前面提到了軟路由實(shí)際上對普通用戶來說是一種無用技能。但還是要寫文章，因此咱們從選購一臺(tái)MikroTik路由器做真正的教程開篇。

為什么不用WRT呢？簡單的說WRT默認(rèn)是給小白用的，你如果真的想了解網(wǎng)絡(luò)，增加網(wǎng)絡(luò)技能那么MikroTik是起點(diǎn)。

聊到這里，就會(huì)有人說了MikroTik的Router OS系統(tǒng)有安全問題，這是一個(gè)很好的開頭！要了解一個(gè)系統(tǒng)或者要部署一個(gè)系統(tǒng)，首先看到安全性的問題是最明智的做法，iN覺得如果首先能想到這個(gè)問題的人，是有網(wǎng)絡(luò)系統(tǒng)的天賦的。

MikroTik的Router OS在歷史上有四次主要的安全事件：

2018年三月，Slingshot木馬被發(fā)現(xiàn)感染了Router OS路由器。其主要的運(yùn)作方式是通過Router OS的WinBox控制管理軟件進(jìn)行傳播的。一個(gè)被名為IPV4.dll的木馬文件被放置于Router OS路由器中，當(dāng)管理員利用WinBox連接到被感染的路由器后，這個(gè)文件會(huì)在管理員的計(jì)算機(jī)上被運(yùn)行，木馬就干三件事，第一把自己偽裝成系統(tǒng)應(yīng)用Serveice.dll；第二、截獲被感染的計(jì)算機(jī)上的所有屏幕、按鍵和特定文件的信息；第三，當(dāng)winbox再連到其他Router OS路由器后，將一份IPV4.dll文件放入路由器中。

這是一個(gè)長期威脅木馬并不以感染Router OS為目的，而是利用了其管理軟件的漏洞通過Router OS為介質(zhì)感染其他安裝了WinBox的計(jì)算機(jī)。

2018年五月，黑客組織Fancy Bear的VPNFilter蠕蟲被發(fā)現(xiàn)存在于Router OS路由器中，這是思科給出的報(bào)告，不過Router OS路由器只是感染目標(biāo)之一，這個(gè)蠕蟲入侵的是所有嵌入式Linux系統(tǒng)的網(wǎng)絡(luò)設(shè)備，因此，以Linux為內(nèi)核的Router OS也趕上了這輪病毒傳播中鏢了而已。在思科給出的報(bào)告中顯示華碩、D-link、華為、中興、linksys、網(wǎng)件、甚至微聯(lián)通NAS都有感染蠕蟲的報(bào)告。這個(gè)蠕蟲的行為就比較可怕了，蠕蟲在遭受感染的設(shè)備中對該設(shè)備所在網(wǎng)絡(luò)位置的網(wǎng)絡(luò)流量進(jìn)行數(shù)據(jù)包分析，獲取該網(wǎng)絡(luò)下的密碼、用戶名、數(shù)字簽名等安全認(rèn)證信息，在某些時(shí)候還會(huì)執(zhí)行數(shù)據(jù)篡改、對設(shè)備進(jìn)行其它控制操作，包括作為往后使用這些竊取的認(rèn)證信息進(jìn)行攻擊的中繼點(diǎn)，并隱藏這些攻擊行為。

2018年八月，還是利用了VPNFilter的相同機(jī)制，在Router OS的路由器中發(fā)現(xiàn)了cryptojacking蠕蟲。通過被感染的路由器瀏覽網(wǎng)頁的時(shí)候，會(huì)在網(wǎng)頁中添加一個(gè)JS腳本，使被入侵的設(shè)備為攻擊者挖掘門羅幣。

