Skip to content
MKController Blog
InstagramYouTubeFacebook

Review

คู่มือ MikroTik hAP ac³ สำหรับ CPE ของ ISP

บทประเมินเชิงปฏิบัติของ MikroTik hAP ac³ ในฐานะ ISP-CPE — ทรูพุตทางสาย ขีดจำกัด WiFi 5 ฐานไฟร์วอลล์ ISP และการเสริมความแข็งแกร่งเชิงปฏิบัติการ.

MKController3 min read

บทสรุป MikroTik hAP ac³ (RBD53iG-5HacD2HnD) คือ ISP-CPE ที่คุ้มค่าซึ่งทำการกำหนดเส้นทางผ่านสายได้ใกล้ Gigabit เมื่อเปิดใช้ FastTrack ในอากาศที่หนาแน่นนั้น WiFi 5 เป็นตัวจำกัดหลัก ดังนั้นการวางแผนช่องสัญญาณและเพิ่ม access point จึงสำคัญกว่าหน้าข้อมูล ความยืดหยุ่นของ RouterOS เป็นปัจจัยสร้างความแตกต่าง วินัยปฏิบัติการ — การอัปเดต ฐานไฟร์วอลล์ การเสริมความแข็งแกร่งของการจัดการ — เป็นเรื่องไม่ต่อรองเมื่ออุปกรณ์นี้นั่งอยู่ที่ขอบของลูกค้าตลอดทั้งฟลีต.

ภาพรวมแพลตฟอร์ม MikroTik hAP ac³ ในฐานะ ISP CPE

MikroTik hAP ac³ มีไว้เพื่ออะไรในงานติดตั้ง ISP?

MikroTik hAP ac³ (RBD53iG-5HacD2HnD) คือ CPE ARM ควอดคอร์ที่สร้างขึ้นรอบ SoC Qualcomm IPQ-4019 พร้อม RAM 256 MB, NAND 128 MB, พอร์ต Gigabit Ethernet ห้าพอร์ตบนแฟบริก switching ภายใน, พอร์ต USB 2.0 หนึ่งพอร์ต (สำหรับสตอเรจหรือดองเกิล 4G/LTE) และ Wi-Fi 5 ดูอัลแบนด์ (2.4 GHz และ 5 GHz) พร้อมเสาอากาศภายนอกสองต้น สำหรับ ISP มันเล็งจุดที่ลงตัวสะอาดตา ราคาจับต้องได้พอที่จะมาตรฐานในโรลเอาต์เพื่อที่อยู่อาศัย สามารถกำหนดเส้นทางผ่านสายใกล้ Gigabit ภายใต้โหลดจริง และทำงานบน RouterOS เพื่อความยืดหยุ่นที่ CPE ของผู้บริโภคทำตามไม่ได้.

CPE ไม่ใช่เพียง “กล่องที่เปลี่ยนไฟเบอร์เป็น Wi-Fi” — มันคือแนวหน้าของประสบการณ์ผู้ใช้และต้นทุนการสนับสนุน ถ้าเราเตอร์ตามไม่ทัน NAT, PPPoE หรือกฎไฟร์วอลล์ ตั๋วช้าจะมาเยือน ถ้า Wi-Fi ล้มในย่านที่หนวกหู ก็ตั๋วช้าอีกครั้ง และถ้าเฟิร์มแวร์ล้าสมัย จะมีอะไรที่แย่กว่ามา hAP ac³ ทำได้ดีในข้อแรก มีขีดจำกัดที่คาดเดาได้ในข้อที่สอง และตอบแทนวินัยปฏิบัติการในข้อที่สาม สำหรับการเปรียบเทียบฟลีตที่กว้างขึ้น โปรดดู รีวิว hAP ac² และ รีวิว RB5009 ของเรา.

ภาพรวมฮาร์ดแวร์

  • CPU: Qualcomm IPQ-4019 ARM ควอดคอร์
  • RAM: 256 MB
  • สตอเรจ: 128 MB NAND
  • Ethernet: 5× Gigabit
  • Wi-Fi: ดูอัลแบนด์ 2×2 WiFi 5 (802.11ac)
  • USB: 1× USB 2.0
  • เสาอากาศ: สองต้นภายนอกดูอัลแบนด์

เสาอากาศภายนอกช่วยเพิ่มความครอบคลุมเหนือดีไซน์เสาอากาศภายใน แต่ไม่ละเมิดฟิสิกส์ — การครอบคลุมแนวนอนมักจะดีกว่าแนวตั้ง ดังนั้นบ้านหลายชั้นยังอาจต้องการ AP ตัวที่สอง เมื่อไม่สามารถวางเราเตอร์ไว้กึ่งกลางความสูงอาคารได้ ให้ใช้ AP ที่มี backhaul ผ่านสายแทนที่จะใช้ repeater ล้วนๆ.

