Обзор характеристик UXG Lite
Ubiquiti описывает Gateway Lite (UXG-Lite) как компактный и мощный шлюз UniFi с полным набором передовых функций маршрутизации и безопасности, идеально подходящий для небольших сетей.
Аппаратные характеристики:
- Чипсет/процессор: Qualcomm IPQ5018
- Процессор: двухъядерный ARM Cortex A53 с тактовой частотой 1 ГГц
- Оперативная память: 1 ГБ DDR3L
- Управление через: Ethernet, Bluetooth 5.1
- Сетевые порты:
- (1) WAN порт с скоростью 1 Гбит/с RJ45
- (1) LAN порт с скоростью 1 Гбит/с RJ45
- Источник питания: USB тип C (5В/3А), адаптер питания включен
- Максимальное энергопотребление: 3.83 Вт
- Размеры: 98 x 98 x 30 мм
Компоненты и их функции
Основным компонентом UXG-Lite и его брата UniFi Express является Qualcomm IPQ5018 на платформе Immersive Home 216. И то, и другое построено на чипсете или системе на кристалле (SoC). Он объединяет несколько частей в одну плату, предназначенную для сетевых устройств.
IPQ5018 в модели UXG-Lite оснащен двухъядерным процессором ARM Cortex A53 с тактовой частотой 1 ГГц, оперативной памятью DDR3L объемом 1 ГБ и одноядерным 12-поточным сетевым процессором (NPU) для разгрузки таких функций, как NAT. Если вы добавите несколько интерфейсов, радиоприемников и корпус, вы сможете продать их на AliExpress, как это сделали многие компании, создать на их основе потребительский сетевой продукт.
Cortex-A53 представляет собой относительно старую конструкцию ядра ARM. Он был выпущен в 2012 году и использовался во всем: от бюджетных смартфонов до Nintendo Switch и Raspberry Pi 3B. Однако старые конструкции процессорных ядер — это еще не все. NPU Qualcomm выполняет сетевые функции, такие как NAT. Кроме того, аппаратное ускорение ARM помогает обрабатывать криптооперации для VPN.
В целом компонентов в UXG-Lite достаточно для гигабитной маршрутизации, но пропускная способность VPN слаба. Мы подробнее расскажем о влиянии на производительность в разделе тестирования скорости ниже.
Определение терминов UniFi
Прежде чем мы продолжим, нам необходимо наладить маркетинговый перевод на английский язык. Мы уже попробовали просто объяснить, что такое шлюзы UniFi, поэтому будем говорить вкратце.
- Сети UniFi «программно-определяемыми», что означает аппаратное и программное обеспечение разделены.
- «Шлюз» UniFi — это маршрутизатор, известный как брандмауэр, также известный как сетевое устройство уровня 3. Как бы вы это ни называли, оно выступает в роли регулировщика между локальными сетями и Интернетом.
- Коммутаторы расширяют проводную сеть, а точки беспроводного доступа (AP) преобразуют провода в Wi-Fi.
- «Контроллер» UniFi — это общий термин, обозначающий все, что работает под управлением приложения UniFi Network, программного обеспечения, которое управляет всем.
UXG-Lite — это «шлюз UniFi» и это... просто шлюз. В нем нет встроенного Wi-Fi или дополнительных портов коммутатора, а также нет приложений UniFi. для управления
UXG-Lite нужен отдельный контроллер. Вы можете использовать аппаратный Cloud Key или бесплатно загрузить программное обеспечение и запустить его на своем компьютере, сервере или облачном сервисе.Альтернативой является консоль UniFi OS или облачный шлюз. Маршрутизатор Dream Router (UDR) является облачным шлюзом UniFi, поскольку он действует как шлюз и контроллер. Все облачные шлюзы являются контроллерами, работают под управлением программного обеспечения UniFi и управляют сами собой. Облачные шлюзы нельзя использовать вместе с Cloud Key, автономным контроллером или UXG-Lite.
