Краткий обзор mikrotik hap lite

Встречайте, hAP ac²!

Многие ошибочно считают hAP ac² заменой предыдущему флагману hAP, отчасти это верно, но не совсем. Будем разбираться.

Поставляется hAP ac² в привычной картонной упаковке, единственное, что изменилось за последние несколько лет, так это узор, добавленный на коробку  и напоминающий вышиванку.

Как и ранее, устройство поставляется без патчкорда и цветной полиграфии. Впрочем, от качественного патчкорда многие бы, наверное, не отказались.

Из-за матового софттач покрытия, упакован hAP ac² в полиэтилен, что должно обеспечить сохранность до того момента, пока устройство не попадет в руки конечного клиента.

Из нестандартных опций в комплектации присутствует только крепеж-подставка и короткая иллюстрированная инструкция по использованию этой самой подставки.

Артикул модели получился весьма замысловатый – RBD52G-5HacD2HnD-TC, если для того же hEX местами при общении на форумах пользователи могли употреблять артикульный идентификатор, то в случае с данной моделью, запомнить артикул с первого раза не у всех получится.

Впрочем, из артикула можно почерпнуть очень много информации:

• RB – RouterBOARD

• D – Dual-Chain (Full)

• 52 – Dual-Band 5 2.4 ГГц

• G – Gigabit Ethernet

• 5HacD – 5 ГГц 802.11ac, High-Power (тип 1), Dual-Chain

• 2HnD – 2.4 ГГц 802.11n, High-Power (тип 1), Dual-Chain

• TC – Tower Case

Что касается мощности передатчика, у Mikrotik присутствует 4 градации:

• нормальная мощность (индекс отсутствует), менее 23-24 дБм;

• H – повышенная мощность, 23-27 дБм;

• HP – высокая мощность, 25-29 дБм;

• SHP – очень высокая мощность, более 27-30 дБм;

Собственно под «тип 1» подразумевается индекс «H». А вот индекс «U» (USB) в названии не используется, хотя данный интерфейс тут присутствует.

Вообще, сам дизайн достаточно непривычный. Компания продолжает эксперименты с Tower-Case, в свое время первым «экспериментальным» устройством стал hAP lite TC. Затем появился hAP ac lite TC (RB952Ui-5ac2nD-TC) и hAP mini (RB931-2nD).

Как показывают опросы, почти 70% респондентов одобряют одомашненный дизайн hAP ac2.

Индикаторы и сами интерфейсы расположены на противоположных гранях, что является стандартом домашних и SOHO-решений. Индикация портов не слишком удобная, зато не навязчивая и не будет доставать своей работой в ночное время.

Все 5 интерфейсов экранированные, при этом на корпусе не предусмотрено никакой возможности подключения заземления.

Помимо индикатора питания есть у hAP ac² и дополнительный пользовательский индикатор, который удобно настраивать, к примеру, под статус VPN-подключения.

Кнопка WPS и сброса совмещены, больше нет необходимости носить с собой скрепку, теперь сгодится ручка или карандаш – длительно удерживать кнопку по-прежнему неудобно, что защитит от случайного сброса.

Одной из изюминок в дизайне hAP ac² можно назвать подставку.

Это не просто подставка, это крепежный элемент для установки на потолок или стену. Одному из наших клиентов мы уже устанавливали данное устройство именно на потолок из гипсокартона. Процесс монтажа быстрый и удобный, при высоте размещения в 4 метра нет абсолютно никаких проблем с качеством покрытия.

Элемент крепится на защелке к нижней грани либо крышке. В первом случае вы получите настольный стоячий вариант, во втором – настольный лежачий вариант, либо крепление на стену (потолок). На ножках присутствуют силиконовые вставки, обеспечивающие антискользящие свойства подставки.

Сам ac2 крайне компактный, по размерам новинка сопоставима с обычным hAP lite, а в стоячем положении отнимет минимум места.

Начинка Mikrotik hAP ac²

Очень многие владельцы пытались заглянуть во внутренности ac^2, но далеко не каждому он поддался, часть из тех, кому он поддался, попросту выломали защелки. По этой причине настоятельно просим воздержаться от вскрытия данной модели.

Первое, на что стоит обратить внимание – замкнутость внутреннего пространства корпуса. То есть как, вентиляционные «щели» имеются на передней панели, но сказать, что они особо улучшают вентиляцию, не приходится. Начинка устройства с легкостью прогревается до 45 градусов при простое, а во время нагрузки может подыматься до 52 градусов.

Паниковать по этому поводу не стоит, прежний hAP ac грелся куда больше. Устройство, которое мы выбрали в качестве сервера и вовсе в простое прогревается до 62-65 градусов.

