Порівняння MikroTik hEX refresh vs MikroTik hEX S

Спосіб з'єднання маршрутизатора з Інтернетом або іншою зовнішньою мережею.

Практично всі сучасні маршрутизатори мають з цією метою мережні роз'єми Ethernet, проте, крім них, можуть передбачатися й інші варіанти підключення — як дротові ( DSL, оптика SFP/SFP+), і бездротові (мобільний доступ через 3G/4G модем чи SIM-карту). Ось особливості кожного варіанта:

- Ethernet. Стандартний роз'єм під мережевий кабель LAN ("вита пара") - найпопулярніший сучасний формат проводового підключення в комп'ютерних мережах. Широко використовується як у «локалках», наприклад і для надання доступу до Інтернету. Цей стандарт дещо поступається SFP/SFP+ (див. нижче) за швидкістю і схибленістю, зате обходиться значно дешевше. Швидкість роботи в сучасних версіях Ethernet може досягати 10 Гбіт/с (див. «Швидкість підключення WAN-портів»), теоретично можливе і подальше збільшення пропускної спроможності.

- SFP/SFP+ (оптика). Роз'єм для передачі мережевого трафіку оптоволоконним кабелем. Головна перевага такого кабелю - повна нечутливість до електромагнітних перешкод. А швидкості передачі можуть досягати 2,7 Гбіт/с в оригінальному SFP і 16 Гбіт/с в SFP+. У той же час підтримка цього стандарту коштує недешево, а згадані переваги на практиці потрібні не наприклад часто. Тому SFP/SFP+ зустрі...чається переважно в маршрутизаторах середнього та топового рівня.

- DSL. Підключення, що забезпечує вихід в Інтернет через дротову телефонну мережу за рахунок технологій ADSL, VDSL тощо. При цьому Інтернет та телефонний зв'язок працюють незалежно і не заважають один одному. Однак таке підключення поступається проводовому Ethernet за швидкістю та функціоналом. Тому в наш час DSL поступово «сходить зі сцени», та обладнання під цю технологію на ринку небагато.

- 3G/4G-модем (USB). З'єднання з Інтернетом через мобільну мережу за допомогою окремого модему 3G або 4G зв'язку, що підключається до USB-порту. Така можливість може стати в нагоді там, де немає повноцінного проводового підключення (наприклад, у сільській місцевості), а також як запасний варіант у разі відмови основного каналу зв'язку. А тип мережі, що підтримується, залежить переважно від використовуваного модему (сумісність роутера з різними моделями не завадить уточнити окремо, проте найчастіше з цим проблем немає). Що стосується конкретних видів мереж, то більшість 3G-модемів працюють у мережах UMTS (ті ж, що масово використовуються мобільними телефонами); швидкість передачі даних у таких мережах може досягати 75 Мбіт/с (втім, зазвичай вона значно нижча). Рідше зустрічаються 3G-модеми для мереж EV-DO на основі CDMA — цей стандарт має менші швидкості (до 14,7 Мбіт/с) і не таке широке покриття, як UMTS, однак і обладнання, і зв'язок можуть виявитися дешевше. А під позначенням "4G" мається на увазі лише один тип мереж - LTE; він забезпечує швидкість до 173 Мбіт/с, проте поширений негаразд широко, як 3G.

- SIM-картка. Ще один варіант підключення до Інтернету через мобільні мережі – власний слот під SIM-карту, передбачений у конструкції маршрутизатора. Цей варіант зручний тим, що для мобільного Інтернету не потрібно купувати додатковий пристрій (модем) – достатньо придбати SIM-картку оператора. З іншого боку, через вбудовані модулі мобільного зв'язку такі роутери самі по собі обходяться дорожче за аналоги під USB-модеми. До того ж можливості підключення в них обмежуються характеристиками модуля: наприклад, роутер для мереж 3G не зможе повноцінно використовувати мережі 4G (тоді як USB-модем зазвичай можна поміняти на більше просунутий). Як наслідок, цей варіант у сучасному устаткуванні зустрічається порівняно рідко.