Важно помнить из всего этого маркетингового безумия, что UXG не может работать самостоятельно. Для этого нужен отдельный сетевой контроллер UniFi. Используйте собственное оборудование, купите Cloud Key или арендуйте.
Также стоит отметить, что компания Ubiquiti подтвердила появление новых моделей UXG.
Для ясности: UniFi Express не является прямым преемником USG. Для этого рассмотрим UXG Lite, который является независимым шлюзом, аналогичным USG. В будущем в серии UXG появятся дополнительные продукты, дополняющие доступные в настоящее время модели Lite и Pro
Это может означать новый топовый UXG Enterprise или что-то среднее между Lite и Pro. В конечном итоге это может означать и то, и другое. А пока мы сосредоточимся на аппаратных опциях, которые у нас есть в настоящее время.
Первые впечатления от UXG-Lite
Во-первых, самое ужасное: UXG-Lite имеет только два гигабитных интерфейса Ethernet. Одна глобальная сеть, одна локальная сеть. У старого USG есть третий интерфейс, который можно назначить второй глобальной сетью или второй локальной сетью. В новом UXG-Lite этого не произойдет: если вам нужно больше двух интерфейсов или более гигабитных скоростей, рассмотрите возможность установки в стойку UXG-Pro.
Gateway Lite технически поддерживает LTE Backup или LTE Backup Pro в качестве дополнительного подключения к Интернету. Они подключаются к порту коммутатора локальной сети, а программное обеспечение UniFi Network автоматически туннелирует и настраивает их в качестве резервной сотовой глобальной сети. В США они привязаны к AT&T. Кому-то это может подойти, но отсутствие третьего порта ограничивает ситуацию.
UXG-Lite соответствует своему статусу «Lite», но не все так плохо. На самом деле аппаратное обеспечение маленькое, бесшумное и довольно приятное. Он имеет белый, приятный на ощупь пластиковый корпус и светодиодный индикатор состояния на передней панели. Он поддерживает все новейшие функции UniFi и утверждает, что поддерживает гигабитную маршрутизацию, в том числе с включенной поддержкой Suricata IDS/IPS. Подробнее об этом позже.
Вход USB-C для питания — это долгожданное изменение, но отсутствие крепежных отверстий — нет. Вы можете напечатать его на 3D-принтере, проявить творческий подход или просто найти что-то плоское, на которое можно было бы положить его поверх.
Помимо аппаратного обеспечения, в UXG есть множество программных функций, которых нет в USG. Большинство функций маршрутизации и безопасности, добавленных в шлюзы UniFi за последние несколько лет, реализованы в UXG-Lite, и очень немногие — на USG. Пришло время загрузить их и сравнить.
Первоначальная настройка
Как и в случае с другими устройствами UniFi, для настройки можно использовать мобильное приложение или веб-интерфейс для настольного компьютера. Для таких устройств, как UXG-Lite с Bluetooth, первоначальная настройка с помощью мобильного приложения UniFi обычно проще всего. Если у вас есть существующая сеть, работающая на облачном ключе или автономном контроллере, возможно, будет проще использовать интерфейс рабочего стола.
Ниже приведен краткий обзор процесса установки с использованием UniFi Network версии 8.0.26 и прошивки UXG Lite 3.1.16. Это поможет вам подключиться к интернет-провайдеру и поможет вам в процессе первой настройки. Если у вас несколько контроллеров или сайтов UniFi, выберите подходящий, нажмите «Далее» несколько раз, и все.
Аналогичный процесс происходит в веб-интерфейсе рабочего стола. Один из способов использовать это — подключить компьютер к порту LAN UXG-Lite и перейти в веб-браузере к IP-адресу по умолчанию 192.168.1.1. Вы увидите несколько вариантов ручного подключения к контроллеру, входа в учетную запись ui.com и изменения настроек глобальной сети для подключения.
После его внедрения вам нужно будет использовать приложение «Сеть» для всего остального. UXG-Lite не имеет такого простого веб-интерфейса, как у USG после внедрения, а есть только функция «Настройка завершена!» сообщение и ссылка на unifi.ui.com.
