雷竞技网站microtik设备控制器

2022年5月30日星期一下午1:53

你好,

雷竞技网站MikroTik正计划为MikroTik Devices开发和构建一个控制器应用程序。目前，我们正在研究可能性和选择，应该有什么，以及如何做到和实施。目前，我们不想坚持一个特定的实现或标准，而是建立我们自己的，这将有助于管理，开发和部署不同规模的网络运行microktik设备。雷竞技网站
任何关于功能和选项的建议都是非常欢迎的。

elbob2002 · 2022年5月30日星期一下午1:57

集中更新和配置管理!

parham · 2022年5月30日星期一下午2:10

你好,

雷竞技网站MikroTik正计划为MikroTik Devices开发和构建一个控制器应用程序。目前，我们正在研究可能性和选择，应该有什么，以及如何做到和实施。目前，我们不想坚持一个特定的实现或标准，而是建立我们自己的，这将有助于管理，开发和部署不同规模的网络运行microktik设备。雷竞技网站
任何关于功能和选项的建议都是非常欢迎的。

这是一个很棒的想法，不管你们怎么想，像Unifi或Meraki这样的东西，一个很好的控制器，可以托管，并采用所有的microtik设备，潜在的dude集成到它的漂亮的网络图和更多……雷竞技网站会是我们部署和管理microtik的致命功能吗雷竞技网站

blingblouw · 2022年5月30日星期一下午2:16

这是非常令人兴奋的!

当然是配置模板，但请尽早允许webhook。例如，您可能希望创建一个包含一些变量信息的模板，这些变量信息可以从某种restful api中完全自动化地检索到

parham · 2022年5月30日星期一下午2:19

1-固件更新。
2-配置备份和比较。
3-客户端Wireguard VPN生成器(可以导入到fireguard软件的文件)。雷电竞app下载官方版苹果
站点到站点ipse VPN
5-网络和wifi设置到任何microtik在同一网站雷竞技网站
6-防火墙规则和NAT
7- ip id
8 - sd-wan
块和允许列表的地理IP位置。
广域网性能检查:速度，ping，抖动。

fragtion · 2022年5月30日星期一下午2:21

令人兴奋的消息!
-基于web，因此控制器可以从几乎任何设备或平台访问，并最终逐步淘汰winbox。理想情况下，控制器不应该基于Java，而是静态二进制文件部署或开源?
更好的绘图和分析，是时候摆脱mrtg了。Rrdtool很好，grafana怎么样?
-集成的“尾标式”控制器，可以轻松地在管理端点之间设置wireguard链接，并自动处理端点端口，NAT穿孔等。“一键式wireguard vpn”可能是一个很好的营销工具
-设备概述与状态页，设备模型图像和卫星地图概述，以绘制无线链路和做线的站点计算类似于ubnt的UISP
如果我能想到其他的东西，我会更新我的清单

winap · 2022年5月30日星期一下午2:30

集中更新和配置管理!

是的肯定!只需一键更新和升级路由器板，只需在AP上标记客户端。ios版雷竞技官网入口在这一小时内，如果包含AP，请等待下载客户端的FW，然后最后升级AP。
大多数用户仍然不知道如何升级FW…(不仅仅是安装和重启)。但是这个功能必须启用，一些用户不想要更新的固件，因为一些功能在规格FW上更好。
又如:由于其他AP过载，ISP增加了新的AP，一些客户端迁移到新的AP，需要新的IP地址。最好标记一些新用户，给他们新的ip，这样旧的就会被重写。
谢谢你！

BrateloSlava · 2022年5月30日星期一下午2:30

Dude有能力为当前设备指定一个“父设备”。使用集中式管理，有必要在更新期间重新启动之前检查整个“父”链。这样，就不会出现“父进程”已经下载了更新并开始重启，而“子进程”还没有时间下载更新的情况。

dakobg · 2022年5月30日星期一下午2:33

单个应用程序来控制所有mk设备?

Winbox with menu -> list devices -> select mk device -> done:)
Winbox放置所有设备概览
自动配置的Winbox模板?!

还有很多很多

其他选项->专用应用程序(新家伙从头开始构建?!)从2022年开始使用UI，具有良好的监控和管理功能;)

pe1chl · 2022年5月30日星期一下午2:40

你好,

雷竞技网站MikroTik正计划为MikroTik Devices开发和构建一个控制器应用程序。

你是怎么定义的?比如TikApp?我想没有，它已经存在了。
或者我们应该将“用于microtik设备”解读雷竞技网站为“管理大量设备的集中解决方案”，就像上面其他人似乎推断的那样?
那么，这是只能“通过应用程序”实现的，还是一种也可以在普通电脑上使用的解决方案?

woland · 2022年5月30日星期一下午2:45

嗨！
好主意!
我在其他地方错过的功能:
修订控制
-所有的东西都是明文的
-分组(标记)设备
-一次在多个设备上(在一个组上)启动脚本/操作
-从设备发送/接收文件
-中央日志采集器
sw升级/回滚
-设备状态详细信息

而不是改进这个家伙?
:）

W

dvreshta · 2022年5月30日星期一下午2:56

好主意。
一开始，专注于小规模的配置会很好，比如中小企业想要运行一个ccr作为网关，使用防火墙来保护他们的网络和设备，用一些crr或css交换机扩展网络，并管理capsman。

这将足以满足超过70%的安装需求。

elel · 2022年5月30日星期一下午3:59

基于云的，甚至可以订阅任何ROS设备。生成从云端访问设备的临时链接。为给定的帐户创建一个信用池，并让该帐户的用户根据为其设备生成链接的时间使用信用。为设备与云的通信实现一个强大的协议。仅使用双因素身份验证创建帐户。

从那里，如果一个人可以连接到一个核心路由器，那么他可以选择使用VPN来控制整个网络的工具，如romon。

marcelbohmer · 2022年5月30日星期一下午4:07

拥有适用于所有硬件类型的代理包，比如prtg代理或zabix雷竞技官网网站下载代理?

Panbambaryla · 2022年5月30日星期一下午4:15

让我们用它的名字来称呼它:Ubiquiti解决方案(UISP)就是一个很好的例子，它应该如何与他们使用的技术(docker)一起工作。

volga629 · 2022年5月30日星期一下午4:40

Unifi控制器不好，图片太多没有功能。

我建议Mikrotik将基于去中心化的模型雷竞技网站，类似于cisco ACI。

这样控制器就不会影响基础设施。

还要进行分层功能部署。基于类别和优先级的意义设置功能。
例子:
管理访问最高优先级。

在控制器端执行配置文件也很重要。比如diff(版本控制)、备份、安全审计。

2022年5月30日星期一下午5:09

我已经看到几个提到的配置文件，配置比较…
您是否建议控制器作为配置导出上传器运行?

parham · 2022年5月30日星期一下午5:20

我已经看到几个提到的配置文件，配置比较…
您是否建议控制器作为配置导出上传器运行?

是和否，如果控制器可以做正确配置的备份，可以做配置版本之间的比较，这将是很好的推配置。

但Mikrotik对控制器的计划雷竞技网站是什么?你们会开发Meraki或Unifi之类的东西吗?如果是，那真是个好消息，但如果那只是一个简单的手机应用或类似的东西，那就不要尝试了。

l雷竞技RouterOS非常棒，如果你可以开发一个控制器并与ROS7集成，那将是一个杀手级功能，如果控制器可以是一个设备或托管，那么你可以添加IDS, IPS和sd-wan并与ROS集成。

parham · 2022年5月30日星期一下午5:21

也请让这个话题热起来，因为这是你们所有人想出的最好的功能之一。

2022年5月30日星期一下午5:24

最初的目标是开发一个用于应用和监视配置的协议，因此这个协议应该能够完成的所需功能的问题。

parham · 2022年5月30日星期一下午5:29

最初的目标是开发一个用于应用和监视配置的协议，因此这个协议应该能够完成的所需功能的问题。

我明白了，你们是否打算开发Meraki或unity之类的控制器?Mik雷竞技网站rotik计划在未来的产品中加入一些NGFW的功能吗?

pe1chl · 2022年5月30日星期一下午5:47

最初的目标是开发一个用于应用和监视配置的协议，因此这个协议应该能够完成的所需功能的问题。

-连接到某个云服务器并建立信任
-将现有配置发送到云服务器
-从云服务器接收完整的配置或增量
-升级RouterOl雷竞技S到云服务器指定的版本
-用户界面到云服务器允许灵活的配置模板和组分发标准配置到一组设备，包括宏变量部分
云服务器存储的文件是人类可读的形式(像导出)
—云服务器软件可以安装在自己的雷电竞app下载官方版苹果硬件上雷竞技官网网站下载

Larsa · 2022年5月30日星期一下午6:04

@sergejs写道:Mikro雷竞技网站Tik正计划为MikroTik设备开发和构建一个控制器应用程序。目前，我们正在研究可能性和选择，应该有什么，以及如何做到和实施。目前，我们不想坚持一个特定的实现或标准，而是建立我们自己的，这将有助于管理，开发和部署不同规模的网络运行microktik设备。雷竞技网站任何关于功能和选项的建议都是非常欢迎的。

@mrz写道:最初的目标是开发一个协议来应用和监控配置，因此这个协议应该能够做的所需功能的问题。

@sergejs和@mrz你好，这是我的两分开场白:

“控制器应用程序”和“协议”这两个词相当模糊。请提供更多的需求细节，并请随意给出市场上类似解决方案的例子。

问题一:你指的是以下这些吗?

A)“智能手机应用程序”?
B)一个真正的网络监控和管理解决方案(希望是这样的)?

Q2:总体目标和主要目的是什么，以及目标受众是什么，例如消费者、专业网络技术人员或其他什么?

根据问题1的答案:

A)一个新的智能手机应用可能对消费者市场有用，但不是我的专业领域，对我来说通常是无趣的。
在B)的情况下，关于新的监控和管理解决方案，I强烈建议不要从头开始构建任何东西，而是使用一些OSS或许可第三方解决方案来构建。

--

然而，正如我在上面解释的那样，请通过提供更多细节来开始描述意图。我相信你会得到更多有用的建议。

提前感谢!

编辑:
这句话并不是说要刻薄，但也许有些经理可能会愿意提高他们的沟通技巧，以及如何制定项目描述。我很确定这会让所有相关方的生活更轻松。

woland · 2022年5月30日星期一下午6:19

你好,
当我阅读回复时，我看到很多人提到“云”。虽然我不认为云本质上是不好的，但对我来说，MT的卖点之一是没有任何功能需要绑定到任何云(显然除了云备份)。

既然mr . z写了，我们只是在讨论一个协议:
-使协议能够推/拉和执行配置更改和脚本
-支持版本配置/跟踪更改
支持批量部署到组(有标签的设备)
-在某种条件下部署配置(如果mac地址等于，如果SW版本>7)。X，如果ethernet1 down，等等)

W

felixka · 2022年5月30日星期一下午6:24

如果它有Winbox或Webfig以外的前端，我认为它应该保留Windows 95的外观。

Larsa · 2022年5月30日星期一下午6:37

当我阅读回复时，我看到很多人提到“云”。虽然我不认为云本质上是不好的，但对我来说，MT的卖点之一是没有任何功能需要绑定到任何云(显然除了云备份)。

根据cloud ACT，使用美国服务的纯云解决方案在欧盟可能很敏感，因此无论开发者想出哪种解决方案，你都需要能够在内部安装它。

woland · 2022年5月30日星期一下午6:51

根据cloud ACT，使用美国服务的纯云解决方案在欧盟可能很敏感，因此无论开发者想出哪种解决方案，你都需要能够在内部安装它。

如果在欧盟内部使用云服务，这在法律方面是完全没问题的。
这不是我的观点，但是一个纯云的解决方案有很多其他的含义，比如隐私，比如对互联网可用性的需求，比如对云资源维护者和云提供商本身的完全依赖....

Larsa · 2022年5月30日星期一下午6:53

这不是我的观点，但是一个纯云的解决方案有很多其他的含义，比如隐私，比如对互联网可用性的需求，比如对云资源维护者和云提供商本身的完全依赖....

同意!

Amm0 · 2022年5月30日星期一下午7:12

我真的不认为你们离这有多远，一个“现代化的Dude”看起来很像一个“Mikrotik Devices Controller”——它已经有很好的模式/协议/存储。雷竞技网站基本上我认为它的架构是相当不错的——只是“客户端”需要一个新的外观。如果它看起来不像20世纪90年代的windows MFC应用程序，并且选择了一些Dude的功能要求，你会比从头开始更快地获得一些东西……

最初的目标是开发一个用于应用和监视配置的协议，因此这个协议应该能够完成的所需功能的问题。

我认为今天的问题是导出/导入不对称，备份/还原是单片+二进制。缺少的是幂等配置文件。这是能够监控/应用“控制器软件”配置的第一步。雷电竞app下载官方版苹果

如果当前配置方案支持“更新”操作，则需要使用“。我认为这对解决这个问题大有帮助。虽然。id是由“add”生成的，今天是不可设置的，但你都可以改变它;)。例如，“export idempotent”在配置文件中不使用“add”/“set”操作，但类似于:

/ip地址更新。id=*1接口=bridge1地址=192.168.88.1/24

一个智能的“导入”会接受“更新”，要么添加新的，要么改变现有的，可能有些选项要么只更新文件中的内容，要么用它来替换所有内容。而且，可能有一些语法检查器只允许应用“有效配置”(例如，由于错误而不允许“半应用”导入，这可能在今天发生;))。

chechito · 2022年5月30日星期一晚上7:22

非常好，需要主动性

非常重要的是，通过组、模板、站点等大规模、选择性地跟踪和部署配置更改的能力

2022年5月30日星期一晚上7:23

它的目的是作为一个真正的网络管理控制器，当然，在未来可能会有一个选项，连接和管理控制器通过智能手机应用程序或任何其他应用程序或web GUI或任何东西。
你可以把它想象成一个船长，但不仅仅是为了无线。

Amm0 · 2022年5月30日星期一晚上7:31

你可以把它想象成一个船长，但不仅仅是为了无线。

Do是指capsman的“树/分层配置风格”，或将网络流量转发到中央路由器部分(例如DTLS隧道/本地转发=no)。或者,两个?

