Tutorial
MikroTik RouterOS naujinimo gidas
Kaip atnaujinti ir taisyti MikroTik RouterOS ISP parke: leidimų kanalai, etapinis diegimas, atsarginės kopijos, atstatymas ir 2026 m. CVE.
Santrauka MikroTik RouterOS atnaujinimas visame ISP parke yra kontroliuojamas procesas, o ne vieno paspaudimo veiksmas. Pasirinkite jūsų SLA atitinkantį leidimų kanalą, sukurkite kiekvieno įrenginio kopiją, patvirtinkite pilote, tada diekite topologiją atitinkančiomis bangomis su aiškiu atstatymo keliu. 2026 m. tai svarbu kaip niekada: viešai išnaudojama RouterOS spraga (CVE-2026-7668) ir naujas stable leidimas (7.23.1) reiškia, kad nepataisyti pakraščio maršrutizatoriai yra aktyvi rizika.
Kas Yra RouterOS Taisymas ISP Parkui?
RouterOS taisymas yra disciplinuotas procesas, kai MikroTik įrenginių populiacija keliama iš vienos RouterOS versijos į naujesnę, siekiant pašalinti saugumo spragas, stabilumo klaidas ir elgsenos regresijas — nepažeidžiant ant jų veikiančių paslaugų. Viename namų maršrutizatoriuje tai dviejų minučių užduotis. Per šimtus ar tūkstančius CPE ir pakraščio maršrutizatorių tai virsta operacine programa: jums reikia leidimų kanalo politikos, atsarginių kopijų standarto, staging žingsnio, etapinio diegimo ir atstatymo plano. Tikslą lengva suformuluoti, bet sunku pasiekti dideliu mastu — kiekvienas įrenginys lieka pataisytas, ir nė vienas dėl to neužgęsta.
Tai nusipelno tikros darbo eigos, nes atnaujinimas paliečia tai, ko nesėkmės atveju nelengva vėl pasiekti: maršrutizatorių kliento pakraštyje, dažnai už CGNAT. Blogas diegimas, prarandantis valdymo prieigą, virsta išvyka į vietą. Todėl toliau pateikta darbo eiga pirmiausia optimizuojama saugumui ir pasiekiamumui, o greičiui — antraeiliai.
Kodėl Taisyti Dabar: 2026 m. Saugumo Vaizdas
Taisymo kadencija lieka tylia foninė užduotis, kol spraga neverčia imtis veiksmų, o 2026 m. pateikia konkrečių priežasčių ją sugriežtinti. CVE-2026-7668 yra ribų peržengimo skaitymas RouterOS SCEP galiniame taške, įvertintas CVSS 7.3 (aukšta); jį galima suaktyvinti nuotoliniu būdu, o viešas eksploitas egzistuoja. Atskiri šio ciklo pranešimai apima netinkamos prieigos kontrolės problemą VXLAN šaltinio IP patvirtinime (pataisyta RouterOS 7.20 ir naujesnėse) bei atminties sugadinimo spragą SMB tarnyboje, kurią neautentifikuotas užpuolikas gali suaktyvinti specialiai parengtais paketais.
MikroTik gairės yra nuoseklios: laikykite RouterOS naują ir už ugniasienės, blokuojančios nepatikimus tinklus. Dabartinė stable šaka, RouterOS 7.23.1 (išleista 2026 m. birželio 2 d.), taip pat ištaiso BGP atminties nutekėjimą ir DHCPv4-snooping stabilumo problemą. Tai įprasta priežastis, kodėl parkams reikia pakartojamo taisymo proceso, o ne ad hoc atnaujinimų.
1 Žingsnis — Pasirinkite Tinkamą Leidimų Kanalą
RouterOS siūlo daugiau nei vieną šaką, ir pasirinkimas yra politikos sprendimas, o ne pomėgis. Stable leidimai pasirodo kas kelis mėnesius su išbandytomis funkcijomis ir pataisymais; long-term leidimai gauna tik kritinius ir saugumo pataisymus, tarp versijų kintančius kur kas mažiau. ISP pakraščio ir CPE parkams, vertinantiems nuspėjamumą, long-term šaka dažnai yra tinkamas numatytasis pasirinkimas, o stable rezervuojamas aparatinei įrangai ar funkcijoms, kurioms jo reikia. Ką berinktumėte, niekada nenaudokite testing ar development laidų gamyboje. Dokumentuokite šaką pagal įrenginio klasę, kad sprendimas būtų pakartojamas visoje komandoje.
2 Žingsnis — Pirma Sukurkite Kopiją ir Eksportą
Niekada neatnaujinkite be atkūrimo taško. Sukurkite ir dvejetainę atsarginę kopiją (/system backup save), ir žmogui skaitomą konfigūracijos eksportą (/export file=), nes eksportas išgyvena versijų pokyčius ir leidžia atstatyti net jei dvejetainė kopija neatsiras kitame laide. Nuimkite abu nuo įrenginio į savo valdymo sistemą. Prieš pradėdami patvirtinkite, kad yra pakankamai laisvos saugyklos naujiems paketams, ir teikite pirmenybę laidiniam ar konsolės ryšiui — atnaujinimas per Wi-Fi ar nepatikimą ryšį yra būdas užmušti maršrutizatorius įrašymo viduryje. Įrenginiams, kuriuose tikras rūpestis yra atkūrimo prieiga, mūsų Netinstall atkūrimo gidas yra atsarginis variantas, kai atnaujinimas nepavyksta.
