RouterOS 入门与最佳实践【更新中】

RouterOS 是什么？

首先 RouterOS 诞生已经有 20 年了，不是什么新鲜事物。对于城中村黑宽带、简易公共 Wi-Fi 覆盖和网吧等用户场景，可以以较低的成本搭建一套可靠的网络，并基本满足运营需求。自从 2015 年提速降费政策出台、2017 年工信部发文《关于清理规范互联网网络接入服务市场的通知》，黑宽带和付费 Wi-Fi 热点项目基本消失殆尽了。所以你会发现简体中文互联网里关于这个东西的资料和讨论，大部分是处于 2005 至 2015 年之间。

闲鱼上成堆的 RouterBoard 从何而来？漂洋过海的洋垃圾 AP（Ruckus、Aruba 和 Xirrus）又流向何处？答案是“黑灰产”，高情商的说法为“工作室”。RouterOS 可轻易实现多 VLAN 匹配多 VPN 出口，配合脚本控制还能实现自动重拨号、批量更换 SSID 等需求；而 Ruckus、Aruba 等品牌的高密 AP 可提供单接入点接入上百终端的能力，并将 SSID 绑定至特定 VLAN。不过如今 OTG 集成供电和网卡的方案也成熟了，传统的无线接入方案也就慢慢落幕了。

我是否应该学习 RouterOS？

RouterOS 的防火墙配置参数看着晦涩难懂，本质上是 Linux Kernel 的 Netfiler。至于 RouterOS Script 则是 MikroTik 自创的脚本语言，虽然语法完备但很奇怪，也没有语法检查或自动补全。如果是家庭用户，我不建议接触 RouterOS，你将在上面浪费非常多的时间，并且这种 domain knowledge 离开了 MikroTik 生态毫无意义。如果你自认为是一个时间和精力充沛，很多有钱有闲的极客，有着一定的网络知识，和一定的英文阅读能力，那么你可以选择它。

RouterOS 其实也有像 ArubaOS 那样完备的 User Guide，但 RouterOS 相关的中文社群一般以“伸手”、“回帖可见”为主，真正懂技术的人太少。写到这里，不禁想起一代传奇人物 Clowwindy 的一段话：

最适合这个民族的其实是一群小白围着大大转，大大通过小白的夸奖获得自我满足，然后小白的吃喝拉撒都包给大大解决的模式。通过这个项目我感觉我已经彻底认识到这个民族的前面为什么会有一堵墙了。没有墙哪来的大大。所以到处都是什么附件回帖可见，等级多少用户组可见，一个论坛一个大大供小白跪舔，不需要政府造墙，网民也会自发造墙。这尼玛连做个翻墙软件都要造墙，真是令人叹为观止。这是一个造了几千年墙的保守的农耕民族，缺乏对别人的基本尊重，不愿意分享，喜欢遮遮掩掩，喜欢小圈子抱团，大概这些传统是改不掉了吧。
– Clowwindy

当然，中文互联网也有像 YuSong 和 StarYu 这样的博主，算是一股清流了。

MikroTik Training Center（MTC）是 MikroTik 官方授权的培训机构，一般为代理商（公司）和从事弱电外包的个人。“MTCXX”只不过是 MikroTik 仿效 Cisco 的“CCXX“弄的一套培训体系，课程时长仅 2~3 天，本质上除了名称相似以外，不能一同而论。

MTC’s are not affiliated with each other and with MikroTik in any form
MTC 之间不存在任何关联，也不与 MikroTik 存在任何形式的关联。

Testbed

简单玩玩的话可以在虚拟机中运行 RouterOS CHR，或者之前 StarYu 发布的已激活 RouterOS v6/v7 ova 镜像。手头充裕的可以购买 hAP ax2 (C52iG-5HaxD2HaxD-TC)，一款支持 PoE-in 和 DC 双路供电，双链 Wi-Fi 6 的 5 口千兆紧凑型路由。hAP ac2 (RBD52G-5HacD2HnD-TC) 和 hEX (RB750Gr3) 也是不错的选择，性能足够应付千兆宽带场景，只不过硬件平台太老了，二手价格也不便宜，不如 600 块买新的 hAP ax2。