2022年5月30日星期一晚上7:38

我说的是这个概念，有一个控制器应该能够推动配置，有一些设备应该能够使用那个配置。
我们讨论的是控制器在通信方面应该能够做的功能:controller <---------> controlled_device

我们不讨论任何控制器配置风格，也不讨论应该使用什么管理应用程序来连接控制器，也不讨论配置应用程序应该是什么样子，也就是controller <--> user

rextended · 2022年5月30日星期一晚上7:54

首先，从下面开始:
每日备份的文本格式，而不是二进制在任何点上，和完整的配置，包括ssh密钥，证书，用户管理器和dude数据库。
一些工具用于比较不同日期之间的备份以查看更改。
一些用于推送配置的工具(如在所有设备上更改NTP服务器，或仅在一组设备上更改NTP服务器，或仅对选定的设备更改NTP服务器)。
可以根据组/硬件/品牌/平台，ROS版本，BIOS/RouterBOOT版本，安装包选择/搜索设雷竞技官网网站下载备。
发送。npk /。dpk /单个文件的可能性，并根据内部存储器类型“root”或“root/flash”选择远程放置的文件夹。

ksteink · 2022年5月30日星期一晚上8:03

是时候了!!!!整个市场都在转向SDNx技术，microtik也不应该例外!!雷竞技网站

我们应该从婴儿步和基本功能开始!如:

-它应该运行在一个多平台(Windows, Linux, MacOS, docker容器)和运行在本地(自托管在x86/64和ARM处理器)和/或云(AWS, Azure等)与web界面。我更喜欢外部控制器，而不是作为RouterOS的一部分的封装(或者制作一个专用的小型/成本有效的设备)。l雷竞技
-它应该是轻量级的!并且易于安装和配置。
-它应该有一个配套的移动应用程序(iOS和Android)
- KISS方法(保持超级简单)，具有易于使用的界面(以及吸引眼球)

我希望在这个控制器中具有的最低功能应该是什么:

-零触控配置(ZTP!)。这意味着我发布了一个未配置的microtik设备，设备应该找到控制器雷竞技网站(本地或云上)，这样我们就可以控制推送配置(或通过跳转服务访问)到设备，这样我们就可以通过SSH / api甚至Winbox加载所需的配置)。

-监控与分析，收集受控设备的所有指标数据!比如带宽利用率、顶级通话者、应用程序等(Netflow内置?)除了其他功能之外，这可能是Dude的替代品。

-自动配置备份和恢复。

-移动microtik设备的CAPsMAN功能，由控制器集中管理雷竞技网站

—集中配置管理，将所有底层配置大规模推送到所有或部分设备。这意味着控制器的接口提供了将“策略”定义为抽象层的选项，该抽象层将被转换为低级配置管理命令，这些命令将被推送到每个目标设备(通过SSH、api等)。不确定你们是打算在下面使用Ansible还是一个新的内部协议/自动化解决方案。

如果M雷竞技网站ikrotik在这方面做得好，它的上述功能(开始)将是一个本垒打!!Fortinet有一个类似的模型来部署一个中央控制器，或者像今天的RouterOS一样保持对设备的本地控制，而不依赖中央控制器。l雷竞技

Larsa · 2022年5月30日星期一晚上8:38

我说的是这个概念，有一个控制器应该能够推动配置，有一些设备应该能够使用那个配置。我们讨论的是控制器在通信方面应该能够做的功能:controller <-> controlled_device

请使控制器可扩展。

除了常规配置管理中通常包含的普通内容之外，这可能是智能SDN管理控制器的开始。此外，如果有一个用户开发的附加组件的API，可能会有无限的可能性来扩展控制器的新功能，例如各种SDN目标的网络服务模板，备份/恢复解决方案，MT设备的配置模板等。

再说一次，请不要从头开始开发所有东西而是使用OSS或从第三方获得解决方案的许可。恕我之言，MT就像大多数网络技术公司一样，规模很小，通常缺乏在应用程序层面开发的技能，因此如果完全从零开始，很可能会以灾难(即DOA)告终。

cwade · 2022年5月30日星期一晚上8:44

我的首要建议和最高优先级是从一开始就构建强大的安全性，而不是事后再考虑。雷竞技网站MikroTik可以向网络设备行业的其他人展示如何建立安全维护网络设备的最佳实践，这应该是我们的目标!

一些建议的方法:

合并一个健壮的管理工具，用于建立和维护管理员和用户帐户。理想情况下，它还应该支持可用于设备的自动状态查询和管理的“机器”帐户。控制器本身应该使用“机器”帐户来实现其目的，并且该帐户必须可由客户定制。与企业系统的集成，如微软的活动目录，可能是一些客户所希望的。

建立证书颁发机构(CA)，向网络设备颁发证书。新的控制器应该包含对私钥(特别是CA自己的私钥)的硬件保护，以及使用多方控制雷竞技官网网站下载将CA的私钥安全地克隆到备份控制器的能力。网络设备应该能够使用自动化方法向CA请求证书的续期。还应该有用于在网络设备中安装cert的自动化工具。必须使用像OCSP这样的动态协议来支持证书撤销，并具有立即推出撤销的能力(例如，通过CRL更新)。一种可选的方法是支持与第三方证书颁发/管理系统的集成，但是现在实现网络设备所需的服务子集的工具很容易从多个开源项目中获得，包括OpenSSL本身。

在新控制器中使用CA还可以为网络管理员颁发客户端证书。客户端证书将与相互身份验证一起使用，以处理Winbox和其他特定于设备的服务的登录，包括通过证书提供SSH密钥的选项。应该支持自动客户端证书更新，并且必须能够通过立即将吊销通知推送到设备以及动态证书检查来吊销客户端证书。(旁白:WinBox可能直接支持从新控制器的CA请求管理员证书。)

CA还应为无线接入、PPP/VPN远程接入、热点服务等颁发用户证书。这意味着用户应该对控制器进行专门访问，以处理证书请求或更新其帐户详细信息，如电子邮件地址、电话号码、工作站详细信息、移动设备详细信息等。在企业环境中，可以从中央服务提取这类信息。

完全支持最新的加密算法和措施，包括广泛接受的椭圆曲线算法(如ED25519)。提供策略控制，以从网络范围的角度限制/限制网络设备中加密套件的使用。

为遗留设备和服务提供健壮的RADIUS服务的完整实现。额外的信用，支持RADIUS集成与微软AD NPS/RADIUS设施。

实现一个SSH密钥管理系统，该系统支持将管理员的SSH公钥推送到网络设备，并根据需要滚动密钥。还需要立即删除或禁用用于管理员登录的SSH公钥。一种可能性是使用SSH和SSH密钥管理来安全地将更新推送到设备，同时调用脚本和自动检索设备信息，包括设备配置。

为敏感信息的静态维护提供加密存储系统，特别是设备配置等敏感信息。

构建一个软件存储库，以雷电竞app下载官方版苹果一种受控的方式将RouterOS(以及可能的其他软件/固件包)重新分发到网络设l雷竞技备，而不需要单个网络设备访问Internet。这可能是本文中其他人对RouterOS批量更新请求的补充。l雷竞技理想情况下，该系统应该在支持此选项的设备上支持两个或更多存储分区，以便更容易、更安全地回滚更新。对于没有配备(或配置)多个分区的设备，回滚功能仍然是一个有价值的功能。

实现对冗余设备部署(包括新控制器)的支持。例如，支持在冗余设备对中的每个成员中独立更新RouterOS的措施，从而使另一个成员在升级过程中能够维持业务l雷竞技。该功能还允许在完全更新所有设备之前，在冗余系统中暂存固件以确认稳定性。冗余控制器也需要类似的功能。弹性是一个经常被忽视的基本安全需求。

支持RANCID或在源代码控制系统(例如Git)中维护网络设备配置的等效服务。这可以是一个附加包，用于处理大型网络或复杂支持需求的用户。(另外，我自己在涉及多个供应商的设备的复杂网络中使用RANCID的经验表明，这不仅是跟踪配置更改的宝贵工具，而且还可以监视多个管理员所做的更改，这反过来又提供了进一步的安全控制，并增加了从未经批准或考虑不周全的更改中恢复的能力。)

支持SNMPv3的安全凭证管理，包括以受控和自动化的方式定期更新凭证的能力。提供将SNMPv3凭证推送到网络管理系统的方法(例如，通过安全上传导出的凭证字典)。

使用参数驱动的方法调用缓解措施，为自动响应DDoS攻击提供工具。

实现一个全面的系统日志工具。这可以针对microtik设备进行优化，以利用增强的功能雷竞技网站。系统日志记录应该支持TCP日志记录，以及通过加密链接(SSH、IPsec或其他VPN)进行日志记录的可选支持。对于客户来说，实现冗余的syslog服务器以实现弹性以及保护日志不被攻击者修改应该是可行的。日志记录系统应该能够将日志记录转发到更高级的面向企业的日志记录系统(例如，Elastic Search)。

DNS是最基本的服务之一，也是最敏感的安全服务之一，因此对网络设备中的DNS服务进行集中管理将是一项有价值的服务。这可能包括跨一些或所有网络设备维护静态DNS缓存的能力，以便在网络中断或分区等降级操作期间提高基本DNS解析的可用性。

提供健壮的NTP服务，理想情况下支持身份验证访问。理想情况下，新的控制器将提供GPS时间同步选项，以便它可以作为一级NTP服务器运行。这也是支持证书管理和使用基于时间的身份验证服务的底层安全设施。

是的，很多。但是，上面列出的所有内容在开放源代码领域都是现成的和受支持的。重要的是将这些功能构建到产品计划中，并在安全基础上构建其他控制器特性和功能。并非所有内容都需要在版本1中，但所有内容(以及更多内容)都需要在产品计划和最终设计中。如今，安全性是一个非常重要的问题，必须成为控制网络设备和维护网络系统的主要目标。

dakobg · 2022年5月30日星期一晚上8:45

请不要犯hUi公司有集中控制和“愚蠢”设备的错误!!

Larsa · 2022年5月30日星期一晚上8:59

什么是“智能”公司，你说的“愚蠢”设备是什么意思?MT销售的所有设备都包含RoS或SwOS，因此它们是“智能”的，对吗?

Amm0 · 2022年5月30日星期一晚上9:06

我的首要建议和最高优先级是从一开始就构建强大的安全性，而不是事后再考虑。雷竞技网站MikroTik可以向网络设备行业的其他人展示如何建立安全维护网络设备的最佳实践，这应该是我们的目标!
[…]
是的，很多。并非所有内容都需要在版本1中，但所有内容(以及更多内容)都需要在产品计划和最终设计中。如今，安全性是一个非常重要的问题，必须成为控制网络设备和维护网络系统的主要目标。

所以基本上是“让证书再次伟大”，在这个概念中，作为AAA的基础还有很长的路要走。现在，这包括在RouterOS导出/备份中更好地处理证书作为第一步(参见上面关于这个主题的@ rel雷竞技extended评论)…

mada3k · 2022年5月30日星期一晚上9:08

—作为虚拟机一体机
—基于Web。不是手机应用程序之类的废话。
管理软件更新，以可雷电竞app下载官方版苹果控的方式推出更新
—配置模板、备份和更改日志
—“全局规则”，如防火墙、访问列表等
-用于与其他系统集成的REST-API
-网络地图，有或没有Google/OpenStreetmap等。
-接口图等
-设备概述与状态页，总库存
—配置事物告警(BGP对等体、OSPF邻接)
-可配置的脚本“动作”，如“设置隧道”，“添加子网到接口”，“重启”等，绑定到配置模板。

dakobg · 2022年5月30日星期一晚上9:29

什么是“智能”公司，你说的“愚蠢”设备是什么意思?MT销售的所有设备都包含RoS或SwOS，因此它们是“智能”的，对吗?

“愚蠢的”——没有配置的设备，没有真正的中央控制管理器

Larsa · 2022年5月30日星期一晚上9:42

得到它!好吧，只要MT继续生产使用RoS或SwOS的设备，我认为我们就不会在那里结束。

carl0s · 2022年5月30日星期一晚上9:52

我仍然喜欢CAPsMAN可以在任何现有设备上运行的事实-不需要额外的控制器硬件。雷竞技官网网站下载它可以在路由器上运行，也可以在两三个ap中的一个上运行。
如果可能的话，请保留这个功能，希望有新的wifi驱动程序。

benkreuter · 2022年5月30日星期一晚上9:52

我强烈建议您尽可能遵循标准，而不是创建自己的专有协议/ api /格式，或者至少允许与标准有一些最小的兼容性。如果这是不可能或不可取的，那么我最大的要求是记录您的协议/ api，以便我们可以编写自己的工具/脚本/任何情况下，您的应用程序不满足某些特定需求。

npeca75 · 2022年5月30日星期一晚上10:48

我唯一的希望是，MT将为此雇佣一些新的开发者。应用?不管怎样，让现有的开发人员在今年完成v7，这样我们就可以在2023年开始稳定的v7

rushlife · 2022年5月30日星期一晚上11:00

这是个好主意，我很高兴。
Thx 雷竞技网站Mikrotik。

顺便说一句。viewtopic.php吗?p = 907977 # p907977

Guscht · 2022年5月31日星期二上午12:01

我喜欢这个想法，但我已经在用Ansible做这些事情了。

还有一个给MT的便条:
为什么不解决未完成的事情，比如排队>4,3GBit仍然是不可能的(因为这是32Bit的限制)。为什么时至今日，在你的“稳定的”V7中，pim路由仍然被破坏?为什么ROSv7文档又名“帮助”在很大程度上不存在…

在绑定新应用程序的开发能力之前，请先解决您的开放主题。

cfikes · 2022年5月31日星期二上午12:32

我知道每个人都会有大量的需求，但如果我觉得有基本的防火墙、vpn、交换机上的vlan配置、vlan间过滤规则、带热点的良好无线配置和简单的1x认证，你就能满足90%的市场需求。如果能够在一个支持的设备上安装一个包来管理它，并放入一个闪存驱动器进行日志记录，那该有多酷啊。

2022年5月31日星期二上午10:04

就像上面所说的，没有关于智能手机应用程序或web应用程序的讨论。问题是关于大规模配置协议应该如何操作的概念。

pe1chl · 2022年5月31日星期二上午10:47

那么也许在文章开头的第一句话中不要提到“app”这个词会是个好主意。
在没有我们输入的情况下，内部设计协议应该不会太困难。你最了解RouterOS中配置对象是如何工作的l雷竞技
以及如何将路由器连接到一些远程服务器来调整其配置(很像winbox的反向)。
我认为协议应该在较低的层次上运行，并且独立于您实际想要配置的内容。这是下一层
有一些模板、组、大规模部署等功能。但这不会影响实际发送配置的底层协议。

Larsa · 2022年5月31日星期二上午10:53

就像上面所说的，没有关于智能手机应用程序或web应用程序的讨论。问题是关于大规模配置协议应该如何操作的概念。

看起来有人需要练习他们的沟通技巧，在开始做广告之前互相交流。我们再来一次:

它是网络通信协议、高层应用协议、智能控制器，还是全部都没有?
-目的是一个纯粹的配置管理器或更广泛的?
-总体目标和主要目的是什么?
-目标群体/目标受众是什么?

如果你不能回答这些问题，那么坐下来详细制定一个带有明确动机和目标的项目计划可能是一个好主意，你可以用它来与他人沟通。

2022年5月31日星期二上午11:37

在开始做广告之前

嗯?

sszbv · 2022年5月31日星期二下午12:07

我对控制器的想法是这样的，我会马上开始使用它!