ทรูพุตทางสาย: FastTrack สร้างความแตกต่าง

ในการทดสอบการกำหนดเส้นทางผ่านสายและ NAT, hAP ac³ เข้าใกล้ทรูพุต Gigabit ในเงื่อนไขที่เอื้ออำนวย โดยเฉพาะเมื่อเปิด RouterOS FastTrack หลักการตรงไปตรงมา ฟีเจอร์ใช้ CPU ด้วยการประมวลผลแพ็กเก็ตขั้นต่ำ กล่องจะเคลื่อนทราฟฟิกได้รวดเร็ว ด้วยงานต่อแพ็กเก็ต (ไฟร์วอลล์ลึก คิว การบัญชี) ทรูพุตจะลดลง.

ไฟร์วอลล์พื้นฐานเชิงปฏิบัติสำหรับ ISP CPE

เก็บไฟร์วอลล์ให้เล็ก ชัดเจน และสอดคล้องทั่วทั้งฟลีต ถ้าต้องการการกรองที่หนัก ให้ทำที่ต้นน้ำเมื่อทำได้:

/ip firewall filter
add chain=input action=accept connection-state=established,related comment="Allow established/related"
add chain=input action=drop connection-state=invalid comment="Drop invalid"
add chain=input action=accept protocol=icmp comment="Allow ICMP for troubleshooting"
add chain=input action=accept in-interface-list=LAN comment="Allow management from LAN"
add chain=input action=drop in-interface-list=WAN comment="Drop everything else from WAN"


/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related comment="FastTrack"
add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalid
add chain=forward action=drop in-interface-list=WAN connection-nat-state=!dstnat comment="Block unsolicited inbound"

FastTrack บายพาสฟีเจอร์คิวและบัญชีบางอย่าง ถ้าคุณพึ่งพา QoS ต่อสมาชิกบน CPE เอง โปรดตรวจสอบเส้นทางนี้ก่อนการโรลเอาต์ — สำหรับคำแนะนำ NAT ที่กว้างขึ้น โปรดดู บทช่วยสอน NAT บน MikroTik.

ประสิทธิภาพ Wi-Fi: ดีสำหรับ WiFi 5 แต่ WiFi 5 ก็ยังเป็น WiFi 5

ที่ระยะใกล้บน 5 GHz, hAP ac³ ส่งมอบทรูพุต TCP ที่แข็งแกร่งสำหรับดีไซน์ 2×2 WiFi 5 อีกด้านหนึ่ง ประสิทธิภาพ Wi-Fi ถูกครอบงำโดยสภาพแวดล้อม ไม่ใช่หน้าข้อมูล ในสเปกตรัมเมืองหนาแน่นที่เครือข่ายซ้อนทับกัน 2.4 GHz กลายเป็นย่านทางเลือกสุดท้าย และทรูพุตจริงจะลดลงอย่างฮวบฮาบเนื่องจากการรบกวนและการแย่งชิงเวลาออกอากาศ.

คำแนะนำการติดตั้งที่ลดตั๋วได้จริง:

  1. เลือก 5 GHz เพื่อประสิทธิภาพ แต่อย่าบังคับใช้แบบทึบ บ้านบางหลังต้องการระยะของ 2.4 GHz.
  2. ใช้ช่อง 20 MHz บน 2.4 GHz ช่องที่กว้างกว่าโดยปกติแล้วก็แค่สร้างปัญหามากขึ้น.
  3. ใช้ 80 MHz บน 5 GHz เฉพาะในสเปกตรัมสะอาด มิฉะนั้นลดลงเป็น 40 MHz.
  4. เพื่อครอบคลุมทั้งบ้าน เพิ่ม AP ที่มี backhaul ผ่านสาย แทนที่จะใช้ repeater.

สำหรับการติดตั้งกับ RouterOS v7 โปรดพิจารณาแพ็กเกจ Wi-Fi ใหม่ๆ ของ MikroTik (wifiwave2 / ไดรเวอร์ฐาน Qualcomm) ในที่ที่รองรับ พวกมันยกระดับทรูพุตและโหมดความปลอดภัยสมัยใหม่อย่างมีนัยสำคัญ ขึ้นอยู่กับการกำหนดค่า.

VPN และการจัดการสำหรับการดำเนินงาน ISP

hAP ac³ รองรับ IPsec พร้อมการเร่งความเร็วฮาร์ดแวร์สำหรับอุโมงค์ที่ปลอดภัย RouterOS v7 ยังรองรับ WireGuard สำหรับ VPN สมัยใหม่ที่ง่ายกว่า — โปรดดู บทช่วยสอน WireGuard ของเรา สำหรับการดำเนินงานฟลีต การโพรวิชันนิ่งตามมาตรฐานเป็นตัวเปลี่ยนเกม RouterOS v7 ได้นำไคลเอนต์ TR-069 เข้ามา ซึ่งช่วยให้รวมเข้ากับ ACS สำหรับการโพรวิชันนิ่งและการตรวจสอบระยะไกล โปรดดู คู่มือการจัดการ TR-069 และ โปรโตคอลผู้สืบทอด TR-369 USP ของเรา.

