potrošniške CPE ne dosegajo.

CPE ni le „škatla, ki vlakno spreminja v Wi-Fi“ — je prva linija uporabniške izkušnje in podpornih stroškov. Če usmerjevalnik ne sledi NAT-u, PPPoE ali pravilom požarnega zidu, pridejo počasni tiketi. Če Wi-Fi propade v hrupnem soseščinu, spet počasni tiketi. In če je vdelana programska oprema zastarela, sledi nekaj hujšega. hAP ac³ se v prvi točki dobro znajde, v drugi ima predvidljive meje in v tretji nagrajuje operativno disciplino. Za širše primerjave flote glejte našo oceno hAP ac² in oceno RB5009.

Pregled strojne opreme

  • CPU: Qualcomm IPQ-4019 štirijedrni ARM
  • RAM: 256 MB
  • Pomnilnik: 128 MB NAND
  • Ethernet: 5× Gigabit
  • Wi-Fi: Dvopasovni 2×2 WiFi 5 (802.11ac)
  • USB: 1× USB 2.0
  • Antene: Dve zunanji dvopasovni

Zunanje antene izboljšajo pokritost v primerjavi z notranjimi, vendar fizike ne lomijo — horizontalna pokritost je običajno boljša od vertikalne, zato več-nadstropne hiše še vedno lahko potrebujejo drugo AP. Ko ne moreš postaviti usmerjevalnika na sredino višine stavbe, uporabi AP z žičnim backhaul namesto čistega ponavljalnika.

Žična propustnost: FastTrack naredi razliko

V testih žičnega usmerjanja in NAT-a se hAP ac³ v ugodnih razmerah, zlasti z vklopljenim RouterOS FastTrack, približa Gigabit propustnosti. Načelo je preprosto: funkcije stanejo CPU. Z minimalno obdelavo paketov škatla hitro premika promet. Z delom po paketu (globok požarni zid, vrste, knjiženje) propustnost pade.

Praktičen osnovni požarni zid za ISP CPE

Požarni zid imej majhen, eksplicit in dosleden v celotni floti. Če potrebuješ težko filtriranje, ga naredi navzgor po toku, kjer je mogoče:

/ip firewall filter
add chain=input action=accept connection-state=established,related comment="Allow established/related"
add chain=input action=drop connection-state=invalid comment="Drop invalid"
add chain=input action=accept protocol=icmp comment="Allow ICMP for troubleshooting"
add chain=input action=accept in-interface-list=LAN comment="Allow management from LAN"
add chain=input action=drop in-interface-list=WAN comment="Drop everything else from WAN"


/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related comment="FastTrack"
add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalid
add chain=forward action=drop in-interface-list=WAN connection-nat-state=!dstnat comment="Block unsolicited inbound"

FastTrack obide nekatere funkcije vrst in knjiženja. Če zaupaš na QoS na naročnika neposredno na CPE-ju, preveri to pot pred uvedbo — za širši vodnik o NAT-u glej vadnico NAT na MikroTiku.

Zmogljivost Wi-Fi: dobra za WiFi 5, a WiFi 5 ostaja WiFi 5

Na kratki razdalji na 5 GHz hAP ac³ daje močno TCP propustnost za 2×2 WiFi 5 zasnovo. Druga stran: zmogljivost Wi-Fi obvladuje okolje, ne podatkovni list. V gostem urbanem spektru s prekrivajočimi omrežji 2,4 GHz postane pas zadnje sile in realna propustnost ostro pade zaradi motenj in tekmovanja za airtime.

Nasveti za uvedbo, ki resnično zmanjšajo tikete:

  1. Za zmogljivost izberi 5 GHz, vendar ga ne sili slepo. Nekatere hiše potrebujejo doseg 2,4 GHz.
  2. Na 2,4 GHz uporabljaj kanale 20 MHz. Širši kanali ponavadi ustvarjajo le več težav.
  3. Na 5 GHz uporabljaj 80 MHz le v čistem spektru. Sicer se spusti na 40 MHz.
  4. Za pokritost cele hiše dodaj AP z žičnim backhaul namesto ponavljalnika.

Pri uvedbah z RouterOS v7 razmisli o novejših Wi-Fi paketih MikroTik (wifiwave2 / gonilniki na osnovi Qualcomm) tam, kjer so podprti. Glede na konfiguracijo bistveno izboljšajo propustnost in moderne varnostne načine.

VPN in upravljanje za ISP operacije

hAP ac³ podpira IPsec s strojnim pospeševanjem za varne tunele. RouterOS v7 podpira tudi WireGuard za enostavnejši sodobni VPN — glejte našo vadnico WireGuard. Za operacije flote je provisioning na podlagi standardov sprememba igre: RouterOS v7 je uvedel klienta TR-069, ki omogoča integracijo z ACS za oddaljen provisioning in spremljanje. Glejte naš vodnik upravljanja TR-069 in naslednika TR-369 USP.

Za združitev „provisioning v obsegu“ in „takojšnje dosegljivosti za NAT/CGNAT“ dopolnite TR-069 z varnim slojem za oddaljen dostop. MKControllerjev NATCloud zagotavlja povezljivost iz notranjosti navzven brez posredovanja vrat, kar ohranja oddaljeno podporo hitro in varnejšo.

Varnost: naprava je v redu; internet ni

RouterOS je močan in moč reže v obe smeri. Platforma je imela ranljivosti v starejših vejah in operativna potreba po budnem patchingu je resnična. Vaš najmočnejši nadzor je disciplina:

  • Standardiziraj utrjeno osnovno konfiguracijo po vsej floti.
  • Onemogoči neuporabljene storitve (Telnet, FTP, neuporabljene API).
  • Upravljanje omeji na zaupanja vredne IP ali VPN.
  • Prisili nadgradnje s stabilnega ali dolgoročnega izdajnega kanala.
  • Spremljaj anomalije prek SNMP, Syslog in NetFlow.

„Privzeto varno“ ni isto kot „varno za ISP“. Varna privzeta nastavitev je dobra; tvoja uvedba potrebuje ponovljivo upravljanje. Za globlje utrjevanje upravljalne ravni glej naše najboljše prakse varnosti Winboxa in vodnik za varnost device-mode.

Toplota, montaža in težava „v omarici je“

Naprava se hladi pasivno in je ocenjena za topla okolja, vendar je pretok zraka še vedno pomemben. Izogibaj se zaprtim omaricam in tesnim stenskim škatlam. Majhne spremembe namestitve preprečijo dolgoročno nestabilnost in tiste naključne pritožbe glede Wi-Fi, ki izgledajo skrivnostno, dokler ne najdeš toplotnega vzroka.

Kdaj je hAP ac³ prava izbira

hAP ac³ je smiseln CPE za storitvene pakete do približno srednjih stotin Mbps z zmernimi zahtevami Wi-Fi. Zasije, ko cenite prilagodljivost RouterOS, označevanje VLAN in integracijo z lastnimi tokovi upravljanja. Pojdite na usmerjevalnik višjega razreda ali strojno opremo WiFi 6, ko stranke redno potiskajo polni Gigabit s težkim požarnim zidom/QoS, ko je v domu veliko hkratnih Wi-Fi klientov ali ko potrebujete boljšo zmogljivost v gostih RF razmerah.

Naredite naslednji korak

Če upravljate veliko lokacij, MKController centralizira vidnost, standardizira konfiguracije in zmanjša izhode tehnikov. Z NATCloud dosežete opremo za CGNAT brez odpiranja vrat, kar ohranja oddaljeno podporo hitro in varnejšo za floto CPE v obsegu ISP.

Začnite brezplačno preizkušnjo MKController