Тестирование Mikrotik hAP ac2 (RBD52G-5HacD2HnD-TC): производительность NAT, PPPoE, L2TP+MPPE, L2TP+IPsec, чистый L2TP и IPsec

Со своей стороны, хотел бы поблагодарить компанию Network Toolsза хорошую скидку и быструю поставку новинок. Один hAP ac2 я заказал для своего друга в магазин, устройство будет использоваться в качестве главного шлюза, на нем же будет настроен и запущен HotSpot, а в дальнейшем, вероятно и сервер L2TP+IPsec для объединения нескольких магазинов в единую сеть. Еще один hAP ac2 я решил прикупить для себя — для тестов других роутеров и последующей замены домашнего RB951Ui-2HnD.

Особо меня порадовал тот факт, что оба устройства мне попались из партий с 233 МБ оперативной памяти. Если кто не в курсе, официально RBD52G-5HacD2HnD-T оснащен 128 МБ оперативной памяти, в то же время на официальном форуме некоторые клиенты сообщают об устройствах, которые попадаются с объемом 256 МБ. Представители Mikrotik официально подтвердили факт наличия партий с разным объемом.

Новинка весьма ожидаемая, поэтому свой обзор hAP ac2 я начну не в стандартной последовательности, а с теста реальной производительности.
Перед тем как вы продолжите прочтение, добавлю небольшое пояснение. Все тестовые сессии настроены на вывод усредненных значений производительности за интервалы в 30 сек., а приведенные скриншоты относятся к главному устройству, работающему в режиме сервера.

Производительность NAT это не что иное, как производительность устройства при работе в режиме маршрутизатора с обычным подключением к провайдеру по DHCP, без пользовательской авторизации по логину и паролю.
Для выполнения данного теста достаточно всего 1 маршрутизатор, первый тестовый ПК располагается в локальной сети роутера, второй тестовый ПК — в сети, куда подключен WAN.
При таком сценарии используются правила Firewall и маскарадинг траффика, сами же пользователи в локальной сети выходят в интернет под единым IP-адресом. Это краткое пояснение для тех, кто вдруг не знает, что такое NAT.
Все тесты выполнены на актуальной версии RouterOS 6.42, в качестве тестового программного обеспечения — jperf 2.0.2 (iperf с GUI).
Для лучшего понимания цифр, вашему вниманию предлагается сводный график производительности NAT.
Как вы можете видеть, на графиках есть тесты как с Fast Path, так и без него. Для тех, кто не знаком с Fast Path, кратко поясню. FP реализует специальный механизм, при котором часть пакетов пересылаются напрямую, без обработки ядром операционной системы, а значит и процессором. Чем-то Fast Path напоминает аппаратную разгрузку (Hardware Offload). Путать эти понятия, конечно же, не стоит, поскольку аппаратная разгрузка базируется на возможностях аппаратной платформы — специальных блоках ускорения, заточенных на обработку определенных задач. К примеру, у некоторых чипов есть аппаратный NAT, позволяющий обрабатывать даже 2 Гбит без использования вычислительных ресурсов. Обратная сторона медали в том, что операционная система должна «уметь» использовать аппаратный Offload, без этого никак.
Преимущество Fast Path как-раз в том, что он не завязан на аппаратную платформу и является универсальным решением для всех устройств Mikrotik, независимо от платформы.

При использовании Fast Path, hAP ac2 способен обеспечить до 935 Мбит на прием или 945 Мбит на отправку. Скорость приема ниже по той причине, что входящий трафик всегда проходит более строгую проверку в Firewall.

Это легко проверить, если отключить Fast Path (правило fasttrack в Firewall) — скорость приема сразу падает до 580 Мбит, в то время как на отправку скорость не меняется — 945 Мбит.

Также можно заметить, что после отключения fasttrack, траффик начинает обрабатывать процессор, это видно в уровне загрузки ресурсов. И тут сказывается плохая оптимизация RouterOS под многоядерность — ресурсы процессора загружены на 25%, по факту загружено только 1 вычислительное ядро из 4. Иногда, ситуацию можно частично исправить распараллеливанием соединений.
Также 2 ядра будут работать там, где одновременно есть входящий и исходящий траффик (дуплекс, FDX), это мы и видим в загрузке ресурсов до 50% с отключенным Fast Track.

В дуплексе hAP ac2 порадует своих владельцев производительностью на уровне 1100−1350 Мбит/сек, это не Realtek с потолком в 900 Мбит.

Ранее производительность PPPoE я уже тестировал на netis N1, причем тестировал именно в связке с RBD52G-5HacD2HnD-TC. Посмотрим, насколько более дорогой Mikrotik за $ 70 сможет обыграть netis за $ 40.
Микротиковский Fast Path играет в такой конфигурации не последнюю роль, высвобождая ресурсы чипа для обработки траффика PPPoE.

hAP ac2 с легкостью обеспечивает до 930 Мбит на прием либо 945 Мбит на отправку, а в дуплексе можно рассчитывать на общую пропускную способность в 1200 Мбит.

