リモートユーザーのためのIP割り当てポリシー

この記事では、アカウント内のリモートユーザーに割り当てられるデフォルト動的、および静的IP範囲を定義するためにIP割り当てポリシーを使用する方法を説明しますが、ソケットの背後にいるユーザーには適用されません。

概要

IP 割り当てポリシーは、ネットワークにデバイスを接続する際に、Cato が Catoクライアントに割り当てる IP範囲を定義します。 リモートユーザーには次の方法でIPアドレスまたは範囲が割り当てられます。

  • デフォルトの IP 割り当て:次の条件を満たすユーザーに割り当てられたデフォルトの範囲:

    • 動的 IP 割り当てルールを満たしていない場合
    • 静的IPアドレスが割り当てられていない場合
    • IP範囲が枯渇しているルールと一致する場合

    デフォルトでは、この範囲は10.41.0.0/16です。 これを選択した範囲に更新できます。

  • 動的 IP 割り当て:順序付けされたルールベースに基づいてユーザーまたはグループにIP範囲を割り当てる

    注意

    注: ルールベースにAny-Anyルールがある場合、正しく配置されていることを確認してください。そうしないと、そのルールの下にあるルールよりも優先され、その時点以降すべての住所が動的に割り当てられ、デフォルトまたは静的IPアドレスから割り当てられません。

  • 静的 IP 割り当て: 特定のユーザーに割り当てられた固定IPアドレス

クライアントがIPアドレスを割り当てるためには、ユーザーが手動で切断し、次の間で切り替えたときに再接続する必要があります。

  • デフォルトおよび動的割り当て、または
  • 異なる動的ルール(例:より優先度の高いものに移動するとき)

ポリシー改訂と複数管理者による同時編集

IP割り当てポリシーでは、異なる管理者がポリシーを並行して編集できます。 各管理者はルールを編集し、変更を自分のプライベート改訂に保存し、その後、アカウントポリシー(公開された改訂)に公開できます。 ポリシーリビジョンの管理方法について詳しくは、ポリシーリビジョンの操作 を参照してください。

ユースケース - 静的IPアドレス

XYZ株式会社はACLを使用してアクセスを強制する機器を運用しており、定義済みの送信元IPアドレスからの接続のみを許可しています。 例として、ルーターはIPアドレス192.168.0.25からのアクセスのみを許可する場合があります。

システム管理者として、Cato管理画面(CMA)で静的IP割り当てを設定し、それをIP 割り当てポリシーに適用します。 ユーザーがCatoクライアントを使用して接続すると、プラットフォームは毎回同じ静的IPアドレスを割り当て、ルーターで定義されたACL制限の遵守を保証します。

ユースケース - 動的IPアドレス

ABC社は複数の企業のコールセンターとして運営しています。 各オペレーターは、クライアントのアクセス制御要件に基づいて、特定の送信元IP範囲からクライアントの環境に接続する必要があります。 例として、会社Xは192.168.0.0/24からのIPアドレスを受け入れ、会社Yは10.0.0.0/16からのIPアドレスを受け入れます。

システム管理者として、Cato管理画面(CMA)で動的 IP 範囲192.168.0.0/24および10.0.0.0/16を定義し、IP 割り当てポリシーに適用します。 オペレーターがCatoクライアントを使用して接続すると、プラットフォームはあなたが設定したポリシー規則に従って、適切な範囲からIPアドレスを割り当て、各クライアントのIPベースの制限に対するコンプライアンスを保証します。

リモートユーザーへのIP配分

リモートユーザーにIPアドレスを割り当てるために、次の手順に従ってください:

  1. グローバルIPレンジをアカウントに追加する
  2. 各IP割り当て方法のIP範囲を定義する
  3. ユーザーやユーザーグループを定義し、IPアドレスを動的または静的に割り当てる

ステップ1: アカウントにIP範囲を追加する

リモートユーザーには、アカウントのグローバル IP 範囲 内の IP 範囲のみが割り当てられます。 グローバル IP 範囲 エンティティに IP 範囲を追加する方法の詳細については、ポリシーでの IP 範囲の使用を参照してください。

