Die implementering van Layer 7 (L7) in MikroTik RouterOS stel jou in staat om netwerkverkeer te identifiseer en te klassifiseer op grond van die werklike inhoud van die pakkies, eerder as net die IP-adres of poort.
Dit is nuttig om spesifieke verkeer te filter, prioritiseer of beperk, soos om spesifieke webwerwe te blokkeer, VoIP-verkeer te prioritiseer of bandwydte vir stroomtoepassings te beperk. Hier is hoe om Laag 7-reëls in MikroTik RouterOS op te stel:
1. Definieer 'n Laag 7-patroon
Eerstens moet jy 'n Laag 7-patroon skep wat RouterOS sal gebruik om spesifieke verkeer te identifiseer. Dit word gedoen in die “IP”-kieslys → “Firewall” en dan in die “Layer7 Protocols”-oortjie. Hier kan jy 'n nuwe L7-patroon definieer.
/ip firewall layer7-protocol
add name="nombre_protocolo_L7" regexp="expresión_regular"
Byvoorbeeld, om HTTP-verkeer te identifiseer wat die woord "facebook" in die pakkieopskrif bevat, kan jy 'n gewone uitdrukking soos hierdie gebruik:
add name="facebook" regexp="facebook.com"
2. Skep 'n Firewall-reël deur die L7-patroon te gebruik
Nadat jy die L7-patroon gedefinieer het, kan jy dit in 'n firewall-reël gebruik om verkeer te filter of te prioritiseer. Dit word gedoen in die "IP"-kieslys → "Firewall" en dan in die "Filter Reëls" of "Mangle" oortjie, afhangende van wat jy wil bereik.
- Om verkeer te blokkeer:
/ip firewall filter
add action=drop chain=forward layer7-protocol=nombre_protocolo_L7
- Om verkeer te vlag en dan spesifieke beleide toe te pas (soos tariefbeperking of prioritisering):
/ip firewall mangle
add action=mark-packet chain=forward layer7-protocol=nombre_protocolo_L7 new-packet-mark=marcado_paquete
Belangrike oorwegings
- Prestasie: Swaar gebruik van L7-reëls kan die las op die toestel se SVE aansienlik verhoog, aangesien dit die inhoud van pakkies moet inspekteer. Dit is belangrik om die roeteerderprestasie te monitor nadat hierdie reëls geïmplementeer is, veral op hoë-verkeer netwerke.
- akkuraatheid: Gereelde uitdrukkings moet versigtig geskryf word om te verseker dat slegs die verlangde verkeer vasgelê word. 'n Swak gedefinieerde gereelde uitdrukking kan lei tot vals positiewe of negatiewe.
- enkripsie: Vandag gebruik baie internetverkeer enkripsie (soos HTTPS), wat die doeltreffendheid van Laag 7-gebaseerde reëls kan beperk om die spesifieke inhoud van die verkeer te identifiseer. Vir geënkripteerde verkeer, oorweeg alternatiewe identifikasie- en beheermetodes, soos blokkering of prioritisering gebaseer op IP-adresse, poorte of SNI TLS-verbindings.
Laag 7-konfigurasie in MikroTik RouterOS is 'n kragtige instrument vir gevorderde verkeersbestuur, wat netwerkadministrateurs in staat stel om gesofistikeerde netwerkbeleide te implementeer gebaseer op die werklike inhoud van datapakkies.
Daar is geen merkers vir hierdie plasing nie.