当然 MikroTik 和 Ubnt 这种起码正常的用户还能正常的买到正常的规格的产品，没有过分的缩水也没有过分的对私溢价，理客中一点说，确实他们的定位都算是在家用和商用中间，你的家用网络“进化”路线短期内到这里可能就是终点（毕竟就预算而言要不加个 0 已经买不到什么更贵的了），但是就长期或者对路由的性能产生足够高的需求后，你很可能会去折腾别的东西。
– 知乎匿名用户

MikroTik 的产品定价介于高端家用和低端商用之间，多出的那点成本你就当做是买 RouterOS 授权吧。如果是 TP-Link、小米在 2023 年以 100 块钱卖 MT7621 的路由器，人们早就骂娘了；但是 Ubnt EdgeRouter X (ER-X) 和 MikroTik hEX (RB750Gr3) 以 300 块钱的价格卖给你，你还是觉得香，这就是品牌溢价和洗脑的力量。

ER-X 这东西早些年在某 C 开头的论坛被捧成“弱电箱神器”，一堆人花 3-400 买回来发现看不懂英文、不会用，最后刷成 OpenWrt 或者 200 块钱挂闲鱼二手的比比皆是。距离 2015 年 ER-X 发布已经过去 8 年，其在淘宝等平台仍然维持 300+ 的售价。而你只需要花 200 就能买到基于高通 IPQ6000 的 Redmi AX1800，还能刷上 LEDE，高下立判。

EdgeRouter 的系统是 EdgeOS，底层基于 debian，用起来很舒适，在当年（2015 年）能提供精简的配置页面和流量可视化，确实惊艳。EdgeOS 是基于 Vyatta v6.3 的闭源产品，后来发展为了 VyOS，社区逐渐壮大，被 NTT、Vodafone 等运营商和 big tech 用于生产环境。

在 2018 年 Ubnt 发布 ER-4 后就彻底抛弃了 EdgeRouter 产品线，专注于颜值lì rùn更高的 Unifi 产品，收割高端家庭用户，实在是可惜。全球企业无线市场仍然是 Cisco、Aruba 和 Ruckus 为主，Ubiquiti 只配在 SOHO 和 SMB 市场混口饭吃。从 Gartner 每年发布的 Enterprise Wired and Wireless LAN Infrastructure 可以看到 Ubnt 和 TP-Link 在企业 WLAN 领域差不多打个平手。只有 2020 年的图是因为后来 Ubiquiti 压根就没上榜了。

其实早在 2017 年香橼机构就痛批 Ubiquiti：

Ubiquiti’s investor filings are full of fluff and buzz words.
Ubiquiti 的投资者文件充满了空话套话。
The company claims market leading technology despite little R&D spending.
该公司声称其技术处于市场领先地位，但研发支出很少。
Major industry players appear not to recognize Ubiquiti as a competitor.
主要的行业参与者似乎不承认 Ubiquiti 是一个竞争对手。

除此之外，被某 C 和某 S 开头的社区吹到天花乱坠的、UI 花里胡哨的 UniFi Controller 本质上只是给 MikroTik 的垃圾 CAPsMAN 配上了好看点的 CSS，仅仅起到下发配置的作用，懂得都懂。

RouterOS v7 开始支持 RESTful API 了，这意味着即使你不会 RouterOS Script，也可以通过 Python、Go、Rust 等语言来实现自动化操作。当然，如果你愿意花一点时间适应语法，RouterOS Script 其实也能轻松上手。

多多参考官方文档，少看中文社区。官方文档虽然有些地方不够详细，但是基本上能解决 90% 的问题。中文社区的回答往往是瞎 jb 指导，或者知其然不知其所以然。尤其需要注意 RouterOS v6 与 v7 的配置不兼容，发布时间较早的文章可能已经过时了。

网络设备是“基础设施”，它们的配置应该是“一劳永逸”的，而不是“一劳永逸”的去维护。如果你的网络设备配置需要经常变动、追版本更新，那么你的设备或者架构一定是有问题的。MikroTik 也被称为 BugTik，就是因为 bug 太多。从 RouterOS 的 ChangeLog 可以看出，每个版本都有大量的 bugfix，而且 bugfix 之后又会引入新的 bug，永无止境。所以我建议，只要没遇到明显 bug 或安全问题，就不要轻易升级版本。