การใช้งานเลเยอร์ 7 (L7) ใน MikroTik RouterOS ช่วยให้คุณสามารถระบุและจัดประเภทการรับส่งข้อมูลเครือข่ายตามเนื้อหาจริงของแพ็กเก็ต ไม่ใช่แค่ที่อยู่ IP หรือพอร์ต
สิ่งนี้มีประโยชน์สำหรับการกรอง จัดลำดับความสำคัญ หรือการจำกัดการรับส่งข้อมูลเฉพาะ เช่น การบล็อกเว็บไซต์เฉพาะ การจัดลำดับความสำคัญการรับส่งข้อมูล VoIP หรือการจำกัดแบนด์วิดท์สำหรับการสตรีมแอปพลิเคชัน ต่อไปนี้เป็นวิธีกำหนดค่ากฎเลเยอร์ 7 ใน MikroTik RouterOS:
1. กำหนดรูปแบบเลเยอร์ 7
ขั้นแรก คุณต้องสร้างรูปแบบเลเยอร์ 7 ที่ RouterOS จะใช้ระบุการรับส่งข้อมูลเฉพาะ ซึ่งทำได้ในเมนู “IP” → “ไฟร์วอลล์” จากนั้นในแท็บ “Layer7 Protocols” ที่นี่คุณสามารถกำหนดรูปแบบ L7 ใหม่ได้
/ip firewall layer7-protocol
add name="nombre_protocolo_L7" regexp="expresión_regular"
ตัวอย่างเช่น หากต้องการระบุการรับส่งข้อมูล HTTP ที่มีคำว่า "facebook" ในส่วนหัวของแพ็กเก็ต คุณสามารถใช้นิพจน์ทั่วไปดังนี้:
add name="facebook" regexp="facebook.com"
2. สร้างกฎไฟร์วอลล์โดยใช้รูปแบบ L7
หลังจากที่คุณกำหนดรูปแบบ L7 แล้ว คุณสามารถใช้รูปแบบดังกล่าวในกฎไฟร์วอลล์เพื่อกรองหรือจัดลำดับความสำคัญของการรับส่งข้อมูลได้ ซึ่งทำได้ในเมนู "IP" → "ไฟร์วอลล์" จากนั้นในแท็บ "กฎตัวกรอง" หรือ "Mangle" ขึ้นอยู่กับสิ่งที่คุณต้องการบรรลุ
- เพื่อปิดกั้นการจราจร:
/ip firewall filter
add action=drop chain=forward layer7-protocol=nombre_protocolo_L7
- เพื่อตั้งค่าสถานะการรับส่งข้อมูลแล้วใช้นโยบายเฉพาะ (เช่น การจำกัดอัตราหรือการจัดลำดับความสำคัญ):
/ip firewall mangle
add action=mark-packet chain=forward layer7-protocol=nombre_protocolo_L7 new-packet-mark=marcado_paquete
ข้อควรพิจารณาที่สำคัญ
- การปฏิบัติ: การใช้กฎ L7 อย่างหนักสามารถเพิ่มภาระบน CPU ของอุปกรณ์ได้อย่างมาก เนื่องจากต้องมีการตรวจสอบเนื้อหาของแพ็กเก็ต สิ่งสำคัญคือต้องตรวจสอบประสิทธิภาพของเราเตอร์หลังจากใช้กฎเหล่านี้ โดยเฉพาะอย่างยิ่งบนเครือข่ายที่มีการรับส่งข้อมูลสูง
- Exactitud: ต้องเขียนนิพจน์ทั่วไปอย่างระมัดระวังเพื่อให้แน่ใจว่าจะบันทึกเฉพาะการรับส่งข้อมูลที่ต้องการเท่านั้น นิพจน์ทั่วไปที่กำหนดไม่ดีสามารถนำไปสู่การบวกลวงหรือเชิงลบได้
- การเข้ารหัสลับ: ปัจจุบัน การรับส่งข้อมูลทางอินเทอร์เน็ตจำนวนมากใช้การเข้ารหัส (เช่น HTTPS) ซึ่งสามารถจำกัดประสิทธิภาพของกฎที่ใช้เลเยอร์ 7 ในการระบุเนื้อหาเฉพาะของการรับส่งข้อมูล สำหรับการรับส่งข้อมูลที่เข้ารหัส ให้พิจารณาวิธีการระบุตัวตนและการควบคุมทางเลือก เช่น การบล็อกหรือการจัดลำดับความสำคัญตามที่อยู่ IP พอร์ต หรือการเชื่อมต่อ SNI TLS
การกำหนดค่าเลเยอร์ 7 ใน MikroTik RouterOS เป็นเครื่องมือที่มีประสิทธิภาพสำหรับการจัดการการรับส่งข้อมูลขั้นสูง ช่วยให้ผู้ดูแลระบบเครือข่ายสามารถใช้นโยบายเครือข่ายที่ซับซ้อนตามเนื้อหาจริงของแพ็กเก็ตข้อมูล
ไม่มีแท็กสำหรับโพสต์นี้