MikroTik RouterOS에서 레이어 7(L7)을 구현하면 IP 주소나 포트뿐만 아니라 패킷의 실제 콘텐츠를 기반으로 네트워크 트래픽을 식별하고 분류할 수 있습니다.

이는 특정 웹 사이트 차단, VoIP 트래픽 우선 순위 지정 또는 스트리밍 애플리케이션의 대역폭 제한과 같은 특정 트래픽을 필터링, 우선 순위 지정 또는 제한하는 데 유용합니다. MikroTik RouterOS에서 레이어 7 규칙을 구성하는 방법은 다음과 같습니다.

1. 레이어 7 패턴 정의

먼저, RouterOS가 특정 트래픽을 식별하는 데 사용할 레이어 7 패턴을 생성해야 합니다. 이 작업은 “IP” 메뉴 → “방화벽”과 “Layer7 프로토콜” 탭에서 수행됩니다. 여기에서 새로운 L7 패턴을 정의할 수 있습니다.

/ip firewall layer7-protocol
add name="nombre_protocolo_L7" regexp="expresión_regular"

예를 들어, 패킷 헤더에 "facebook"이라는 단어가 포함된 HTTP 트래픽을 식별하려면 다음과 같은 정규식을 사용할 수 있습니다.

add name="facebook" regexp="facebook.com"

2. L7 패턴을 사용하여 방화벽 규칙 생성

L7 패턴을 정의한 후 방화벽 규칙에서 이를 사용하여 트래픽을 필터링하거나 우선순위를 지정할 수 있습니다. 이 작업은 “IP” 메뉴 → “방화벽”에서 수행한 다음 달성하려는 항목에 따라 “필터 규칙” 또는 “Mangle” 탭에서 수행됩니다.

• 트래픽을 차단하려면:

/ip firewall filter
add action=drop chain=forward layer7-protocol=nombre_protocolo_L7

• 트래픽에 플래그를 지정하고 특정 정책을 적용하려면 (예: 속도 제한 또는 우선순위 지정):

/ip firewall mangle
add action=mark-packet chain=forward layer7-protocol=nombre_protocolo_L7 new-packet-mark=marcado_paquete

중요 고려 사항

• 공연: L7 규칙을 많이 사용하면 패킷 내용을 검사해야 하므로 장치 CPU의 부하가 크게 증가할 수 있습니다. 특히 트래픽이 많은 네트워크에서는 이러한 규칙을 구현한 후 라우터 성능을 모니터링하는 것이 중요합니다.
• 정확성: 원하는 트래픽만 캡처되도록 정규식을 주의 깊게 작성해야 합니다. 잘못 정의된 정규식은 잘못된 긍정 또는 부정으로 이어질 수 있습니다.
• 암호화: 오늘날 많은 인터넷 트래픽은 암호화(예: HTTPS)를 사용합니다. 이는 트래픽의 특정 콘텐츠를 식별하는 데 있어 레이어 7 기반 규칙의 효율성을 제한할 수 있습니다. 암호화된 트래픽의 경우 IP 주소, 포트 또는 SNI TLS 연결을 기반으로 한 차단이나 우선순위 지정과 같은 대체 식별 및 제어 방법을 고려하세요.

MikroTik RouterOS의 레이어 7 구성은 고급 트래픽 관리를 위한 강력한 도구로, 네트워크 관리자가 데이터 패킷의 실제 내용을 기반으로 정교한 네트워크 정책을 구현할 수 있도록 해줍니다.