Review
MikroTik RB3011: đánh giá hiệu năng
Đánh giá hiệu năng thực tế của MikroTik RB3011 — giới hạn throughput, trần VPN, áp lực CPU và mẹo tối ưu hóa cho ISP.
Tóm tắt MikroTik RB3011 là router ARM lõi kép với mười cổng Gigabit Ethernet đã là “MikroTik hiệu quả về chi phí” được ưa chuộng cho mạng SMB và ISP nhỏ trong nhiều năm. Kiến trúc của nó — hai chip switch sau CPU 1.4 GHz — định hình cả điểm mạnh và trần. Bài đánh giá này bao gồm throughput thực tế, nơi CPU bão hòa, các tùy chọn VPN thực sự hành xử như thế nào và danh sách kiểm tra tối ưu hóa thu được tối đa từ nền tảng.
MikroTik RB3011 là gì?
MikroTik RB3011UiAS-RM là router ARM lõi kép với mười cổng Gigabit Ethernet cộng với một lồng SFP, được thiết kế làm router biên hiệu quả về chi phí cho mạng SMB và ISP nhỏ. Bên trong, nó ghép CPU Qualcomm IPQ-8064 ở 1.4 GHz với hai chip switch độc lập, mỗi chip xử lý một nửa trong số mười cổng Ethernet. Thiết kế switch chia tách giảm cả chi phí và mức tiêu thụ điện năng trong khi giữ chuyển tiếp intra-switch nhanh, nhưng cũng tạo ra các ràng buộc kiến trúc xác định cách thiết bị hoạt động dưới tải thực tế.
Các thông số khác cũng thực tế tương đương: 1 GB RAM, 128 MB NAND, làm mát thụ động, PoE-in trên Ether1, PoE-out trên Ether10 và một LCD nhỏ ở mặt trước để xem trạng thái thoáng qua. Khung máy có thể gắn rack, chạy mát trong hầu hết môi trường văn phòng và chịu được nhiệt độ môi trường lên đến khoảng 80 °C trước khi tuổi thọ trở thành mối quan tâm.
Điểm mạnh và hạn chế kiến trúc
Kiến trúc switch chia tách của RB3011 nhanh khi lưu lượng vẫn trong một chip switch — chuyển tiếp được giảm tải bởi phần cứng đạt tốc độ dây với tải CPU không đáng kể. Cái bẫy là bất cứ thứ gì băng qua các nhóm cổng, bất cứ thứ gì cần định tuyến, bất cứ thứ gì cần NAT, bất cứ thứ gì cần quy tắc tường lửa phải đi qua CPU. Với hai lõi tung hứng định tuyến, NAT, tường lửa, xếp hàng, PPPoE và mã hóa VPN, CPU bão hòa nhanh hơn so với số cổng gợi ý.
Có một ràng buộc thứ hai quan trọng: liên kết giữa mỗi chip switch và CPU chỉ là 1–2 Gbps. RB3011 không thể bền vững đẩy định tuyến Gigabit đầy đủ trên tất cả các cổng đồng thời. Đối với một địa điểm SMB đẩy vài trăm Mbps qua WAN, điều đó không liên quan. Đối với một ISP nhỏ phục vụ lưu lượng tổng hợp multi-Gigabit, đó là con số chính.
Throughput: bạn thực sự nhận được gì trong sản xuất
Các benchmark RFC2544 riêng của MikroTik công bố throughput định tuyến lý tưởng lên đến khoảng 4 Gbps với gói 1518 byte khi FastPath được kích hoạt. Con số đó là trần lý thuyết, không phải kỳ vọng thực tế. Lưu lượng internet thực chứa nhiều gói nhỏ — truy vấn DNS, ACK TCP, tán gẫu mặt phẳng điều khiển — và gói nhỏ là cái đánh trần gói trên giây của CPU.
Ở khung 64 byte, throughput sụp đổ xuống khoảng 231 Mbps. CPU hết chu kỳ trên giây trước khi hết băng thông trên giây. Tải công việc thực tế hỗn hợp ổn định quanh 600–800 Mbps cho kịch bản chỉ định tuyến. Thêm NAT và một bộ quy tắc tường lửa điển hình đưa con số xuống 300–600 Mbps tùy thuộc vào độ phức tạp của quy tắc và phiên bản RouterOS. RouterOS v7, đã loại bỏ cache tuyến mà v6 có, hoạt động kém hơn trên các CPU cũ hơn như IPQ-8064 của RB3011 — kết quả phản trực giác cho các nhà điều hành nâng cấp kỳ vọng hiệu năng tốt hơn.