Настройка менее проста, если у вас есть существующая сеть и шлюз UniFi. На сайтах UniFi Network одновременно может быть только один шлюз. Прежде чем что-либо делать, сделайте резервную копию и посмотрите, нужно ли вам устанавливать какие-либо обновления.
Тем, кто переходит с USG или USG-Pro, необходимо сначала удалить их. Затем вы сможете использовать новый UXG-Lite на его место.
Тем, кто переходит с Dream Machine или Cloud Gateway, сначала нужно настроить новый контроллер. Импортируйте резервную копию UniFi Network, при необходимости удалите старый автономный шлюз, а затем используйте UXG-Lite. Если вы застряли, попробуйте использовать веб-интерфейс начальной настройки UXG, чтобы указать правильное направление.
После завершения перестановки шлюзов все настройки сети, безопасности и брандмауэра будут применены. Все пользовательские изменения, внесенные вами в файле config.gateway.json на USG, не будут сохранены. Ни один из современных шлюзов UniFi не поддерживает такой бэкдор для пользовательских настроек конфигурации, все находится в графическом интерфейсе.
Функции шлюза UniFi
Есть несколько способов взглянуть на функции UXG-Lite. В спецификации они перечислены, если вы просто хотите получить краткий обзор. Тем, кто хочет перейти на UXG от EdgeRouter или другого поставщика, стоит взглянуть на текущее состояние сетевых функций шлюзов UniFi в целом. Это (в основном) полный список того, что вы получите с UniFi на уровне 3. Как всегда, здесь есть звездочки.
Сетевые функции WAN
- IPv4 — DHCP, PPPoE, DS-Lite или статический
- IPv6 — протокол SLAC, DHCPv6 или статический
- Опции клиента DHCP и класс обслуживания (CoS)
- Идентификатор WLAN
- Клонирование MAC-адреса для аутентификации MAC-адресов вашим интернет-провайдером
- Интеллектуальные очереди для автоматического QoS при соединениях со скоростью менее 300 Мбит/с
- UPnP
- Динамический DNS
Сетевые функции локальной сети
- Виртуальные сети (VLAN) для сегментирования трафика (до 255 на большинстве устройств)
- DHCP-сервер, ретранслятор, отслеживание и защита
- IPv6
- Многоадресная рассылка DNS
- Фильтрация контента (рабочего или семейного) для ограничения явного или вредоносного контента
- Связующее дерево (STP, RSTP) и запатентованная технология Ubiquiti Loop Prevention
- Изоляция сети
- Отслеживание IGMP и прокси-сервер IGMP
- Кадры Jumbo, управление потоком и управление 802.1X
- VLAN Viewer, Radio и Port Manager — новые способы визуальной настройки VLAN, портов и оценки производительности Wi-Fi.
Безопасность
- Идентификация устройств и трафика для клиентов в вашей сети
- Ограничения по странам для блокировки общедоступных IP-адресов или веб-трафика по регионам
- Блокировка рекламы и DNS Shield — шифрование DNS по протоколу HTTPS (DoH)
- Внутренний Honeypot, помогающий обнаруживать вредоносные устройства
- Подозрительная активность (Suricata) — ранее известная как обнаружение или предотвращение вторжений (IDS/IPS)
- Переадресация портов
- Правила трафика для маршрутизации на основе политик. Они позволяют блокировать, разрешать или ограничивать скорость приложений, доменов, IP-адресов или регионов для каждого устройства или сети.
- Правила брандмауэра вручную
Маршрутизация
- Статические маршруты
- Маршруты трафика — еще одна новая функция, позволяющая направлять определенный трафик на интерфейс VPN или WAN. Это может быть как одно устройство, так и целая локальная сеть. Вместе с правилами трафика это решение UniFi для маршрутизации на основе политик.