3 Žingsnis — Išbandykite Pilotiniame Įrenginyje
Pirma atnaujinkite vieną reprezentatyvų maršrutizatorių ir jį stebėkite. Pasirinkite įrenginį, atspindintį gamybinę klasę — tas pats modelis, tas pats vaidmuo, panaši konfigūracija — ir įdiekite tikslinę versiją per techninės priežiūros langą. Po perkrovimo patikrinkite versiją, patvirtinkite, kad paketai įjungti, ir peržiūrėkite pakeitimų žurnalą dėl elgsenos pokyčių, paveikiančių jūsų konfigūraciją (ugniasienės semantika, numatytosios tarnybos, sąsajų pavadinimai). Tik kai pilotas švarus, leiskite platesnį diegimą. Šis vienas žingsnis išvengia brangiausio gedimo režimo: regresijos aptikimo jau po to, kai ji išsiųsta tūkstančiui klientų.
4 Žingsnis — Diekite Topologiją Atitinkančiomis Bangomis
Masinis diegimas yra apie tvarką ir tempą, o ne apie mygtuko spaudimą visur iš karto. Sugrupuokite įrenginius pagal topologiją, kad sujungti maršrutizatoriai būtų atnaujinami iš eilės — nenorite, kad aukštesnės grandies maršrutizatorius persikrautų, kol žemesnės grandies įrenginys dar neatsisiuntė savo paketų. Apibrėžkite bangas su jų pačių techninės priežiūros langais ir sekite kiekvieną įrenginį suderinimo sąraše, kad kiekvienas vienetas su problema būtų vėl įtrauktas į eilę, o ne pamirštas. Norėdami sumažinti interneto pralaidumą, nukreipkite įrenginius į centrinį maršrutizatorių, veikiantį kaip vietinis paketų veidrodis; tai taip pat valdo, kurią versiją parkas gali siųstis.
Etapinis diegimas veikia tik tada, kai iš tikrųjų galite pasiekti kiekvieną įrenginį ir patvirtinti, kad jis grįžo. Tai operacinis spąstas su CPE už CGNAT — ir būtent ten centralizuotas valdymas pasiteisina.
5 Žingsnis — Patikrinkite, Tada Prireikus Atstatykite
Po kiekvienos bangos patvirtinkite rezultatą: patikrinkite praneštą versiją, patvirtinkite, kad routerboard programinė įranga taip pat buvo atnaujinta, kur taikoma (/system routerboard upgrade), ir patikrinkite, kad jums rūpimos paslaugos praleidžia srautą. Jei įrenginys veikia netinkamai, atkurkite ankstesnę dvejetainę kopiją, atstatykite iš RSC eksporto arba kaip kraštutinę priemonę įdiekite ankstesnę versiją su Netinstall. Taisymo programa nėra „baigta”, kai įdiegta nauja versija — ji baigta, kai kiekvienas įrenginys patikrintas kaip sveikas ir kiekviena išimtis sekama iki užbaigimo.
Patarimai Parko Masto Taisymui
- Standartizuokite vieną sustiprintą bazinę liniją, kad atnaujinimai būtų nuspėjami. Mūsų Winbox saugumo geriausios praktikos ir įrenginio režimo saugumo operacijų gidas apibrėžia bazinę liniją, prie kurios atsekama dauguma atnaujinimo problemų.
- Apribokite valdymo prieigą iki VPN ar patikimų IP prieš ir po atnaujinimų, kad pusiau pataisytas parkas niekada nebūtų atviras.
- Išlaikykite valdymo plokštumą pasiekiamą net už CGNAT, kad patikrinimas ir atstatymas nereikalautų vizito vietoje.
- Peržiūrėkite MikroTik saugumo pranešimus pagal grafiką, o ne laukite incidento.
DUK
Kaip dažnai turėčiau atnaujinti RouterOS? Vertinkite kiekvieną leidimą pagal savo šakos politiką ir taisykite neplanuotai, kai pranešimas paveikia jūsų atvertas paslaugas. Nėra fiksuoto intervalo — tik rizikos vedama kadencija.
Stable ar long-term ISP parkui? Long-term yra saugesnis numatytasis pasirinkimas pakraščiui ir CPE; naudokite stable ten, kur reikia naujesnės aparatinės įrangos palaikymo ar funkcijų, prieš tai patvirtinę staging aplinkoje.
Ką daryti, jei atnaujinimas užmuša nuotolinį įrenginį? Atkurkite iš atsarginės kopijos ar RSC eksporto; jei įrenginys nepasiekiamas, atkurkite su Netinstall. Štai kodėl išbandyta atsarginė kopija ir pasiekiamas valdymo kelias yra privalomi prieš kiekvieną bangą.
Pataisykite Visą Parką Be Išvykų į Vietą
Sunkiausia parko taisymo dalis yra ne atnaujinimas — tai kiekvieno įrenginio pasiekimas ir patikrinimas po jo, ypač CPE už CGNAT. MKController centralizuoja matomumą visame jūsų MikroTik parke, o NATCloud suteikia pasiekiamumą iš vidaus į išorę be prievadų peradresavimo, todėl etapiniai diegimai, patikrinimas ir atstatymas vyksta nuotoliniu būdu.