Mẹo: FastTrack rất cần thiết trên RB3011. Không có nó, throughput định tuyến cộng NAT thường rơi xuống dưới 350 Mbps. Đó không phải là “có thì tốt” — nó được yêu cầu để nền tảng hoạt động.
Tường lửa, hàng đợi và áp lực CPU
Xử lý ràng buộc CPU trở nên rõ ràng ngay khi bạn bắt đầu thêm quy tắc tường lửa hoặc cây hàng đợi. Trong các bài kiểm tra riêng của MikroTik, 25 quy tắc tường lửa đã giảm throughput xuống khoảng 60 Mbps trên gói 64 byte. Ngay cả ở kích thước gói lớn hơn, throughput vẫn lửng lơ dưới 500 Mbps. Hàng đợi thêm chi phí: nhiều thiết lập quan sát mất 40–60% throughput dưới tải hàng đợi vừa phải.
Hàm ý thực tế đơn giản — RB3011 xử lý lọc vừa phải tốt nhưng là thiết bị sai cho tải công việc kiểu UTM nặng. Nếu bạn cần kiểm tra gói sâu, lọc tầng 7 hoặc định hình tích cực ở tốc độ Gigabit, RB3011 sẽ không đưa bạn đến đó. Các dòng CCR2004 và CCR2216 là câu trả lời đúng cho tải công việc đó.
Hiệu năng VPN: IPsec, PPPoE, OpenVPN
Hiệu năng IPsec trên RB3011 ngạc nhiên tốt với gói lớn — lên đến khoảng 780 Mbps nhờ tăng tốc ARM NEON. Hạ xuống gói nhỏ và throughput giảm xuống khoảng 38 Mbps. Tải công việc VPN thực tế hỗn hợp đáp xuống khoảng 300 Mbps.
PPPoE đơn luồng theo thiết kế, vì vậy nó tối đa hóa một lõi CPU. Ngay cả khi bật FastTrack, hãy mong đợi khoảng 500 Mbps. OpenVPN hoạt động kém vì thiếu tăng tốc phần cứng và truyền tải TCP thêm overhead — nếu bạn cần một đường hầm nhanh trên thiết bị này, hãy xem hướng dẫn WireGuard trên MikroTik của chúng tôi, vì WireGuard vượt trội hơn cả OpenVPN và IPsec trên hầu hết phần cứng MikroTik.
Danh sách kiểm tra tối ưu hóa thực tế
Lấy được tối đa từ nền tảng với sáu bước này:
- Kích hoạt FastTrack cho lưu lượng IPv4. Không tùy chọn.
- Sử dụng bridging được giảm tải phần cứng khi có thể — nó bỏ qua CPU cho switching.
- Tối thiểu hóa số lượng và độ phức tạp của quy tắc tường lửa. Sắp xếp quy tắc để những quy tắc bị trúng nhiều nhất ở đầu.
- Tránh cây hàng đợi sâu khi định hình liên kết Gigabit — mỗi mức lồng nhau tốn CPU.
- Giữ thiết bị được thông gió tốt. Làm mát thụ động chỉ chịu được tủ kín đến một mức độ nhất định.
- Căn chỉnh việc sử dụng cổng để các đường dẫn nhu cầu cao vẫn trong cùng chip switch.
Để có bối cảnh vận hành rộng hơn, hãy xem hướng dẫn của chúng tôi về cấu hình NAT trên MikroTik và hướng dẫn giám sát dựa trên SNMP để theo dõi xu hướng hiệu năng RB3011 theo thời gian.
Thực hiện bước tiếp theo
Vận hành một đội thiết bị RB3011 có nghĩa là quản lý sự bão hòa CPU, dịch chuyển quy tắc tường lửa và tính nhất quán của FastTrack trên nhiều địa điểm. Thứ tự quy tắc sai trên một thiết bị cắt 200 Mbps từ throughput của nó; quy tắc FastTrack bị thiếu trên thiết bị khác giới hạn nó ở 60% công suất. Bạn sẽ không nhận thấy cho đến khi khách hàng nhận thấy.
MKController đưa ra sự bão hòa CPU, xu hướng throughput, dịch chuyển cấu hình và dữ liệu nhiệt độ trên mỗi MikroTik trong hàng tồn kho của bạn trong một bảng điều khiển. Khi một thiết bị bắt đầu vật lộn — chậm rãi, như RB3011 thường làm — bảng điều khiển nhìn thấy nó trước khi các vé hỗ trợ đến.