پیکربندی اینترفیس‌ کریو کنترل و تنظیمات IP

در این نوشته درباره پیکربندی اینترفیس‌ کریو کنترل می‌خوانید. کریو کنترل (Kerio Control) یکی از پرکاربردترین فایروال‌های سازمانی در ایران است که امکانات گسترده‌ای برای کنترل دسترسی به اینترنت، مدیریت پهنای باند، اعمال محدودیت‌های امنیتی و پیاده‌سازی VPN فراهم می‌کند. در این مقاله به‌صورت کامل و با زبانی ساده نحوه پیکربندی اینترفیس‌ کریو کنترل و تنظیمات IP و تنظیمات TCP/IP را بررسی می‌کنیم.

در این نوشته می‌خوانید:

• اینترفیس چیست و چرا در کریو کنترل اهمیت دارد؟
• دسته‌بندی اینترفیس‌ها در Kerio Control
• اضافه کردن اینترفیس جدید به کریو کنترل
• استفاده از Wizard برای پیکربندی اولیه
• تنظیم دستی IP برای اینترفیس در کریو کنترل
• پشتیبانی از DHCP و تنظیمات خودکار IP
• پیکربندی پورت‌های اترنت در کریو کنترل سخت‌افزاری
• اتصال Kerio Control به اینترنت از طریق یک یا چند لینک
• پشتیبانی از تانل‌ها و پروتکل‌های VPN در کریو کنترل
• پشتیبانی از IPv6 در کریو کنترل

اینترفیس چیست و چرا در کریو کنترل اهمیت دارد؟

اینترفیس در کریو کنترل به معنی درگاه ارتباطی میان دستگاه فایروال و سایر بخش‌های شبکه است. هر اتصال فیزیکی یا مجازی به یک شبکه (اعم از داخلی، خارجی یا VPN) از طریق اینترفیس‌ها تعریف و مدیریت می‌شود. به‌بیان ساده‌تر، پیکربندی اینترفیس‌ کریو کنترل و تنظیمات IP نمی‌تواند ترافیک را تشخیص داده یا مدیریت کند.

هنگامی‌که شما یک کارت شبکه فیزیکی به دستگاه اضافه می‌کنید یا یک پورت از دستگاه سخت‌افزاری Kerio را برای ارتباط با شبکه داخلی تنظیم می‌کنید، در واقع دارید یک اینترفیس تعریف می‌کنید. حتی در محیط‌های مجازی مانند VMware نیز با ایجاد یک آداپتور جدید، یک اینترفیس جدید به کریو اضافه خواهد شد.

دسته‌بندی اینترفیس‌ها در Kerio Control

کریو کنترل اینترفیس‌ها را به گروه‌هایی تقسیم می‌کند تا بتواند بر اساس نوع اتصال، سیاست‌های متفاوتی اعمال کند. مثلاً یک شبکه مهمان نباید همان دسترسی شبکه داخلی را داشته باشد. این دسته‌بندی‌ها به شرح زیر هستند:

• اینترفیس‌های اینترنت (Internet Interface) برای اتصال مستقیم به اینترنت استفاده می‌شود. معمولاً شامل مودم یا پورت WAN است.
• اینترفیس‌های لوکال (Trusted/Local Interface) مربوط به شبکه داخلی سازمان است. کاربران اصلی شما از این مسیر به شبکه متصل می‌شوند.
• اینترفیس‌های مهمان (Guest Interface) برای شبکه‌هایی با دسترسی محدود مانند وای‌فای مهمان کاربرد دارد.
• اینترفیس‌های VPN به اینترفیس‌های مجازی مرتبط با تانل‌های Kerio VPN یا IPsec اشاره دارد.
• سایر اینترفیس‌ها (Other Interface) برای موارد خاص مانند Dial-up یا اتصال موقت استفاده می‌شود.

برای تغییر دسته‌بندی هر اینترفیس، کافی است آن را به‌صورت Drag & Drop به گروه دلخواه منتقل کنید.

