Помощь проекту


Тестирование Mikrotik hAP ac2 (RBD52G-5HacD2HnD-TC): производительность NAT, PPPoE, L2TP+MPPE, L2TP+IPsec, чистый L2TP и IPsec

23 апрель 2018 5 927 9
Тот, кто следит за анонсами Mikrotik и моими публикациями, несомненно, должен знать о такой долгожданной новинке как Mikrotik hAP ac2.

Собственно выход hAP ac2, компания Mikrotik анонсировала не так давно – в январе этого года. Готовые устройства были представлены в рамках MUM Europe 2018. В Украине новинки уже есть в наличии по рекомендуемой цене в $69.

Со своей стороны, хотел бы поблагодарить компанию Network Tools за хорошую скидку и быструю поставку новинок. Один hAP ac2 я заказал для своего друга в магазин, устройство будет использоваться в качестве главного шлюза, на нем же будет настроен и запущен HotSpot, а в дальнейшем, вероятно и сервер L2TP+IPsec для объединения нескольких магазинов в единую сеть.

Еще один hAP ac2 я решил прикупить для себя – для тестов других роутеров и последующей замены домашнего RB951Ui-2HnD.
Особо меня порадовал тот факт, что оба устройства мне попались из партий с 233 МБ оперативной памяти. Если кто не в курсе, официально RBD52G-5HacD2HnD-TC оснащен 128 МБ оперативной памяти, в то же время на официальном форуме некоторые клиенты сообщают об устройствах, которые попадаются с объемом 256 МБ. Представители Mikrotik официально подтвердили факт наличия партий с разным объемом.

Новинка весьма ожидаемая, поэтому свой обзор hAP ac2 я начну не в стандартной последовательности, а с теста реальной производительности.

Перед тем как вы продолжите прочтение, добавлю небольшое пояснение. Все тестовые сессии настроены на вывод усредненных значений производительности за интервалы в 30 сек., а приведенные скриншоты относятся к главному устройству, работающему в режиме сервера.

Производительность NAT

Производительность NAT это не что иное, как производительность устройства при работе в режиме маршрутизатора с обычным подключением к провайдеру по DHCP, без пользовательской авторизации по логину и паролю.

Для выполнения данного теста достаточно всего 1 маршрутизатор, первый тестовый ПК располагается в локальной сети роутера, второй тестовый ПК – в сети, куда подключен WAN.

При таком сценарии используются правила Firewall и маскарадинг траффика, сами же пользователи в локальной сети выходят в интернет под единым IP-адресом. Это краткое пояснение для тех, кто вдруг не знает, что такое NAT.

Все тесты выполнены на актуальной версии RouterOS 6.42, в качестве тестового программного обеспечения – jperf 2.0.2 (iperf с GUI).
Для лучшего понимания цифр, вашему вниманию предлагается сводный график производительности NAT.

Как вы можете видеть, на графиках есть тесты как с Fast Path, так и без него. Для тех, кто не знаком с Fast Path, кратко поясню. FP реализует специальный механизм, при котором часть пакетов пересылаются напрямую, без обработки ядром операционной системы, а значит и процессором. Чем-то Fast Path напоминает аппаратную разгрузку (Hardware Offload). Путать эти понятия, конечно же, не стоит, поскольку аппаратная разгрузка базируется на возможностях аппаратной платформы – специальных блоках ускорения, заточенных на обработку определенных задач. К примеру, у некоторых чипов есть аппаратный NAT, позволяющий обрабатывать даже 2 Гбит без использования вычислительных ресурсов. Обратная сторона медали в том, что операционная система должна «уметь» использовать аппаратный Offload, без этого никак.

Преимущество Fast Path как-раз в том, что он не завязан на аппаратную платформу и является универсальным решением для всех устройств Mikrotik, независимо от платформы.

При использовании Fast Path, hAP ac2 способен обеспечить до 935 Мбит на прием или 945 Мбит на отправку. Скорость приема ниже по той причине, что входящий трафик всегда проходит более строгую проверку в Firewall.

Это легко проверить, если отключить Fast Path (правило fasttrack в Firewall) – скорость приема сразу падает до 580 Мбит, в то время как на отправку скорость не меняется – 945 Мбит.

Также можно заметить, что после отключения fasttrack, траффик начинает обрабатывать процессор, это видно в уровне загрузки ресурсов. И тут сказывается плохая оптимизация RouterOS под многоядерность – ресурсы процессора загружены на 25%, по факту загружено только 1 вычислительное ядро из 4. Иногда, ситуацию можно частично исправить распараллеливанием соединений.

Также 2 ядра будут работать там, где одновременно есть входящий и исходящий траффик (дуплекс, FDX), это мы и видим в загрузке ресурсов до 50% с отключенным Fast Track.

В дуплексе hAP ac2 порадует своих владельцев производительностью на уровне 1100-1350 Мбит/сек, это не Realtek с потолком в 900 Мбит.

Производительность PPPoE

Ранее производительность PPPoE я уже тестировал на netis N1, причем тестировал именно в связке с RBD52G-5HacD2HnD-TC. Посмотрим, насколько более дорогой Mikrotik за $70 сможет обыграть netis за $40.