Практически половина верхней части платы RBD52G-5HacD2HnD-TC закрыта массивным радиатором игольчатого типа.

С этой же стороны платы распаяны 2 антенны, интерфейсы, подсистема питания и порт USB.

По периметру платы есть 4 посадочные отверстия, вероятно, компания ранее экспериментировала с разными вариантами корпуса, в том числе классическим.

Вся основная начинка hAP ac^2 находится на обратной стороне PCB.

Основу устройства составляет чип IPQ-4018 производства Qualcomm. Это высоко интегрированное решение, совмещающее 32-бытный ARM-процессор и беспроводные модули.

Несмотря на большое сходство с IPQ-4019, эти 2 чипа не взаимозаменяемы. У старшего IPQ-4019 больше физический размер, иное исполнение и схема распайки.

Хотя в целом, IPQ-4018 и IPQ-4019 отличаются только набором интерфейсов.

Основным вычислительным блоком IPQ-4018 служат 4 ARM-ядра Cortex A7 с тактовой частотой 717 МГц. В состав чипа входит блок Hardware NAT и Crypto Engine, как несложно догадаться, первый блок отвечает за разгрузку NAT, второй – за аппаратное шифрование.

Оба беспроводные модуля имеют конфигурацию MIMO 2×2 (Dual-Chain), причем каждый из модулей имеет свой собственный ко-процессор, обеспечивающий аппаратную разгрузку. На блок-схеме они обозначены как CPU#1 и CPU#2.

На выходе каждого чейна распаяно по одному блоку усиления (спрятаны под экранами), в общей сложности их 4 шт.

Если вы посмотрите на официальную блок-схему hAP ac2, там указан гигабитный коммутатор AR8327, и обозначен он как встроенный непосредственно в IPQ-4018.

Вместе с этим, рядом с процессором на плате распаян QCA8075, который и реализует 5 гигабитных портов.

Если вернуться к официальной блок-диаграмме Qualcomm, в составе IPQ-4018 указан «5GE L2/3/4 Switch Engine», чуть левее на схеме указан внешний блок «QFE8075/2 (5/2 ports PHY)».

Таким образом, фактически, физический уровень (PHY) реализован на отдельном внешнем чипе QCA8075, но оставшаяся обвязка находится непосредственно в составе SoC. Сама RouterOS определяет коммутатор как Atheros-8327.

Постоянной памяти, как обычно, не много – всего 16 МБ (Winbond 25Q128JVSM).

С оперативной памятью ситуация поинтересней. Официально для hAP ac2 заявлено 128 МБ оперативной памяти. В то же время первые партии оснащаются чипами Nanya NT5CC128M16IP-DI на 256 МБ.

Конечному пользователю доступно 233 МБ. В Mikrotik данный факт подтвердили, но исправлять описание и характеристики для hAP ac^2 не будут, т.к. есть партии с 128 МБ. Кто-то из отдела логистики здорово накосячил.

Пока же нам не попалось ни одно устройство с 128 МБ, все проверенные нами экземпляры оснащались 256 МБ оперативной памяти.

Частично платформа hAP ac2 будет использована в RB450Gx4, правда за основу там взят IPQ-4019 с отключенными беспроводными интерфейсами. Стоимость платы будет почти вдвое выше, чем у тестируемого устройства. Взамен Mikrotik предлагает 1 ГБ оперативной памяти, 512 МБ NAND Flash, 5-й уровень лицензии и поддержку microSD.

Питание Микротик hAP lite

Это первое устройство с напряжением питания 5 В постоянного тока. Рекомендую обратить внимание на тот факт, что существует возможность использовать любой стандартный 0.5-2A USB адаптер, в том числе адаптеры от многих мобильных телефонов или планшетов. В экстренных ситуациях маршрутизатор может питаться от батареи Power Bank. Вот вам и мобильная точка доступа! Порт microUSB в данном устройстве не может быть использован для передачи данных!

Это крошечное устройство, с RouterOS на борту, вобрало в себя большую часть современных технологий по работе в сети.

Центральным элементом устройства является сетевой процессор QCA9531-BL3A-R с тактовой частотой 650МГц который работает в паре с 32 МБ ОЗУ. Данных возможностей хватает для обработки запросов от 2-3 человек.

Огромный функционал обеспечивается операционной системой RouterOS с 4 уровнем лицензии. Вот лишь часть функционала, поддерживаемая устройством:

• создание виртуальных локальных сетей VLAN и других современных сетевых технологий,
• организация шифрованных каналов VPN
• подключение к провайдерам сети Интернет с помощью PPPoE, DHCP, Static IP,
• поддержка технологии интеграции в единую беспроводную инфраструктуру благодаря технологии от Mikrotik — CAPsMAN,
• контроль и ограничение сетевого трафика,
• поддержка работы каждого порта как в режиме “коммутации”, так в режиме “маршрутизации”.