-控制器服务器将是安装在路由器上的单独包
-控制器客户端将是标准路由器包的一部分l雷竞技

在服务器上，我想创建配置文件，如“接入点”，“客户端路由器有线”，“客户端路由器无线”等
每个配置文件都有一个配置脚本，用于配置整个设备。在配置文件中，您还可以说明应该将设备添加到哪个地图上。以及所需的RouterOS版本。l雷竞技也许在开发过程中会出现一些更有用的东西。

在服务器上，我根据设备的序列号和/或源IP和/或型号创建供应规则，这与在capsman中非常相似。
例如，串行xyz使用配置文件abc。
或者*使用默认配置文件。
或者来自网络10.12.2.0/24的“hAP ac”使用配置文件locationx - clienttrouter。

服务器监听mac广播和/或TCP端口。IP地址以选项的形式在dhcpserver上发布。这样，设备既可以通过mac协议找到控制器，也可以通过dhcp选项中的IP地址找到控制器。这样就可以使用一个中央控制器，由整个网络上的所有dhcp服务器发布。

在设备上，我希望以进入“水手模式”的方式进入“管理模式”。有复位按钮。
在托管模式下，设备使用mac协议来查找控制器，但也在ether1上激活dhcp-client(或者每个接口都获得dhcpclient?桥接是不明智的，因为它可以创建循环来查看是否有一个控制器DHCP选项。
设备通过mac协议连接到控制器，或者首选通过IP地址连接到控制器。

服务器根据规则对设备进行发放，并向设备发送配置文件，设备执行配置文件。
可选的，首先可能有一个版本检查和升级的软件和固件。雷电竞app下载官方版苹果甚至可能是必须推送到设备的文件/目录结构列表。

一些有用的功能将是:

—将脚本文件推送并执行到多个设备
—集中备份
-远程关机
-将winbox连接到控制器以获取设备列表(如romon)
-比较设备的配置以查看差异
-自动添加设备到dude

请:

-使dude从终端更可脚本化
-包括capsman到无线SNMP统计

-一个web界面会很好，但我更喜欢使用winbox
-至少应该有一个设备配置的详细信息列表

我希望这是对你有用的信息。
期待控制器的到来:)

哦，顺便说一句，如果iOS应用包含所有winbox功能，我会非常非常高兴!!多窗口等，就像winbox。
同时，让它通用，这样它也可以在macos上运行:)

bratislav · 2022年5月31日星期二下午1:00

目前，我们不想坚持一个特定的实现或标准，而是建立我们自己的，这将有助于管理，开发和部署不同规模的网络运行microktik设备。雷竞技网站

也许放下一点虚荣心，而不是在一些既定标准(例如RESTCONF)的基础上从头开始发明所有东西，这将是更明智的做法，这不仅可以减少开发时间和精力，还可以使microtik设备管理更容易集成到现有的企业管理系统中……雷竞技网站

cfikes · 2022年5月31日星期二下午1:59

-控制器服务器将是安装在路由器上的单独包
-控制器客户端将是标准路由器包的一部分。l雷竞技

在设备上，我希望以进入“水手模式”的方式进入“管理模式”。有复位按钮。

我不能引用你的全部内容，但我想要的就是这样。我一直认为capsman可以扩展到支持切换和其他功能。只需标记支持的特性级别的配置文件，而忽略其余的。《Capsman》运行良好(根据我的经验)，并且似乎拥有快速开始使用这种新控制器概念所需的所有框架。甚至可以叫它MADman microtok Access Device manager。

npeca75 · 2022年5月31日星期二下午2:04

也许最好的办法是为控制器APP建立自己的云，设备直接连接到个人账户?
通过这种方式，控制器程序的更新可以“到位”，不再需要下载新应用程序，停止，启动web，容器，同步所有计算机上的版本等。
类似于云备份

eddieb · 2022年5月31日星期二下午2:41

拜托别搞云，别搞花哨的手机应用。
将其创建为可以在MT路由器的高可用性中运行的包。
整合一些船长，用户和哥们的东西。
中央配置和设备推送
集中升级管理
集中备份管理

npeca75 · 2022年5月31日星期二下午2:51

将其创建为可以在MT路由器的高可用性中运行的包。

你想再要一块砖头吗?
我的MT vX。我和康特维一起工作。yy，但不是vZ.zz
是的，我的其他MT会因为这个NPK而崩溃，但如果我先降级，然后跳过2个版本，然后下降一个版本，那么它就可以工作了
不，只有在ARM上才能正常工作，MIPS…对不起
还是……你可以永远继续这个“哦不”链:)

leemans · 2022年5月31日星期二下午3:03

1-固件更新。
2-配置备份和比较。
3-客户端Wireguard VPN生成器(可以导入到fireguard软件的文件)。雷电竞app下载官方版苹果
站点到站点ipse VPN
5-网络和wifi设置到任何microtik在同一网站雷竞技网站
6-防火墙规则和NAT
7- ip id
8 - sd-wan
块和允许列表的地理IP位置。
广域网性能检查:速度，ping，抖动。
11-基于Web
每个客户的设备划分
x客户端Y有x个设备
13-每个客户的可视化(就像你可以在Dude中做的那样)
14-自动创建VPN连接(所有可能的类型)，通过将连接从起始设备拖到远端设备，并提供所需的设置参数和创建的路由。
15-新设备-通过安全隧道(例如IPSec)自动连接到远程管理设备控制器，通过拖放或按“连接到中央管理”按钮。

cfikes · 2022年5月31日星期二下午3:11

将其创建为可以在MT路由器的高可用性中运行的包。

只有在ARM上才能正常工作

我确实觉得任何新事物都只需要ARM。见鬼，MIPS现在只设计ARM内核。

Larsa · 2022年5月31日星期二下午4:20

嗯?

哈哈，祝福你至少读了这篇文章，尽管评论的水平不是我所期望的。但是，我很肯定你内心深处知道我的意思，所以尽管回答实际的问题吧。

无论如何，正如你现在可能已经注意到的那样，有很多关于需求模糊的评论，因此有很多关于如何以及在什么平台上实现这一点的建议，从云平台，内部部署到常规的mt设备。我的建议是，至少有人尝试通过为运行时环境建立一些基本参数来缩小范围。

或者你们只是出去钓鱼，因为你们自己根本不知道……: -)

Amm0 · 2022年5月31日星期二下午5:00

嗯?

或者你们只是出去钓鱼，因为你们自己根本不知道……: -)

很难知道，但他们现在有一个很好的列表，从“第0层”(首先修复bug)到“第8层”(可能从需求开始)。

2022年5月31日星期二下午5:01

是的，我们显然是在钓鱼，你没有读第一个帖子吗?什么都没有做，我们正在征求你的意见，这样一个系统应该如何工作

olivier2831 · 2022年5月31日星期二下午5:21

我认为今天的问题是导出/导入不对称，备份/还原是单片+二进制。缺少的是幂等配置文件。这是能够监控/应用“控制器软件”配置的第一步。雷电竞app下载官方版苹果

+ 1

BartoszP · 2022年5月31日星期二下午5:22

中央配置系统应该向设备发送配置，并且应该能够从设备中检索当前/正在运行的配置。
“应该”一词的含义在rfc中有描述

请不要采用Ubiquity的方式，将配置存储在本地数据库中，并且将您限制在特定的计算机上重新配置您的网络。

2022年5月31日星期二下午5:24

我认为今天的问题是导出/导入不对称，备份/还原是单片+二进制。缺少的是幂等配置文件。这是能够监控/应用“控制器软件”配置的第一步。雷电竞app下载官方版苹果

+ 1

l雷竞技RouterOS不会将配置保存在一个纯文本配置文件中。

olivier2831 · 2022年5月31日星期二下午5:26

首先，从下面开始:
每日备份的文本格式，而不是二进制在任何点上，和完整的配置，包括ssh密钥，证书，用户管理器和dude数据库。
一些工具用于比较不同日期之间的备份以查看更改。
一些用于推送配置的工具(如在所有设备上更改NTP服务器，或仅在一组设备上更改NTP服务器，或仅对选定的设备更改NTP服务器)。
可以根据组/硬件/品牌/平台，ROS版本，BIOS/RouterBOOT版本，安装包选择/搜索设雷竞技官网网站下载备。
发送。npk /。dpk /单个文件的可能性，并根据内部存储器类型“root”或“root/flash”选择远程放置的文件夹。

+ 1

pe1chl · 2022年5月31日星期二下午5:55

l雷竞技RouterOS不会将配置保存在一个纯文本配置文件中。

是的，先把它修好。/export必须是配置的完整文本转储。

2022年5月31日星期二下午6:12

导出已经是配置的完整文本转储，但该文本转储不是存储配置的方式。您不能将该文本文件上传到路由器，并期望它取代路由器上的配置。

cfikes · 2022年5月31日星期二下午6:18

是的，我们显然是在钓鱼，你没有读第一个帖子吗?什么都没有做，我们正在征求你的意见，这样一个系统应该如何工作

钓鱼很有趣，对吧?

你们的api都很棒，有必要制定新的协议吗?

请不要强制云托管。我觉得Mikr雷竞技网站otik是我可以用来本地托管所有东西的最后几个供应商之一。

r00t · 2022年5月31日星期二下午6:21

l雷竞技RouterOS不会将配置保存在一个纯文本配置文件中。

但它以二进制结构存储配置，可以备份/恢复。因此，提供将二进制文件转换为文本配置并转换回来的工具。
它就像windows上的注册表，目前没有办法将它从/导出/导入到.reg文件。
如果将某些部分导出为二进制blob(十六进制转储等)，则完全可以，但是执行导出/导入应该导致100%相同的路由器配置/设置。
在ROS中以二进制结构存储设置是非常好的，这是有意义的，它比文本配置文件更有效…但请提供工具无损的将其转换为可读形式并转换回来。这将是一个好的开始……

metricmoose · 2022年5月31日星期二下午6:51

非常激动人心!对于microtik的产品来说，这是一个缺失的组件，它确实可以帮助我们的部署更容易使用。雷竞技网站

以下是我想看到的:
-应该有一个模式，路由器到达控制器，就像cnMaestro和UISP的工作方式。它允许对NAT后的设备进行监视和维护，而无需在防火墙上打洞。

-使用控制器作为RADIUS服务器，以便设备登录可以通过它进行认证

-推出软件更新雷电竞app下载官方版苹果

-推出配置更改，使用某种模板使配置更改可重复。maestro有这个。
例如:你会有一个“更改PPPoE客户端凭据”脚本，看起来像“/int PPPoE -client set user={{USERNAME}} password={{password}} numbers=0”，用户界面将允许你选择“更改PPPoE客户端凭据”脚本，然后提示输入USERNAME和password变量。

-图形/监控设备状态。最好是根据设备的角色定制不同的可选择模式/视图。对于家用路由器，您可能需要控制器和设备之间的延迟时间、端口带宽使用情况、连接的WiFi设备数量、WiFi设备的平均信号强度和正常运行时间。对于塔式路由器，你可能想要一个不同的视图，显示温度、输入电压、连接的VPN/PPPoE隧道数量、DHCP租约计数、OSPF邻居数量等在家用路由器上可能看不到的东西。

-基于设备状态的告警。简单的高/低或可达性警报会很好，比如当电压或连接计数下降到一定水平以下或设备不可达时发出警报。可以这样设置:警报可以被记录，列在仪表板上的“活动警报”类型列表中，或者配置为发送电子邮件/ HTTP POST消息。

集中的日志

-能够分组设备单独应用更新，配置更改或监控/警报设置。能够根据登录到控制器的用户限制对某些设备组的可见性(例如:csr可以看到家庭路由器，但不能看到基础设施设备)

rest API访问将对集成非常有帮助。

-如果它是一个基于网络的工具，我会欣赏使用MAC地址或序列号(例如，序列号:“)通过URL直接指向设备的方法。”https://雷竞技网站mikrotikcontroller.yourisp.com/…34567890 ab”)。这将使crm和计费平台更容易从库存屏幕直接链接到控制器中的设备，而无需涉及后台API调用。

自我hostable。如果它能在RouterOS上运行就好了，但Linux软件包或虚拟机设备也可以l雷竞技。雷电竞app下载官方版苹果如果它必须在实际的服务器上运行，那么最好为RouterOS提供一个“代理”或“远程传感器”，可以用于该网络段内的ping或设备访问。l雷竞技

-使新设备很容易机载到这个控制器。现在，用我们的自定义配置准备新的家用路由器是一个相当繁琐的过程。如果我们可以让新的microtik路由器从盒子雷竞技网站里取出DHCP特定的DHCP选项，或者从u盘上配置，那将使事情变得非常顺利。我能想到的“最佳情况”是有一个运行特殊DHCP服务器配置的Mikrotik PoE交换机，我打开一堆hap ac2路由器的盒子雷竞技网站，将PoE IN/ether1端口连接到交换机，它们以某种方式显示在控制器中，并在没有任何干预的情况下获得我们的“默认”配置，或者至少点击几下就可以装载整批路由器。

Amm0 · 2022年5月31日星期二下午6:59

就像上面所说的，没有关于智能手机应用程序或web应用程序的讨论。问题是关于大规模配置协议应该如何操作的概念。

如果你想更激进，你看过ZeroTier的LF协议(它与ZT本身是分开的)吗?

GitHub项目将其描述为“LF(发音为“aleph”)是一个完全分散的完全复制的键/值存储”，并根据MPL许可:
https://github.com/zerotier/lf

受控设备可以通过特定于设备的一些标签查询键/值存储以查找其配置，控制器在分布式存储中维护设备/配置。

牛栏 · 2022年5月31日星期二下午7:03

我们正在征求你的意见，这样一个系统应该如何工作

嗯，第一条信息相当“模糊”。什么是控制器应用程序?它是一个移动应用程序吗?瘦客户机?厚客户端?公共云?私有云?本地网络?给我们更多关于你们目标的信息。最好的方法是首先定义你自己的想法列表，将其提交给社区/你的注册客户列表作为调查，并让人们为功能投票，然后让他们添加更多想法或勾选“你走错了路”。

现在，如果你想从“免费工作的需求工程师”那里得到“给圣诞老人的愿望清单”的答案:与最新的TP-Link的Omada SDN控制器相同，但具有以下附加功能：

通过分段功能(即能够在测试(平面)网络上配置/供应一堆新设备，将配置推送到设备上，导出控制器配置，在生产控制器上导入配置，并在生产中部署设备，“瞧”，它似乎无需处理供应的网络复杂性)
能够一键打开/关闭ssid
能够过滤图形/数据，以获得特定网络客户端设备的网络使用情况的集中视图(回答诸如“哪个设备在凌晨3点消耗带宽?”之类的问题)。
具有2fa认证支持
开源
使用最新的库(没有人想要去安装4年前的库)
只使用非专有库(没有人想要从N个站点下载N个额外的专有库来安装一个工具)
使用API /插件框架来构建“连接器”，以允许控制除microrotik以外的设备雷竞技网站
使用更完整的地图/WiFi模拟，即使用更多的墙壁，房间，家具，门，标准材料类型
并根据设施地图和信号强的地区提供“AP安置建议”
具有在地图上显示“定制”传感器位置和测量值等功能
在被发现的设备方面:不要每隔10秒就用“hello”通知向网络发送垃圾邮件(谁会每隔10秒就添加网络设备?谁不能等5分钟去发现一个新添加的设备?为什么一个已经被发现的设备在注册后每隔10秒就会继续大喊“hello”?)

哦，请确保你的工具是:

充分测试
使用标准的发布周期(即LTS ==经验表明它可以工作，我们承诺确保它在未来仍然可以工作，但我们不会移植新功能，只有安全/错误修复!=“它应该可以工作”，“交叉手指”，“听起来很酷”)
尊重使用过的库的开源许可(例如，如果你使用GPL代码，必须在GPL下共享和许可你自己的代码，列出所有的开源库，也就是说，没有例外，让所有第三方都可以使用代码，同时“[不允许]收取比复制媒体和运输成本更高的费用”;-p)
使用可访问的bug跟踪器

话虽如此，请首先关注现有的问题，并确保RouterOS7提供PIM-SM, hAP AC2能够使用所有核心，等等……l雷竞技

谢谢你！: -)

发出呜咽声 · 2022年5月31日星期二下午7:04

导出已经是配置的完整文本转储…

我不敢苟同，我仍然没有找到任何运气，例如用户或证书在我的。所以它还没有完全完成。

gmsmstr · 2022年5月31日星期二晚上7:40

有一些服务可以完成请求的部分工作。我们有https://cloud.linktechs.net这对许多客户来说都是如此。仅供参考。

Larsa · 2022年5月31日星期二晚上8:47

是的，我们显然是在钓鱼，你没有读第一个帖子吗?什么都没有做，我们正在征求你的意见，这样一个系统应该如何工作

既然你提到钓鱼是这个线程的主要目的，那么可能更容易问人们一般需要什么，而不是关注像“一个应用程序”、“一个协议”、“一个配置协议”、“一个控制器”这样的次要问题，这些只是实现细节。正如你可能已经注意到的那样，大多数建议涵盖了FCAPS的所有部分，即监控、配置、性能、供应、会计和故障管理，因此在这种情况下，将讨论限制在配置上似乎有点奇怪，因为该线程的意图只是“钓鱼”，以获得所需的一般感觉。

希望MT通过其他方式进行更广泛的市场调查，而不仅仅是询问论坛。

说到标准管理协议，有很多，比如CMIS/CMIP、TL1、SNMP等。网络服务交付的ITIL是一个很好的入口，可以掌握最佳实践，也可以深入了解FCAPS的工作原理。