اضافه کردن اینترفیس جدید به کریو کنترل

افزودن اینترفیس جدید بسته به نوع نصب Kerio متفاوت است. در نصب سخت‌افزاری، کافی است پورت LAN دستگاه را فعال کنید. در نسخه‌های مجازی باید یک کارت شبکه (NIC) از محیط مجازی مثل VMware یا Hyper-V اضافه شود. در نسخه نرم‌افزاری نیز باید آداپتور شبکه جدید به سیستم عامل میزبان اضافه شود تا کریو آن را شناسایی کند.

همچنین اگر از VLAN استفاده می‌کنید، می‌توانید اینترفیس‌های تگ‌شده مبتنی بر VLAN بسازید تا چند شبکه مجزا را روی یک کابل فیزیکی مدیریت کنید.

استفاده از Wizard برای پیکربندی اولیه

کریو کنترل هنگام نصب اولیه، یک ابزار ویزارد در اختیار شما می‌گذارد که به‌طور خودکار دسته‌بندی اینترفیس‌ها را انجام داده و پیکربندی اینترفیس‌ کریو کنترل مانند اتصال به اینترنت و آدرس‌دهی را انجام می‌دهد. برای اجرای مجدد این ابزار می‌توانید وارد بخش Interfaces شده و از گزینه Configure in Wizard استفاده کنید. البته پس از اجرای ویزارد همچنان می‌توانید پیکربندی اینترفیس‌ کریو کنترل را انجام دهید.

تنظیم دستی IP برای اینترفیس در کریو کنترل

در بسیاری از شبکه‌ها ترجیح داده می‌شود که آدرس IP به‌صورت استاتیک (ثابت) تعریف شود. کریو کنترل این امکان را به شما می‌دهد که به‌صورت دستی آدرس IP، ماسک شبکه، گیت‌وی و DNS را وارد کنید. این کار معمولاً برای اینترفیس‌های شبکه داخلی یا سرورها انجام می‌شود تا از تداخل IP جلوگیری شود.

برای این کار وارد بخش Interfaces شوید، روی اینترفیس مورد نظر دوبار کلیک کنید، به تب IPv4 بروید و گزینه Manual را انتخاب کرده و اطلاعات مورد نظر را وارد کنید. در انتها تنظیمات را ذخیره کرده و روی Apply کلیک کنید.

اگر قصد دارید اینترفیس را به عنوان مسیر خروجی اینترنت استفاده کنید، باید مقدار Gateway را وارد کنید؛ اما برای اینترفیس‌های LAN بهتر است Gateway خالی بماند تا ترافیک لوکال دچار اختلال نشود.

پشتیبانی از DHCP و تنظیمات خودکار IP

در صورتی که در شبکه‌تان DHCP Server فعال باشد، کریو می‌تواند به‌صورت خودکار از آن IP، DNS و Gateway بگیرد. کافی است در تب IPv4 گزینه Automatic را انتخاب کنید. حتی در این حالت هم می‌توانید تیک Autodetect را بردارید و DNS یا Gateway موردنظر خودتان را دستی وارد کنید.

این حالت بیشتر برای اینترفیس‌هایی مناسب است که به مودم یا تجهیزات دیگر متصل هستند و مدیریت آن‌ها خارج از کریو انجام می‌شود.

پیکربندی پورت‌های اترنت در کریو کنترل سخت‌افزاری

اگر از دستگاه‌های سخت‌افزاری Kerio مانند NG100 یا NG300 استفاده می‌کنید، می‌توانید پورت‌های LAN را به‌صورت دقیق مدیریت کنید. برای مثال:

• پورت به عنوان یک اینترفیس مستقل عمل کند.
• پورت بخشی از یک سوئیچ داخلی باشد.
• یا اصلاً غیرفعال شود.

برای این کار وارد بخش Interfaces شوید، روی Manage Ports کلیک کرده و وضعیت هر پورت را تنظیم نمایید. در این بخش همچنین می‌توانید VLAN تگ‌شده ایجاد کنید تا ساختارهای پیشرفته‌تری برای شبکه خود بسازید.

اتصال Kerio Control به اینترنت از طریق یک یا چند لینک

کریو کنترل این امکان را دارد که با بیش از یک لینک اینترنتی کار کند. شما می‌توانید یک اتصال ساده، حالت Failover (برای اتصال از طریق لینک بکاپ اینترنت)، یا Load Balancing (تقسیم ترافیک روی چند لینک) را انتخاب کنید.