Варианты VPN, как правило:
- Серверы VPN: Wireguard, OpenVPN, L2TP
- VPN-клиенты: Wireguard, OpenVPN
- VPN типа «сеть-сеть»: OpenVPN, IPsec
Варианты VPN со звездочками*
- *Они не поддерживаются при использовании UXG Lite/Pro с автономным контроллером. Для них требуется либо официальная услуга хостинга UniFi от Ubiquiti, либо Cloud Key
- Site Magic, автоматическая опция «сеть-сеть», доступная на сайте unifi.ui.com для тех, у кого есть несколько сайтов UniFi и несколько Cloud Key или Cloud Gateways
- Teleport, представляющий собой Wireguard с процессом настройки сканирования QR-кода
- Identity one-click VPN, который является частью нового приложения UniFi Identity и сервиса подписки. Это не поддерживается на официальном UniFi Hosting, а поддерживается только Cloud Key и Cloud Gateways
Различия в функциях USG и UXG
Они устарели, но USG и USG-Pro по-прежнему поддерживаются текущим программным обеспечением UniFi. Они продолжают периодически обновлять прошивку, в основном из-за недостатков безопасности и небольших обновлений компонентов. Для справки, последней была версия 4.4.57, выпущенная в январе 2023 года.
Даже в последней версии сетевого приложения USG не поддерживают большинство новых функций, таких как Wireguard, правила дорожного движения или маршруты трафика. Их можно найти только в UXG или Cloud Gateways. Некоторые функции, поддерживаемые как USG, так и UXG, могут отличаться, поэтому давайте рассмотрим их все.
Cloud Key Gen 2 PlusУ USG нет:
- Варианты VPN: сервер или клиент Wireguard, клиент OpenVPN, Teleport, Site Magic или Identity
- Фильтрация контента
- Клонирование MAC-адресов WAN и параметры клиента WAN DHCP
- Идентификация устройства
- Блокировка рекламы
- Internal Honeypot
- Traffic Rules и Traffic Routes
- WifiMan
- Новый просмотрщик портов и VLAN, а также аналитика портов
- Прокси-сервер IGMP
Вы также можете посмотреть на то же самое в обратном направлении. Есть некоторые старые функции или вещи, которые вы можете сделать с помощью USG, но не можете сделать это с UXG-Lite. Помимо очевидного ограничения одного порта WAN, в основном это старые варианты, которые были заменены или устарели.
Мы надеемся, что некоторые другие недостающие функции, такие как мониторинг SNMP, будут добавлены в следующих обновлениях прошивки. Однако, возможно, их никогда не будет, и никогда не стоит покупать продукт в надежде, что в него будет добавлена недостающая функция.
В UXG нет (по крайней мере, пока):
- Мониторинг SNMP
- Защита DNS (функция «Защита DNS» добавлена в версии 3.2.11)
- Предотвращение зацикливания (предотвращение зацикливания добавлено в версии 3.2.11)
- LLDP
- Устаревшая опция PPTP VPN
- Настройки аппаратной разгрузки
- Система «Ограничения трафика» от USG стала Traffic Rules
- Срок действия и предпочтительный срок действия IPv6 RA
- Опции брандмауэра: пинг вещания, получение перенаправлений, перенаправление отправки, файлы cookie SYN
- Возможность редактирования файла config.gateway.json для внесения индивидуальных изменений в конфигурацию
Тесты маршрутизации и скорости VPN
Одна из самых распространенных жалоб на USG и USG-Pro — ограничения производительности. У USG слабый процессор с опциональной аппаратной разгрузкой, из-за чего некоторые криптографические и сетевые задачи переносятся на выделенное оборудование. При включенной разгрузке возможна гигабитная производительность. Недостатком является то, что вы не можете одновременно включить разгрузку и Suricata IDS/IPS.
Для IDS/IPS необходимо отключить аппаратную разгрузку USG, снизив производительность ниже гигабита. При включенном IDS/IPS производительность падает еще больше: обычно она составляет менее 100 Мбит/с на USG и, возможно, в 2—3 раза выше, чем на USG-Pro. Это также влияет на маршрутизацию между VLAN и трафик VPN. Это одна из основных причин, по которой люди так долго просили об обновленной модели.