Микротиковский Fast Path играет в такой конфигурации не последнюю роль, высвобождая ресурсы чипа для обработки траффика PPPoE.

hAP ac2 с легкостью обеспечивает до 930 Мбит на прием либо 945 Мбит на отправку, а в дуплексе можно рассчитывать на общую пропускную способность в 1200 Мбит.

Если же отключить Fast Path, производительность падает, 580 Мбит на прием либо 450 Мбит на отправку. В сравнении с NAT, дуплексная производительность без Fast Path падает очень сильно – до 500 Мбит.

В остальном же, падение производительности в сравнении с обычным NAT практически незаметное.

Производительность hAP ac2 при работе с L2TP+MPPE

Протокол L2TP морально устарел, не говоря уже о PPTP, который я тестировать не стал вообще. Тем не менее, многие пользователи используют L2TP для организации удаленных подключений.

Если вы используете L2TP, используйте его только с mschap2, потому как mschap, chap и pap разработаны во времена динозавров. Но даже при максимальной обвязке с шифрованием MPPE 128-bit, протокол L2TP не самый надежный и безопасный. Имея достаточный объем знаний, траффик может быть перехвачен и расшифрован злоумышленником.

Тем не менее, L2TP+MPPE будет в обиходе еще долгое время, до того момента, пока есть устройства, не поддерживающие более современные туннельные протоколы.

По этой причине я и провел тест производительности для L2TP+MPP. Использование Fast Path в данном случае «до фонаря», т.к. чип не поддерживает аппаратное шифрование для древнего MPPE и все операции выполняются непосредственно вычислительным блоком. Если добавить к этому не лучшую многоядерность RouterOS, на выходе получаем… 115 Мбит, независимо от сценария использования.

Загружено всего 1 ядро, что составляет 25% от вычислительной мощности чипа IPQ-4018 (4019). Реальные 155 Мбит в дуплексе с 20 одновременными потоками это не то чтобы мало, это очень мало.

Производительность hAP ac2 при работе с L2TP без шифрования

Для сравнения, давайте посмотрим, на что способен IPQ-4018 в связке с RouterOS, если отключить шифрование MMPE.
920 Мбит на прием либо 880 Мбит на отправку, в дуплексе и вовсе 1350 Мбит реальных пользовательских данных.

Залог успеха все тот же Fast Path, при его отключении скорость падает до 545, 305 и 670 Мбит соответственно. Увеличение количества потоков до 10 скорость не увеличивает, а наоборот, уменьшает.

Производительность hAP ac2 при работе с L2TP+IPsec

Пожалуй, одно из самых интересных сочетаний. Почему? Для объединения нескольких офисов и удаленного подключения к рабочему месту вам будет достаточно только 1 статического IP, непосредственно для VPN-сервера.

Подключаемые клиенты могут не просто иметь динамический IP, но и вовсе находиться на NAT провайдера. Для инициализации подключения L2TP использует порт 1701, 500-й порт используется в связке с IPsec для обмена ключами, а порт 4500 используется для обхода NAT.

Производительность не сильно то и радует – 70 Мбит на прием либо 85 Мбит на отправку. В дуплексе тоже не густо, чуть более 100 Мбит.

Производительность hAP ac2 при работе с чистым IPsec, шифрование AES-128 и AES-256

Недостаток связки L2TP + IPsec состоит в двойной инкапсуляции. По сути, L2TP служит в качестве небезопасного транспортного туннеля, обеспечивающего удобную транспортировку траффика из точки А в точку Б. Чем удобна транспортировка внутри L2TP? Тем, что нет нужды менять конфигурацию IPsec при смене WAN IP на любой из точек. Впрочем, вопрос решаем с помощью скриптов и планировщика.

После избавления от обертки в виде L2TP, производительность канала возрастает – до 100 Мбит на прием либо отправку и до 145 Мбит в дуплексе. Если же использовать 10 потоков, потолок производительности составит 180 Мбит при дуплексной передаче данных.
Сами Mikrotik рисуют совсем иную картину, согласно которой оба устройства примерно равны по производительности IPsec и обеспечивают достаточно высокую производительность IPsec.

Говоря о hEX, я тестировал на нем IPsec, и абсолютно уверенно могу говорить о том, что без оптимизаций из него можно выжать до 200 Мбит на прием/отправку и до 330 Мбит в дуплексе. Все это без каких-либо оптимизаций. Заявленные Mikrotik 470 Мбит возможны исключительно в случае оптимизации пакетов.

hAP ac2 после hEX (RB750Gr3) в плане IPsec выглядит заметно слабее, хотя настройки я использовал прежние.

В заключение

Устройство в целом понравилось по части производительности, хотя многоядерность в RouterOS сырая, это факт. Да и под IPQ-4018, судя по всему, RouterOS будут допиливать, уж слишком много устройств анонсировано на данном чипе.

Как для сценария с NAT либо PPPoE – hAP ac2 очень годный вариант. А вот IPsec в устройстве немного разочаровал, будем ждать улучшений и оптимизаций.

Производительность Wi-Fi будет описана в рамках отдельной публикации, а на сегодня это все, следите за обновлениями.