Кількість оптичних мережевих портів стандарту SFP, передбачена у конструкції пристрою. Підкреслимо, що йдеться про «звичайні» SFP; дані SFP+, як правило, вказуються окремо.

Саме у свічах під маркуванням «SFP» зазвичай мається на увазі роз'єм під оптоволокно зі швидкістю підключення до 1 Гбіт/с. Формально це не наприклад багато, порівняно зі швидкостями RJ-45; однак цей формат підключення має низку переваг. Одним із головних є велика ефективна дальність: згаданий гігабітний стандарт працює з кабелем довжиною до 550 м, причому за мірками оптоволокна це ще дуже небагато. Щоправда, сам кабель чутливий до перегинів і потребує досить делікатного звернення; з іншого боку, він абсолютно несприйнятливий до електромагнітних перешкод. З іншого боку, в цілому формат SFP помітно менш популярний у мережному обладнанні, ніж RJ-45; тому і портів такого типу навіть у просунутих пристроях передбачається небагато ( 1 порт або 2 порти, рідше більше). Також варто враховувати, що можуть зустрічатися наприклад звані combo-роз'єми, що поєднують у собі SFP та RJ-45; наявність таких портів уточнюється у примітках, вони враховуються як із підрахунку RJ-45, і за підрахунку SFP.

Базові можливості маршрутизатора — тобто функції, безпосередньо пов'язані з роботою за основним призначенням. Найпоширенішими з таких функцій є DHCP-сервер, балансування навантаження, резервування каналу, перенаправлення портів, клонування МАС-адреси, підтримка VPN і DDNS. Ось докладний опис кожного пункту:

— DHCP-сервер. Функція, що спрощує присвоєння IP-адрес пристроїв, підключених до маршрутизатору. IP-адреса необхідний для коректної роботи в мережах TCP/IP (а це весь Інтернет і переважна більшість сучасних «локалок»). За наявності DHCP цей процес може здійснюватися повністю автоматично, що помітно спрощує життя» як користувачам, так і адміністраторам. Втім, адміністратор може задати додаткові параметри DHCP — наприклад, прописати діапазон доступних IP-адрес (для запобігання помилок) або обмежити час використання однієї адреси. При необхідності можна навіть вручну прописати конкретний адресу для кожного пристрою в мережі, без автоматичного додавання нових пристроїв — DHCP спрощує і таку процедуру, оскільки дозволяє проводити всі операції на маршрутизаторі, не копаючись у налаштуваннях кожного абонентського пристрою.

— Балансування навантаження. Функція, що зустрічається в моделях, що мають два і біл...ьш каналу підключення до Інтернету (й інших зовнішніх мереж); найчастіше це два і більше WAN-порту, проте зустрічається і інший варіант — один порт, доповнений підтримкою мобільних мереж 3G/4G. Хай там що, ідея балансування полягає в тому, щоб використовувати для зовнішнього підключення одночасно кількох каналів, розподіляючи між ними навантаження тим чи іншим способом. Це дозволяє підвищити ефективність підключення, досягнувши максимальних швидкостей обміну даними і водночас уникаючи непотрібних перевантажень. Приміром, канал для ігор по мережі можна відокремити від решти зв'язку, максимально зменшивши лаги і знизивши ймовірність збоїв. Що стосується розподілу навантаження, то воно може бути автоматичним (коли роутер сам визначає для кожного пристрою оптимальний канал, залежно від поточного споживання трафіку), так і ручним (коли для різних мережевих пристроїв, додатків або навіть видів трафіку прописуються конкретні канали).