Есть хорошие новости. UXG-Lite может работать с гигабитными IDS/IPS.
Маршрутизация или коммутация
Стоит вкратце рассказать о том, что такое маршрутизация и коммутация. Давайте рассмотрим гипотетический пример UXG-Lite, подключенного к коммутатору со скоростью 2,5 Гбит/с и подключенного двух ПК.
Если они находятся в одной и той же VLAN или сети, трафик с PC1 на PC2 просто поступает в коммутатор и выходит из него. На уровне 3 с UXG-Lite работать нечего. Этот трафик переключается и перенаправляется напрямую. Трафик с PC1 поступает непосредственно на PC2. Пропускная способность TCP должна составлять около 2,3 или 2,4 Гбит/с из-за обычных накладных расходов на TCP и Ethernet.
Если вы переместили PC2 в другую VLAN или сеть, трафик необходимо маршрутизировать. Пакеты с PC1 будут поступать на коммутатор, затем на UXG-Lite, затем обратно на коммутатор, а затем на PC2. Чтобы выйти из сети и добраться до PC2, компьютер PC1 должен полагаться на свой шлюз.
Несмотря на то, что компьютеры PC1 и PC2 подключены к одному физическому коммутатору, если они находятся в разных сетях, вам понадобится маршрутизатор. Трафик с ПК 1 не может напрямую поступать на PC2. UXG-Lite должен координировать танец электронов, и в игру вступает производительность маршрутизации UXG-Lite. Все устройства на коммутаторе будут использовать один полнодуплексный гигабитный канал со своим шлюзом. Пропускная способность TCP должна составлять около 940 Мбит/с из-за обычных накладных расходов на TCP и Ethernet.
С этим покончено, перейдем к цифрам!
Результаты теста скорости iPerf
iPerf — это инструмент с открытым исходным кодом, который позволяет синтетически тестировать производительность сети. Для получения этих результатов мы провели по три теста в каждом направлении и усреднили результаты. Это не гарантия производительности вашей сети, это то, что мы получили с нашими тестовыми устройствами, работающими в основном на бездействующих USG, UDM и UXG-Lite. Реальные результаты могут отличаться.
Потратив слишком много времени на изучение разных версий и опций iPerf, мы решили использовать iPerf3 со следующими вариантами.
iperf3 -c -i 10 -O 10 -t 90 -P 10 -w 2M -R
Это означает, что мы использовали iPerf3 в качестве клиента, а промежуточные отчеты отображаются каждые десять секунд. Мы пропускаем первые 10 секунд теста, учитывая появление окошек TCP и медленный запуск, а затем запускаем тест в течение 80 секунд. В одном потоке 10 параллельных потоков TCP. Мы добавили опцию -R в половину наших тестов, чтобы изменить направление и выбрать, будет ли наш сервер iPerf отправлять или получать.
Скорость маршрутизации
UXG-Lite
- Та же локальная сеть (коммутация): 940 Мбит/с
- Маршрутизация между сетями VLAN: 927 Мбит/с
USG с включенной аппаратной разгрузкой
- Та же локальная сеть (коммутация): 939 Мбит/с
- Маршрутизация между сетями VLAN: 924 Мбит/с
USG с отключенной аппаратной разгрузкой
- Та же локальная сеть (коммутация): 937 Мбит/с
- Маршрутизация между сетями VLAN: 107 Мбит/с
UDM
- Та же локальная сеть (коммутация): 941 Мбит/с
- Маршрутизация между сетями VLAN: 936 Мбит/с
Как и ожидалось, USG с отключенной разгрузкой испытывает трудности, но в остальном все они способны работать на линейной скорости. Затем мы включим функцию «Подозрительные действия» и посмотрим, насколько Suricata замедлит их работу.
