Skip to content
MKController Blog
InstagramYouTubeFacebook

Review

Водич MikroTik hAP ac³ за ISP CPE

Практична процена MikroTik hAP ac³ као ISP-CPE — жичана пропусност, границе WiFi 5, основа фајервола ISP и оперативно учвршћивање.

MKController5 min read

Сажетак MikroTik hAP ac³ (RBD53iG-5HacD2HnD) је исплатив ISP-CPE са жичним рутирањем близу Gigabit-у када је FastTrack укључен. WiFi 5 је главно ограничење у пренатрпаном етеру, па планирање канала и додатне приступне тачке значе више од каталога. Флексибилност RouterOS-а је диференцијатор; оперативна дисциплина — надоградње, основни фајерволи, учвршћивање управљања — није преговарачка када уређај седи на ивици корисника у целом возном парку.

Преглед платформе MikroTik hAP ac³ као ISP CPE

За шта служи MikroTik hAP ac³ у ISP постављањима?

MikroTik hAP ac³ (RBD53iG-5HacD2HnD) је четворојезгрени ARM CPE изграђен око SoC-а Qualcomm IPQ-4019, са 256 MB RAM-а, 128 MB NAND-а, пет Gigabit Ethernet портова на унутрашњој преклопној матрици, USB 2.0 портом (за складиште или 4G/LTE дoнгл) и двопојасним Wi-Fi 5 (2,4 GHz и 5 GHz) са две спољне антене. За ISP-ове циља на чисту слатку тачку: довољно приступачан да се стандардизује у стамбеном ролауту, способан за жично рутирање близу Gigabit-у под реалним оптерећењем и покреће RouterOS за флексибилност коју потрошачки CPE не могу да достигну.

CPE није само „кутија која влакно претвара у Wi-Fi“ — то је прва линија корисничког искуства и трошкова подршке. Ако рутер не прати NAT, PPPoE или фајервол правила, долазе спори тикети. Ако Wi-Fi падне у бучном комшилуку, опет спори тикети. А ако је фирмвер застарео, долази нешто горе. hAP ac³ се добро сналази у првом, има предвидиве границе у другом, а у трећем награђује оперативну дисциплину. За шире упоредбе парка погледајте нашу рецензију hAP ac² и рецензију RB5009.

Преглед хардвера

  • CPU: Qualcomm IPQ-4019 ARM четворојезгрени
  • RAM: 256 MB
  • Складиште: 128 MB NAND
  • Ethernet: 5× Gigabit
  • Wi-Fi: Двопојасни 2×2 WiFi 5 (802.11ac)
  • USB: 1× USB 2.0
  • Антене: Две спољне двопојасне

Спољне антене побољшавају покривеност у односу на дизајне са унутрашњим антенама, али не крше физику — хоризонтална покривеност је обично боља од вертикалне, па вишеспратне куће и даље могу захтевати другу приступну тачку. Када не можете да поставите рутер на половини висине зграде, користите AP са жичаним backhaul-ом уместо чистог понављача.

Жична пропусност: FastTrack чини разлику

У тестовима жичног рутирања и NAT-а, hAP ac³ под повољним условима, нарочито са укљученим RouterOS FastTrack-ом, приближава се Gigabit пропусности. Принцип је директан: функције коштају CPU-а. Уз минималну обраду пакета, кутија брзо помера саобраћај. Уз рад по пакету (дубоки фајервол, редови, рачуноводство) пропусност пада.

Практичан основни фајервол за ISP CPE

Држите фајервол мали, експлицитан и доследан у целој флоти. Ако вам је потребно тешко филтрирање, радите га узводно где је могуће:

/ip firewall filter
add chain=input action=accept connection-state=established,related comment="Allow established/related"
add chain=input action=drop connection-state=invalid comment="Drop invalid"
add chain=input action=accept protocol=icmp comment="Allow ICMP for troubleshooting"
add chain=input action=accept in-interface-list=LAN comment="Allow management from LAN"
add chain=input action=drop in-interface-list=WAN comment="Drop everything else from WAN"


/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related comment="FastTrack"
add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalid
add chain=forward action=drop in-interface-list=WAN connection-nat-state=!dstnat comment="Block unsolicited inbound"

FastTrack заобилази неке функције редова и рачуноводства. Ако се ослањате на QoS по претплатнику директно на CPE-у, валидирајте ту путању пре раздвоја — за шире упутство о NAT-у погледајте туторијал NAT на MikroTik-у.

