Эта статья объясняет, как использовать Политику распределения IP-адресов для определения диапазонов IP-адресов По умолчанию, Динамических и Статических, которые выделяются удалённым пользователям в вашем аккаунте и не применяются к пользователям за Socket.
Политика распределения IP-адресов определяет диапазоны IP-адресов, которые Cato выделяет клиентам Cato при подключении устройства к сети. Удаленным пользователям выделяются IP-адреса или диапазоны одним из следующих способов:
-
Распределение IP по умолчанию: диапазон по умолчанию, выделенный пользователю, который не:
- Не соответствует правилу динамического распределения IP
- Не выделяется статический IP-адрес
- Соответствует правилу, в котором диапазон IP-адресов исчерпан
По умолчанию этот диапазон - 10.41.0.0/16. Вы можете изменить этот диапазон на выбранный вами.
-
Динамическое распределение IP: диапазоны IP выделяются пользователям или группам на основе упорядоченного набора правил
Примечание
Примечание: Если у вас есть правило Any-Any в вашей базе правил, убедитесь, что оно правильно размещено, в противном случае оно получит приоритет над правилами ниже, и все адреса с этого момента будут выделены динамически, а не из IP-адресов по умолчанию или статических IP-адресов.
- Статическое распределение IP: Фиксированный IP-адрес выделен конкретному пользователю
Чтобы клиент выделил IP-адрес, пользователи должны вручную отключиться и переподключиться при переключении между:
- Распределение по умолчанию и динамическое распределение, или
- Различные динамические правила (например, при переходе на правило с более высоким приоритетом)
Политика распределения IP позволяет различным администраторам редактировать политику параллельно. Каждый администратор может редактировать правила и сохранять изменения в своей личной ревизии, а затем публиковать их в политике учетной записи (опубликованная ревизия). Для получения дополнительной информации о том, как управлять ревизиями Политики, см. Работа с Ревизиями Политики.
Компания XYZ эксплуатирует оборудование, которое обеспечивает доступ с помощью списков контроля доступа (ACL), допускающих соединения только с предопределенных исходных IP-адресов. Например, маршрутизатор может разрешать доступ только с IP-адреса 192.168.0.25.
Будучи системным администратором, вы настраиваете статическое назначение IP в Приложении Управления Cato (CMA) и применяете его в Политике распределения IP-адресов. Когда пользователь подключается, используя Клиент Cato, платформа назначает один и тот же статический IP-адрес каждый раз, обеспечивая соблюдение ограничений ACL, определенных на маршрутизаторе.
Компания ABC работает в качестве центра обработки вызовов для нескольких компаний. Каждый оператор должен подключаться к окружению клиента из конкретного исходного диапазона IP, на основе требований контроля доступа клиента. Например, компания X принимает IP-адреса из 192.168.0.0/24, а компания Y принимает IP-адреса из 10.0.0.0/16.
Будучи системным администратором, вы определяете динамические диапазоны IP 192.168.0.0/24 и 10.0.0.0/16 в Приложении Управления Cato (CMA) и применяете их в Политике распределения IP-адресов. Когда операторы подключаются, используя Клиент Cato, платформа назначает IP-адрес из соответствующего диапазона в соответствии с настроенными вами правилами политики, обеспечивая соблюдение ограничений на основе IP каждого клиента.
Следуйте этим шагам, чтобы выделить IP-адреса удалённым пользователям:
- Добавьте глобальные диапазоны IP в свою учетную запись
- Определите диапазоны IP-адресов для каждого метода распределения IP-адресов
- Определите пользователей или группы пользователей, которым IP-адреса выделяются динамически или статически
Удалённые пользователи могут быть назначены только теми диапазонами IP, которые находятся в Глобальный диапазон IP-адресов для вашей учетной записи. Для получения дополнительной информации о том, как добавить диапазон IP-адресов в сущность глобальный диапазон IP-адресов, см. Использование диапазонов IP-адресов в политиках.
Определите диапазоны IP-адресов, выделяемые удалённым пользователям, для каждого метода распределения. Каждый диапазон должен быть уникальным диапазоном сети и не может пересекаться с другими сетевыми диапазонами, определёнными в вашем аккаунте.
Примечание
Примечание: Лучшая практика - настроить максимально возможный диапазон IP-адресов клиента, чтобы уменьшить вероятность конфликта IP-адресов, который вызывает отключение клиента.
Шаг 3: Определите пользователей или группы пользователей, которым будут выделяться IP адреса динамически или статически
Вы можете выделить IP-адреса определённым пользователям или группам пользователей как динамически, так и статически. Если пользователь находится в правиле для динамически распределенного IP-адреса и ему выделяется статический IP-адрес, то статический IP-адрес имеет приоритет. После выделения IP адресов Клиент автоматически отключается и переподключается с новым IP, если пользователь переключается между IP из:
- Динамически выделенного IP на статический IP, или наоборот
- Диапазона IP-адресов по умолчанию на статический IP, или наоборот
Если вы только обновляете диапазон IP-адресов по умолчанию для вашего аккаунта. Этот шаг не требуется
Вы можете динамически выделять IP, используя упорядоченную базу правил, которая последовательно проверяет, соответствует ли пользователь или группа пользователей правилам. Например, создайте правило, при доступе к клиенту A, которое извлекает IP-адрес из одного диапазона IP, и другое правило для клиента B, которое извлекает IP-адрес из другого диапазона IP. Как только правило совпадает, IP-адреса выделяются из выделенного диапазона, настроенного в правиле. Правила, которые перечислены в политике после совпадающего правила, не применяются. Если ни одно правило не совпало, IP-адрес выделяется из диапазона IP-адресов по умолчанию. Время аренды для динамически выделенных IP-адресов составляет 2 минуты после отключения Клиента. После этого времени IP-адрес доступен для других пользователей.
Разные администраторы могут редактировать политику параллельно и сохранять изменения в своей собственной частной ревизии до опубликования правила. Для получения дополнительной информации смотрите Работа с политиками.
Чтобы выделить IP-адреса пользователям или группам пользователей динамически:
- В меню навигации нажмите Доступ > Политика распределения IP-адресов.
-
Нажмите Новый.
Панель Новое правило открывается.
- Введите имя для правила и определите его позицию.
- Определите Пользователи/группы, Платформы, Страны, Общедоступный диапазон IP провайдера, и диапазон IP.
- Нажмите Сохранить.
- Повторите шаги 2-6 для каждого правила.
- Нажмите Опубликовать.
-
Включите Динамическое распределение IP.
Ползунок
зеленый, когда правило включено, и серый, когда правило отключено.
Для пользователей вы можете определить статический IP-адрес, который выделяется им при подключении через Клиент. Каждый статический IP-адрес может быть выделен только одному устройству одновременно. Если пользователь подключается к сети с нескольких устройств, первое устройство получает статический IP-адрес. Другие устройства получают IP-адреса из динамического диапазона IP или диапазона IP-адресов по умолчанию.
Чтобы выделить статические IP-адреса пользователям:
- В меню навигации нажмите Доступ > Политика распределения IP-адресов.
- Нажмите на вкладку Статическое распределение IP.
- Выберите пользователя и введите статический IP-адрес.
- Повторите предыдущий шаг для дополнительных пользователей.
-
Установите переключатель Включить статические IP-адреса в положение Включено.
Переключатель зеленый
- Нажмите Сохранить.
0 комментариев
Войдите в службу, чтобы оставить комментарий.