Скорость маршрутизации при включенной подозрительной активности
UXG-Lite
- IPS/IDS выключен: 941 Мбит/с
- IPS/IDS в автоматическом режиме: 942 Мбит/с
- IPS/IDS на высокой скорости: 941 Мбит/с
USG
- Разгрузка включена, IPS/IDS выключена: 937 Мбит/с
- Разгрузка выключена, IPS/IDS выключена: 107 Мбит/с
- Разгрузка выключена, IPS/IDS включен (низкий уровень): 87 Мбит/с
- Разгрузка выключена, IPS/IDS включен (высокий уровень): 83 Мбит/с
UDM
- IPS/IDS выключен: 941 Мбит/с
- IPS/IDS в автоматическом режиме: 942 Мбит/с
- IPS/IDS на высокой скорости: 941 Мбит/с
Как и было обещано, UXG-Lite может работать в гигабитном режиме IDS/IPS. Судя по тому, насколько сильно растет использование процессора и оперативной памяти, это может быть не всегда так. В реальных сетях могут быть беспорядки, и аппаратное обеспечение, похоже, едва справляется с этой задачей. Производительность зависит от отправителя и получателя, других клиентов, протокола TCP и множества других факторов.
Однако в целом для пользователей, использующих гигабитные сети WAN, включение параметра «Подозрительная активность» не замедлит работу.
Результаты пропускной способности VPN
Последний набор тестов оказался самым разочаровывающим и потребовал наибольшего количества исследований и объяснений. Мы не эксперты по Linux, криптографии и низкоуровневому аппаратному обеспечению. Сосредоточьтесь на самом важном: именно здесь вы видите ограничения аппаратного обеспечения UXG-Lite.
Также стоит отметить:
- IPsec — это сложный набор протоколов на уровне ядра с множеством опций шифрования и хеширования в UniFi. Мы тестировали с помощью AES-128 и SHA1.
- AES и другие распространенные криптографические функции можно перенести на специализированное оборудование, но для высокой производительности обычно требуются высокопроизводительные компоненты или специальные ASIC. В устройствах UniFi вы не найдете ни того, ни другого.
- OpenVPN — это решение TUN/TAP, использующее протокол TLS. Его проще администрировать, но при использовании OpenVPN пакеты необходимо копировать между ядром и пользовательским пространством, что снижает производительность.
- Wireguard — самый простой и не полагающийся на аппаратное ускорение. Он основан на хорошей производительности векторной математики практически на любом современном процессоре.
iPerf — один из способов тестирования, но он не всегда соответствует реальным результатам. Мне нравится, как Netgate продает аналогичное устройство SG1100, использующее iPerf3 и IMIX, которое предназначено для передачи сложного трафика голосовой связи, данных и видео.
Результаты IPerf VPN
USG с включенной разгрузкой и выключенным IPS/IDS
- IPsec: 20 Мбит/с
- OpenVPN: 10 Мбит/с
- L2TP: 35 Мбит/с
USG с выключенной разгрузкой и выключенным IPS/IDS
- IPsec: 16 Мбит/с
- OpenVPN: 9 Мбит/с
- L2TP: 24 Мбит/с
Разгрузка USG выключена, IPS/IDS на автоматическом носителе
- IPsec: 14 Мбит/с
- OpenVPN: 9 Мбит/с
- L2TP: 24 Мбит/с
UXG-Lite
- IPsec: 43 Мбит/с
- OpenVPN: 24 Мбит/с
- L2TP: 19 Мбит/с
- Проводная защита: 99 Мбит/с
UDM
- OpenVPN: 223 Мбит/с
- L2TP: 153 Мбит/с
- Проводная защита: 602 Мбит/с
Сравнительный анализ скорости OpenSSL
Я не могу протестировать каждую аппаратную конфигурацию, и у меня нет нескольких модулей каждой модели для получения реальных результатов между сайтами. Было бы полезно использовать стандартизированный и воспроизводимый способ измерения производительности криптографии от модели к модели. К счастью, команда OpenSSL Speed — это один из способов сделать это и проверить работоспособность системы в исходном виде.