友好地提醒一下，当涉及到协议和技术栈时，从头开始做所有事情以及采用“非此处发明”的原则是交付解决方案DOA的绝佳方式。

pe1chl · 2022年5月31日星期二晚上8:49

导出已经是配置的完整文本转储，但该文本转储不是存储配置的方式。您不能将该文本文件上传到路由器，并期望它取代路由器上的配置。

是啊，把它也修好!
我已经讨论过很多次了。l雷竞技RouterOS需要一种将配置从一台设备迁移到另一台设备的方法。由于在这种情况下无法恢复备份，因此必须通过导出/导入进行恢复。但是import过于挑剔，不能用于此目的。
应该有一些机制来告诉路由器忘记它当前的配置，并导入一个来自不同但功能相似的路由器的新配置。
例如，从2011到3011或4011。
当新路由器遇到它不能应用的配置时，例如LED或LCD，它应该忽略它。
此外，长期存在的“重置默认值并在启动时运行脚本”的错误(在6.3版本中引入)在路由器初始化完成之前脚本启动，因此接口配置命令导致错误和导入终止，应该最终修复。

Larsa · 2022年5月31日星期二晚上9:11

正如@pe1chl和@sindy指出的那样，整个备份/恢复/导出/导入的事情需要被整理出来，并且可能还需要在ros中进行一些调整，因为我认为仅仅一个“智能控制器”是不够的。

米罗斯拉夫· · 2022年5月31日星期二晚上9:20

无论你在做什么，希望它能在linux上工作(不像wine+winbox)

Larsa · 2022年5月31日星期二晚上9:31

无论你在做什么，希望它能在linux上工作(不像wine+winbox)

如果他们很聪明，他们会将解决方案实现为“容器设备”，能够作为云服务运行，在本地运行，甚至可以在RB5009或CCR2004等MT设备上运行，如果它们满足RAM和存储需求的话。

cfikes · 2022年5月31日星期二晚上9:44

无论你在做什么，希望它能在linux上工作(不像wine+winbox)

如果他们很聪明，他们会将解决方案实现为“容器设备”，能够作为云服务运行，在本地运行，甚至可以在RB5009或CCR2004等MT设备上运行，如果它们满足RAM和存储需求的话。

我完全同意。这是ROS上OCI容器的100%完美用例。

vanikcz · 2022年5月31日星期二晚上11:49

好主意!
我建议创建一些生成rsc脚本的高级配置，该脚本将在供应过程中下载到RB。作为用户，我想添加一些行生成的代码…

killersoft · 2022年6月1日星期三上午5:45

这是个好主意。

我在办公桌上管理着大约97台微型设备。雷竞技网站其中我有大约12个不同型号的MT硬件，包括几个VM雷竞技官网网站下载
这家伙只给我提供了硬件方面的f/w更新。雷竞技官网网站下载
理想情况下，我想要一个平台:
1.密切关注所有设备的配置，并提醒我手动更改配置
2.备份/恢复配置到本地dB和/或本地驱动器->nas等(可以得到配置文件，如果事情变坏!)．
3.舵手在控制器上??
4.一些基本的家伙(它是向上还是向下)。
5.推送/拉出常见的配置(例如设置时间/日期，SNMP，日志等)到所有设备，所以我们可以确保这些项目是相同的，并有一个比较选项来可视化(配置信息表?)

这个列表中已经有很多好的建议了，

kikikaka · 2022年6月1日星期三上午9:33

请保留winbox或类似的东西，我认为这是一个非常方便的配置设备的工具，特别是对于通常只有一个设备用于家庭路由器的一般用户。虽然我也使用UBNT AP并为此运行一个控制器.....

OlofL · 2022年6月1日星期三上午10:16

两个或多个“集群”设备(防火墙/mangle等)之间的选择性配置同步
某种HA…

容器支持!

智能防火墙地址列表支持(geoip, Adblock，坏ip)

corp9592 · 2022年6月1日星期三上午11:17

好主意! !

FW集中升级和版本控制。能够看到什么版本的设备正在运行和更新他们在一次点击。

基于Web的

更好的视觉效果

参数和漂亮的图像

客户端拓扑和客户端信息(适用于家庭网络，用于识别设备)

VPN向导和Wireguard客户端配置生成器

云备份和恢复(类似于现在的情况)

SiB · 2022年6月1日星期三下午2:47

设置每个特性的分布配置文件，就像我们现在可以在WebFig中替换一个文件并给出不同的GUI一样。

“LTE全局配置文件”将在我的所有设备上设置我的一般设置，就像相同的包一样。Ntp、DHCP服务器等....
“LTE APN ATT, EM160-G”可以将我的。rsc专用于该调制解调器，并将一堆专用脚本仅用于该调制解调器。设置APN到那个ISP，设置其他东西。

对我来说，部署工具应该在ftp上替换一个name.auto.rsc。
Dude是NMS，但它没有部署配置的方法，现在可以添加这一点。

我使用TheDude服务器，安装在Windows上的旧版本，带有自己的外部脚本，通过ftp将我的文件发送到Dude的第二个IP，这是内部VPN IP…但我不能选择许多设备并将其作为一个队列。

只需添加auto的分布。在《花花公子》上唱一曲，就完美了。当然对我来说是这样。

raffav · 2022年6月1日星期三下午5:26

不要太复杂的东西…
对于第一个版本，它将是伟大的“帽子人”的每一个设备…
我也认为这工作完美，我将开始使ip云不仅仅是一个简单的ddns，也是一种反向代理…
所以即使设备在“cgnat”后面，我们也可以接触到设备
并使用此地址作为配置方式
类似于caps man配置，但不使用无线电mac地址，而是使用设备的串行。

第二阶段，我真的认为你可以使用全合一的解决方案。
监控和管理所有mk设备从一个点…

Larsa · 2022年6月1日星期三下午5:48

不要太复杂的东西…

我不敢苟同。在我看来，这完全取决于用例。正如你可能已经注意到的，关于什么是对的，什么是错的，有很多不同的观点。

hecatae · 2022年6月1日星期三下午6:10

它会是移动应用的延伸吗?

TP-Link提供TP-Link Tether，使用api用户名和密码连接到各种设备。

Amm0 · 2022年6月1日星期三晚上8:17

设置每个特性的分布配置文件，就像我们现在可以在WebFig中替换一个文件并给出不同的GUI一样。

[…]
我使用TheDude服务器

[…]

只需添加auto的分布。在《花花公子》上唱一曲，就完美了。当然对我来说是这样。

100%同意。在实际层面上，“控制器”所做的正是我所寻找的实际用例。

Quickset已经有了“轮廓”-他们只是太挑剔和不灵活。但这是可以解决的。

如果有Dude2，可能会增加中央控制(像V7同步跟踪VRRP)和自动使用WG的类似于卷筒船的隧道。

以“CAPsMAN but for all Interface”为概念。如果你可以用它来应用SiB的分布配置文件——在我看来，这是一个快速配置文件的组合，但从Dude DB获取设备信息，而不是最终用户。

如果quickset实际工作良好(这在MT控制下修复…)，它解决了webfig GUI。在这个例子中，由于quickset的配置是由一个Dude服务器控制的，所以需要通过MDP/CDP/RoMON/DHCP从发现中找到这个Dude，而不是通过capsman，但是对于一个接口。现在，IMO的发现工作通过本地的mDNS进行，回落到全球DNS中的SRV记录。

显然，应该包括在“分发配置文件”中应用整个配置(不仅仅是quickset)的选项。在这个概念中，通过品牌工具包为oem定制quickset配置文件是一个不错的选择。

不管怎样，给你们更多的素材。

编辑:
通过证书实现安全性(例如，配置推送的签名类似于智能手机上的MDM配置)

nithinkumar2000 · 2022年6月1日星期三晚上9:43

特点:
1.集中监控路由器(如温度，接口Down告警，CPU/内存使用和风扇状态)
2.提供在中央控制台中监控SFP TX和RX
3.将系统日志从路由器保存到中央服务器以进行故障排除的选项
4.选择从中心点备份配置和bkp文件。

scampbell · 2022年6月1日星期三晚上11:30

令人兴奋的消息!
-基于web，因此控制器可以从几乎任何设备或平台访问，并最终逐步淘汰winbox。理想情况下，控制器不应该基于Java，而是静态二进制文件部署或开源?
更好的绘图和分析，是时候摆脱mrtg了。Rrdtool很好，grafana怎么样?
-集成的“尾标式”控制器，可以轻松地在管理端点之间设置wireguard链接，并自动处理端点端口，NAT穿孔等。“一键式wireguard vpn”可能是一个很好的营销工具
-设备概述与状态页，设备模型图像和卫星地图概述，以绘制无线链路和做线的站点计算类似于ubnt的UISP
如果我能想到其他的东西，我会更新我的清单

我不希望看到Winbox消失——它的Layer2发现和控制能力是无价的

ck230885 · 2022年6月2日星期四凌晨1:18

请随意看看Mikloud，这是英国的基础上，我们提供硬件也与免费的云控制器为所有的miktik设备雷竞技网站雷竞技官网网站下载
我们很乐意提供演示，并将回答您可能有任何问题
www.mikloud.co.uk- 00441507862718chris.kent@tutelanetworks.co.uk

npeca75 · 2022年6月2日星期四下午12:24

如果MT制作了这款控制器，也许最好的路线将是一个(讨厌的)云

为什么?
仍然有许多设备的闪存/ram数量少
因此，所有设备都必须运行每个版本的ROS的口号正在打破这种方式
然后，搞乱NPK版本
然后，从设备导出隐藏的数据库，备份等

从我的角度来看，一开始，有一个强大的理由，为什么云
嵌入式linux开发人员可以专注于“ring 0”，即MT设备上的低级驱动程序
“花哨的”java/css/php程序员可以随心所欲地开发CloudController

只需在低电平驱动上设置:
1.使用控制器开/关
2.控制器地址default/custom

这样，自托管的docker控制器容器的大门将从一开始就打开
但在第一次运行时，MT可以专注于自己的编程，而不是无数的用户，他们在无数的操作系统、无数的CPU arch/MT硬件上，在无数的条件下尝试容器雷竞技官网网站下载

几年后，当远程控制器协议稳定且安全时，MT可以发布容器，从这个时候开始，每个人都可以在封闭的网络上使用它们

但在那之前，处理MT硬件、处理协议、处理docker映像以及给票雷竞技官网网站下载务/帮助中心施加压力……不可能成功的

毕竟，需要封闭网络的PRO用户无论如何都会延迟该控制器，因此可以放心地假设家庭/小型办公室用户将开始使用该技术。而且他们都连接了互联网，所以…
如果我们需要使用这个，正如我所看到的，MT将推动这个东西，因为其他供应商有类似的控制器，在MT控制的云开始时问题会少一些

infabo · 2022年6月2日星期四下午12:58

这取决于他们将如何实现控制器。

他们可以采用Unifi的方式，创建独立于平台的控制器应用程序。普通用户只需在任何非microtik设备上安装控制器即可。雷竞技网站但是“强大的”ARM microtik雷竞技网站设备也可以在任何网络设备的docker容器中运行控制器。Max。的灵活性。

在为ROS开发控制器NPK包时，他们会限制自己太多。几乎没有任何现有的ros硬件设备有足够的空闲磁盘空间或足雷竞技官网网站下载够的RAM。

如果这样 · 2022年6月2日(星期四)下午1:30

我认为，这个家伙是一个足够好的软件，而microtik只需要扩展它雷电竞app下载官方版苹果的功能，因为这个家伙的地图雷竞技网站和视觉效果是独一无二的。加上功能由脚本和用户的需要，其非常重要。你们只要让它变得更灵活，加上更多已经集成的功能，比如大量密码更改，配置下载(现在我在服务中制作脚本，但它有一些限制)等等。我不认为，另一个系统会做得更好，当你有了这个，只要让它在linux上工作，而不仅仅是ROS。

pe1chl · 2022年6月2日星期四下午2:07

我认为，这个家伙是一个足够好的软件，而microtik只需要扩展它雷电竞app下载官方版苹果的功能，因为这个家伙的地图雷竞技网站和视觉效果是独一无二的。

这将是一个很好的选择，有一个控制器连接到路由器，而不是相反的方式。这样就可以管理NAT后面的路由器。
当然，一种实现可能是由路由器设置某种VPN (L2TP/IPsec, SSTP等)，然后用于控制器以现有方式(API, winbox)连接到路由器。
Dude的一个问题是(在一个更大的网络上)检测、配置和映射所有东西需要做很多工作。
这不应该是一项强制性的活动。许多用户只得到数据的“表格”表示，而没有花哨的地图。

如果这样 · 2022年6月2日星期四下午2:13

这将是一个很好的选择，有一个控制器连接到路由器，而不是相反的方式。这样就可以管理NAT后面的路由器。
当然，一种实现可能是由路由器设置某种VPN (L2TP/IPsec, SSTP等)，然后用于控制器以现有方式(API, winbox)连接到路由器。
Dude的一个问题是(在一个更大的网络上)检测、配置和映射所有东西需要做很多工作。
这不应该是一项强制性的活动。许多用户只得到数据的“表格”表示，而没有花哨的地图。

要访问nat后面的路由器不需要使用vpn，只需使用nat microtik作为代理，所有其他路由器将在您的中央代理中可见雷竞技网站

odge · 2022年6月2日星期四下午2:59

确保您的配置发生在现有的API上。确保控制器说“它能说的任何协议”，但总是使用API作为配置的入口/出口点。您可以在某些轻量级协议上简化该API，但请不要在您的设备上添加另一个入口点。解决你的问题!

在此基础上支持多种协议。支持控制平面使用此功能，如自动网关检测(但仅限于控制平面)。支持控制器上的生态系统，包括自托管以获得更高的安全性。

允许你的全局控制器将设备指向自定义的托管控制器(如果你支持开箱即用的配置)。一旦拥有，需要释放，如果重置为默认值为全局控制器再次指向其他地方。永远不要允许全局控制器重置其他地方拥有的设备。

萝卜 · 2022年6月3日星期五上午8:08

我编写了一些Lambda函数和其他AWS服务，将Mikrotik设备连接到Wireguard VPN，分配IP，在中心位置收集Netflo雷竞技网站w和日志，并将它们存储在S3中。还没有完成，我还计划利用REST API来推出配置更改。
我在这里读到的大部分内容听起来都不错。如果控制器可以使用REST API进行管理，我们可以将其与其他系统(例如SDN)绑定在一起。
它必须是自托管的，或者能够托管在我们自己的云租户中，而不是SaaS。
零触控配置将是伟大的(特别是一旦我的批发ISP离开PPPoE)。
雷竞技网站microtik或第三方也可以提供插件服务，例如基于云的实时威胁分析，带宽监控等。

2022年6月3日(星期五)下午3:50

主要的想法是控制RouterOS设备的选项。l雷竞技但当涉及到这一点时，我们也会寻找控制SwOS设备的可能性。

SiB · 2022年6月3日星期五下午6:38

mrz写:

主要的想法是控制RouterOS设备的选项。l雷竞技但当涉及到这一点时，我们也会寻找控制SwOS设备的可能性。

然后请添加一个分发功能来大规模部署脚本到The Dude，我们对此很高兴。回到我们TheDude作为服务器在Windows(添加竞争者或linux)，我们将建立我们的“云”在线分发平台的。
即使现在在TheDude中，一个设备有几个IP地址字段，我可以使用它们来瞄准publicip和internip，但它缺乏MultiSelect设备，将它们分组等。
当您无法一次完成从ros6到ros7的迁移时，我不相信您会创建下一个工具，该工具将以3种方式执行vlan，这取决于检测到的RB和SwitchOS的不同。

更重点关注Routel雷竞技rOS 7,在Wifi 6 e,拿一张wifi联盟证书和UserManager和更多的基本知识的！.这些东西比ros上的一些发布工具更重要，这些工具会从一个版本到另一个版本更改CLI/API。

PS:谢谢你的新RB LHG雷竞技网站GM LTE18 !

Amm0 · 2022年6月3日星期五下午7:35

同意@SiB的观点…

@mrz一直在描述一个基于推送的mikrotik设备管理器…雷竞技网站然而，就像Mikrotik想要雷竞技网站忘记这个家伙的存在一样。我只是忍不住认为一些“bug修复”的家伙走了很长-选择任何建议在这里。因为“新设备控制器”应该“监视”controlled_devices，所以他们需要重新构建与Dude已经做过的基本相同的东西。即使是现代物联网也和很久以前的Dude一样:将时间序列数据写入sqlite，只是使用MQTT (ROS现在支持)而不是SNMP。为什么要把它扔掉?