— Резервування каналу. Ще одна функція, пов'язана з одночасним використанням декількох каналів підключення до Інтернету (або іншої зовнішньої мережі). В режимі резервування маршрутизатор постійно використовує для зовнішнього підключення основний канал (або декілька каналів), а при збоях на цьому каналі — автоматично перемикається на запасний (запасні). Це позбавляє адміністратора від необхідності вручну організовувати підключення при відмові основний зв'язку; а запасний канал працює тільки тоді, коли без нього не обійтися, що в деяких випадках дозволяє уникнути зайвих витрат. Характерний приклад роботи з резервуванням в побуті — використання дротового підключення до Інтернету як основного каналу і 3G/4G модем в якості запасного; хоча, зрозуміло, можливі й інші, більш специфічні варіанти.

— Перенаправлення портів. Можливість перенаправити трафік з власних портів маршрутизатора на адресу певного комп'ютера або іншого пристрою) в локальній мережі. Під час роботи в цьому режимі такий комп'ютер «зовні» буде виглядати як підключений до Інтернету, без роутера. Подібний режим може знадобитися для використання деяких специфічних функцій — наприклад, роботи в режимі HTTP-сервера або участі в P2P-мережах.

— Клонування МАС-адреси. Можливість скопіювати на маршрутизатор MAC-адресу однієї з підключених до нього пристроїв — таким чином, щоб при зверненні до маршрутизатора було видно саме адресу цього пристрою, а не самого маршрутизатора. MAC-адреса являє собою унікальний ідентифікатор, який присвоюється кожному пристрою з WAN-портом. А необхідність клонування цього ідентифікатора виникає через те, що деякі Інтернет-провайдери для аутентифікації користувачів використовують не тільки логін/пароль, але і MAC-адресу конкретного комп'ютера, підключеного до мережі безпосередньо. Якщо ж доповнити такий комп'ютер маршрутизатором, то обладнання провайдера побачить нове, незнайоме пристрій, і не дасть доступу до мережі. Клонування МАС-адрес дозволяє виправити таку ситуацію максимально швидко і просто.

— Підтримка VPN. Підтримка маршрутизатором функції VPN — віртуальних приватних мереж. Один з ключових принципів, що лежать в основі цієї функції — передача зашифрованих даних через відкриті мережі, перш за все Інтернет. А застосовується VPN переважно в двох форматах:

• Створення віртуальних мереж на основі Інтернет-підключення. Таким чином можна, наприклад, об'єднати в одну логічну мережу філії однієї компанії, що перебувають у різних містах або навіть країнах. При цьому шифрування трафіку вся мережа залишається закритою для сторонніх, хоча дані передаються по відкритим каналом. Для такого формату застосовуються переважно пристрої типу Firewall (див. «Тип»), при цьому такий пристрій фактично відіграє роль VPN-сервера.
• Підключення до Інтернету через зовнішній VPN-сервер. Функції такого сервера багато в чому аналогічні проксі: він є «посередником» в обмін трафіком і підміняє користувальницький IP-адреса власною адресою. Останнє, зокрема, дозволяє обходити регіональні обмеження: в наш час доступні сервера з IP-адресами, що належать практично до будь-якій країні світу. Однак VPN-сервер, на відміну від проксі, додатково шифрує трафік, що передається користувачеві — це, знову ж таки, позитивно позначається на безпеці і конфіденційності. Такий режим доступний і в звичайних маршрутизаторах.

Зазначимо, що підключення до VPN-сервера можна «підняти» і на окремих пристроях мережі (наприклад, через інструменти в деяких Інтернет-браузерах). Однак використання цієї функції на маршрутизаторі нерідко буває зручнішим: VPN досить налаштувати всього один раз, не потрібно морочитися з опціями для кожного окремого абонента, до того ж використовувати таке підключення можуть будь-які мережеві пристрої (включаючи ті, в яких немає власних інструментів для VPN). З іншого боку, швидкість з'єднання під час роботи через VPN може помітно падати, а вмикати і вимикати цю функцію на маршрутизаторі зазвичай складніше, ніж на користувацьких пристроях.