Это далеко не полный перечень возможностей оборудования с RouterOS на борту.

Производителность в режиме UPD

На текущий момент существует достаточно широкий набор возможностей по объединению удаленных сетей в единую вычислительную сеть. Из наиболее популярных инструментов – PPTP, L2TP, OpenVPN и IPsec.

Протокол PPTP самый старый и самый не безопасный, в то же время, как не странно, подавляющее число пользователей Mikrotik для удаленного подключения используют именно устаревший протокол pptp. В связи с тем, что данный протокол полностью устарел и даже в устройствах Apple прекращена его поддержка, тестировать данный протокол мы не будем.

Наиболее оптимальными протоколами можно назвать IPsec и OpenVPN.

IPsec – один из самых безопасных методов объединения сетей, который существует на сегодняшний день. Благодаря надежному шифрованию AES с поддержкой 128 и 256-битных ключей, данный протокол обеспечивает высочайшую надежность и конфиденциальность передаваемых данных, которые могут обладать критической важностью для бизнеса и государственных учреждений.

На сегодняшний день, даже используя мощности суперкомпьютеров, для расшифровки данных, зашифрованных при помощи AES, уйдут миллиарды лет. Минусы у данного метода также имеются – наличие внешних статических IP на обоих концах соединения и высокие требования к аппаратной платформе. В принципе, соединение IPsec возможно и между динамическими IP, правда в этом случае придется перенастраивать параметры при каждом изменении одного из адресов.

Более продвинутые устройства, такие как RB750Gr3, RB850Gx2 (снят с производства), RB450Gx4, RB3011, RB1100AHx2, RB1100AHx4 и CCR1009 способны обеспечить более высокую скорость при работе с IPsec. С появлением hAP ac2 этот список можно дополнить еще одной модельно, но обо всем по порядку.

Существует также возможность использования L2TP в связке с IPsec, основным преимуществом такого сочетания является высокая защищенность, быстрота и удобство настройки, а также большая лояльность к NAT на стороне конечного клиента. Из серьёзных недостатков данного варианта следует отметить очень высокие требования к аппаратной платформе, пожалуй, L2TP/IPsec – это самый требовательный протокол. Всему виной двойная инкапсуляция данных и необходимость шифрования.

Этих недостатков лишен протокол OpenVPN, в основе которого находится библиотека OpenSSL и протоколы SSL/TLS. Сам OVPN чрезвычайно гибкий в настройке и даже позволяет маскировать траффик под обычный HTTPS, делая возможным обход всевозможных ограничений со стороны провайдера. Как правило, OVPN работает быстрее IPsec и при этом поддерживает разнообразные алгоритмы шифрования, включая AES. Недостатки у данного метода все же имеются – более сложная настройка и высокие требования к железу (как и для IPsec).

Со своей стороны, для начала, мы проведем тестирование L2TP с штатным шифрованием MPPE 128-bit.

L2TP более надежен и безопасен на фоне протокола предыдущего поколения – PPTP. Настоятельно рекомендуем отказываться от использования PPTP в пользу более современных протоколов. Если у вас нет возможности и/или желания использовать OVPN/IPsec/L2TP IPsec, рекомендуем использовать L2TP/MPPE.

Основная рекомендация по повышению безопасности L2TP/MPPE – использование очень длинных паролей, состоящих из набора случайных букв (с разной раскладкой), цифр и спецсимволов. Использование «словарных» паролей не рекомендуется, поскольку L2TP/MPPE имеет ряд недочетов, позволяющих использовать словарные методы подбора пароля, что в итоге приводит к снижению защищенности 128-битного ключа, делая его эквивалентным 56-битному (подробнее). В любом случае, это намного лучше, нежели использование PPTP.

В качестве пары для hAP ac2 мы выбрали проверенную платформу CCR1009, а именно модель CCR1009-7G-1C-PC.

CCR1009-7G-1C-PC является самым доступным представителем линейки CCR, в распоряжении которого имеется мощный 9-ядерный процессор Tile Gx и 1 ГБ оперативной памяти. Подобное сочетание обеспечивает высокую производительность и способность обработать до 2.5 Гбит траффика IPsec.

В процессе тестирования дополнительно проверялась стабильность работы и надежность при высоких нагрузках, данные производительности указаны для пользовательского траффика (полезный траффик), в расчет взята усредненная выборка. Пиковые значения производительности в расчет усредненного показателя не берутся, если их продолжительность менее 30 сек.