Видеокурс «Настройка оборудования MikroTik» (аналог MTCNA)

Учитесь работать с MikroTik? Рекомендую видеокурс «Настройка оборудования MikroTik». В курсе разобраны все темы из официальной учебной программы MTCNA и много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Консультации по заданиям курса ведет его автор Дмитрий Скоромнов. Подойдет и для первого знакомства с оборудованием MikroTik, и для систематизации знаний опытным специалистам.

Интернет-магазин ntools.com.ua

Комментарии:

Добавить
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent
  1. DmitryAVET
    DmitryAVET Создатель 25 мая 2018 10:40
    + 0 -
    В версиях RouterOS 6.42.2 и 6.42.3 проведены оптимизации Wi-Fi для hAP ac^2

    6.42.3 (2018-May-24 09:20):
    *) wireless - increased stability on hAP ac^2 and cAP ac with legacy data rates;

    6.42.2 (2018-May-17 09:20):
    *) wireless - improved wireless throughput on hAP ac^2 and cAP ac;
  2. freewalker
    freewalker Посетители 5 мая 2018 13:33
    + 0 -
    Уважаемый автор,
    в разделе "Производительность NAT" в 5м абзаце идет речь о FastPath. Может такое быть, что Вы имели ввиду в конкретном случае именно FastTrack, а не FastPass? Это вопрос касательно правильного понимания технологий этих двух технологий. Спасибо.
    1. DmitryAVET
      DmitryAVET Создатель 5 мая 2018 13:51
      + 0 -
      Fast Path - Общий термин, включающий в себя в том числе IPv4 FastTrack. Даже Mikrotik в тестах использует термин Fast Path. В конкретном случае отключалось правило Firewall FastTrack.

      Именно "Fast Path" как опция, доступна к примеру для L2TP Server. Во время тестов я её не отключал, отключалось исключительно правило fasttrack, потому как зачастую пользователи не трогают прочие опции l2TP, а вот fasttrack активен не у всех, да и там есть тонкости работы, к примеру, с queues.

      Официальная документация:
      1) Manual: Fast Path
      2) Manual: IP/Fastpath
      3) RBD52G-5HacD2HnD-TC test results
      1. freewalker
        freewalker Посетители 6 мая 2018 20:17
        + 0 -
        Спасибо!
        С нетерпением жду результатов тестирования беспроводной сети.
        Удачи!
        1. DmitryAVET
          DmitryAVET Создатель 6 мая 2018 20:41
          + 0 -
          Есть проблема с Download, в RC6 её пофиксили, так что пока жду, пока перенесут в Current.
  3. Леопард
    Леопард Гости 30 апреля 2018 21:21
    + 0 -
    Так если l2tp/ipsec так устарели как пишется, что же тогда стоит сегодня использовать для site-2-site vpn как с белыми ip так и без?
    1. DmitryAVET
      DmitryAVET Создатель 30 апреля 2018 21:51
      + +1 -
      Устарел PPTP и L2TP+MPPE
  4. Vitaliy Pavlov
    Vitaliy Pavlov Посетители 29 апреля 2018 12:38
    + +1 -
    Отличная долгожданная статья! Спасибо! Жаль не было в тесте теста SSTP VPN...
    1. DmitryAVET
      DmitryAVET Создатель 29 апреля 2018 14:36
      + 0 -
      Тестировал то, с чем работал. За исключением разве что PPTP, с ним работал, но его не тестировал. Да и если честно, ну уж очень много времени уходить на все...

Подробный обзор маршрутизатора netis N1. Часть 2: производительность NAT,

Продолжаем знакомство с беспроводным маршрутизатором netis N1. В первой части я уже расписывал характеристики устройства, его внешний вид и...

Mikrotik представили новое оборудование на MUM Europe 2018: расширение

В рамках очередной конференции MUM Europe 2018, компания Mikrotik анонсировала несколько новинок. Предлагаю вашему вниманию запись со всех...

Обзор и тестирование hAP ac lite (RB952Ui-5ac2nD) от Mikrotik: 802.11ac в массы!

В первом квартале 2015-го компания Mikrotik анонсировала выход маршрутизатора hAP lite, а также огласила свои планы по расширению модельного ряда...

Обзор маршрутизатора Mikrotik hAP (RB951Ui-2nD): золотая середина

27 марта, на конференции Mikrotik User Meeting 2015 (MUM 2015) в Праге, компания Mikrotik не только представила hAP lite (RB941-2nD), но и огласила...

Объединение локальных сетей и офисов на Mikrotik с помощью L2TP

Одна из самых распространенных задач – объединение удаленных сетей, например, территориально удаленных офисов. Одним из наиболее простых вариантов...

Mikrotik расширяет линейку домашних роутеров: в 3-м квартале компания выпустит

Сегодня, 27 марта, в Праге (Чехия) проходит конференция MUM 2015 (MikroTik User Meeting). На конференции разработчиками был представлен Mikrotik hAP...


авторизация на сайте

Войти при помощи Вконтакте Войти при помощи Facebook Войти при помощи Google+ Войти при помощи Яндекс
Забыли пароль?