— DDNS. Скорочення від Dynamic DNS — «динамічний DNS». Ця функція дозволяє призначати постійне доменне ім'я пристрою з динамічним IP-адресою. Доменне ім'я — це назва пристрою в локальній мережі або адреса сайту в Інтернеті (наприклад, m.ua або e-katalog.ru). IP-адреса — це службова інформація у вигляді цифрового коду; саме завдяки їй мережеве обладнання може знайти потрібний пристрій і видати з нього необхідні дані. Власне, первинними мережевими «координатами» є саме IP; однак запам'ятовувати адреси у вигляді послідовності цифр досить важко, тому з'явилися доменні імена — вони набагато зручніше для людини. І в Інтернеті, і в локальних мережах за зв'язок між доменним іменем та ІР-адресою відповідають так звані DNS-сервери: для кожного домену в базі даних сервера прописаний свій IP. Однак з технічних причин часто виникають ситуації, коли маршрутизатора доводиться використовувати динамічний (змінний) IP; відповідно, щоб інформація була постійно доступна по одному і тому ж доменному імені, необхідно оновлювати дані на DNS-сервері з кожною зміною IP. Саме таке оновлення і забезпечує функція DDNS.

Модель процесора, встановленого у пристрої. Процесор відповідає за обробку мережного трафіку та роботу програмного забезпечення. Знаючи його назву, можна отримати більш розгорнуті дані про швидкісні можливості обладнання та зрозуміти, наскільки необхідний такий потужний або навпаки посередній елемент на борту. У нових моделях Wi-Fi обладнання нерідко встановлюються співпроцесори або звані NPU-модулі, які знімають навантаження з основного процесора.

Кількість тактів за секунду, яке видає процесор в штатному робочому режимі. Тактом називається окремий електричний імпульс, який використовується для обробки даних і синхронізації процесора з іншими компонентами комп'ютерної системи. Різні операції можуть вимагати як долей такту, так і кількох тактів, однак у будь-якому разі тактова частота є одним з основних параметрів, що характеризують продуктивність і швидкість роботи процесора — за інших рівних умов характеристиках процесор з більш високою тактовою частотою буде працювати швидше і краще справлятися зі значними навантаженнями.

Кількість оперативної пам'яті (RAM), передбачене у пристрої. Об'єм «оперативки» є одним із показників потужності апарату: чим він більший, тим вища швидкодія і тим краще пристрій справлятиметься з «важкими» завданнями.

Кількість пам'яті, виділена під роботу операційної системи на борту пристрою. У ній зберігається ОС та програма управління. Зазначимо, що Flash-пам'ять недоступна для використання кінцевого користувача.

Функції безпеки, що забезпечуються пристроєм. Серед найбільш поширених функцій цього роду — фільтрація MAC-адрес, web-вмісту, захист від DoS-атак, антивірус, антиспам, а також DMZ. Ось більш детальний опис по кожному пункту:

— Фільтрація MAC-адрес. Можливість обмежувати доступ до мережі для окремих пристроїв, використовуючи дані про їхні MAC-адреси. Нагадаємо, MAC-адреса — це унікальний ідентифікатор, який присвоюється кожному мережного пристрою. А дана функція дозволяє, наприклад, відкрити доступ в Інтернет тільки для окремих комп'ютерів в офісі, або ж обмежити підключення до закритої корпоративної мережі для пристроїв, які не належать до «білого списку».

— Захист від DoS-атак. Набір засобів (програмних, а іноді і апаратних) для захисту від DoS-атак. DoS (Denial Of Service — «відмова в обслуговуванні») у спрощеному вигляді можна описати як атаку комп'ютерної системи за допомогою величезної кількості запитів, з якою система не може впоратися; в результаті цього для звичайних користувачів доступ затруднюється або стає взагалі неможливим. Захист від таких атак може здійснюватися, зокрема, шляхом фільтрації підозрілих запитів або обмеження кількості відповідей на запити за одиницю часу. Втім, конкретний функціонал і особливості цього зах...исту варто уточнювати окремо.