据我所知，至少有837名microroitk客户向美国政府请愿:

The Dude是一个非常强大的应用程序，由microtik开发，用于管理和监控运行SNMP协议的网络设备。雷竞技网站多年来，它的发展被停止，并为自己保留了它。雷竞技网站这份请愿书同时也是对Mikrotik的致敬和最终请求，希望它能发布源代码，让开源社区为我们所有人开发最终的NMS系统。雷竞技网站

(从https://www.change.org/p/雷竞技网站mikrotik-relea…ource-code）

我并不是主张公开源代码——只是明确地说，确实存在对Dude2的需求，这听起来很像你们一开始的“设备控制器[软件]”。雷电竞app下载官方版苹果如果Dude可以为WG管理密钥等，那就太棒了[并且可以让你获得安全通道来保护“轻度安全”的winbox/api协议，主要是通过将所需的WG信息存储在Dude的设备数据库中]。

mducharme · 2022年6月4日星期六凌晨1:45

NETCONF协议就是为这类事情而设计的。其他路由器厂商也在使用它。

https://en.wikipedia.org/wiki/NETCONF

也许对MikroTik来说，做同样的事情而不是开发雷竞技网站一个新的协议是有意义的?

npeca75 · 2022年6月4日星期六上午7:21

无论他们做什么，客户都需要非常小的足迹。100 - 200 k
如果他们想要容纳15.2 MB的空间并在每个(客户端)设备上可用的话
客户端代码在这么小的空间里有多安全?

pe1chl · 2022年6月4日星期六上午10:48

是的，空间需求可能是一个问题。这就是为什么我建议制作一个“配置任何东西”协议的部分原因，该协议与API基本相同，但相反(路由器连接到控制器，两者之间建立信任，然后控制器通过该连接发出API调用)。
这可能会与API共享大部分代码，“我们”不必事先列出我们希望协议能够做什么，因为它可以做“任何事情”，并且是应用程序定义了什么是可能的，而不是协议。
但我显然误解了这个问题，因为对此没有真正的反应，讨论继续在许多方向上徘徊。
也许Mikr雷竞技网站oTik真的没有要求协议。这让我很惊讶，因为他们对他们的闭源系统的内部工作有专业知识，我们怎么能建议协议是什么样子的呢?

除非它确实是一个已经标准化的协议，如NETCONF或SNMP或一些通用协议，如REST。
但在这种情况下，可能必须有一个“转换层”，当它不能完全独立于实际事务时(即在协议动词和API选项之间隐含1:1的转换)，它可能会非常庞大，只支持有限数量的设置。
这样就更像TR-069了。我们已经有了。

Bruzxce · 2022年6月4日星期六上午10:49

MT缺少的大部分东西是他们没有集中监控，dude远远落后了，他们停止升级dude，这对所有用户都更有帮助。

对于为MT创建一个控制器的概念来说，如果他们能统一所有的硬件设备，并增加一些硬件规格，这是非常惊人的，他们仍然有低端规格。雷竞技官网网站下载现在基础设施的技术越来越强大，所以他们也需要对设备的硬件规格进行大幅升级。雷竞技官网网站下载

Paternot · 2022年6月4日星期六下午2:57

请不要采用Ubiquity的方式，将配置存储在本地数据库中，并且将您限制在特定的计算机上重新配置您的网络。

哦,是的。当Mikroti雷竞技网站k走这条路的时候，我就需要另一个供应商了。

编辑
澄清:
一些集中的东西，配置/监控所有的microtik设备，将是伟大的(为什么不扩展Dude?)雷竞技网站
但它必须是可选的——就像今天一样。
/编辑

DjM · 2022年6月5日上午11:16

如果有docker版本的新应用程序就太好了，它可以在树莓派3和更新的版本上运行。
也有完全云化的版本，或者其他独立于第三方的版本。

troffasky · 2022年6月5日下午12:28

-应该有一个模式，路由器到达控制器，就像cnMaestro和UISP的工作方式。它允许对NAT后的设备进行监视和维护，而无需在防火墙上打洞。

是的，请确保终端在中广核背后工作。

mwisniewski · 2022年6月5日下午12:34

请不要走这边。我有一个严重的安全事故(为了我的辩护-我发现在我的工作的第一天)与unity控制器本身。远程管理永远是引入新安全漏洞的最佳方式——当然，除非您以一种面向安全的偏执风格这样做。

pe1chl · 2022年6月5日下午1:15

您可以(除非制造商使其不可能)始终选择在您自己的本地网络或VPN覆盖中运行控制器。
我不知道是否所有的unity设备都有这种可能，我上次检查的时候，他们倾向于“只支持云”。
当然，MikroTik不需要雷竞技网站犯同样的错误。公司内单独管理VLAN内的Unifi控制器(可能使用VPN连接)并没有那么大的安全风险，不是吗?

菲利普 · 2022年6月5日下午3:35

由于Capsman需要完全重写才能与WiFi5/6接口一起工作，而Dude服务器基本上已经过时了，而Winbox只能在windows上工作，我可以理解为什么他们正在考虑走这条路。

我会坚持使用ARM(可能是Risk-V)处理器平台作为外部单元控制器，同时也为小型企业和家庭用户提供带有ARM处理器的路由器。他们可能还想看看Nagios Core和NEMS Linux，从中获得一些理想，或者可能实现，而不是重新发明轮子。

Nagios核心https://www.nagios.org/
NEMS Linuxhttps://nemslinux.com/

对于远程设备，我将允许它被VPN接入，有两个以太网端口(一个OOB管理)和两个USB端口，可以用于使用棒或驱动器进行日志记录。此外，拥有内部存储的能力将是很好的。它应该控制和设置接入点、路由器/防火墙和交换机(POE也是如此)，并提供详细的地图和日志文件。它应该允许您上传和推送配置文件，并为通过GUI生成防火墙规则提供更好的界面。

对于集成的路由器，我不会允许VPN控制功能，而是有一个OOB管理端口，可以绑定到远程PC进行控制。

Amm0 · 2022年6月5日下午11:06

NETCONF协议就是为这类事情而设计的。其他路由器厂商也在使用它。

我更喜欢生活在一个没有xml的世界中——虽然是文本，但对人类来说编写或阅读并不那么容易。

但是如果您需要更多的建议:没有人提到过类似bgp的配置协议。

在高层，BGP消息中可以包含config前缀，而不包含前缀。由于BGP包含了“社区”/组和“广告”/发现的概念，因此任何控制器协议都需要这些概念。甚至BGP状态在我看来也类似于config mgmt。: "open"， "update"， "keepalive"， "notify"。不是说这是一个好主意，而是另一个，或者它实际上是BGP协议只是一个类似的体系结构。

类似mkx · 2022年6月6日星期一上午8:09

提到其他已经存在的管理协议:TR-069有什么问题?它被广泛采用，似乎是为了进行远程供应和管理。

mada3k · 2022年6月6日星期一晚上10:07

TR-069很糟糕，基本上只适合客户cpe。

处理管理应该有两种方式。从设备到管理服务器(对于NAT后的设备)的API -和-直接管理/监视(如管理服务器通过ssh或某些API直接到达设备)

SiB · 2022年6月7日星期二下午12:17

对我来说，这是透明的，将使用自己的ros协议，tr-069, ftp, ssh，因为我们需要允许从我们的终端设备通信到这个“DistributionTik”应用程序，这解决了所有的CGNAT等。
这个应用程序一定能让我们
*组单位，从其他组创建更大的组，就像我们可以使用这些组:"RB95x" + "RB_LTE6"给我们我们的"RB_Branch"谁+ "RB_CCRs" = "All_Customer1"
* Multi Select作为组/单位，我可以说将配置推送到组和单位…
*重新连接和重新发送配置(如推送update.auto.rsc谁做重启…和重新发送update.auto.rsc谁做最新的，但升级固件和重启…重新发送谁确认最新的ros和固件，并自行删除和任务结束，报告所有步骤完成)
*使用所有的IP单位谁作为RoundRobin工作，像第一个将是内部IP通过VPN，…公共IP…和罗蒙也有关系!

在我的场景中，TheDude可以做到这一点，为了方便，它应该从WinBox导入连接。在WinBox中，我至少有2个IP到同一单元(公共和内部PPP以及分支机构的内部局域网)

总之，给我们一种通过ftp发送我们的scripts.auto.rsc的方法，通过TheDude可以安装在任何VPS/Container上，我们可以构建或不同的分发中心。duce可以提供配置，等等。

raffav · 2022年6月7日星期二下午1:26

对我来说，这是透明的，将使用自己的ros协议，tr-069, ftp, ssh，因为我们需要允许从我们的终端设备通信到这个“DistributionTik”应用程序，这解决了所有的CGNAT等。
这个应用程序一定能让我们
*组单位，从其他组创建更大的组，就像我们可以使用这些组:"RB95x" + "RB_LTE6"给我们我们的"RB_Branch"谁+ "RB_CCRs" = "All_Customer1"
* Multi Select作为组/单位，我可以说将配置推送到组和单位…
*重新连接和重新发送配置(如推送update.auto.rsc谁做重启…和重新发送update.auto.rsc谁做最新的，但升级固件和重启…重新发送谁确认最新的ros和固件，并自行删除和任务结束，报告所有步骤完成)
*使用所有的IP单位谁作为RoundRobin工作，像第一个将是内部IP通过VPN，…公共IP…和罗蒙也有关系!

在我的场景中，TheDude可以做到这一点，为了方便，它应该从WinBox导入连接。在WinBox中，我至少有2个IP到同一单元(公共和内部PPP以及分支机构的内部局域网)

总之，给我们一种通过ftp发送我们的scripts.auto.rsc的方法，通过TheDude可以安装在任何VPS/Container上，我们可以构建或不同的分发中心。duce可以提供配置，等等。

我也这么想。
我认为我可以重用dude来解决这个问题。
我认为，由于大多数rb的存储空间很小…
这个控制器不能在ros里面…
但是他们可以有某种代理，然后当设备处于cgnat后也可以进行通信。

Amm0 · 2022年6月8日星期三凌晨3:42

改进的Dude + @S[io][bB]配置的建议应该是nexthop．..
但是使用[/controller/fantasy]运行……

目前，我们不想坚持一个特定的实现或标准，而是建立我们自己的，这将有助于管理，开发和部署不同规模的网络运行microktik设备。雷竞技网站

另一个概念是被控制的设备只是一个

git

基本上git的“push”和“pull”是由一些不确定的Mikrotik方案控制的(例如，RouterOS使用git钩子来基于repo配置/升级/等，并由Mikrotik编码的钩子运行)。l雷竞技雷竞技网站所以控制器类似于“企业”GitHub(自托管，但相同的动作，向认证推送请求，组织)。一个类似礼物的方法当然使“艰难”的RSC变得容易。如果做得好，用户可以配置推/拉方案，甚至“分叉”/“分支”。

Marvinjul · 2022年6月8日星期三下午3点

能够监控互联网的速度，并得到一个通知，在减少的情况下。

woland · 2022年6月8日星期三下午3:12

能够监控互联网的速度，并得到一个通知，在减少的情况下。

就像有一个持续的优先级数据流饱和你的上行链路。(不是这样)好主意!:）
但实际上，你可以配置一些设备，在带宽低于某个接口上定义的水平时发出警报。

W

prawira · 2022年6月9日星期四上午10:02

比如ACS ?

woland · 2022年6月9日星期四上午10:55

比如ACS ?

嗨
我不知道ACS上有这样的功能(如果你写的是AccessControl Server)，但我在负载平衡器和防火墙上看到过。
在LB上，它的工作原理如下:如果有可疑的低流量进入，它会标记接口死亡。(当然，您也可以配置ping检查和其他协议检查，但是在MT上也有ping检查。)
在防火墙中:
-你可以在LB上有监控流量的功能
-您实际上可以在两个防火墙之间进行真正的吞吐量测量，但这是通过专有的VPN技术连接的，并且如果您有至少2个上行链路则使用
-在两台防火墙之间的2条上行链路上放置2条VPN隧道，防火墙会观察它们之间的流量，并定期发送短爆发流量，以确定如何在两条上行链路上对两个VPN隧道之间的流量进行负载均衡
-您可以在许多防火墙之间通过许多上行链路进行此操作
这可能不是MT会在7.5加入的东西…
-我不想宣传这款产品，但这里有一个链接，为开发人员提供一些灵感:
https://campus.barracuda.com/product/cl…th-sd-wan /

BR
W

pe1chl · 2022年6月9日星期四上午11:07

当然，你也可以在RouterOS上完成所有这些，或者大部分…l雷竞技
问题是如何触发警报。当然，当你有一个100%饱和的互联网连接时(就像那些与100个客户共享一条20Mbps线路的“无线ISP”)，你可以做一些像“当我的输入速率低于10Mbps时发送警报”这样的事情。
但在一般情况下，互联网通常是轻负荷的(大部分时间运行低于10%的容量，甚至可能在夜间空闲)，这要困难得多。
当然，你可以尝试让“后台流量”在队列中以较低的优先级处理，以填满队列，但这需要对网络中所有地方的优先级处理完全有信心(你通常无法影响ISP如何进行排队)，而且你也可能受到最大数据配额等的限制。

prawira · 2022年6月9日星期四上午11:08

所有,

有几个ACS选项可以与microtik一起使用，但不是用于SDN的选项，所以也许microtik可以开发S雷竞技网站DN软件，因为它应该能够通过流规划来控制路由器雷电竞app下载官方版苹果

亲爱的woland，你可以看看下面的帖子来了解ACS:
viewtopic.php吗?t = 172399
还有一些关于这个主题(ACS)的演讲，最后一个是MUM ID 2021。

BR

woland · 2022年6月9日星期四上午11:44

当然，你也可以在RouterOS上完成所有这些，或者大部分…l雷竞技

是的，你可以通过使用脚本、路由、NAT和QoS在ROS上做一些这样的事情，但这是非常不切实际的。

问题是如何触发警报。当然，当你有一个100%饱和的互联网连接时(就像那些与100个客户共享一条20Mbps线路的“无线ISP”)，你可以做一些像“当我的输入速率低于10Mbps时发送警报”这样的事情。
但在一般情况下，互联网通常是轻负荷的(大部分时间运行低于10%的容量，甚至可能在夜间空闲)，这要困难得多。
当然，你可以尝试让“后台流量”在队列中以较低的优先级处理，以填满队列，但这需要对网络中所有地方的优先级处理完全有信心(你通常无法影响ISP如何进行排队)，而且你也可能受到最大数据配额等的限制。

这种类型的上行监控和流量控制由许多供应商实现，并且工作得非常好，以至于大多数大型行业和企业都放弃了许多MPLS链路，转而支持更便宜的Internet链路。
在正常的企业场景中，您有许多站点，每个站点有2-3个Internet或MPLS上行链路。你也有一些中心站点有大量的互联网和MPLS链接。
在这两者之间，isp拥有比远程站点更大的管道。互联网上没有QoS，但这在现实生活中不是问题。探针是动态管理的，它们考虑了生产流量。探针的算法是专有的，没有完全公开，但没有什么神奇的，它必须工作得足够好，而不是完美。
如果你想要完美，你买一个暗光纤或至少一个波长，但即使这样，大挖掘机可能会找到你，所以你最好也买一些备用链路。(每年几百万到几千美元)