Эти результаты не соответствуют ожиданиям от реальной сети, но сравнивать их можно с равными условиями. Это также позволило мне собрать данные от некоторых полезных людей, у которых есть оборудования, которого у меня нет. Это также позволило мне привести несколько глупых данных, таких как мой U6-Pro, и сравнить их с более дорогими компонентами, такими как M1 Pro в моем MacBook и Ryzen 7800X3D на моем игровом ПК. Вы также можете сравнить их с другими публичными результатами, такими как тесты Raspberry Pi OpenSSL с сайта pmdn.org.
Для маршрутизаторов UniFi мы можем немного сжать результаты. Все модели UXG-Pro, UDM-Pro, UDM-SE и UDW объединяет одно и то же сердце: процессор Annapurna Labs AL-324. У UXG-Pro вдвое меньше оперативной памяти, и есть и другие небольшие отличия, но результаты, которые мы собрали, отличаются друг от друга с погрешностью. Мы просто покажем UXG-Pro из этой группы.
Мы не тестировали каждый шифр, а сосредоточились на MD5, SHA-1, SHA-256 и 512, а также на AES-128 и 256. Наконец, мы включили CHACHA20-Poly1305. Это не только удивительно необычное название, но и протокол шифрования, который использует Wireguard.
С помощью этих цифр вы можете сделать UXG-Lite действительно мощным. Но вы также можете сделать так, чтобы он не вызывал восторга.
Двухъядерная драма и разгрузка криптовалют
Давайте вернемся к тому, о чем мы сейчас говорим: VPN, сети и производительности маршрутизации. UDM и UXG-Pro обладают более широкими возможностями, чем UXG-Lite, и все сводится к двум вещам. UDM имеет четыре ядра ARM A57 с тактовой частотой 1,7 ГГц, UXG-Lite имеет два ядра ARM A53 с тактовой частотой 1,0 ГГц. Судя только по количеству ядер, скорости и энергопотреблению, UXG-Lite обладает гораздо меньшим энергопотреблением для криптографии. Это приводит к значительному снижению пропускной способности VPN.
Cortex A53 имеет расширения шифрования ARMv8, позволяющие разгружать аппаратное обеспечение, но их необходимо лицензировать. На бюджетных компонентах без лицензии, как в Raspberry Pi, шифрование осуществляется программным обеспечением ЦП. Судя по производительности и результативности команды lscpu, мы предполагаем, что в UXG-Lite они лицензированы и включены. При наличии мощности менее 4 Вт вы можете сделать не так уж много.
WireGuard — это эффективный протокол, основанный только на программном обеспечении, который по замыслу не может быть разгружен аппаратным обеспечением. В отличие от OpenVPN, Wireguard поддерживает многопоточность. UXG-Lite всё ещё не справляется с этой задачей, но всё ещё работает всего 2 ядра и другие сервисы, но всё же он лучше, чем IPsec и OpenVPN. Для тех, кто хочет использовать простой удаленный VPN или VPN типа «сеть-сеть», UXG-Lite подойдет для этого. Только не ожидайте, что скорость передачи данных будет превышать 100 Мбит/с или одновременно работать с большим количеством пользователей.
Старый процессор, небольшой корпус и конструкция с низким энергопотреблением не позволяют UXG-Lite стать мощным VPN-сервером. Вы не получите отличную производительность VPN от такого маленького или такого дешевого VPN-сервиса. Соответствующим образом, определите свои ожидания.
Обзор линейки шлюзов UniFi
Теперь, когда мы рассмотрели технические характеристики, настройку и производительность, пришло время взглянуть на ситуацию шире. Куда поместится UXG-Lite?
Как мы уже говорили, существует два типа брандмауэров шлюзов UniFi. Существуют автономные независимые USG и UXG, а также Cloud Gateways. Такие шлюзы, как UXG-Lite, требуют чего-то другого для запуска приложения UniFi Network, тогда как Cloud Gateways, такие как UniFi Dream Machine, запускают приложение и управляют сами собой.