برای مثال اگر دو سرویس‌دهنده اینترنت دارید، می‌توانید یک لینک را به عنوان اصلی و دیگری را برای پشتیبان تعریف کنید. در صورت قطع شدن لینک اول، کریو به‌طور خودکار به لینک دوم سوییچ می‌کند. همچنین با فعال‌سازی Load Balancing، ترافیک به‌طور همزمان روی هر دو لینک تقسیم می‌شود.

پشتیبانی از تانل‌ها و پروتکل‌های VPN در کریو کنترل

کریو کنترل از چندین پروتکل VPN پشتیبانی می‌کند که می‌توان از آن‌ها برای اتصال امن بین شعب، دسترسی از راه دور و رمزگذاری ترافیک استفاده کرد. هرچند پروتکل‌های پشتیبانی شده در مقایسه با میکروتیک کمتر هستند، اما کریو یک پروتکل اختصاصی نیز به‌نام Kerio VPN ارائه می‌دهد که بسیار ساده و پایدار است.

پروتکل‌های VPN پشتیبانی‌شده در کریو کنترل شامل:

• Kerio VPN: پروتکل اختصاصی کریو، ساده در تنظیم، مناسب برای اتصال شعب داخلی
• IPsec VPN: استاندارد صنعتی برای اتصال Site-to-Site یا Remote Access با امنیت بالا
• L2TP: پروتکلی که اغلب همراه با IPsec استفاده می‌شود و امنیت مناسبی دارد
• PPTP: قدیمی و ساده، اما به‌دلیل ضعف‌های امنیتی، پیشنهاد نمی‌شود
• PPPoE: بیشتر برای اتصال به مودم‌هایی که نیاز به احراز هویت دارند استفاده می‌شود

هرکدام از این پروتکل‌ها تنظیمات مخصوص خود را دارند که از بخش مربوطه در Kerio قابل دسترسی و پیکربندی هستند.

پشتیبانی از IPv6 در کریو کنترل

اگرچه هنوز بسیاری از شبکه‌ها از IPv4 استفاده می‌کنند، اما Kerio Control به‌طور کامل از IPv6 نیز پشتیبانی می‌کند. این بدان معناست که می‌توانید از تمام ویژگی‌های نسل جدید آدرس‌دهی IP از جمله SLAAC و subnetهای بزرگ‌تر استفاده کنید. پشتیبانی از IPv6 برای آینده‌نگری شبکه و سازگاری با سرویس‌های مدرن ضروری است.

در کریو کنترل برای هر اینترفیس سه حالت مختلف IPv6 قابل انتخاب است:

• Automatic (SLAAC): گرفتن خودکار آدرس از روتر
• Manual: تنظیم دستی IP و Gateway
• Link-Local Only: فقط ارتباط با دستگاه‌های داخل همان subnet

برای فعال‌سازی IPv6 کافی است وارد تنظیمات اینترفیس شوید، به تب IPv6 بروید و حالت مناسب را انتخاب کنید.

پیکربندی اینترفیس‌ کریو کنترل و پیکربندی آدرس‌دهی در Kerio Control پایه و اساس عملکرد صحیح فایروال شما را تشکیل می‌دهد. چه بخواهید شبکه‌ای ساده با یک لینک اینترنتی داشته باشید و چه بخواهید ساختاری پیچیده با چند VLAN، چند لینک اینترنت و VPN پیاده‌سازی کنید، همه‌چیز از تنظیم درست اینترفیس‌ها آغاز می‌شود.

در آموزش‌های آینده به سراغ مباحثی مثل تنظیم رول‌های فایروال، NAT، مدیریت کاربران و مدیریت پهنای باند در کریو کنترل خواهیم رفت. اگر سوال یا تجربه‌ای در این زمینه دارید، در بخش نظرات با ما در میان بگذارید.

این نوشته‌ها را هم بخوانید:

کریو کنترل چیست؟ امنیت پیشرفته با مدیریت ساده

آموزش نصب کریو کنترل در VMWare Workstation