ステップ2: 各IP配分方法のIP範囲を定義する

各割り当て方法を使用してリモートユーザーに割り当てられた IP 範囲を定義します。 各範囲は一意のネットワーク範囲である必要があり、アカウントで定義された他のネットワーク範囲と重複してはなりません。

注意

注意: クライアントを切断する原因となる IP 競合の可能性を低減するために、可能な限り最大のクライアント IP 範囲を設定するのがベストプラクティスです。

IP_allocation_policy.png

各 IP 割り当て方法の IP 範囲を定義するには:

  1. ナビゲーションメニューから、アクセス > IP 割り当てポリシーをクリックします。
  2. 設定タブをクリックします。
  3. 各IP割り当て方法のためにIP範囲を入力します。
  4. 保存をクリックしてください。

ステップ3: IPアドレスを動的または静的に割り当てるユーザーまたはユーザーグループを定義する

特定のユーザーまたはユーザーグループに IP を動的または静的に割り当てることができます。 ユーザーが動的に割り当てられた IP のルールにあり、静的 IP が割り当てられている場合、静的 IP が優先されます。 IP を割り当てた後、ユーザーが IP から切り替えた場合、クライアントは自動的に接続を解除して新しい IP で再接続します。

  • 動的に割り当てられる IP から静的 IP への切り替え、またはその逆
  • デフォルト範囲から静的 IP への切り替え、またはその逆

アカウントのデフォルト IP 範囲のみを更新している場合。 この手順は必要ありません

ユーザーまたはユーザーグループへの動的IP配分

順序付きルールベースを使用して、ユーザーまたはユーザーグループがルールに一致するかどうかを順番にチェックすることで、動的にIPを割り当てることができます。 例えば、顧客Aにアクセスする際に一つのIP範囲からIPアドレスを引き出すルールを作成し、顧客Bに対しては別のIP範囲からIPアドレスを引き出す別のルールを作成します。 ルールが一致すると、ルールで設定された割り当て範囲から IP が割り当てられます。 一致するルールの後にポリシーに列挙されたルールは適用されません。 ルールが一致しない場合は、既定の範囲からIPが割り当てられます。 動的に割り当てられたIPアドレスのリース期間は、クライアントが切断された後2分です。 この時間が経過すると、IPアドレスは他のユーザに使用可能になります。

異なる管理者がポリシーを並行して編集し、ルールを公開する前に彼ら専用のプライベートリビジョンに変更を保存することができます。 詳細については、ポリシーでの操作を参照してください。

Dynamic.png

ユーザーやユーザーグループに動的にIPを割り当てるには:

  1. ナビゲーションメニューから、アクセス > IP 割り当てポリシーをクリックします。

  2. 新規をクリックします。

    新規ルール パネルが表示されます。

  3. ルールの名前を入力し、ルールの位置を定義します。
  4. ユーザー/グループプラットフォーム公開ISP IP範囲、そしてIP範囲を定義します。
  5. 保存をクリックしてください。
  6. 各ルールに対して、ステップ2〜6を繰り返します。
  7. 公開をクリックします。

  8. 動的 IP 割り当てを有効にします。

    スライダーtoggle.pngは、ルールが有効な場合は緑色、無効な場合は灰色です。

ユーザーへの静的IP配分

ユーザー用に、クライアントを使用してネットワークに接続した際に割り当てられる静的IPを定義できます。 各静的IPは、1度に1台のデバイスにしか割り当てることができません。 ユーザーが複数のデバイスでネットワークに接続している場合、最初のデバイスに静的IPアドレスが割り当てられます。 他のデバイスには動的 IP 範囲またはデフォルトIP範囲からIPが割り当てられます。

Static_IP.png

ユーザーに静的IPを割り当てるには:

  1. ナビゲーションメニューから、アクセス > IP 割り当てポリシーをクリックします。
  2. 静的IP割り当てタブをクリックします。
  3. ユーザーを選択し、静的IPアドレスを入力します。
  4. 追加のユーザーについて前のステップを繰り返します。

  5. 静的IPを有効にするトグルを有効に設定します。

    トグルは有効な場合、緑色ですtoggle.png

  6. 保存をクリックしてください。

この記事は役に立ちましたか?

12人中9人がこの記事が役に立ったと言っています

0件のコメント