Если же отключить Fast Path, производительность падает, 580 Мбит на прием либо 450 Мбит на отправку. В сравнении с NAT, дуплексная производительность без Fast Path падает очень сильно – до 500 Мбит.

В остальном же, падение производительности в сравнении с обычным NAT практически незаметное.

Протокол L2TP морально устарел, не говоря уже о PPTP, который я тестировать не стал вообще. Тем не менее, многие пользователи используют L2TP для организации удаленных подключений.

Если вы используете L2TP, используйте его только с mschap2, потому как mschap, chap и pap разработаны во времена динозавров. Но даже при максимальной обвязке с шифрованием MPPE 128-bit, протокол L2TP не самый надежный и безопасный. Имея достаточный объем знаний, траффик может быть перехвачен и расшифрован злоумышленником.
Тем не менее, L2TP+MPPE будет в обиходе еще долгое время, до того момента, пока есть устройства, не поддерживающие более современные туннельные протоколы.

По этой причине я и провел тест производительности для L2TP+MPP. Использование Fast Path в данном случае «до фонаря», т.к. чип не поддерживает аппаратное шифрование для древнего MPPE и все операции выполняются непосредственно вычислительным блоком. Если добавить к этому не лучшую многоядерность RouterOS, на выходе получаем… 115 Мбит, независимо от сценария использования.

Загружено всего 1 ядро, что составляет 25% от вычислительной мощности чипа IPQ-4018 (4019). Реальные 155 Мбит в дуплексе с 20 одновременными потоками это не то чтобы мало, это очень мало.

Для сравнения, давайте посмотрим, на что способен IPQ-4018 в связке с RouterOS, если отключить шифрование MMPE.
920 Мбит на прием либо 880 Мбит на отправку, в дуплексе и вовсе 1350 Мбит реальных пользовательских данных.

Залог успеха все тот же Fast Path, при его отключении скорость падает до 545, 305 и 670 Мбит соответственно. Увеличение количества потоков до 10 скорость не увеличивает, а наоборот, уменьшает.

Пожалуй, одно из самых интересных сочетаний. Почему? Для объединения нескольких офисов и удаленного подключения к рабочему месту вам будет достаточно только 1 статического IP, непосредственно для VPN-сервера.

Подключаемые клиенты могут не просто иметь динамический IP, но и вовсе находиться на NAT провайдера. Для инициализации подключения L2TP использует порт 1701, 500-й порт используется в связке с IPsec для обмена ключами, а порт 4500 используется для обхода NAT.

Производительность не сильно то и радует — 70 Мбит на прием либо 85 Мбит на отправку. В дуплексе тоже не густо, чуть более 100 Мбит.

Недостаток связки L2TP + IPsec состоит в двойной инкапсуляции. По сути, L2TP служит в качестве небезопасного транспортного туннеля, обеспечивающего удобную транспортировку траффика из точки, А в точку Б. Чем удобна транспортировка внутри L2TP? Тем, что нет нужды менять конфигурацию IPsec при смене WAN IP на любой из точек. Впрочем, вопрос решаем с помощью скриптов и планировщика.

После избавления от обертки в виде L2TP, производительность канала возрастает — до 100 Мбит на прием либо отправку и до 145 Мбит в дуплексе. Если же использовать 10 потоков, потолок производительности составит 180 Мбит при дуплексной передаче данных.
Сами Mikrotik рисуют совсем иную картину, согласно которой оба устройства примерно равны по производительности IPsec и обеспечивают достаточно высокую производительность IPsec.

Говоря о hEX, я тестировал на нем IPsec, и абсолютно уверенно могу говорить о том, что без оптимизаций из него можно выжать до 200 Мбит на прием/отправку и до 330 Мбит в дуплексе. Все это без каких-либо оптимизаций. Заявленные Mikrotik 470 Мбит возможны исключительно в случае оптимизации пакетов.

hAP ac2 после hEX (RB750Gr3) в плане IPsec выглядит заметно слабее, хотя настройки я использовал прежние.

Устройство в целом понравилось по части производительности, хотя многоядерность в RouterOS сырая, это факт. Да и под IPQ-4018, судя по всему, RouterOS будут допиливать, уж слишком много устройств анонсировано на данном чипе.
Как для сценария с NAT либо PPPoE — hAP ac2 очень годный вариант. А вот IPsec в устройстве немного разочаровал, будем ждать улучшений и оптимизаций.

Производительность Wi-Fi будет описана в рамках отдельной публикации, а на сегодня это все, следите за обновлениями.