如何安全可靠地备份 MikroTik?
在这份全面的分步指南中,我们将向您展示如何: 手动备份 使用终端(SSH/CLI)从 MikroTik 路由器生成二进制备份文件(.backup),获取可编辑的文本输出(.rsc),将证书导出为安全格式(例如,在支持的版本中为 PKCS#12/.p12 或 PEM),然后 传输、安全存储和恢复 你会学到的。.
概述:MikroTik 上的备份类型及重要区别
MikroTik 中至少有三种常见的备份输出类型:
- 备份(.backup)使用以下命令创建的二进制文件 /系统备份保存 它已经建成。它速度快、功能全面,但是…… 平台相关 可能无法在不同硬件或版本之间转移。.
- 导出(.rsc):文本输出(脚本), /导出文件=… 它已制作完成;可编辑,适合在不同设备间迁移。.
- 证书证书通常位于以下部分: 证书 已存储。为了安全传输,请将其导出为 PKCS#12 (.p12) 格式,以包含私钥(带密码短语)。.
前提条件和安全提示
开始之前,请确保您拥有设备的管理权限(SSH 或 Winbox/WebFig)。要从安全路径(例如……)传输文件, SCP/SFTP 或者使用 HTTPS 并避免使用没有 TLS 的 FTP。.
最佳实践包括: 备份加密将它们异地存储(例如,不同位置的 S3 兼容存储或 VPS),并计划定期进行恢复测试。.
手动备份——分步指南(终端)
通过 CLI 进行备份的基本步骤如下:在 SSH 终端中运行命令。.
连接到路由器
创建二进制备份(.backup)
/system backup save name=router-backup-2026-05-01
/file print创建的文件通常具有扩展名。 .备份 出现(例如) router-backup-2026-05-01.backup).
获取文本输出(导出 .rsc)
/export file=full-config-2026-05-01
/export verbose file=full-config-2026-05-01此文本文件(full-config-2026-05-01.rsc) 可以用文本编辑器打开,并且可以单独应用命令。.
出口证书——提示和示例
首先,检查证书列表,然后如有必要,将其导出为 PKCS#12 格式,以便包含私钥。.
/certificate print
/certificate export-certificate mycert passphrase="StrongP@ssw0rd" file-name=mycert-2026.p12将备份和证书文件下载到管理服务器或本地
文件创建完成后,可以使用以下方法检索文件:
- SCP 来自 Linux 机器/管理服务器:
scp [email protected]:router-backup-2026-05-01.backup /backups/mikrotik/ scp [email protected]:mycert-2026.p12 /backups/secure-certs/ - Winbox/WebFig:使用文件部分的拖放功能或下载按钮。.
- 上传到云端或VPS备份服务器通过 SFTP/rsync 接收文件。备份服务器上的 cron 任务示例:
0 3 * * * scp [email protected]:router-backup-$(date +\%F).backup /srv/backups/mikrotik/ - 如果您需要直接从路由器上传文件,并且路由器支持 FTP-TLS 或 SFTP,请使用 /工具获取 配合 upload=yes 使用:
/tool fetch address=ftp.example.com src-path=router-backup-2026-05-01.backup user=ftpuser password=ftppass upload=yes
修复——方法和技巧
恢复主要有两种方法:加载二进制备份和导入文本导出文件。.
从 .backup(二进制)文件恢复
使用 SCP 或 Winbox 将文件上传到 Files 文件夹,然后:
/system backup load name=router-backup-2026-05-01.backup
/system reboot警告: 二进制备份可能与不同的硬件或版本不兼容。.
从导出文件(.rsc)恢复
/import file-name=full-config-2026-05-01.rsc这种方法是基于文本的,更适合在设备之间迁移。.
进口证明(.p12)
/certificate import file-name=mycert-2026.p12 passphrase="StrongP@ssw0rd"
/certificate print导入后,重新配置使用该证书的服务(IPsec、HTTPS、热点等)。.
用于自动备份和传输到VPS/存储的调度脚本
以下是RouterOS中用于创建每日备份、导出和管理版本维护的脚本示例:
/system script add name=auto-backup source={
:local fname ("router-backup-" . [/system clock get date]);
/system backup save name=$fname;
/export file=("export-" . $fname);
}
/system scheduler add name=auto-backup-sched start-time=startup interval=1d on-event="/system script run auto-backup"要将文件从路由器传输到受保护的服务器,请在备份服务器上使用 cron:
0 4 * * * scp admin@router:router-backup-$(date +\%F).backup /srv/backups/mikrotik/实用技巧和最佳实践
- 至少一份 异地 (例如,将 VPS 或对象存储放在不同位置)。.
- 使用导出(.rsc)进行迁移可以减少对硬件的依赖。.
- 包含私钥的文件 口令 使用强加密技术。.
- 安排定期恢复演练。.
- 启用版本控制;根据风险情况,至少需要 7 到 30 个版本。.
- 限制对备份文件的访问并维护访问日志。.
备份和恢复快速检查清单
- [ ] 创建二进制备份: /系统备份保存名称=…
- [ ] 准备导出文本: /导出文件=…
- [ ] 导出带密码的证书: /证书导出证书...
- [ ] 使用 SCP/SFTP/Winbox 下载文件
- [ ] 异地存储和加密
- [ ] 导入测试: /import 文件名=… 和 /系统备份加载名称=…
- [ ] 传输完成后安全地从路由器中删除临时文件
与云服务和网络相关的问题
为了分散备份并降低恢复时间目标 (RTO) 和恢复点目标 (RPO),建议在多个位置使用虚拟专用服务器 (VPS) 或对象存储。对于敏感环境,使用防 DDoS 服务器和存储加密至关重要。.
对于 Netflow 或 RPKI 分析等繁重的处理任务,可以使用功能强大的服务器或 GPU。.
常见问题及其解决方案
- 加载 .backup 文件时出错: 通常由架构或版本差异引起——使用导出(.rsc)。.
- 恢复后证书丢失: 请确保导入 p12 文件并重新配置服务。.
- 无法使用SCP传输文件: 请检查 SSH 是否已启用,以及防火墙是否允许访问。.
结论
使用终端手动备份 MikroTik、管理证书和恢复证书,只要使用适当的方法(.backup 用于快速恢复,.rsc 用于迁移,.p12 用于证书),安全传输(SCP/SFTP),以及异地存储,都是安全的。.
定期进行恢复测试并遵守安全最佳实践,可确保您在面对安全事件时能够迅速而自信地采取行动。.