@prawira:我不知道有ACS，不过谢谢你的连结!
W

pe1chl · 2022年6月9日星期四下午12:12

我在MikroTik上这样做，只有几个雷竞技网站隧道和BGP在它们之间自动路由/故障转移。
不需要观察吞吐量，因为线路通常是轻负载的。我们通常通过IPv4隧道，当它失败时，我们尝试IPv6(是的，它发生了IPv4路由在ISP，但IPv6仍然工作)，当两者都失败时，我们使用LTE。
没有花哨的神秘的秘密，只是简单的路由与microtik。雷竞技网站
但无论如何，办公室间的联系正在成为过去。

woland · 2022年6月9日星期四下午3:08

我在MikroTik上这样做，只有几个雷竞技网站隧道和BGP在它们之间自动路由/故障转移。
不需要观察吞吐量，因为线路通常是轻负载的。我们通常通过IPv4隧道，当它失败时，我们尝试IPv6(是的，它发生了IPv4路由在ISP，但IPv6仍然工作)，当两者都失败时，我们使用LTE。
没有花哨的神秘的秘密，只是简单的路由与microtik。雷竞技网站
但无论如何，办公室间的联系正在成为过去。

嗨pe1chl
您缺少了一些功能。是的，vpn和动态路由是你所做的。最多有ECMP和mangle规则来实现负载平衡。
您可能不会做的是:在链接上动态负载平衡。此外，如果你必须在所有站点上为Office 365+Youtube+Slaesforce+Zoom+Webex+Google等应用程序进行本地突破，那么你就会遇到麻烦，但其余的流量必须通过某个中央盒子。
你可能会设法做到这一切，但这是很多工作……

办公室间的链接使用得少了一点，但它们并没有消失。数据中心中的大多数应用程序都应该通过WAN访问。不是所有的东西都在云端，ZeroTrust和co.还没有做到这一点。

W

pe1chl · 2022年6月9日星期四下午4:29

我们不需要负载平衡。我们的总部有两个光纤连接(不同的ISP)，其带宽比分支机构在其主要互联网连接(光纤或VDSL)上的带宽要大，所以没有什么需要平衡的。我们只需要覆盖线路故障，我们这样做如上所述。

mrigi · 2022年6月9日星期四下午6:42

您可以为此使用MQTT(或任何其他代理)。因此，监控启用的设备有效地将信息发送到代理，如果“控制器”已启动，它可以以它想要的方式显示接收到的数据，而无需实际连接到每个设备。这种解耦将更加灵活，可能会更好地扩展。您甚至可以运行多个控制器没有任何麻烦。

Amm0 · 2022年6月9日星期四下午6:56

您可以为此使用MQTT(或任何其他代理)。因此，监控启用的设备有效地将信息发送到代理，如果“控制器”已启动，它可以以它想要的方式显示接收到的数据，而无需实际连接到每个设备。这种解耦将更加灵活，可能会更好地扩展。您甚至可以运行多个控制器没有任何麻烦。

这种方法适用于AWS IoT Core。基本上，这个神秘的控制器，使用MQTT，可以借用他们的“设备阴影”:https://docs.aws.amazon.com/iot/latest/…adows.html

MrBarakat · 2022年6月9日星期四晚上9:45

比如UISP

rextended · 2022年6月9日星期四晚9:47

不，不是……

devrand · 2022年6月9日星期四晚上10:50

这取决于什么能给客户带来最大的价值，什么能给microtik设备带来最大的价值雷竞技网站

是设备的管理工具(如扩展winbox)还是像unifi控制器这样的中央控制器?

设备状态概述/健康概况/设备发现
统一管理设备的软件更新雷电竞app下载官方版苹果
统一配置设备
备份和恢复配置
用户界面可从移动设备和桌面设备访问
不需要互联网接入操作
能够通过web同时管理设备和新的控制器

kiler129 · 2022年6月10日星期五上午5:51

这里说了许多伟大的事情，我在下面签名。我有一个建议:

请从小处做起。

我们不希望在10年内找到完美的解决方案。增量式的小事情会更好。v7是惊人的，但我认为它遭受了瀑布。新的控制器不需要一个花哨的基于反应的仪表盘，它不需要实时更新和AR应用程序来查看端口，它只需要工作。看看《Ruckus Unleashed》的界面:它很简单，速度很快，有点难看，但功能丰富且基于网页。举个例子来说，unity的仪表盘可以轻易地在我的i7上旋转风扇，这太荒谬了。

robertpenz · 2022年6月10日星期五上午8:41

它应该是基于web的，服务器也应该在Linux上运行——我们没有Windows服务器。

pe1chl · 2022年6月10日星期五上午10:58

举个例子来说，unity的仪表盘可以轻易地在我的i7上旋转风扇，这太荒谬了。

unity是用Java编写的。起初，它看起来很吸引人，因为它实现了可移植性，但另一方面，它是一个资源大家伙，最近它的名声很差，因为愚蠢的开发人员实现了许多人使用的吸引人的模块，这导致了严重的安全问题。有点像PHP。
(例如，他们不理解系统配置数据(你可能想解析${expression}结构)和用户数据(你绝对不想这样做)之间的区别。)

Amm0 · 2022年6月10日星期五下午3:31

这是这里最好的一个:

这里说了许多伟大的事情，我在下面签名。我有一个建议:

请从小处做起。

我们不希望在10年内找到完美的解决方案。

显然，没有人想要UBNT的克隆。

andrewe02000 · 2022年6月10日，星期五，晚上10:14

如果它有一个工具来迁移配置到不同的模型时，确切的替代模型是不可用的。我发现自己经常这样做。特别是在核心路由器升级到新的核心路由器时。除此之外，所有Ubiquiti的UISP都有，但没有升级。:)出路是这样的东西，如频繁的协调/规划，建议修复常见的配置问题，地狱甚至可能是一个集成的openflow控制器。除了那些疯狂的东西，最基本的是最好的。:)谢谢你这么做。

Larsa · 2022年6月11日星期六上午12:04

(例如，他们不理解系统配置数据(你可能想解析${expression}结构)和用户数据(你绝对不想这样做)之间的区别。)

是的，这就是为什么网络人员通常是糟糕的应用程序开发人员。: -)

这是因为从事低级网络编程的人通常有完全不同的心态，因此通常不适合这种工作。底线是，永远不要让网络开发人员负责大型应用程序开发项目。

BartoszP · 2022年6月11日星期六上午10:54

帅哥……在编程健身房进行一些功能锻炼后，让Dude再次加入派对。

pe1chl · 2022年6月11日星期六上午11:28

(例如，他们不理解系统配置数据(你可能想解析${expression}结构)和用户数据(你绝对不想这样做)之间的区别。)

是的，这就是为什么网络人员通常是糟糕的应用程序开发人员。: -)

这是因为从事低级网络编程的人通常有完全不同的心态，因此通常不适合这种工作。底线是，永远不要让网络开发人员负责大型应用程序开发项目。

这并不局限于网络用户。MikroTik用于帮助系统和问题跟踪器的Atlassia雷竞技网站n系统由于此问题而关闭(等待修复版本)。
可以使用${expression}结构入侵系统。很可能不是因为Atlassian程序员的编码错误，而是因为他们使用了一些有用的模块。“log4j”漏洞是另一个例子。
我真诚地怀疑写这种东西的程序员的理智，他们必须远离任何暴露在互联网上的东西。这样的设备控制器可能是什么。

PackElend · 2022年6月11日星期六下午3:01

最初的目标是开发一个用于应用和监视配置的协议，因此这个协议应该能够完成的所需功能的问题。

为什么呢?
为什么不简单地使用REST API呢?

mducharme · 2022年6月12日星期日上午12:38

不，不是……

UISP设计的好处是设备如何“打电话回家”到控制器，而不是控制器需要到达它们，这对于在某种NAT后面的设备非常有效，控制器也没有直接访问。TR069也可以做到这一点，但它不适合用于住宅网关管理之外的用途，使用TR069来管理BGP路由器的核心将是非常奇怪的。

mada3k · 2022年6月12日下午12:35

我认为我们在谈论两件事。
一个“设备管理器”，作为cpe和其他东西的中心。
而传统的NMS实际上监视和管理网络。

doush · 2022年6月13日星期一下午4:12

我认为到目前为止我用过的最好的整体控制器是UBNT的AirControl2(遗憾的是他们无缘无故地将其EOLed)
从大规模配置到计划操作，AC2都是一头猛兽。
您可以将AC2作为功能的参考。

marcperea · 2022年6月14日星期二下午4:30

@雷竞技网站mikrotik -我认为像CAPSMAN这样的协议从一个地方管理大量Tiks的想法将非常有用。

我还注意到一些人要求一个web UI，可以控制、管理和提供对microtiks的远程访问，同时还提供备份、配置差异和固件管理、RADIUS用户管理、历史图形和图表，以及批量配置。雷竞技网站

你应该退房https://remotewinbox.com

免责声明:我是RWB团队的一员

2022年6月14日星期二晚上7:30

你好,

雷竞技网站MikroTik正计划为MikroTik Devices开发和构建一个控制器应用程序。目前，我们正在研究可能性和选择，应该有什么，以及如何做到和实施。目前，我们不想坚持一个特定的实现或标准，而是建立我们自己的，这将有助于管理，开发和部署不同规模的网络运行microktik设备。雷竞技网站
任何关于功能和选项的建议都是非常欢迎的。

制作一个DUDE应用程序。可以模块化DUDE，这样一个小的安装可以只使用设备列表部分。增加配置管理。

WizGirl · 2022年6月14日星期二晚上10:55

我通读了一些讨论，也许有人已经提到了这一点，但我想在这里把我的想法扔进帽子里:有能力“堆叠”交换机或路由器与这个实用程序，例如:保持配置文件之间的堆栈或可能HA组同步(想想防火墙规则等)。我觉得这将给microtik硬件在商业环境中带来巨大的优势。雷竞技网站雷竞技官网网站下载

ferilagi · 2022年6月17日星期五下午2:32

分组等路由器设备，交换设备，AP设备，LTE设备。

交通/设备像人一样流动。

madman22 · 2022年6月18日星期六上午8:07

我开发了一个可以同时配置多个设备的应用程序，它可以在10分钟内配置24个设备，打开和插入microtiks所需的时间比配置所有设备所需的时间更长。雷竞技网站供应包括设置基本配置、更新到选定的版本、应用最终配置以及将其添加到“库存”中。在这个过程中有多次重新启动来验证一切。起初，我使用了一个自定义的网络堆栈，它使用邻居发现而不使用arp，因此它可以同时连接到具有相同默认192.168.88.1地址的多个设备。今天，我在自己的vlan上使用带有默认linux - net-stack的多个容器。

现在7.4再次支持容器，我正在努力让我的应用程序在RB5009上工作，因此不需要专用服务器。

以下是我希望从microtik控制器中看到的应用所做的一些事情:雷竞技网站
一次提供多个设备
从计费系统获取/设置设置的API(如队列、端口转发等)
将所有设备更新到给定的配置
api/集成到一个类似于The Dude的网络监视器

millenium7 · 2022年6月20日星期一上午5:41

很多可能已经提到过了，但我还是把2c加进去

-绝对是基于云的。只要有互联网连接，它就能开箱即用地到达已知的公共服务器。让它在端口443上运行以通过防火墙，而不需要在设备上部署任何配置。将其集成到所有设备的默认配置中
-仅从云控制器完成的入职。因此，您可以输入多个变量，并在设备上线后立即使用。Eth1 MAC地址，序列号，构建日期等。将这些输入到云门户中，一旦设备连接到互联网，它就会将其应用到您的组织中
-白色标签和多层，这样你就可以在父域下拥有子域，并管理其他组织/客户的设备，但也让他们自己管理，而不需要看到父域
-配置备份和警报
-设备日志抓取和存储，无需通过syslog设置
-日志解析器采取行动或发送警报
-警报应该包括原生SLACK支持，以及电子邮件，短信
-推配置，但与控制器的脚本/变量支持
——也就是说，你可以输入/system identity set name="{GROUPNAME} - {DEVICE name} ({DEVICE MODEL})"
然后当这个被推送到设备时它会重命名自己，即。塔无线电-定位abc东部(LHG 60G)
-更好的脚本处理，所以它不会突然停止，如果有一个错误。在所有脚本上都有选项来指定要采取的操作，忽略/中止/恢复。向控制器报告所有错误
-基线合规模板，如上所述，具有脚本和忽略配置的某些部分的能力。例如，GroupABC中的所有无线电必须设置为国家=澳大利亚频率=自动。如果标识前缀为'LABTEST'，则忽略此规则。
-每个设备接口遵从状态，即ether3应该是1gb，但突然下降到100mbit。Ether4不应该运行，但现在运行了。应该触发警报。默认状态为忽略所有
-报告上述情况，不是即时的，而是可以安排每小时/每天/每周/每月等。
-制作很多这些选项下拉菜单，不需要脚本知识。简单的一步一步“如果[条件][等于/大于/小于/不等于/等等]然后[采取行动](可选的AND/OR添加另一个语句)”
—集成LDAP/AD/RADIUS登录，允许员工访问，但有权限限制
-比我们在WinBox中拥有更细粒度的控制。例如，GroupB可以读取/写入IP地址，但不能查看与PPP/防火墙/路由等相关的任何内容
-可分配组到文件夹/设备组，仅提醒负责这些设备的员工
-速度测试，可以在内部选择设备，或对云控制器进行速度测试以测试网速

bpwl · 2022年6月22日星期三上午11:34

有趣的想法。实际上目前的体验已经相当不错了。

可以在非常远的位置管理近100 MT路由器。

今天什么是可能的…

-使用hEX与DUDE，完成以下操作。
—hEX将VPN连接到接入门@控制站点进行远程访问
- hEX监控所有MT (syslog + DUDE)
- DUDE作为升级npk的分发点
-通过MAC Telnet, MAC SSH恢复/重新连接所有MT(即使有人进行出厂重置)
- - - - - -二

缺少什么?
-简单的多MT远程命令(例如，在不同的MT路由器上重复使用Telnet/SSH字符串)
- Netinstall (TFTP/PXE-boot server)在hEX/Dude
—Reboot trigger命令
MT设备的局域网唤醒(现在用PoE伪造)

那太好了。: CLI命令，在其他ROS设备上执行CLI命令。(例如，基于RADIUS的wifi登录，有限制，在面向互联网的ROS路由器上创建队列。速率限制主要针对互联网连接，而不是本地局域网速率)

millenium7 · 2022年6月23日星期四上午12:55

有趣的想法。实际上目前的体验已经相当不错了。

可以在非常远的位置管理近100 MT路由器。

可以做到，但是如果有一个中央云控制器可以做得更好吗
这也不仅仅是设备数量的问题

像配置遵从性这样相对简单的事情打开了一个全新的世界，它极大地简化了事情(如果实现得当)——比如有远程管理的地址列表，然后发生变化——你需要添加或删除条目
虽然你可以登录所有的网站并更改它，但这并不是一个很好的方法。这需要花费大量时间，而且容易出现人为错误。您可以使用SSH推送器，但它在操作中容易出错，而且重要的是，它不会告诉您现有配置是否正确，您只需要假设它是正确的，或者手动再次检查
配置更改模板允许您确定哪些配置正确，哪些配置不正确，然后采取行动将大量更改推送到所有设备。同样重要的是，要验证它确实正确地改变了

任何时候一个过程都是手动的，你在过程中忘记一些事情的可能性就会成倍增加(也许你完成了一半，然后在一天的剩余时间里被打断)。拥有一个云控制器不仅仅是管理更多的设备，而是以更高的可靠性和更少的错误正确地管理它们

bpwl · 2022年6月23日星期四上午9:36

它不会告诉你现有的配置是否正确，

那肯定会很有趣。但可能很难实施。什么是正确的配置?
今天，人们不确定ROS是否会像预期的那样发挥作用。“麻烦”的拍摄可能需要一些时间，因为有太多的设置，有太多的事情会以意想不到的方式影响行为。

故事……使用ROS设备作为具有负载均衡的WAN连接，其中一个WAN连接由于上行链路(VPN, IPsec NAT穿越，卫星链路等)中的几个封装而减少了MTU大小。为了优化这一点，将以太网MTU大小减小到1400可以改善数据流。
卫星被移除，现在空闲的以太网端口被添加到网桥上，用作局域网端口。