เพื่อรวม “การโพรวิชันนิ่งในขนาด” เข้ากับ “การเข้าถึงทันทีหลัง NAT/CGNAT” ให้เสริม TR-069 ด้วยเลเยอร์การเข้าถึงระยะไกลที่ปลอดภัย NATCloud ของ MKController ส่งมอบการเชื่อมต่อแบบจากในออกข้างนอกโดยไม่ต้องส่งต่อพอร์ต ทำให้การสนับสนุนระยะไกลรวดเร็วและปลอดภัยกว่าเดิม.

ความปลอดภัย: อุปกรณ์ไม่มีปัญหา; อินเทอร์เน็ตต่างหากที่มี

RouterOS ทรงพลัง และพลังตัดได้ทั้งสองทิศทาง แพลตฟอร์มเคยมีช่องโหว่ในสาขาเก่าๆ และความต้องการเชิงปฏิบัติสำหรับการแพตช์อย่างระแวดระวังมีอยู่จริง การควบคุมที่แข็งแกร่งที่สุดของคุณคือวินัย:

  • มาตรฐานการกำหนดค่าฐานที่เสริมความแข็งแกร่งทั่วทั้งฟลีต.
  • ปิดบริการที่ไม่ได้ใช้ (Telnet, FTP, API ที่ไม่ใช้).
  • จำกัดการจัดการให้อยู่ที่ IP ที่เชื่อถือได้หรือ VPN.
  • บังคับให้อัปเกรดจากช่องทางการเผยแพร่ที่เสถียรหรือระยะยาว.
  • ตรวจสอบความผิดปกติผ่าน SNMP, Syslog และ NetFlow.

“ปลอดภัยโดยค่าเริ่มต้น” ไม่เหมือนกับ “ปลอดภัยสำหรับ ISP” ค่าเริ่มต้นที่ปลอดภัยเป็นเรื่องดี โรลเอาต์ของคุณต้องการธรรมาภิบาลที่ทำซ้ำได้ สำหรับการเสริมความแข็งแกร่งของระนาบการจัดการเชิงลึก โปรดดู แนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัย Winbox และ คู่มือความปลอดภัย device-mode ของเรา.

ความร้อน การติดตั้ง และปัญหา “มันอยู่ในตู้”

อุปกรณ์ระบายความร้อนแบบพาสซีฟและเรตให้กับสภาพแวดล้อมที่อบอุ่น แต่การไหลเวียนของอากาศก็ยังสำคัญ หลีกเลี่ยงตู้ปิดผนึกและกล่องผนังที่คับแคบ การเปลี่ยนตำแหน่งเล็กๆ น้อยๆ จะป้องกันความไม่เสถียรในระยะยาว และการร้องเรียน Wi-Fi แบบสุ่มที่ดูลึกลับจนกว่าจะพบสาเหตุทางความร้อน.

เมื่อใดที่ hAP ac³ เป็นทางเลือกที่ถูกต้อง

hAP ac³ คือ CPE ที่สมเหตุสมผลสำหรับระดับบริการประมาณกลางหลายร้อย Mbps พร้อมความต้องการ Wi-Fi ปานกลาง มันเปล่งประกายเมื่อคุณให้คุณค่ากับความยืดหยุ่นของ RouterOS, การติดแท็ก VLAN และการรวมเข้ากับเวิร์กโฟลว์การจัดการของคุณเอง ก้าวขึ้นไปยังเราเตอร์ระดับสูงกว่าหรือฮาร์ดแวร์ WiFi 6 เมื่อลูกค้าผลักดัน Gigabit เต็มเป็นประจำพร้อมไฟร์วอลล์/QoS หนัก, เมื่อมีลูกค้า Wi-Fi พร้อมกันจำนวนมากต่อบ้าน หรือเมื่อคุณต้องการประสิทธิภาพที่ดีกว่าในสภาพ RF หนาแน่น.

ก้าวต่อไป

หากคุณบริหารหลายไซต์ MKController รวมศูนย์การมองเห็น ทำให้การกำหนดค่าเป็นมาตรฐาน และลดการออกหน้างาน ด้วย NATCloud คุณเข้าถึงอุปกรณ์หลัง CGNAT ได้โดยไม่ต้องเปิดพอร์ต รักษาการสนับสนุนระยะไกลให้รวดเร็วและปลอดภัยกว่าสำหรับฟลีต CPE ในระดับ ISP.

เริ่มทดลองใช้ MKController ฟรี