— Фільтрація веб-вмісту. Дана функція дозволяє обмежити або повністю заборонити доступ локальних комп'ютерів до окремих веб-ресурсів. При цьому фільтрація може налаштовуватися за різними критеріям: за доменними іменами, за категоріями («дорослий» вміст, високе споживання трафіку, розважальна тематика тощо), за типом вмісту на сторінці (відео, великі зображення, певні, скрипти тощо) та іншим. Конкретні особливості фільтрації варто уточнювати окремо; проте в будь-якому разі дана функція дозволяє встановити додаткові правила доступу. Наприклад, з її допомогою можна закрити співробітникам в офісі доступ до сайтів, не пов'язаних з роботою, або включити батьківський фільтр в домашній мережі.

— Антивірус. Антивірус — інструмент для виявлення та нейтралізації шкідливих програм — встановлений прямо на маршрутизаторі. Використовується переважно для аналізу та фільтрації мережевого трафіку, при цьому багато антивірусів здатні працювати в двох напрямках — як вхідний, так і вихідний трафік. Це дозволяє не тільки захистити мережу від атак ззовні, але і виявляти вже заражені локальні пристрої і запобігати розсилці конфіденційної інформації, копій вірусу і інших небажаних даних. З іншого боку, ця функція збільшує навантаження на маршрутизатор і може помітно знизити швидкість підключення. Тому застосовувати антивірус на маршрутизаторі має сенс переважно в тих випадках, коли окремі пристрої в мережі захищені слабко (або взагалі не захищені), або ж якщо максимальний захист є принципово важливим. Також варто враховувати, що конкретні можливості антивірусу можуть бути різними, для кожної моделі їх варто уточнювати окремо.

— Антиспам. Вбудований набір інструментів, що дозволяє аналізувати поштовий трафік, який входить, на предмет небажаних повідомлень і автоматично фільтрувати повідомлення на рівні маршрутизатора, не пропускаючи далі. Це не тільки знижує навантаження на поштові системи в локальній мережі і полегшує фільтрацію пошти, але також позитивно позначається на безпеці: повідомлення з шкідливим вмістом просто не доходять до адресатів. Зазначимо, що, говорячи про антиспам, зазвичай мають на увазі захист для класичної електронної пошти; для інших засобів зв'язку (Viber, Telegram тощо) подібні інструменти з низки причин не застосовуються.

— DMZ. Абревіатура, яка розшифровується як «демілітаризована зона». Сама по собі ця функція дозволяє створити в локальній мережі сегмент, відкритий для зовнішнього доступу; в такому сегменті можуть розміщуватися, наприклад, Інтернет-сервіси компанії. У класичному вигляді DMZ відокремлена від іншої локальної мережі міжмережевим екраном, що забезпечує необхідну безпеку. Водночас в деяких маршрутизаторах під даним терміном може матися на увазі режим DMZ-host — свого роду «спрощена версія». Під час роботи в даному режимі відкритий для зовнішнього доступу сервер не відділений від локальної мережі, що спрощує налаштування, але знижує безпеку; тому DMZ-хост зустрічається переважно серед недорогих моделей, розрахованих на домашнє використання і малий бізнес.

Стандарт входу PoE, передбаченого у пристрої.

Сама по собі технологія PoE (Power over Ethernet) дає можливість передавати по мережному кабелю Ethernet не тільки дані, але і енергію для живлення мережевих пристроїв. А наявність входу PoE дає змогу самому маршрутизатору отримувати живлення таким способом. Зазначимо, що існують спеціальні пристрої - наприклад звані PoE-інжектори - що дозволяють додати у звичайний мережевий сигнал ще й живлення (тобто доповнити підтримкою PoE обладнання, яке спочатку не має такої функції).

