Solució velocitat limitada a ~50 Mbps amb DoS Protection
Problema detectat amb HWNAT i DoS Protection al router TP-Link Aginet XX532v (Vera)
Sergi Alarcon Recio
Last Update 19 hari yang lalu
Nivell tècnic: Mitjà / Avançat
En alguns routers TP-Link Aginet XX532v utilitzats amb firmware personalitzat de Vera es pot produir una limitació molt important de velocitat quan la funció “DoS Protection” està activada.
El comportament detectat era una limitació aproximada de ~48/47 Mbps tant per LAN com per Wi-Fi, tot i tenir negociació Ethernet correcta a 1 Gbps Full Duplex, ping baix i una línia aparentment estable des de central. Aquest comportament podia fer pensar inicialment en un problema de perfil, shaping, provisió o incidència de xarxa FTTH.
Durant les proves es va detectar el firmware:
0.2.0 3.1.10 v0000.0 Build 250819 Rel.69400n
Després de múltiples proves es va identificar que el problema apareixia quan la funció “DoS Protection” estava activada. Amb aquesta configuració, la velocitat quedava limitada aproximadament a ~48/47 Mbps. En canvi, en desactivar-la, la línia recuperava immediatament velocitats properes als ~900/900 Mbps.
El mateix router mostra aquest avís en activar la funció:
“Enabling DoS Protection will enable Traffic Statistics function and disable the HWNAT function, which may influence your internet speed.”
Això significa que el router desactiva HWNAT (Hardware NAT Acceleration) i el trànsit passa a ser processat per CPU/software en lloc d’utilitzar acceleració hardware dedicada. Com a conseqüència, el throughput cau dràsticament, especialment en línies Gigabit modernes.
HWNAT és un sistema d’acceleració hardware que permet al router gestionar el trànsit NAT amb molt poca càrrega de CPU. Quan aquesta acceleració queda desactivada, la CPU principal ha de processar NAT, firewall, inspecció de paquets, estadístiques i filtres DoS. En aquest cas concret, això provocava una limitació real del throughput aproximadament fins als ~50 Mbps.
Les proves realitzades mostraven clarament el comportament:
DoS Protection ACTIVAT:
~48/47 Mbps
DoS Protection DESACTIVAT:
~900/900 Mbps
La solució consisteix a accedir a:
Advanced → Security → DoS Protection
i desactivar:
Enable DoS Protection
Després de guardar els canvis i reiniciar el router, la línia recupera el rendiment Gigabit correcte.
La configuració recomanada és:
IPv4 SPI Firewall → ACTIVAT
IPv6 SPI Firewall → ACTIVAT
DoS Protection → DESACTIVAT
D’aquesta manera es manté la protecció SPI Firewall mentre HWNAT continua actiu.
El comportament detectat podria correspondre a una limitació important del firmware o un possible bug relacionat amb HWNAT, Traffic Statistics i DoS Protection. La caiguda de rendiment observada és extremadament elevada per una línia Gigabit moderna.
La configuració DoS Protection pot variar segons el firmware instal·lat per l’operadora. Aquest comportament s’ha detectat concretament amb el firmware indicat en aquest manual.
En aquest cas, el problema no estava relacionat amb la fibra, la provisió, el perfil de velocitat ni la xarxa FTTH. L’origen real provenia de la funció “DoS Protection” del router TP-Link Aginet XX532v, que en activar-se desactiva HWNAT i provoca una limitació molt important del throughput.
El comportament detectat era una limitació aproximada de ~48/47 Mbps tant per LAN com per Wi-Fi, tot i tenir negociació Ethernet correcta a 1 Gbps Full Duplex, ping baix i una línia aparentment estable des de central. Aquest comportament podia fer pensar inicialment en un problema de perfil, shaping, provisió o incidència de xarxa FTTH.
Durant les proves es va detectar el firmware:
0.2.0 3.1.10 v0000.0 Build 250819 Rel.69400n
Després de múltiples proves es va identificar que el problema apareixia quan la funció “DoS Protection” estava activada. Amb aquesta configuració, la velocitat quedava limitada aproximadament a ~48/47 Mbps. En canvi, en desactivar-la, la línia recuperava immediatament velocitats properes als ~900/900 Mbps.
El mateix router mostra aquest avís en activar la funció:
“Enabling DoS Protection will enable Traffic Statistics function and disable the HWNAT function, which may influence your internet speed.”
Això significa que el router desactiva HWNAT (Hardware NAT Acceleration) i el trànsit passa a ser processat per CPU/software en lloc d’utilitzar acceleració hardware dedicada. Com a conseqüència, el throughput cau dràsticament, especialment en línies Gigabit modernes.
HWNAT és un sistema d’acceleració hardware que permet al router gestionar el trànsit NAT amb molt poca càrrega de CPU. Quan aquesta acceleració queda desactivada, la CPU principal ha de processar NAT, firewall, inspecció de paquets, estadístiques i filtres DoS. En aquest cas concret, això provocava una limitació real del throughput aproximadament fins als ~50 Mbps.
Les proves realitzades mostraven clarament el comportament:
DoS Protection ACTIVAT:
~48/47 Mbps
DoS Protection DESACTIVAT:
~900/900 Mbps
La solució consisteix a accedir a:
Advanced → Security → DoS Protection
i desactivar:
Enable DoS Protection
Després de guardar els canvis i reiniciar el router, la línia recupera el rendiment Gigabit correcte.
La configuració recomanada és:
IPv4 SPI Firewall → ACTIVAT
IPv6 SPI Firewall → ACTIVAT
DoS Protection → DESACTIVAT
D’aquesta manera es manté la protecció SPI Firewall mentre HWNAT continua actiu.
El comportament detectat podria correspondre a una limitació important del firmware o un possible bug relacionat amb HWNAT, Traffic Statistics i DoS Protection. La caiguda de rendiment observada és extremadament elevada per una línia Gigabit moderna.
La configuració DoS Protection pot variar segons el firmware instal·lat per l’operadora. Aquest comportament s’ha detectat concretament amb el firmware indicat en aquest manual.
En aquest cas, el problema no estava relacionat amb la fibra, la provisió, el perfil de velocitat ni la xarxa FTTH. L’origen real provenia de la funció “DoS Protection” del router TP-Link Aginet XX532v, que en activar-se desactiva HWNAT i provoca una limitació molt important del throughput.