Door de implementatie van Layer 7 (L7) in MikroTik RouterOS kunt u netwerkverkeer identificeren en classificeren op basis van de daadwerkelijke inhoud van de pakketten, in plaats van alleen het IP-adres of de poort.

Dit is handig voor het filteren, prioriteren of beperken van specifiek verkeer, zoals het blokkeren van specifieke websites, het prioriteren van VoIP-verkeer of het beperken van de bandbreedte voor streaming-applicaties. Zo configureert u Layer 7-regels in MikroTik RouterOS:

1. Definieer een Layer 7-patroon

Eerst moet u een Layer 7-patroon maken dat RouterOS zal gebruiken om specifiek verkeer te identificeren. Dit gebeurt in het menu “IP” → “Firewall” en vervolgens op het tabblad “Layer7 Protocollen”. Hier kunt u een nieuw L7-patroon definiëren.

/ip firewall layer7-protocol
add name="nombre_protocolo_L7" regexp="expresión_regular"

Om bijvoorbeeld HTTP-verkeer te identificeren dat het woord ‘facebook’ in de pakketkop bevat, kunt u een reguliere expressie als deze gebruiken:

add name="facebook" regexp="facebook.com"

2. Maak een firewallregel met behulp van het L7-patroon

Nadat u het L7-patroon hebt gedefinieerd, kunt u dit in een firewallregel gebruiken om verkeer te filteren of prioriteit te geven. Dit gebeurt in het menu “IP” → “Firewall” en vervolgens op het tabblad “Filterregels” of “Mangle”, afhankelijk van wat u wilt bereiken.

• Om het verkeer te blokkeren:

/ip firewall filter
add action=drop chain=forward layer7-protocol=nombre_protocolo_L7

• Om verkeer te markeren en vervolgens specifiek beleid toe te passen (zoals snelheidsbeperking of prioritering):

/ip firewall mangle
add action=mark-packet chain=forward layer7-protocol=nombre_protocolo_L7 new-packet-mark=marcado_paquete

Belangrijke overwegingen

• Prestatie: Intensief gebruik van L7-regels kan de belasting van de CPU van het apparaat aanzienlijk verhogen, omdat hiervoor de inhoud van pakketten moet worden geïnspecteerd. Het is belangrijk om de routerprestaties te controleren na het implementeren van deze regels, vooral op netwerken met veel verkeer.
• Exactitud: Reguliere expressies moeten zorgvuldig worden geschreven om ervoor te zorgen dat alleen het gewenste verkeer wordt vastgelegd. Een slecht gedefinieerde reguliere expressie kan leiden tot valse positieven of negatieven.
• Versleuteling: Tegenwoordig maakt veel internetverkeer gebruik van encryptie (zoals HTTPS), wat de effectiviteit van op Layer 7 gebaseerde regels bij het identificeren van de specifieke inhoud van het verkeer kan beperken. Overweeg voor gecodeerd verkeer alternatieve identificatie- en controlemethoden, zoals blokkeren of prioriteren op basis van IP-adressen, poorten of SNI TLS-verbindingen.

De Layer 7-configuratie in MikroTik RouterOS is een krachtig hulpmiddel voor geavanceerd verkeersbeheer, waardoor netwerkbeheerders geavanceerd netwerkbeleid kunnen implementeren op basis van de feitelijke inhoud van datapakketten.