IP 分配策略用于远程用户

IP 分配策略允许不同的管理员并行编辑策略。 每位管理员可以编辑规则并将更改保存到他们自己的私人修订版本中，然后将其发布到帐户策略（已发布修订版本）中。 有关如何管理访问权限策略修订的更多信息，请参阅Working with Policy Revisions。

XYZ公司运营设备，这些设备使用访问控制列表（ACL）强制执行访问，只允许从预定义的源IP地址进行连接。 例如，路由器可能只允许来自IP地址192.168.0.25的访问。

作为系统管理员，您在Cato管理应用程序（CMA）中配置静态IP分配，并在IP分配策略中应用它。 当用户使用Cato客户端连接时，平台每次都会分配相同的静态IP地址，以确保遵守路由器上定义的ACL限制。

ABC公司作为多个公司的呼叫中心运营。 每位操作员必须根据客户的访问控制要求，从特定的源IP范围连接到客户的环境。 例如，公司X接受来自192.168.0.0/24的IP地址，公司Y接受来自10.0.0.0/16的IP地址。

作为系统管理员，您在Cato管理应用程序（CMA）中定义动态IP范围192.168.0.0/24和10.0.0.0/16，并在IP分配策略中应用它们。 当操作员使用Cato客户端连接时，平台根据您配置的访问权限策略规则，从适当的范围分配IP地址，确保每个客户的基于IP的限制合规性。

远程用户只能被分配在全局IP范围实体内的IP范围。 有关如何将IP范围添加到全局IP范围实体的更多信息，请参阅在策略中使用IP范围。

使用每种分配方法定义分配给远程用户的 IP 范围。 每个范围必须是唯一的网络范围，并且不能与您账户中定义的任何其他网络范围重叠。

您可以动态或静态地为特定用户或用户群组分配 IP。 如果用户在动态分配 IP 的规则中，并分配了静态 IP，则静态 IP 优先。 在分配 IP 后，如果用户从 IP 切换到：客户端将自动断开连接并重新连接到新 IP。

如果您仅更新账户的默认 IP 范围。 此步骤不是必需的

动态为用户或用户组分配IP

您可以使用有序规则库动态分配IP，该库依次检查用户或用户组是否匹配某一规则。 例如，访问客户A时创建一个规则，该规则从一个IP范围中抽取IP地址；为客户B创建另一个规则，从另一个IP范围中抽取IP地址。 一旦匹配到规则，就从规则中配置的 已分配范围 分配 IP。 策略中在匹配规则之后列出的规则不再应用。 如果没有匹配的规则，将从默认范围中分配 IP。 动态分配的 IP 地址的租约时间为客户端断开连接后 2 分钟。 在此时间之后，IP 地址可供其他用户使用。

不同的管理员可以并行编辑策略并在规则发布前将更改保存在他们自己的私有修订中。 有关详细信息，请参阅策略工作。

要动态地为用户或用户群组分配 IP：

1. 从导航菜单中，点击 访问 > IP 分配策略。

2. 点击 新建。

   新规则 面板打开。

3. 输入规则的名称并定义规则的位置。
4. 定义用户/组、平台、国家、公共ISP IP范围和IP范围。
5. 点击保存。
6. 对每个规则重复步骤2-6。
7. 点击发布。

8. 启用动态 IP 分配。

   当规则启用时，滑块为绿色，禁用时为灰色。

为用户分配静态IP

对于用户，您可以定义一个静态IP，当他们使用客户端连接到网络时分配给他们。 每个静态IP一次只能分配给一个设备。 如果用户使用多个设备连接到网络，首个设备将分配静态IP地址。 其他设备从动态 IP 范围或默认 IP 范围分配IP。

要为用户分配静态IP：

1. 从导航菜单中，点击访问 > IP 分配策略。
2. 点击静态 IP 分配标签页。
3. 选择用户并输入静态IP地址。
4. 为其他用户重复上一步。

5. 将启用静态IP切换设置为已启用。

   启用时，切换开关为绿色。

6. 点击保存。