По обе стороны в качестве генераторов траффика используются ПК с iperf, что дает более достоверные значения и гибкость, нежели встроенный BTest.

• CCR1009 – WAN IP 192.168.106.20 / VPN 10.0.0.1 / LAN 192.168.1.0

• hAP ac2 – WAN IP 192.168.106.30 / VPN 10.0.0.2 / LAN 192.168.2.0

Для CCR1009 использовалась ручная конфигурация, аналогичная defconf на низкоуровневых устройствах. В качестве WAN используется ETH1 (не Combo), стандартные правила Firewall, дополнительно открыт порт 1701.

За основу конфигурации L2TP Server взят стандартный профиль с шифрованием, MTU изменениям не подвергался, дополнительно активирована опция «Allow Fast Path».

Все устаревшие методы аутентификации MSCHAP1, CHAP и PAP отключены, активен только MSCHAP2 (MS-CHAPv2).

В современных реалиях сжатие лучше не использовать для достижения максимальной производительности.

На стороне клиента настройки аналогичны, используется профиль по-умолчанию с шифрованием, а также опция «Allow Fast Path».

Маршрутизация в удаленную сеть обеспечивается статическим маршрутом в сочетании с NAT masquerade, default route не используется.

На обоих устройствах в Firewall настроен fasttrack connection для соединений established и related.

На выходе имеем классическое объединение 2 сетей на базе L2TP/MPPE

Максимальная загрузка ресурсов CCR1009 во время всех тестов не превышала 3%.

В зависимости от направления траффика и конфигурации, CCR загружает 1 ядро, либо распределяет вычисления между всеми 9 ядрами. К примеру, при отправке данных из CCR, задействуется 1 ядро, в то время как при получении для расшифровки все ядра загружаются равномерно.

Дополнительно мы проверили производительность hAP ac^2 для протокола UDP. В силу своих особенностей, при использовании протокола UDP, hAP ac^2 должен обеспечивать куда большую пропускную способность. Посмотрим, какой эта разница будет на практике.

Все настройки оставляем без изменений, меняем лишь протокол в тестовом ПО.

В режиме Download (прием) hAP ac^2 способен обработать 305 Мбит.

Из приложенных скриншотов видно, что на WAN приходит более 400 Мбит, в то время как на выходе интерфейса l2tp видно только 300 Мбит – оставшийся траффик ac^2 попросту не обработал, либо ему не хватило ресурсов, либо плохой уровень оптимизации RouterOS под платформу ARM.

В очередной раз наблюдаем картину, когда у IPQ-4018 загружено всего одно ядро, в то время как CCR1009 распределяет нагрузку.

Далее повторяем тест для Upload (отправка) и получаем 225 Мбит. Что интересно, на этот раз CCR1009 использует всего 1 ядро.

Опытным путем установлено, что при 700 Мбит UDP наступает DOS, иными словами, отказ в обслуживании – сервис winbox и www перестают быть доступными, прекращается доступ к Интернет. При этом траффик через VPN продолжает проходить с прежней скоростью. После отключения нагрузки работоспособность системы полностью восстанавливается.

Беспроводный модуль устройства RB941

• поддерживает частотный диапазон 2,4 ГГц;
• возможные протоколы передачи данных: 802.11 b,  802.11 g и 802.11 n;
• мощность передающей антенны составляет до 22 дБм;
• коэффициент усиления двух внутренних антенн до 1.5dbi;
• скорость приема/передачи данных составляет до 300 МБит/сек благодаря поддержке технологии MIMO 2х2.

Передача данных	Мощность передатчика (TX)	Чувствительность приёма (RX)
MCS0	20 dBm	-93 dBm
MCS7	16 dBm	-71 dBm
1 Mbit/s	22 dBm	-96 dBm
11 Mbit/s	22 dBm	-89 dBm
6 Mbit/s	20 dBm	-93 dBm
54 Mbit/s	18 dBm	-74 dBm

К сожалению, при выпуске устройства на рынок по такой привлекательной цене пришлось чем то жертвовать.

1. Отсутствует функция питания по сети Power-over-Ethernet POE (многие ли домашние пользователи знают, что это такое?!)
2. Беспроводная сеть Wi-Fi без 5 ГГц диапазона. Это уже существеннее, максимальную теоретическую производительность в 600 МБит/с для стандарта 802.11 n достичь не удастся.
3. Адаптер WiFi не настолько мощный, как того хотелось бы.

Обмен пакетаи по 1400 байта, режим TCP

Первый тест пропускной способности проводим для пакетов по 1400 байта.

