ROUTER-OS DHCP服务器进阶：巧用OPTION60实现终端智能分流

1. 为什么需要OPTION60终端分流？

想象一下这样的场景：公司网络里混杂着员工电脑、会议室智能电视、门禁摄像头等各种设备。所有设备都挤在同一个网段里，不仅广播风暴频发，安全策略也难以实施。这时候，OPTION60就像给不同乘客分配专属车厢的列车长，能根据设备类型自动分配不同网段。

我在实际项目中遇到过这样的问题：某次公司采购了一批新打印机，结果因为和办公电脑同网段，所有人都能直接访问打印机管理界面。后来通过OPTION60将IoT设备隔离到独立网段，配合防火墙规则，问题迎刃而解。

DHCP协议中的OPTION60（厂商类标识符）相当于设备的"身份证"。当设备请求IP时，会携带这个标识符。常见设备的OPTION60特征值：

• Windows电脑：MSFT 5.0
• Apple设备：AAPLBSD
• 华为交换机：huawei
• 小米智能设备：miot

2. ROS环境准备与基础配置

2.1 确认DHCP服务器状态

首先登录ROS的WinBox界面，在左侧菜单找到IP -> DHCP Server。如果已经存在dhcp-pool，建议先备份配置：

/ip pool export file=dhcp_backup

新建测试地址池时，我习惯用这样的命名规则：

• dhcp-office（办公设备）
• dhcp-iot（智能设备）
• dhcp-guest（访客网络）

/ip pool add name=dhcp-office ranges=192.168.10.100-192.168.10.200 /ip pool add name=dhcp-iot ranges=192.168.20.100-192.168.20.200

2.2 配置网络接口

很多新手会忽略接口绑定这个关键步骤。假设你的内网接口是ether1：

/ip dhcp-server add interface=ether1 name=dhcp1 address-pool=dhcp-office

这里有个坑要注意：address-pool参数虽然必填，但后续OPTION60匹配会覆盖这个默认值，所以随便选个池就行。

3. OPTION60实战配置详解

3.1 抓取设备特征值

先开启DHCP调试模式观察设备请求：

/log add topics=dhcp

连接一台测试设备（比如小米手机），在Log里会看到类似这样的信息：

dhcp,debug option 60: 'android-dhcp-9'

建议用表格整理常见设备标识符：

3.2 配置匹配规则

进入IP -> DHCP Server -> Options，添加新的匹配规则：

/ip dhcp-server option add code=60 name=option60 value="'miot'" /ip dhcp-server option add code=60 name=option60_win value="'MSFT 5.0'"

然后到Option Sets绑定地址池：

/ip dhcp-server option sets add name=iot-rules options=option60 /ip dhcp-server option sets add name=win-rules options=option60_win

最后在DHCP Server配置中关联：

/ip dhcp-server network add address=192.168.0.0/24 gateway=192.168.0.1 option-set=win-rules /ip dhcp-server network add address=192.168.1.0/24 gateway=192.168.1.1 option-set=iot-rules

4. 高级策略与故障排查

4.1 多重条件匹配

更复杂的场景可以用脚本实现。比如需要同时匹配OPTION60和MAC前缀：

:local deviceType [/ip dhcp-server lease get [find where host-name~"android"] value-name=option60] :if ($deviceType = "miot") do={ /ip dhcp-server lease make-static [find] /ip dhcp-server lease set [find] address-pool=dhcp-iot }

4.2 常见问题解决

问题1：设备获取不到IP

• 检查/ip dhcp-server lease print是否有记录
• 确认设备确实发送了OPTION60（有些安卓需要手动开启）

问题2：分流不生效

• 执行/ip dhcp-server option print确认规则优先级
• 测试时建议清空租约：/ip dhcp-server lease remove [find]

问题3：特殊字符处理遇到带引号的值时，需要转义处理：

/ip dhcp-server option add code=60 name=special value="'\"special-device\"'"

5. 安全加固与性能优化

5.1 防止OPTION60欺骗

在/ip firewall filter添加规则：

add chain=input protocol=udp dst-port=67 action=add-src-to-address-list \ address-list=dhcp_starange address-list-timeout=1d \ src-address-list=!authorized_devices

配合地址列表实现动态封禁：

add chain=input src-address-list=dhcp_starange action=drop

5.2 负载均衡配置

当设备数量超过200台时，建议拆分配置：

/ip dhcp-server set dhcp1 lease-time=1h /ip dhcp-server set dhcp1 conflict-detection=yes

对于高密度场景，可以启用多个DHCP实例：

/ip dhcp-server add interface=ether2 name=dhcp2 address-pool=dhcp-iot

6. 典型应用场景案例

某连锁门店部署案例：

• 收银系统（固定IP段：10.0.1.0/24）
• 监控摄像头（隔离网段：10.0.2.0/28）
• 顾客WiFi（限速网段：10.0.3.0/24）

配置逻辑：

:if ([/ip dhcp-server lease get [find] value-name=option60] = "pos-system") do={ /ip dhcp-server lease set [find] address=10.0.1.$( [:pick [/ip dhcp-server lease get [find] value-name=mac-address] 15 17] ) } else={ /ip dhcp-server lease set [find] address-pool=([/ip dhcp-server lease get [find] value-name=option60] . "-pool") }

这个方案实施后，门店设备故障定位时间从平均2小时缩短到15分钟。