La mise en œuvre de la couche 7 (L7) dans MikroTik RouterOS vous permet d'identifier et de classer le trafic réseau en fonction du contenu réel des paquets, plutôt que simplement de l'adresse IP ou du port.

Ceci est utile pour filtrer, prioriser ou limiter un trafic spécifique, comme bloquer des sites Web spécifiques, donner la priorité au trafic VoIP ou limiter la bande passante pour les applications de streaming. Voici comment configurer les règles de couche 7 dans MikroTik RouterOS :

1. Définir un modèle de couche 7

Tout d'abord, vous devez créer un modèle de couche 7 que RouterOS utilisera pour identifier un trafic spécifique. Cela se fait dans le menu « IP » → « Firewall » puis dans l'onglet « Layer7 Protocols ». Ici, vous pouvez définir un nouveau modèle L7.

/ip firewall layer7-protocol
add name="nombre_protocolo_L7" regexp="expresión_regular"

Par exemple, pour identifier le trafic HTTP contenant le mot « Facebook » dans l'en-tête du paquet, vous pouvez utiliser une expression régulière comme celle-ci :

add name="facebook" regexp="facebook.com"

2. Créez une règle de pare-feu à l'aide du modèle L7

Après avoir défini le modèle L7, vous pouvez l'utiliser dans une règle de pare-feu pour filtrer ou prioriser le trafic. Cela se fait dans le menu « IP » → « Pare-feu » puis dans l'onglet « Règles de filtrage » ou « Mangle » selon ce que vous souhaitez réaliser.

• Pour bloquer le trafic:

/ip firewall filter
add action=drop chain=forward layer7-protocol=nombre_protocolo_L7

• Pour signaler le trafic puis appliquer des politiques spécifiques (comme la limitation du débit ou la priorisation) :

/ip firewall mangle
add action=mark-packet chain=forward layer7-protocol=nombre_protocolo_L7 new-packet-mark=marcado_paquete

Considérations importantes

• Performance: Une utilisation intensive des règles L7 peut augmenter considérablement la charge sur le processeur de l'appareil, car elle nécessite d'inspecter le contenu des paquets. Il est important de surveiller les performances du routeur après avoir mis en œuvre ces règles, en particulier sur les réseaux à fort trafic.
• exactitud: Les expressions régulières doivent être écrites avec soin pour garantir que seul le trafic souhaité est capturé. Une expression régulière mal définie peut conduire à des faux positifs ou négatifs.
• Chiffrement: Aujourd'hui, une grande partie du trafic Internet utilise le cryptage (tel que HTTPS), ce qui peut limiter l'efficacité des règles basées sur la couche 7 pour identifier le contenu spécifique du trafic. Pour le trafic chiffré, envisagez d'autres méthodes d'identification et de contrôle, telles que le blocage ou la priorisation basée sur les adresses IP, les ports ou les connexions SNI TLS.

La configuration de couche 7 dans MikroTik RouterOS est un outil puissant de gestion avancée du trafic, permettant aux administrateurs réseau de mettre en œuvre des politiques réseau sophistiquées basées sur le contenu réel des paquets de données.