UXG-Lite: наш шлюз Monkey's Paw
В целом мы считаем, что UXG-Lite — хороший продукт. Мы рады, что у нас наконец-то появился хороший шлюз начального уровня. Тем не менее, UXG-Lite не лишен ограничений и проблем. Некоторые из них можно решить в обновлениях программного обеспечения, но обновление программного обеспечения не может добавить интерфейс или увеличить мощность оборудования. Если UXG-Lite продержится так же долго, как и USG, это может выглядеть так же неловко, как и производительность USG сейчас.
В 2019 году были представлены машины мечты (UDM и UDM-Pro). Это были новые и интересные варианты «все в одном» с некоторыми недостатками программного обеспечения. Самым большим минусом было то, что их нельзя было внедрить на собственном контроллере или в облачном ключе. Их нельзя было использовать в централизованном развертывании на нескольких сайтах, поэтому многие люди использовали UniFi. Dream Machines ознаменовал собой смену направления, и будущее поддержки нескольких сайтов и автономных контроллеров не всегда было ясно.
С тех пор пользователи хотели просто: новое универсальное устройство. Что-то, что можно было бы заменить сразу, не заставляя их покупать устройство «все в одном». Прошло более четырех лет, и вот оно. UXG-Lite — это новый USG, которого мы так ждали, но это не все, на что мы надеялись.
Для тех, кто особенно расстроен ограничением пропускной способности Suricata IDS/IPS, они получили то, что хотели. Аппаратного обеспечения в UXG-Lite достаточно, чтобы удовлетворить эту потребность в гигабитных сетях. Из-за сложных наборов правил и других факторов производительность может упасть ниже гигабитных скоростей, при этом накладные расходы не потребуются. Как будто они создали самую дешевую и компактную коробку для удовлетворения этой конкретной потребности, и, к их чести, им это удалось.
То, чего они не достигли, более субъективно. Каждый продукт требует компромисса. У него не может быть всех функций и низкой цены. Самые маленькие и дешевые модели всегда требуют компромиссов, и в них должно отсутствовать что-то, что есть в более дорогих моделях.
При создании Gateway Lite компания Ubiquiti предпочла пойти на компромисс в отношении пропускной способности VPN, количества и скорости сетевых интерфейсов. Они отдавали предпочтение низкой стоимости, низкому энергопотреблению и небольшим размерам. Он действительно обеспечивает большую производительность, чем USG, и, тем не менее, включает большинство современных функций UniFi. Однако этот уровень никогда не станет «рабочей лошадкой» VPN или брандмауэра, поскольку для этого требуется более качественное оборудование, большая мощность и больше денег.
Для многих UXG Lite — это стакан ледяной воды в аду. Многие купили его, как только смогли, и были благодарны за все, что могло заменить их USG или позволить им создать сеть в нужном стиле с помощью контроллера, размещенного на собственном хостинге, или контроллера Cloud Key. Теперь, когда у нас было время протестировать, переварить и поразмыслить, мы всё равно относимся к UXG-Lite в основном позитивно. Мы уже достаточно подробно остановились на ограничениях и недостатках.
В UXG-Lite легко увидеть что-то, что вы хотели бы изменить. Возможно, речь идет о добавлении третьего интерфейса для использования в качестве WAN или LAN. Некоторые могут не согласиться на отсутствие Ethernet со скоростью 2,5 Гбит/с. Возможно, кому-то захочется повысить производительность VPN. Возможно, кому-то захочется, чтобы они все же могли вносить изменения в собственные конфигурации.
Возможно, дело в том, что UXG-Lite мог бы быть намного лучше, если бы кое-что изменилось. Если вы похожи на меня, вы можете надеяться, что UXG, UXG-Plus или какая-либо другая будущая модель без прилагательных будет обладать большим количеством функций, более высокой производительностью и, тем более что это потребует гораздо большей стоимости. Деру пари, нам все равно понадобится аксессуар для крепления на стену.