היישום של Layer 7 (L7) ב-MikroTik RouterOS מאפשר לך לזהות ולסווג תעבורת רשת בהתבסס על התוכן האמיתי של החבילות, ולא רק על כתובת ה-IP או היציאה.

זה שימושי לסינון, תעדוף או הגבלת תעבורה ספציפית, כגון חסימת אתרים ספציפיים, תעדוף תעבורת VoIP או הגבלת רוחב פס עבור יישומי סטרימינג. הנה איך להגדיר כללי שכבה 7 ב-MikroTik RouterOS:

1. הגדר תבנית שכבה 7

ראשית, עליך ליצור תבנית שכבה 7 שבה RouterOS ישתמש כדי לזהות תעבורה ספציפית. זה נעשה בתפריט "IP" → "חומת אש" ולאחר מכן בכרטיסייה "Layer7 Protocols". כאן תוכל להגדיר תבנית L7 חדשה.

/ip firewall layer7-protocol
add name="nombre_protocolo_L7" regexp="expresión_regular"

לדוגמה, כדי לזהות תעבורת HTTP המכילה את המילה "facebook" בכותרת החבילה, תוכל להשתמש בביטוי רגולרי כמו זה:

add name="facebook" regexp="facebook.com"

2. צור כלל חומת אש באמצעות דפוס L7

לאחר הגדרת דפוס L7, אתה יכול להשתמש בו בכלל חומת אש כדי לסנן או לתעדף תנועה. זה נעשה בתפריט "IP" → "חומת אש" ולאחר מכן בכרטיסייה "כללי סינון" או "Mangle", בהתאם למה שאתה רוצה להשיג.

• כדי לחסום את התנועה:

/ip firewall filter
add action=drop chain=forward layer7-protocol=nombre_protocolo_L7

• כדי לסמן תנועה ולאחר מכן להחיל מדיניות ספציפית (כגון הגבלת תעריפים או תעדוף):

/ip firewall mangle
add action=mark-packet chain=forward layer7-protocol=nombre_protocolo_L7 new-packet-mark=marcado_paquete

שיקולים חשובים

• הצגה: שימוש כבד בכללי L7 יכול להגביר משמעותית את העומס על המעבד של המכשיר, מכיוון שהוא מצריך בדיקת תכולת החבילות. חשוב לעקוב אחר ביצועי הנתב לאחר יישום כללים אלה, במיוחד ברשתות עם תעבורה גבוהה.
• מדויק: יש לכתוב בקפידה ביטויים רגולריים כדי להבטיח שרק התעבורה הרצויה תיקלט. ביטוי רגולרי מוגדר בצורה גרועה יכול להוביל לתוצאות חיוביות או שליליות שגויות.
• הצפנה: כיום, תעבורת אינטרנט רבה משתמשת בהצפנה (כגון HTTPS), מה שיכול להגביל את האפקטיביות של כללים מבוססי שכבה 7 בזיהוי התוכן הספציפי של התעבורה. עבור תעבורה מוצפנת, שקול שיטות זיהוי ובקרה חלופיות, כגון חסימה או תעדוף על סמך כתובות IP, יציאות או חיבורי SNI TLS.

תצורת שכבה 7 ב-MikroTik RouterOS היא כלי רב עוצמה לניהול תעבורה מתקדם, המאפשר למנהלי רשת ליישם מדיניות רשת מתוחכמת המבוססת על התוכן בפועל של מנות נתונים.