Implementasi Layer 7 (L7) di MikroTik RouterOS memungkinkan Anda mengidentifikasi dan mengklasifikasikan lalu lintas jaringan berdasarkan konten sebenarnya dari paket, bukan hanya alamat IP atau port.

Ini berguna untuk memfilter, memprioritaskan, atau membatasi lalu lintas tertentu, seperti memblokir situs web tertentu, memprioritaskan lalu lintas VoIP, atau membatasi bandwidth untuk aplikasi streaming. Berikut cara konfigurasi rule Layer 7 di MikroTik RouterOS:

1. Tentukan Pola Layer 7

Pertama, Anda harus membuat pola Layer 7 yang akan digunakan RouterOS untuk mengidentifikasi lalu lintas tertentu. Ini dilakukan di menu “IP” → “Firewall” dan kemudian di tab “Layer7 Protocols”. Di sini Anda dapat menentukan pola L7 baru.

/ip firewall layer7-protocol
add name="nombre_protocolo_L7" regexp="expresión_regular"

Misalnya, untuk mengidentifikasi lalu lintas HTTP yang berisi kata “facebook” di header paket, Anda bisa menggunakan ekspresi reguler seperti ini:

add name="facebook" regexp="facebook.com"

2. Buat Aturan Firewall Menggunakan Pola L7

Setelah Anda menentukan pola L7, Anda dapat menggunakannya dalam aturan firewall untuk memfilter atau memprioritaskan lalu lintas. Ini dilakukan di menu “IP” → “Firewall” dan kemudian di tab “Filter Rules” atau “Mangle” tergantung pada apa yang ingin Anda capai.

• Untuk memblokir lalu lintas:

/ip firewall filter
add action=drop chain=forward layer7-protocol=nombre_protocolo_L7

• Untuk menandai lalu lintas dan kemudian menerapkan kebijakan tertentu (seperti pembatasan tarif atau prioritas):

/ip firewall mangle
add action=mark-packet chain=forward layer7-protocol=nombre_protocolo_L7 new-packet-mark=marcado_paquete

Pertimbangan penting

• Prestasi: Penggunaan aturan L7 secara berlebihan dapat meningkatkan beban pada CPU perangkat secara signifikan, karena memerlukan pemeriksaan konten paket. Penting untuk memantau kinerja router setelah menerapkan aturan ini, terutama pada jaringan dengan lalu lintas tinggi.
• Akurasi: Ekspresi reguler harus ditulis dengan hati-hati untuk memastikan bahwa hanya lalu lintas yang diinginkan yang ditangkap. Ekspresi reguler yang didefinisikan dengan buruk dapat menghasilkan hasil positif atau negatif palsu.
• Enkripsi: Saat ini, sebagian besar lalu lintas Internet menggunakan enkripsi (seperti HTTPS), yang dapat membatasi efektivitas aturan berbasis Lapisan 7 dalam mengidentifikasi konten lalu lintas tertentu. Untuk lalu lintas terenkripsi, pertimbangkan metode identifikasi dan kontrol alternatif, seperti pemblokiran atau penentuan prioritas berdasarkan alamat IP, port, atau koneksi SNI TLS.

Konfigurasi lapisan 7 di MikroTik RouterOS adalah alat yang ampuh untuk manajemen lalu lintas tingkat lanjut, memungkinkan administrator jaringan untuk menerapkan kebijakan jaringan canggih berdasarkan konten sebenarnya dari paket data.