过了一段时间，使用wifi的智能手机和个人电脑声称“持续的服务器问题”，因为ISP的邮件服务器与imap协议同步。流量没有改变，也没有通过上述以太网端口。浏览就可以了，没问题。但是没有imap邮件同步，也没有身份识别/身份验证委托https://www.itsme-id.com/。
“根本”原因是旧的减少MTU大小，传播到桥(重启后??)。

能够在一些ROS设备之间同步(部分)配置将是非常受欢迎的。启动高可用性解决方案?冷待机，热待机，甚至需要更多。

millenium7 · 2022年6月23日星期四下午12:14

它不会告诉你现有的配置是否正确，

那肯定会很有趣。但可能很难实施。什么是正确的配置?
今天，人们不确定ROS是否会像预期的那样发挥作用。“麻烦”的拍摄可能需要一些时间，因为有太多的设置，有太多的事情会以意想不到的方式影响行为。

我们使用的是太阳风NCM，它是一个很好的通用全能。但如果它雷竞技网站是专门为MikroTik量身定制的，MikroTik可以让它变得更好/更容易/更简单
我使用RegEx表达式，它只是寻找配置中的匹配行。因此，很容易看到是否每个请求行都存在于地址列表中，而没有其他请求行。如果不匹配，那么它会在报告中标记它，它可以被纠正(也可以自动推动配置更改，这将简单地重做地址列表)

目前在NCM中，这是相当简单的，但它并没有像它应该的那样实现逻辑布局。雷竞技网站MikroTik可以大大提高可用性，并为您提供一个循序渐进的系统，为配置部分提供下拉菜单，而不仅仅是使用RegEx表达式和SSH脚本

NCM需要更多的注意来确保——正如你所说的——如果你推送一个脚本来修复一个问题，你不会搞砸一些配置。因为它会推送你输入的任何脚本(它也可能中途失败或断开)
我希望microtik系统雷竞技网站可以让你简单地告诉它应该如何在外行的术语，它会自动处理正确的配置更改

mekmek · 2022年6月29日星期三晚上10:06

-没有供应商锁定
-拓扑视图(包括STP)
-例子及指引
-配置家庭，酒店，学校，活动，公司网络，家庭办公室，…
-标准和特殊设置的配置，如:homelab, tor, BGP, VPN提供商，…
—其他设备的DHCP选项
-名称约定与官方城市代码，如:https://service.unece.org/trade/locode/lv.htm
-最佳实践/安全分析器
-远程检查
-多站点兼容
-多租户
-网络对象的全局和自定义变量，如$VoipNetwork{All}Offices， $PBX， $DNS1, DNS2，$NTP
-动态/基于规则的变量，如:$VoipNetwork{ThisLocal}{Office}
-中央防火墙规则;
-中央黑名单(自托管)
-与其他用户或封闭组共享的黑名单
-来自microtik，社区，供应商的模块/插件/示例…雷竞技网站
-设备的autoconfig
—专用配置端口，连接到该端口的设备将获得预置的本地配置
—通过Internet配置
-当设备断开连接或未支付费用时，蜂鸣器报警
-工作时间跟踪与wifi设备
-排便时间跟踪需要昂贵的特殊应用程序和订阅…
-标签模板
-可选DIN-Rail机箱
-直接访问(外部|公共)支持/销售/卖方联系地址
-为其他用户提供服务
-临时接触副手
-副解为一人吧
-外部身份提供程序
- 2足总
-分级特性
-交通监察
-侦测可疑流量
-与类似的设置相比
-自动文档
——给经理们的花哨报告
-旧设备自动更换提醒
-问题共享/警告

TomosRider · 2022年7月1日星期五上午10:44

好消息!
长期以来，我们一直在我们的网络中使用MT设备，并计划在未来这样做。
实现一个有助于更新和备份配置的解决方案是非常好的。
此外，集成的netinstall功能(如果可能的话)将解决许多不必要的现场旅行…:D

ubikrotik · 2022年7月2日星期六上午6:48

摇滚吧，TIK!

我们需要:

一个路由器列表，一键访问打开winbox
——图
-大规模更新
-自动备份计划
—虚拟机的本地主机
-批量配置选项。即:更改所选路由器的字符串值。假设您想在380个路由器上更改check IPSOCKS，只需在列表中选择路由器，然后发送脚本。
-

mducharme · 2022年7月5日星期二凌晨3:13

我认为TR069的总体思路很好，设备“打电话回家”被告知该做什么。这对于NAT等背后的设备非常有效，因为只有服务器需要公开访问。理想情况下，设备应该为服务器配置一个URL，它可以在端口443打开的情况下从服务器获取所有配置，这样您就可以轻松地将设备放在任何客户场所，甚至在现有防火墙之后，仍然可以管理设备。这就是Ubiquiti UISP的工作方式。我不太喜欢UISP，但我确实喜欢以这种方式设计它的决定。

然而，TR069本身并不适合管理CPE设备以外的任何设备。ACS系统实际上只适用于cpe，因为这就是协议的意义所在，所以用TR069为大型ISP管理BGP边缘路由器之类的东西会非常奇怪。我已经通过GenieACS管理我们的CPE设备，但可以使用类似于此的东西来管理所有非CPE设备。

shiju22 · 2022年7月7日星期四上午4:33

已经很久了，有什么事吗
一些东西拥有所有人拥有的东西，也可以灵活地安装任何本地系统，至少也可以显示来自其他网络设备的SNMP数据
它可以给出任何接口的总网络使用情况和cpu, ram，闪存，接口......等性能图
最重要的是，有一个可以在任何地方访问的web GUI，这是一个家伙曾经拥有的，然后在以后的版本中删除

mjezierski · 2022年7月7日星期四下午6点47分

Winbox + TR-069中的所有内容在一个本地解决方案中都将在我的使用中成为杀手。

eduplant · 2022年7月14日星期四上午6:35

我更倾向于把开发精力放在使RouterOS 7更加自动化上，而不是放在制作另一个单窗格的管理解决方案上。l雷竞技我当然理解这样做的冲动，特别是对于单一供应商的网络，想要一些“刚刚工作”的东西。

尽管如此，我认为Mikrotik的优势在于雷竞技网站创新和成本效益的硬件平台，设计良好的配置范例，以及配置语言是一种适合脚本编写的特定领域语言。雷竞技官网网站下载如果有销售管理解决方案的愿望，Mikrotik应该倾向于这些优势，并在路由器方面而不是控制器方面做大部分雷竞技网站工作。

我能想到的一个大例子是:给RouterOS 7适当的配置事务。l雷竞技Routl雷竞技erOS的配置范例已经非常像数据库了，在我看来，与思科这样的大公司相比，它设计得很好。自动化microtiks的一大缺陷是缺少原生事务支持:执行一系列更改、完雷竞技网站整提交它们以及在必要时回滚它们的能力。无论用户是使用Winbox/web/CLI手动配置设备，还是将设备与Ansible等自动化工具集成，在这方面的改进工作都将使该平台对所有用户更具吸引力。

另一件大事是配置替换。由于大多数自动化框架的策略是声明设备当前的运行状态，然后应用更改来使设备进入新状态，因此进行此类转换的原生能力将使RouterOS对自动化更加友好。l雷竞技例如，如果我想要整个/ / ip防火墙无论是我正在编写的脚本还是我正在使用的自动化平台，都必须计算所需的单个更改，例如，添加两个地址列表，删除三个其他地址列表，添加4个新链，通过特定名称修改现有链，等等，等等，并发出命令来更改这些部分。如果RouterOS可以提供一个替换层次结构，它可以简单地替换配置的整个子树，并在事务提交后使其匹配，那么l雷竞技所有这些额外的麻烦都可以得到缓解。

几乎所有的网络供应商(坦率地说JunOS除外)都有一个或多个这样的问题，对核心配置模型进行重大更改当然是一项非常重要的工作。然而，如果你在RouterOS端做了这些类型的改进，如果你仍然想实现自动化/控制器/管理类的解决方案，你自己的工l雷竞技程师就不需要在控制器端发明一些胶带和胶水来保持同步，或者尝试在底层生成API差异。相反，最终的应用程序可以是一个非常基本的web应用程序，它利用了一个简单的数据库，或者，比如说，Ansible和git。你甚至可以与现有的自动化平台合作，为它做一些好的RouterOS集成。l雷竞技

感谢您的参与，我希望您考虑一下我的案例，在哪里最好地应用您的开发时间和金钱来为RouterOS的大规模管理服务。l雷竞技

eduplant · 2022年7月14日星期四上午6:40

1)做一个没有幂等提交能力的控制器是徒劳的，对开发者和用户来说都是徒劳的。先解决这个问题，剩下的就容易多了。

+100在这个和你的其他建议。

killersoft · 2022年7月23日星期六凌晨3:31

关于“云”解决方案。
在我现在拥有的100多台设备中，并不是所有设备都能接触到公共互联网。
我更喜欢能够在封闭环境中的虚拟机上运行的解决方案。

我理解其他人可以从云控制器中受益，但在我目前的用例中没有。

nkourtzis · 2022年7月26日星期二晚上8:03

我刚刚看到了这个帖子，真是个好消息!我希望看到的是:

控制器可通过现代，时尚的web UI和熟悉的winbox访问，具有不同于常规设备的菜单

自托管(支持所有主要的管理程序和docker)和基于云的即服务，由microtik以合理的成本提供雷竞技网站

支持控制器冗余，实现高可用性

多站点和多租户

通用设备分组的位置，标签，类型，组织单位或任何其他属性

基于规则和手动设备标记/组分配

自动发现、采用和预置设备

具有漂亮和信息丰富的视觉元素的完全可定制的列表

通过GUI和编程方式配置，支持预定义和用户定义的变量/数据结构

高级配置管理功能(版本、比较、基于可视化块的编辑，能够通过将块从一个配置文件拖放到另一个配置文件中来复制特定的部分和子部分等)

在设备上配置手动和自动(基于触发器和标准)发放的模板

手动和自动设备固件升级，对组或单独

支持设备层次结构和依赖关系(例如，先升级下游设备，再升级上游设备)

手动和自动备份与可选择的保留

全面的统计和报告构建器，通过API公开，可用于其他平台(如PowerBI、Graphana等)。

具有自动检测的拓扑映射功能(使用无线链路客户端/ L2发现等)

控制器支持用户、用户角色和用户组

控制器支持外部身份验证提供者和2FA

支持自动IP黑名单导入，用于控制器和被管理设备(通过防火墙规则)

完整的LDAP和radius功能

通过RESTful API完全访问的函数

开放的架构，积极鼓励插件开发

能够使用microtik路由器作为雷竞技网站设备来运行控制器

控制器的特定设备(如microtik Cloudkey，带备用电池，信息屏幕等)雷竞技网站

这是一个很长但很全面的清单。谢谢你的伟大工作!

kevinds · 2022年7月27日星期三上午10:59

当控制器和RouterOS都在(不同的)NAT网络后时，它们可l雷竞技以连接。

在“气隙”网络上工作的能力。

查看随时间的变化。

CoyoGross · 2022年8月2日星期二凌晨4:12

所有的男人都有共鸣，而且更好!

ChristianRiesen · 2022年8月3日星期三下午3:06

*基于Web的UI，专注于桌面/平板电脑，但仍然能够在手机视图中获得有用的信息
*在docker容器中运行它，最简单的方式是人们只需抓取并运行它。确保为它使用一些合理的端口(不是端口80)，以免立即发生冲突。能够添加证书以在启用https的情况下运行它。

ffries · 2022年8月7日星期日晚上11:17

欧洲EID / OpenSC支持。
双因素身份验证
如果不安全的话，我不想把所有的鸡蛋放在一个篮子里。
在容器和GNU/Linux中运行的开源和开放标准
由公共机构对代码进行同行评审和认证

volga629 · 2022年8月8日星期一上午6:02

我已经看到几个提到的配置文件，配置比较…
您是否建议控制器作为配置导出上传器运行?

你有运行和启动配置的表示。你在哪里可以看到不同。

pe1chl · 2022年8月8日星期一上午11:07

是的，这对“普通大众”来说是很好的。
我有这个功能很长时间了，因为我把我的配置导出到一个本地托管的git版本控制系统，附带一个额外的“giweb”程序，它通过一个web界面(只能在本地访问)显示类似于上面的输出。
能够回顾你之前所做的改变是非常有用的。当有多个管理员时也很有用。

slackR · 2022年8月11日星期四凌晨3:21

这里有一些建议。

-配置管理，设备策略组等

-变更管理，授权或批准的变更，计划变更和diff变更日志。

-基于事件的通知通道。像MQTT一样触发警报和收集设备指标。

-SDWAN自动部署，故障转移。

部署容器

-计划固件升级，失败时自动回滚

—通过向导配置vpn和无线的RADIUS或LDAP单点登录认证。

我假设这个控制器会有一个带有报告和实时参数的门户网站。

cha0 · 2022年8月11日(星期四)晚上8:13

是的，这对“普通大众”来说是很好的。
我有这个功能很长时间了，因为我把我的配置导出到一个本地托管的git版本控制系统，附带一个额外的“giweb”程序，它通过一个web界面(只能在本地访问)显示类似于上面的输出。
能够回顾你之前所做的改变是非常有用的。当有多个管理员时也很有用。

对这种溶液感兴趣的同学，可以看看氧化溶液。
https://github.com/ytti/oxidized

rviteri · 2022年8月15日星期一凌晨2:04

一个脚本管理器，可以实现SD-WAN解决方案。Web / Winbox接口。

rextended · 2022年8月17日星期三下午4:29

演示吗?

AHAHAHAHAHAAHAHHAH !!!!!!!!!!!