Средняя производительность 1-поточного теста – 112 Мбит на прием и 128 Мбит на отправку.

При увеличении количества сессия до 10, скорость меняется на 111 и 170 Мбит, как видим, на отправку при увеличении количества сессий есть прибавка производительности.

Для Download (прием) особой прибавки нет, независимо от размера пакетов. Что интересно, во всех перечисленных случаях загрузка IPQ-4018 составила в среднем до 25%. Загружено всего 1 ядро, лишь изредка система выполняет разгрузку на остальных ядрах – в многопоточных режимах.

Дальнейший тест проводим для Upload (отправка) и увеличиваем количество сессий до 20 и 100, как итог, скорость возрастает до 201 и 235 Мбит соответственно.

Для дополнительного мониторинга во время тестов периодически использовался инструмент Tools – Profile, при помощи которого мы отслеживали распределение ресурсов и их загрузку.

Собственно в нем отчетливо видно, что при увеличении количества одновременных соединений, RouterOS, хоть и с перекосом, распределяет часть вычислений на остальные ядра. Вместе с ростом производительности, нагрузка на CPU возрастает до 35-45%.

Последний тест в данном блоке проводим для FDX (Full Duplex) с 10 встречными соединениями в каждую сторону, итого 10 10 сессий.

Как итог, общая пропускная способность составила 185 Мбит.

Обмен пакетаи по 1400 байта, режим TCP

Будет интересно взглянуть на производительность hAP ac^2 при уменьшении размера пакетов, ведь в итоге мы получаем больше служебных данных.

В однопоточном режиме производительность абсолютно не изменилась и составила 112 и 128 Мбит соответственно, загрузка CPU без изменений.

При тестировании в многопотоке для 10 соединений производительность также особо не изменилась – 111 и 167 Мбит.

При увеличении количества потоков на отправку до 20 имеем небольшой прирост – 220 Мбит (против 201 Мбит для 1400 байт).

Для 100 потоков на отправку, а также в режиме FDX 10 10 имеем прежние значения – 235 и 185 Мбит.

Завершающий тест в режиме TCP проводим для небольших пакетов по 64 байта.

В режиме однопотоковой передачи данных hAP ac^2 обеспечивает 79 и 109 Мбит на прием и отправку соответственно.

При увеличении количества соединений до 10, скорость увеличивается до 108 и 166 Мбит соответственно.

Для 20 и 100 потоков на отправку имеем еще большую пропускную способность – 181 и 188 Мбит.

А вот в режиме FDX 10 10 все, как и в предыдущих тестах, без изменений, те самые 185 Мбит.

Различие межу TCP и UDP

Многие пользователи часто задают вопрос о том, каково различие между протоколами TCP и UDP.

Говоря простыми словами, протокол TCP предусматривает установку соединения и получение ответа про успешное получение пакета, чем достигается контроль целостности передаваемых данных.

Протокол UDP позволяет отправлять данные без установки соединения и ожидания подтверждения о доставке, при этом целостность данных не гарантируется. Служебных данных меньше, не нужно ждать ответа, чем и достигается рост пропускной способности.

Примером траффика TCP служит HTTP, FTP, SSH, работа с почтой. Примером UDP-траффика является потоковое видео, VoIP, часть траффика онлайн-игр.

Чуть ниже предлагаем вашему вниманию сводную диаграмму производительности для L2TP/MPPE.

В заключение

Несмотря на поддержку 802.11ac Wave 2 со стороны чипа, в самой RouterOS в ближайшее время поддержки MU-MIMO ожидать не стоит. Продукт новый и компании еще предстоит произвести оптимизацию ROS под новую аппаратную платформу. В обновлении RouterOS 6.42.2 уже частично произведены оптимизации IPsec и работа беспроводного модуля 5 ГГц.

В целом, устройство получилось весьма сбалансированным и функциональным. За свою цену hAP ac^2 предлагает производительное решение, способное без проблем прокачать «гигабит» NAT или PPPoE (~900 Мбит). В отличие от hEX, новинка предлагает полноценный встроенный Dual-Band, а для многих клиентов это был единственный фактор, который воздерживал от покупки RB750Gr3.

Говоря о производительности L2TP/MPPE, основная проблема состоит в отсутствии поддержки аппаратного шифрования по алгоритму RSA RC4, что и приводит к таким результатам. Без MPPE новинка способна прокачать 850-900 Мбит L2TP в однопоточном режиме.

В дальнейшем мы планируем провести дополнительные тесты, к примеру, для IPsec и Wi-Fi, пишите в комментариях, какие тесты вам бы хотелось увидеть.