Wi-Fi перформансе: добре за WiFi 5, али WiFi 5 остаје WiFi 5

На блиској удаљености на 5 GHz, hAP ac³ даје снажну TCP пропусност за 2×2 WiFi 5 дизајн. Друга страна: Wi-Fi перформансама доминира окружење, не каталог. У густом градском спектру са преклапајућим мрежама, 2,4 GHz постаје појас крајње нужде и стварна пропусност нагло пада због сметњи и тржишта airtime-а.

Савети за постављање који заиста смањују тикете:

  1. Преферирајте 5 GHz за перформансе, али немојте слепо то форсирати. Неке куће захтевају домет 2,4 GHz.
  2. Користите канале од 20 MHz на 2,4 GHz. Шири канали обично стварају само више проблема.
  3. Користите 80 MHz на 5 GHz само у чистом спектру. Иначе спустите на 40 MHz.
  4. За покривеност целе куће додајте AP са жичаним backhaul-ом уместо понављача.

За постављања са RouterOS v7 размотрите новије Wi-Fi пакете MikroTik-а (wifiwave2 / Qualcomm-базиране драјвере) где су подржани. Они значајно побољшавају пропусност и модерне сигурносне режиме у зависности од конфигурације.

VPN и управљање за ISP операције

hAP ac³ подржава IPsec са хардверском акцелерацијом за сигурне тунеле. RouterOS v7 такође подржава WireGuard за једноставнији модерни VPN — погледајте наш туторијал WireGuard. За операције парка, провизионинг базиран на стандардима је промена игре: RouterOS v7 је увео клијент TR-069 који омогућава интеграцију са ACS-ом за даљински провизионинг и надзор. Погледајте наш водич за управљање TR-069 и протокол наследник TR-369 USP.

Да бисте спојили „провизионинг на скали“ са „тренутном доступношћу иза NAT/CGNAT-а“, допуните TR-069 безбедним слојем даљинског приступа. NATCloud од MKController-а испоручује конективност изнутра ка ван без прослеђивања портова, држећи даљинску подршку брзом и безбеднијом.

Безбедност: уређај је у реду; интернет није

RouterOS је моћан, а моћ сече у оба смера. Платформа је имала рањивости у старијим гранама и оперативна потреба за будним пачовањем је стварна. Ваша најјача контрола је дисциплина:

  • Стандардизујте учвршћену основну конфигурацију у целој флоти.
  • Онемогућите неискоришћене сервисе (Telnet, FTP, неискоришћене API).
  • Ограничите управљање на поуздане IP или VPN.
  • Намеће надоградње са стабилног или дугорочног канала издања.
  • Пратите аномалије преко SNMP, Syslog и NetFlow.

„Подразумевано безбедно“ није исто што и „безбедно за ISP“. Безбедно подразумевано је добро; ваше раздвајање захтева понављиво управљање. За дубље учвршћивање управљачке равни погледајте наше најбоље праксе безбедности Winbox-а и водич за безбедност device-mode.

Топлота, монтажа и проблем „у ормарићу је“

Уређај се хлади пасивно и оцењен је за топла окружења, али проток ваздуха и даље је битан. Избегавајте затворене ормариће и тесне зидне кутије. Мала померања у смештају спречавају дугорочну нестабилност и оне случајне жалбе на Wi-Fi које изгледају мистериозно док не нађете топлотни узрок.

Када је hAP ac³ прави избор

hAP ac³ је разуман CPE за сервисне пакете отприлике до средњих стотина Mbps са умереним Wi-Fi захтевима. Сјаји када цените флексибилност RouterOS-а, VLAN означавање и интеграцију са сопственим токовима управљања. Пређите на рутер више класе или WiFi 6 хардвер када корисници редовно гурају пуни Gigabit са тешким фајерволом/QoS-ом, када има много истовремених Wi-Fi клијената по домаћинству или када је потребан бољи учинак у густим RF условима.

Направите следећи корак

Ако управљате са много локација, MKController централизује видљивост, стандардизује конфигурације и смањује излаз техничара. Са NATCloud-ом достижете опрему иза CGNAT-а без отварања портова, држећи даљинску подршку брзом и безбеднијом за CPE флоту на ISP размери.

Започните бесплатну пробу MKController-а