2021年6月，基于MikroTik Router OS名為“Meris”的僵尸網(wǎng)絡(luò)被發(fā)現(xiàn)，同年9月Yandex（俄羅斯人的百度）發(fā)布消息，聲稱成功擊退了來自于Meris網(wǎng)絡(luò)的DDos攻擊。當(dāng)時(shí)這是一個(gè)大新聞，Yandex的報(bào)告顯示Meris的DDos攻擊次數(shù)在9月5日達(dá)到峰值，其攻擊次數(shù)達(dá)到每秒2200萬次。這件事平息之后，人們的樂趣就成了究竟是多么強(qiáng)悍的設(shè)備可以達(dá)到這樣的性能，反而給Router OS一次逆向公關(guān)的機(jī)會(huì)。

其實(shí)相對于Router OS的漏洞來說，WRT的漏洞更多。咱們說路由器的選購，這件事就暫時(shí)不展開說了。

下面我們來說一下如何獲得一個(gè)Router OS的路由器，

Router OS是MikroTik的路由器操作系統(tǒng)品牌，一方面這個(gè)系統(tǒng)可以運(yùn)行在MikroTik出產(chǎn)的一系列路由器中，另外一方面，這個(gè)系統(tǒng)也有可以下載的軟件包，可以安裝在基于X86的軟路由系統(tǒng)中。同時(shí)，它還包括云主機(jī)版本（CHR），可以方便的安裝在各種云平臺(tái)的云主機(jī)中。

具體說：

和大家很熟悉的小米、華碩這類的家用路由器不同，MikroTik更傾向于商用網(wǎng)絡(luò)。其產(chǎn)品家族很大。

雖然家用路由器業(yè)務(wù)MikroTik也在做，不過并不是這家公司發(fā)展的重點(diǎn)，單純以家用為目的可以選擇的型號(hào)其實(shí)并不多。

如果僅僅選擇有線路由器，可以從HEX系列入手，這些路由器是MikroTik為小型辦公室準(zhǔn)備的產(chǎn)品，通常，網(wǎng)絡(luò)接口數(shù)量并不多，內(nèi)存量并不大，但是依舊包括了全部的Router OS功能。

如果需要選用無線路由器的話，就可以從HaP系列入手

這類的路由器和普通家用的無線路由器外觀基本相同，不僅僅提供了5個(gè)左右的有線接口，還依據(jù)不同的Wi-Fi標(biāo)準(zhǔn)提供了無線接入能力。

如果要選擇更高端的路由器來擴(kuò)展自己家的網(wǎng)絡(luò)，還可以選擇L系列或者RB系列，其中L系列的路由器是RB系列的簡化版，主要是MikroTik做高端家用市場的嘗試。

而RB系列則是基于MikroTik的他家RouterBroad（路由電路板）的產(chǎn)品實(shí)現(xiàn)。

最新版的RB系列路由器和L系列路由器沒什么太大外觀差別，但內(nèi)部采用的SoC不同，性能也比L系列高出一截（價(jià)格亦然）。

再往上走就是CCR系列的企業(yè)級(jí)路由器了，一般這種路由器在家里用得就比較少了。

好在MikroTik本身在Router OS的系統(tǒng)進(jìn)行統(tǒng)一，哪怕你使用一臺(tái)價(jià)格200塊錢的入門路由器，你也可以體驗(yàn)到Router OS的大部分功能。

路由器會(huì)挑花眼嗎？也并不會(huì)，記住兩個(gè)要點(diǎn)：

第一，他家的路由器有性能測試報(bào)告，到官網(wǎng)上，進(jìn)入任何一個(gè)路由器的產(chǎn)品介紹頁面中都可以看到相應(yīng)的產(chǎn)品的性能信息。

這個(gè)部分不摻假、也不會(huì)有任何廣告話術(shù)上的忽悠，就是實(shí)打?qū)嵉臏y試數(shù)據(jù)。可以根據(jù)自己的預(yù)算來選擇一個(gè)合適性能的路由。

第二，型號(hào)規(guī)則，尤其是RB系列的路由器，在型號(hào)中已經(jīng)說明了路由器的特點(diǎn)，MikroTik的規(guī)則為：