对不起……

pe1chl · 2022年8月17日星期三下午7:07

它可能在脚本函数库之后发布:-):-)

infabo · 2022年8月18日(星期四)晚7:41

这个帖子是为了头脑风暴。加入一些流行语，这些流行语会以罐头告终。

pe1chl · 2022年8月18日(星期四)晚上8:56

看看这个话题，看看结果如何:viewtopic.php吗?t = 131692
我的意思是，头脑风暴是可以的，但当你作为一个公司进行头脑风暴时，你可能会有一些期望……

infabo · 2022年8月18日(星期四)晚上10:18

你能总结一下从长主题中添加到函数库中的内容吗?

pe1chl · 2022年8月18日(星期四)晚上10:35

什么都没有。函数库从来没有出现过，4年的讨论都白费了。

rextended · 2022年8月19日星期五凌晨1:07

不完全正确，在7上添加了随机数生成器…

infabo · 2022年8月19日星期五上午10:03

什么都没有。函数库从来没有出现过，4年的讨论都白费了。

基本上就是我说的。

pe1chl · 2022年8月19日星期五上午10:21

不完全正确，在7上添加了随机数生成器…:|:|:|

我理解“函数库”的方式是有一个可选的包，你可以安装，或者一些脚本文件，你可以下载到路由器，并从你的脚本调用，包含一个实用程序函数的集合作为一层在上面(即写在)脚本语言。
基本上任何人都可以把它写成后一种形式，有些人确实这样做了。
但是从来没有一个官方的MikroTik支持的版本，甚至没有一个认雷竞技网站可的版本。
当然，在许多情况下，将新函数作为脚本语言本身的内置函数使用会更有效(或者甚至是唯一可行的方法……)。我不会称它为图书馆，但它仍然是受欢迎的。

senseivita · 2022年8月19日星期五上午11:29

我想我可能就是《Mikrotik》的目标用户，我雷竞技网站想我应该仔细考虑一下。

像UniFi controller这样的东西看起来很漂亮，但不是很有用。它很慢，它有很多问题，从采用，断连，无法处理连续(不是“太多-”，只是“连续”)更新，所有这些Mikrotik都没有加上安装人员的可访问性问题(当你走下白色明亮的屋顶进入空调相对黑暗的服务器室，你试图阅读字体太薄)，这是这个管理工具的主要内容。雷竞技网站相反，我会更好地记录。文档是为CLI编写的，但CLI并不是鼓励使用的，有无数的管理ui，但只有没有任何图形的文档，通常是图形/截图/其他建议。大多数时候，它也是用一种不必要的技术语言，但在重要的地方，它不够技术，所以没有歧义——有太多的歧义。当然，很难想象计算机网络中所有的可能性几乎是无穷无尽的，但这是可以做到的，因为它已经完成了，有另一个供应商在管理。

我指的是pfSense。如果我必须改进microrotik的，我会看看过去被称为什么英文书摘要(现在只是它的文档)作为指导。它出色地解释了为什么事情是这样工作的，甚至解释了为什么UI的决定在某些情况下直接解决了它们的缺点。

你不需要像苹果、Ubiquiti、Cloudflare等公司那样把东西简单化，当另一个供应商发现了极简主义，你的设置就消失了，这有点令人恼火。这就是为什么我们最终会在每个浏览器上看到这些恼人的证书警告，如果我们被教导，我们可能不需要像孩子一样被对待，我在这里是糖衣，并最终缺乏选择，昂贵，有限和笨重的控制器设备或替代“管理即服务”，UniFi变成了什么。UniFi仍然不能正确地多广域网，DHCP保留等基本功能还在，这是十多年前的事了。还有遥测技术;每台设备，甚至是户外无线电台都一直在尝试联系外部网络，STUN服务器，中国的IP地址，这些地址是Ubiquiti托管其UNMS的地方。论坛，现在大多是抱怨，不容易找到一个链接，也许它是相关的。

多年来，Ubiquiti一直试图摆脱对“传统”(Wi-Fi 4)设备的支持，并删除了访问旧的自托管nvr(另一种形式的控制器)所需的应用程序。人们很生气，因为只有当你拥有一个Play Store，即你之前获得应用程序的苹果ID帐户，或者相信公司不会再次改变主意和升级时，你才能访问你的相机。至于ap，它们会变得难以管理，因为它们不喜欢维护这种支持，如果ap像Mikotik那样拥有内置的管理UI，就不需要这种支持。似乎他们在某种程度上扭转了这一点，你仍然可以在最新的控制器中管理ap，但不能将它们分组到较新的控制器中。但是太晚了，很多顾客都退出了。

专注于文档，在Winbox或你已经拥有的那些强大的ui中构建它，让文档离线，而不是链接到wiki，这在你设置设备时没有帮助——当你最需要它的时候。查找默认的IP管理地址不应该花半个小时。像Mikrotik的“H雷竞技网站ome”或其他愚蠢的东西都很难，并没有提供一个学习/发展的路径。对于我们这些拥有先进的，已经在平台上建立了网络的人来说，达到部署相同基础设施所需的知识水平可能会在时间/停机时间方面成本过高。我第一次试用microtik路由器的时候，我最后把雷竞技网站它退了，因为它要花太多时间来设置。上次我尝试使用Mikrotik时(大概是4或雷竞技网站5次)，如果不先学习相当高级的脚本，我无法找到如何在动态IP接口上设置完整的锥形NAT。

苏尔 · 2022年8月19日星期五下午5:00

您认为有可能获得类似思科高可用性的服务吗?
https://www.cisco.com/c/en/us/td/docs/r…ility.html
我在这里找到了另一个Mikrotik社雷竞技网站区项目:
https://github.com/svlsResearch/ha-雷竞技网站mikrotik
基本思想是能够在一个地方更改配置，并且HA组中的所有路由器/交换机都将受到该更改的影响。版本控制也会有很大帮助。
祝你好运。我从90年代末雷竞技网站开始就喜欢上了MikroTik。你的方法注定会取得巨大的成功。

realmark · 2022年8月30日星期二下午3:46

原生支持推送参数/流遥测!

支持将数据推送到influxdb或类似的地方。我们已经从“网络监控”工具转向了用于所有服务器监控、防火墙的grafana仪表板，并且正在尝试在路由器/交换机上做同样的事情。没有SNMP入站、代理、代理等。只要把想要的细节清晰地传送给选定的目标。

viewtopic.php吗?p = 948888 &hilit = influxdb # p948888

spippan · 2022年9月2日星期五凌晨2:47

我的首要建议和最高优先级是从一开始就构建强大的安全性，而不是事后再考虑。雷竞技网站MikroTik可以向网络设备行业的其他人展示如何建立安全维护网络设备的最佳实践，这应该是我们的目标!

一些建议的方法:

合并一个健壮的管理工具，用于建立和维护管理员和用户帐户。理想情况下，它还应该支持可用于设备的自动状态查询和管理的“机器”帐户。控制器本身应该使用“机器”帐户来实现其目的，并且该帐户必须可由客户定制。与企业系统的集成，如微软的活动目录，可能是一些客户所希望的。

建立证书颁发机构(CA)，向网络设备颁发证书。新的控制器应该包含对私钥(特别是CA自己的私钥)的硬件保护，以及使用多方控制雷竞技官网网站下载将CA的私钥安全地克隆到备份控制器的能力。网络设备应该能够使用自动化方法向CA请求证书的续期。还应该有用于在网络设备中安装cert的自动化工具。必须使用像OCSP这样的动态协议来支持证书撤销，并具有立即推出撤销的能力(例如，通过CRL更新)。一种可选的方法是支持与第三方证书颁发/管理系统的集成，但是现在实现网络设备所需的服务子集的工具很容易从多个开源项目中获得，包括OpenSSL本身。

在新控制器中使用CA还可以为网络管理员颁发客户端证书。客户端证书将与相互身份验证一起使用，以处理Winbox和其他特定于设备的服务的登录，包括通过证书提供SSH密钥的选项。应该支持自动客户端证书更新，并且必须能够通过立即将吊销通知推送到设备以及动态证书检查来吊销客户端证书。(旁白:WinBox可能直接支持从新控制器的CA请求管理员证书。)

CA还应为无线接入、PPP/VPN远程接入、热点服务等颁发用户证书。这意味着用户应该对控制器进行专门访问，以处理证书请求或更新其帐户详细信息，如电子邮件地址、电话号码、工作站详细信息、移动设备详细信息等。在企业环境中，可以从中央服务提取这类信息。

完全支持最新的加密算法和措施，包括广泛接受的椭圆曲线算法(如ED25519)。提供策略控制，以从网络范围的角度限制/限制网络设备中加密套件的使用。

为遗留设备和服务提供健壮的RADIUS服务的完整实现。额外的信用，支持RADIUS集成与微软AD NPS/RADIUS设施。

实现一个SSH密钥管理系统，该系统支持将管理员的SSH公钥推送到网络设备，并根据需要滚动密钥。还需要立即删除或禁用用于管理员登录的SSH公钥。一种可能性是使用SSH和SSH密钥管理来安全地将更新推送到设备，同时调用脚本和自动检索设备信息，包括设备配置。

为敏感信息的静态维护提供加密存储系统，特别是设备配置等敏感信息。

构建一个软件存储库，以雷电竞app下载官方版苹果一种受控的方式将RouterOS(以及可能的其他软件/固件包)重新分发到网络设l雷竞技备，而不需要单个网络设备访问Internet。这可能是本文中其他人对RouterOS批量更新请求的补充。l雷竞技理想情况下，该系统应该在支持此选项的设备上支持两个或更多存储分区，以便更容易、更安全地回滚更新。对于没有配备(或配置)多个分区的设备，回滚功能仍然是一个有价值的功能。

实现对冗余设备部署(包括新控制器)的支持。例如，支持在冗余设备对中的每个成员中独立更新RouterOS的措施，从而使另一个成员在升级过程中能够维持业务l雷竞技。该功能还允许在完全更新所有设备之前，在冗余系统中暂存固件以确认稳定性。冗余控制器也需要类似的功能。弹性是一个经常被忽视的基本安全需求。

支持RANCID或在源代码控制系统(例如Git)中维护网络设备配置的等效服务。这可以是一个附加包，用于处理大型网络或复杂支持需求的用户。(另外，我自己在涉及多个供应商的设备的复杂网络中使用RANCID的经验表明，这不仅是跟踪配置更改的宝贵工具，而且还可以监视多个管理员所做的更改，这反过来又提供了进一步的安全控制，并增加了从未经批准或考虑不周全的更改中恢复的能力。)

支持SNMPv3的安全凭证管理，包括以受控和自动化的方式定期更新凭证的能力。提供将SNMPv3凭证推送到网络管理系统的方法(例如，通过安全上传导出的凭证字典)。

使用参数驱动的方法调用缓解措施，为自动响应DDoS攻击提供工具。

实现一个全面的系统日志工具。这可以针对microtik设备进行优化，以利用增强的功能雷竞技网站。系统日志记录应该支持TCP日志记录，以及通过加密链接(SSH、IPsec或其他VPN)进行日志记录的可选支持。对于客户来说，实现冗余的syslog服务器以实现弹性以及保护日志不被攻击者修改应该是可行的。日志记录系统应该能够将日志记录转发到更高级的面向企业的日志记录系统(例如，Elastic Search)。

DNS是最基本的服务之一，也是最敏感的安全服务之一，因此对网络设备中的DNS服务进行集中管理将是一项有价值的服务。这可能包括跨一些或所有网络设备维护静态DNS缓存的能力，以便在网络中断或分区等降级操作期间提高基本DNS解析的可用性。

提供健壮的NTP服务，理想情况下支持身份验证访问。理想情况下，新的控制器将提供GPS时间同步选项，以便它可以作为一级NTP服务器运行。这也是支持证书管理和使用基于时间的身份验证服务的底层安全设施。

是的，很多。但是，上面列出的所有内容在开放源代码领域都是现成的和受支持的。重要的是将这些功能构建到产品计划中，并在安全基础上构建其他控制器特性和功能。并非所有内容都需要在版本1中，但所有内容(以及更多内容)都需要在产品计划和最终设计中。如今，安全性是一个非常重要的问题，必须成为控制网络设备和维护网络系统的主要目标。

完美的。

spippan · 2022年9月4日星期日晚上10:20

是的，这对“普通大众”来说是很好的。
我有这个功能很长时间了，因为我把我的配置导出到一个本地托管的git版本控制系统，附带一个额外的“giweb”程序，它通过一个web界面(只能在本地访问)显示类似于上面的输出。
能够回顾你之前所做的改变是非常有用的。当有多个管理员时也很有用。

对这种溶液感兴趣的同学，可以看看氧化溶液。
https://github.com/ytti/oxidized

．..也可以与LibreNMS
其中2个运行的是氧化的(它将配置版本推送到本地git仓库)

lcohen999 · 2022年9月9日星期五晚7:01

这太棒了

这将是很好的:

获得一个Tik在线，注册我的帐户，然后我可以推送任何我喜欢的配置(IPSEC/LAN等)或“从另一个microtik复制”雷竞技网站

让它在microtik的云上运雷竞技网站行，或者让它开源，这样我就可以启动自己的linux服务器并使用它。

除此之外，通常的东西，去掉NAT背后的管理，推送包等。

我们是一家拥有150台设备的小公司。我想一键推ROS和固件更新。按需要推wifiwave2。

实际上，至少，NAT背后的远程管理是目前最大的问题

spippan · 2022年9月9日星期五晚上8:47

实际上，至少，NAT背后的远程管理是目前最大的问题

你可以设置一个公共的CHR，你的被管理的tiks将通过ovpn/sstp/wireguard连接(例如/30子网或帧/32)，建立一个路由协议，自动路由交换与路由过滤器在适当的地方，所以每个设备都有自己的Lo0地址，你也连接到该CHR和路由你的管理子网(其中的Lo0地址驻留)到该CHR

所以NAT实际上不再是问题了。在tcp端口443上使用sstp/ovpn，甚至可以在中国部署tiks。

realmark · 2022年9月9日星期五晚上11:46

接下来，设备应该接触控制器，而不是相反。向控制器推送参数是个不错的开始。控制器为配置保存一个git(或其他版本控制数据库)，终端设备提取最新的配置。

是的，您仍然可以潜在地破坏控制器并使用它来传递被破坏的配置，但控制器没有通往站点的固有路径。在参数模式下(在设备上禁用配置拉/手动)，没有路径。我们正在对许多客户使用这种策略，对他们来说，数据安全是最重要的。我们提供系统的远程监控，但可以证明，我们无法访问系统内部的数据。对我们系统的破坏不能让客户知道，但我们仍然从指标监控和分析中提供了很多价值。

我知道这有点涉及到面向用户的事情，但是Aruba在nettedit的配置部分做得很好。其他人一直提到RANCID。这是相反的流程。配置构建器/ git repo在前端，网络设备把它们的配置拉下来。

lcohen999 · 2022年9月12日星期一下午5:40

实际上，至少，NAT背后的远程管理是目前最大的问题

你可以设置一个公共的CHR，你的被管理的tiks将通过ovpn/sstp/wireguard连接(例如/30子网或帧/32)，建立一个路由协议，自动路由交换与路由过滤器在适当的地方，所以每个设备都有自己的Lo0地址，你也连接到该CHR和路由你的管理子网(其中的Lo0地址驻留)到该CHR

所以NAT实际上不再是问题了。在tcp端口443上使用sstp/ovpn，甚至可以在中国部署tiks。

我还可以用我自己托管的ZT对每个路由器进行归零，并以这种方式访问它。点……这是一个额外的步骤，最好避免

知更鸟 · 2022年9月18日星期日下午12:32

我们是一个拥有管理BYOD无线客户端服务的大型802.11 WISP。我们正处于向microtik产品过渡的阶段。雷竞技网站我们对您在家庭和企业中安装的CAP接入点感兴趣，但您的CAPsMAN控制器目前有一个问题，这对我们的用例是致命的:

如果被控制的AP与CAPsMAN控制器失去联系，它将关闭无线电并完全停止广播。这对于本地CAPsMAN管理来说已经足够了，但是我们需要对数千个独立站点(多租户)进行集中管理。为了让控制器不间断地进行故障转移，我们需要运行VRRP并编写自动同步脚本。我们所有的最后一英里wifi服务都将面临完全灾难性故障的不可接受的风险。我们当前供应商的ap缓存他们的配置，并在失去对中央控制器的访问权限时继续广播其最后已知的设置。

是否努力为多租户和非分布式CAPsMAN控制添加类似的功能?

mjezierski · 2022年9月19日星期一下午6:00

关于“云”解决方案。
在我现在拥有的100多台设备中，并不是所有设备都能接触到公共互联网。
我更喜欢能够在封闭环境中的虚拟机上运行的解决方案。

我理解其他人可以从云控制器中受益，但在我目前的用例中没有。

^^^^^^^^^^^^^^^^^^^^^^^
这个! !

nkourtzis · 2022年9月22日星期四下午6:55

关于“云”解决方案。
在我现在拥有的100多台设备中，并不是所有设备都能接触到公共互联网。
我更喜欢能够在封闭环境中的虚拟机上运行的解决方案。

我理解其他人可以从云控制器中受益，但在我目前的用例中没有。

^^^^^^^^^^^^^^^^^^^^^^^
这个! !

．..或者是两全其美:一种基于云的服务，可以选择位于局域网边缘的本地“代理控制器”。

cha0 · 2022年9月22日星期四晚上8:41

．..或者是两全其美:一种基于云的服务，可以选择位于局域网边缘的本地“代理控制器”。

,更糟糕了。你需要一个额外的故障点(“代理控制器”服务)，并且需要依赖第三方云服务(可能是MikroTik，他们选择的云提供商，以及介于两者之间的所有人)。雷竞技网站
对于严重依赖控制器的操作人员来说，这很糟糕。对于在家中或SOHO业务中拥有2-3个ap和1-2个路由器/交换机的普通人来说，云解决方案可能已经足够好了。

最好的方法就是Ubiquiti所做的。提供选择，要么使用他们的云服务，要么允许最终用户/集成商在本地安装它，并实现100%的气隙。
并不是每个网络都有直接或间接(即代理)访问Internet。