Layer 7 (L7) ieviešana MikroTik RouterOS ļauj identificēt un klasificēt tīkla trafiku, pamatojoties uz pakešu faktisko saturu, nevis tikai IP adresi vai portu.

Tas ir noderīgi, lai filtrētu, noteiktu prioritāti vai ierobežotu noteiktu trafiku, piemēram, noteiktu vietņu bloķēšanu, VoIP trafika prioritāti vai joslas platuma ierobežošanu straumēšanas lietojumprogrammām. Lūk, kā MikroTik RouterOS konfigurēt Layer 7 noteikumus:

1. Definējiet 7. slāņa modeli

Pirmkārt, jums ir jāizveido 7. slāņa modelis, ko RouterOS izmantos, lai identificētu konkrētu trafiku. Tas tiek darīts izvēlnē “IP” → “Ugunsmūris” un pēc tam cilnē “Layer7 Protocols”. Šeit jūs varat definēt jaunu L7 modeli.

/ip firewall layer7-protocol
add name="nombre_protocolo_L7" regexp="expresión_regular"

Piemēram, lai identificētu HTTP trafiku, kura paketes galvenē ir vārds “facebook”, varat izmantot šādu regulāro izteiksmi:

add name="facebook" regexp="facebook.com"

2. Izveidojiet ugunsmūra kārtulu, izmantojot L7 modeli

Kad esat definējis L7 modeli, varat to izmantot ugunsmūra kārtulā, lai filtrētu trafiku vai noteiktu to prioritāti. Tas tiek darīts izvēlnē “IP” → “Ugunsmūris” un pēc tam cilnē “Filtra noteikumi” vai “Mangle” atkarībā no tā, ko vēlaties sasniegt.

• Lai bloķētu satiksmi:

/ip firewall filter
add action=drop chain=forward layer7-protocol=nombre_protocolo_L7

• Lai atzīmētu trafiku un pēc tam piemērotu īpašas politikas (piemēram, likmes ierobežošana vai prioritāšu noteikšana):

/ip firewall mangle
add action=mark-packet chain=forward layer7-protocol=nombre_protocolo_L7 new-packet-mark=marcado_paquete

Svarīgi apsvērumi

• Sniegums: intensīva L7 noteikumu izmantošana var ievērojami palielināt ierīces centrālā procesora slodzi, jo tas prasa pakešu satura pārbaudi. Pēc šo noteikumu ieviešanas ir svarīgi uzraudzīt maršrutētāja veiktspēju, jo īpaši tīklos ar lielu trafiku.
• Exactitud: Regulāras izteiksmes ir jāraksta uzmanīgi, lai nodrošinātu, ka tiek uztverta tikai vēlamā trafika. Slikti definēta regulārā izteiksme var radīt kļūdaini pozitīvus vai negatīvus rezultātus.
• Šifrēšana: Mūsdienās liela daļa interneta trafika izmanto šifrēšanu (piemēram, HTTPS), kas var ierobežot 7. slāņa kārtulu efektivitāti konkrētā trafika satura identificēšanā. Šifrētai trafikai apsveriet alternatīvas identifikācijas un kontroles metodes, piemēram, bloķēšanu vai prioritāšu noteikšanu, pamatojoties uz IP adresēm, portiem vai SNI TLS savienojumiem.

7. slāņa konfigurācija programmā MikroTik RouterOS ir spēcīgs rīks uzlabotai trafika pārvaldībai, ļaujot tīkla administratoriem ieviest sarežģītas tīkla politikas, kuru pamatā ir faktiskais datu pakešu saturs.