<板名稱> <板功能>-<內(nèi)置無線> <無線卡功能>-<連接器類型>-<外殼類型>

例如：RB912UAG-5HPnD

表示了RB（路由器板）

912 - 第 9 系列板，帶有 1 個(gè)有線（以太網(wǎng)）接口和 2 個(gè)無線接口（內(nèi)置和 miniPCIe）

UAG - 具有 USB 端口、更多內(nèi)存和千兆以太網(wǎng)端口

5HPnD - 內(nèi)置 5GHz 高功率雙鏈無線卡，支持 802.11n。

這樣的標(biāo)識(shí)就相當(dāng)清晰明了了。

如果你選用稍微高一點(diǎn)的路由器，對你更有意義的是外殼類型：

• BU - 板單元（無外殼） - 適用于需要僅板選項(xiàng)但主要產(chǎn)品已裝在箱中的情況
• RM——機(jī)架式外殼
• IN——室內(nèi)外殼
• EM--擴(kuò)展內(nèi)存
• LM--精簡內(nèi)存
• BE-黑色版外殼
• TC - 塔式（立式）案例
• PC - 被動(dòng)冷卻外殼（用于 CCR）
• TC - 塔式（垂直）外殼（適用于 hEX、hAP 和其他家用路由器。）
• OUT——室外外殼

以及端口類型：

• F 100M以太網(wǎng)端口數(shù)量
• Fi 100M 以太網(wǎng)端口數(shù)量，帶 PoE 輸出注入器
• 具有受控 PoE 輸出的 100M 以太網(wǎng)端口的 Fp 數(shù)量
• Fr 具有反向 PoE (PoE-in) 的 100M 以太網(wǎng)端口數(shù)量
• G 個(gè) 1G 以太網(wǎng)端口
• P 具有 PoE 輸出的 1G 以太網(wǎng)端口數(shù)量
• C 組合 1G 以太網(wǎng)/SFP 端口數(shù)量
• S 1G SFP 端口數(shù)量
• G+ 2.5G 以太網(wǎng)端口數(shù)量
• P+ 具有 PoE 輸出的 2.5G 以太網(wǎng)端口數(shù)量
• C+ 組合 10G 以太網(wǎng)/SFP 端口數(shù)量
• S+ 10G SFP+ 端口數(shù)量
• XG 5G/10G 以太網(wǎng)端口數(shù)量
• XP 具有 PoE 輸出的 5G/10G 以太網(wǎng)端口數(shù)量
• XC 組合 10G/25G SFP+ 端口數(shù)量
• XS 25G SFP+ 端口數(shù)量
• Q+ 40G QSFP+ 端口數(shù)量
• XQ 100G QSFP+ 端口數(shù)量

例如我們剛剛提到的CCR2216-1G-12XS-2XQ

后面的1G-12XS-2XQ代表了有1個(gè)1G端口，12個(gè)10G光口，和2個(gè)100G光口。

通過型號(hào)，你就可以更清晰的看到這臺(tái)路由器的基本配置了。

還有一點(diǎn)和家用路由器不同，Router OS并不一定要求安裝在MikroTik的產(chǎn)品中，你可以在官網(wǎng)下載Router OS的安裝包：

如果家里有舊電腦，或者軟路由，我們可以采取這種方式自行構(gòu)建一個(gè)Router OS兼容的軟路由。

只不過，要注意的一點(diǎn)是，官方生產(chǎn)的路由器產(chǎn)品是帶有許可證的。而自己構(gòu)建的兼容軟路由是沒有任何許可證的。很多人使用自己的系統(tǒng)安裝Router OS或者在云主機(jī)上安裝CHR會(huì)表示覺得Router OS運(yùn)行速度慢，網(wǎng)絡(luò)卡頓。其實(shí)就是沒有更新許可證，這也是很多人剛剛接觸Router OS的時(shí)候覺得不好用的一個(gè)主要原因。

不過要注意的一點(diǎn)是，Router OS系統(tǒng)雖然本身免費(fèi)下載，但許可證是要收費(fèi)的，所以X86軟路由弄個(gè)Router OS，還真的不如直接購買一個(gè)MikroTik的硬件來的劃算一些。