Щодо стандартів PoE, то вони визначають як потужність живлення, наприклад і основні можливості за погодженням джерела живлення зі споживачем — той та інший мають підтримувати один стандарт, інакше нормальна робота буде неможливою. У цьому формати, мають маркування виду «802.3*», називають активними; їх загальною особливістю є те, що при підключенні навантаження джерело живлення спочатку «опитує» її, перевіряючи, чи відповідає пристрій, що живиться, вимогам відповідного стандарту, і якщо наприклад — то яку саме потужність потрібно на нього подавати. У пасивному стандарті такої функції немає. А ось докладний опис конкретних варіантів:

- 802.3at. Стандарт, спочатку випущений ще в 2009 році і відомий як PoE+, або PoE тип 2. Стандартна потужність живлення, що отримується на такій вхід - 25.5 Вт, з напругою від 42.5 до 57 В та струмом у парі до 600 мА.

- 802.3af/at. Дане маркування о...значає, що вхід PoE підтримує як описаний вище стандарт 802.3at, наприклад і раніше 802.3af (PoE тип 1). Другий формат помітно скромніший за можливостями: він передбачає потужність на вході живлення до 13 Вт, вхідна напруга 37 - 57 В і струм в парі проводів живлення до 350 мА. Незважаючи на "поважний вік", багато пристроїв з виходами живлення 802.3af все ще продовжують використовуватися в наш час; наприклад що і для входу живлення маршрутизатора сумісність із цим стандартом може виявитися зайвим. Зазначимо тільки, що 802.3af охоплює цілих чотири наприклад званих класу потужності (з 0 по 3), що відрізняються за конкретним числом ват на виході та вході. Так що при підключенні живлення від пристрою з цим стандартом PoE не завадить додатково уточнити сумісність класів потужності.

- Пасивний. Максимально простий і недорогий стандарт, створений для застосування переважно в обладнанні початкового рівня (оскільки реалізація активних стандартів PoE в цілому обходиться недешево). Як уже згадувалося вище, ключовою відмінністю від описаних вище форматів є те, що джерело живлення подає енергію «як є» — із строго фіксованою напругою та потужністю, не перевіряючи характеристик навантаження та не підлаштовуючись під неї. Саме це забезпечує невисоку ціну та доступність. З іншого боку, при використанні пасивного входу PoE треба приділяти максимальну увагу тому, щоб напруга та потужність джерела живлення відповідали характеристик маршрутизатора; а подібне узгодження буває досить непростою справою у світлі того, що пасивний стандарт не має чітко визначених стандартів навіть за напругою, не кажучи вже про потужність. При цьому нестиковка призводить до того, що в кращому випадку (якщо напруга/потужність на виході нижче необхідних для навантаження) живлення просто не запрацює, а в гіршому (при надлишку напруги/потужності) велика ймовірність навантажень, перегріву і навіть поломок з загораннями - причому такі неприємності можуть статися не відразу, а через значний час. Так що звертати увагу на даний варіант варто насамперед у тих випадках, коли простота та доступність важливіші, ніж прогресивні стандарти живлення. При цьому відзначимо, що деякі свічі, що мають на додаток до пасивного входу також пасивний вихід PoE, допускають з'єднання «каскадом» - у вигляді послідовного ланцюжка з кількох пристроїв, що живляться від одного зовнішнього джерела (головне, щоб у цього вистачало потужності).

Окремо підкреслимо, що не варто намагатися підключити активне джерело живлення до пасивного входу, і навпаки. У першому випадку пристрій просто не пройде перевірку, яка проводиться перед подачею енергії, та живлення не ввімкнеться. А в другому випадку можливі серйозні збої і навіть аварії: пасивне джерело живлення подає енергію відразу, не перевіряючи характеристик пристрою, що живиться, що створює ризик перевантажень при невідповідності робочих параметрів.