Политика распределения IP-адресов для удаленных пользователей

Эта статья объясняет, как использовать Политику распределения IP-адресов для определения диапазонов IP-адресов По умолчанию, Динамических и Статических, которые выделяются удалённым пользователям в вашем аккаунте и не применяются к пользователям за Socket.

Обзор

Политика распределения IP-адресов определяет диапазоны IP-адресов, которые Cato выделяет для Cato Clients при подключении устройства к сети. Удалённым пользователям выделяются IP-адреса или диапазоны одним из следующих способов:

  • Динамическое распределение IP: диапазоны IP выделяются пользователям или группам на основе упорядоченного набора правил

    Примечание

    Примечание: Если в вашей базе правил есть правило Any-Any, убедитесь, что оно размещено правильно, иначе оно будет иметь приоритет перед правилами ниже, и все адреса с этого момента будут выделяться динамически, а не из диапазона IP-адресов по умолчанию или статических IP-адресов.

  • Статическое распределение IP: фиксированный IP-адрес, выделяемый определённым пользователям

  • Распределение IP по умолчанию: диапазон по умолчанию, выделенный пользователю, который не:

    • Не соответствует правилу динамического распределения IP

    • Не выделяется статический IP-адрес

    • Соответствует правилу, в котором диапазон IP-адресов исчерпан

    По умолчанию этот диапазон - 10.41.0.0/16. Вы можете изменить этот диапазон на выбранный вами.

Пример использования

Для учётных записей с оборудованием, использующим фиксированные IP-адреса, например маршрутизаторов с Контролем доступа (ACL), некоторым пользователям задаются специфические IP для маршрутизатора. Это означает, что им разрешено подключаться к сети только с этого IP-адреса.

Клиенты могут использовать Политику распределения IP-адресов, чтобы выделить статический IP-адрес для пользователя, который соответствует IP в ACL. Затем клиенту всегда выделяется тот же IP, и маршрутизатор позволяет пользователю подключаться к сети.

Известные ограничения

  • Если пользователь переключается между IP-адресами, выделенными в этих сценариях, IP-адрес клиента изменяется только после ручного отключения и повторного подключения пользователя:

    • Диапазон по умолчанию на динамически выделенный IP-адрес и наоборот

    • Правило в динамическом диапазоне на новое правило с более высоким приоритетом

Распределение IP-адресов удалённым пользователям

Следуйте этим шагам, чтобы выделить IP-адреса удалённым пользователям:

  1. Добавьте диапазоны IP-адресов в вашу учётную запись

  2. Определите диапазоны IP-адресов для каждого метода распределения IP-адресов

  3. Определите пользователей или группы пользователей, которым IP-адреса выделяются динамически или статически

Шаг 1: Добавьте диапазоны IP-адресов в вашу учётную запись

Удалённые пользователи могут быть назначены только теми диапазонами IP, которые находятся в Глобальный диапазон IP-адресов для вашей учетной записи. Для получения дополнительной информации о том, как добавить диапазон IP-адресов в сущность глобальный диапазон IP-адресов, см. Использование диапазонов IP-адресов в политиках.

Шаг 2: Определите диапазоны IP-адресов для каждого метода распределения IP-адресов

Определите диапазоны IP-адресов, выделяемые удалённым пользователям, для каждого метода распределения. Каждый диапазон должен быть уникальным диапазоном сети и не может пересекаться с другими сетевыми диапазонами, определёнными в вашем аккаунте.

Примечание

Примечание: Лучшая практика - настроить максимально возможный диапазон IP-адресов клиента, чтобы уменьшить вероятность конфликта IP-адресов, который вызывает отключение клиента.

IP_allocation_policy.png

Чтобы определить диапазоны IP-адресов для каждого метода распределения IP-адресов:

  1. В навигационном меню нажмите Доступ > Политика распределения IP-адресов.

  2. Нажмите на вкладку Настройки.

  3. Введите IP-адрес для каждого метода распределения IP-адресов.

  4. Нажмите Сохранить.

Шаг 3: Определите пользователей или группы пользователей, которым IP-адреса выделяются динамически или статически

Вы можете выделить IP-адреса определённым пользователям или группам пользователей как динамически, так и статически. Если пользователь находится в правиле для динамически распределенного IP-адреса и ему выделяется статический IP-адрес, то статический IP-адрес имеет приоритет. После выделения IP адресов Клиент автоматически отключается и переподключается с новым IP, если пользователь переключается между IP из:

  • Динамически выделенного IP на статический IP, или наоборот

  • Диапазона IP-адресов по умолчанию на статический IP, или наоборот

Если вы только обновляете диапазон IP-адресов по умолчанию для вашего аккаунта. Этот шаг не требуется

Выделение IP-адресов пользователям или группам пользователей динамически

Вы можете динамически выделять IP-адреса, используя упорядоченную базу правил, которая последовательно проверяет соответствие пользователя или группы пользователей правилу. Как только правило совпадает, IP-адреса выделяются из выделенного диапазона, настроенного в правиле. Правила, которые перечислены в политике после совпадающего правила, не применяются. Если ни одно правило не совпало, IP-адрес выделяется из диапазона IP-адресов по умолчанию. Время аренды для динамически выделенных IP-адресов составляет 2 минуты после отключения Клиента. После этого времени IP-адрес доступен для других пользователей.

Разные администраторы могут редактировать политику параллельно и сохранять изменения в своей собственной частной ревизии до опубликования правила. Для получения дополнительной информации смотрите Работа с политиками.

Динамическое.png

Чтобы выделить IP-адреса пользователям или группам пользователей динамически:

  1. В меню навигации нажмите Доступ > Политика распределения IP-адресов.

  2. Нажмите Новый.

    Панель Новое правило открывается.

  3. Введите имя для правила и определите его позицию.

  4. Определите Пользователя/Группу, Платформу, Страны и Диапазон IP-адресов.

  5. Нажмите Сохранить.

  6. Повторите шаги 2-6 для каждого правила.

  7. Нажмите Опубликовать.

  8. Включите Динамическое распределение IP.

    Ползунок toggle.png зелёный, когда правило активно, и серый, когда правило отключено.

Выделение статических IP-адресов пользователям

Для пользователей вы можете определить статический IP-адрес, который выделяется им при подключении через Клиент. Каждый статический IP-адрес может быть выделен только одному устройству одновременно. Если пользователь подключается к сети с нескольких устройств, первое устройство получает статический IP-адрес. Другие устройства получают IP-адреса из динамического диапазона IP или диапазона IP-адресов по умолчанию.

Статический_АйПи.png

Чтобы выделить статические IP-адреса пользователям:

  1. В меню навигации нажмите Доступ > Политика распределения IP-адресов.

  2. Нажмите на вкладку Статическое распределение IP.

  3. Выберите пользователя и введите статический IP-адрес.

  4. Повторите предыдущий шаг для дополнительных пользователей.

  5. Установите переключатель Включить статические IP-адреса в положение Включено.

    Переключатель зелёный toggle.png когда включен.

  6. Нажмите Сохранить.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 6 из 9

0 комментариев