2024年12月からモバイルユーザのIP割り当て方法にアップデートが加わりました。
今回のアップデートでより柔軟な設定ができるようになりましたのでご紹介します。
おさらい ~モバイルユーザのIP割り当て方法~
Catoでは、CatoクラウドのPoPから各モバイルユーザに対してIPアドレスの割り当てを行います。
割り当て方法として、動的IP割り当てと固定IP割り当てがありますが、デフォルトは動的IP割り当てです。
モバイルユーザ用に用意されたアドレスレンジの中から動的にモバイルユーザにアドレスを割り当てを行います。
そのモバイルユーザ用に用意されたアドレスレンジはデフォルトで10.41.0.0/16に設定されています。
ここまではアップデート前も変わりません。
では、何が変わったのか?説明していきます。
アップデート概要
何ができるようになった?
最初にお伝えすると、今回アップデートが加わったのは動的IP割り当ての方法のみで、固定IP割り当ての方法に変更はありません。
変更点はズバリ、複数のIPレンジから割り当てが可能となる点です。
以前は1つのアドレスレンジ(Default IP Rangeと呼ぶ)からのみ割り当てを行っていましたが、別途アドレスレンジ(Dynamic IP Rangeと呼ぶ)を追加設定することで、複数のアドレスレンジから割り当てが可能になりました。
ユースケースとして、接続元IPアドレスレンジで社内システムへのアクセスを制御したい場合が考えられます。
例えば図のように、親会社のユーザはDefault IP Rangeから割り当てを行い、グループ会社のユーザには別途Dynamic IP Rangeを用意し割り当てを行うことで、グループ会社のユーザからのアクセスをIPアドレスレンジで制限するといったことができます。
もちろん、固定IPでも接続元IPアドレスレンジで社内システムへのアクセスを制御は可能です。
これまでこのようなユースケースの場合、固定IP割り当てを行っていました。
ただ、固定IPの場合設定したIPアドレスを利用できるのは最初に接続した端末のみです。
同一ユーザアカウントで2台目に接続した端末には動的にIPが割り当てられるため、制御は不十分だったと言えます。
Dynamic IP Rangeによる割り当ての場合は、同一ユーザが2台同時接続をしたら2台とも Dynamic IP Range から割り当てが可能です。
そのため、このようなユースケースの場合は今回の追加機能であるDynamic IP Rangeによる割り当てがお勧めです。
Dynamic IP Rangeの設定方法や注意点はこの先で詳しく説明していきます。
設定画面はどんな風に変わった?
その前に、設定画面をみてみましょう。
以前は1つの画面にまとめられていましたが、2024年12月から設定画面が3つに分かれました。
- Dynamic IP Allocation:動的IPの割り当てをするページ
- Static IP Allocation:固定IPの割り当てをするページ
- Settings:アドレスレンジを定義するページ
ざっくりイメージは、まずSettingsでアドレスレンジの定義を行い、その後Dynamic IP AllocationやStatic IP Allocationで、ユーザやユーザグループに対して割り当てを行っていく流れになります。
また、Settingsのページを見てみると以下3つの項目があり、Default IP Rangeにはデフォルトで10.41.0.0/16が設定されています。
- Default IP Range
- Dynamic IP Range
- Static IP Range
Default IP Rangeの設定箇所をよく見ると「Define the default IP range for your remote users. This IP range is allocated to a remote user that does not match a policy.」という記載があります。
この記載から、Dynamic IP RangeやStatic IP Rangeのページで割り当てを行っていないユーザはDefault IP Rangeから割り当てとなることがわかります。もちろん、何も設定を行っていないデフォルト状態でも、このDefault IP RangeからIPが割り当てられます。
変更箇所がわかったところで、いくつかパターンを想定して実際にテストを行ってみました。
結果を次にまとめています。
設定方法
1つのアドレスレンジから動的に割り当てさせたい
まず、1つのレンジから割り当てを行う場合です。
この場合は特に設定は不要です。上述の通りデフォルトの状態でDefault IP Rangeからのみ割り当てが行われます。
実際に接続をしてみると・・・
10.41.138.26が付与されました。想定通りDefault IP Rangeから割り当てが行われていることがわかります。
■UserAのIPアドレス
ちなみに、10.41.0.0/16を既に利用しているなどの理由により、変更が必要な場合はSettingsページのDefault IP Rangeを任意のIPレンジに書き換えるだけで変更可能です。この点はアップデート前と同様です。
複数のアドレスレンジから動的割り当てさせたい
複数IPレンジから割り当てを行いたい場合は、今回の追加機能を使います。
設定は以下の順番で行います。
- 設定手順:
-
- Dynamic IP Rangeの定義
- Dynamic IP Allocation Policyの有効化
- ポリシーを定義(ユーザ/ユーザグループへの割り当て)
- シナリオ:
Dynamic IP Rangeを10.40.0.0/16と定義し、UserAにはDynamic IP Range(10.40.0.0/16)から、UserBにはDefault IP Range(10.41.0.0/16)から割り当てを行う。
設定
1.Dynamic IP Rangeの定義
SettingsページのDynamic IP Rangeに任意のIPレンジを定義します。
今回は、10.40.0.0/16にしました。
2.Dynamic IP Allocation Policyの有効化
Dynamic IP Allocation Policyはデフォルトでは無効化されているため、右上のトグルスイッチで有効化します。
有効化すると警告メッセージが表示されます。
このメッセージは「Dynamic IP Allocation Policyが有効になり、すべてのルールが実施されます。続行しますか?」という警告メッセージです。ルールが1つも定義されていない場合は、続行で問題ありません。(変わらずDefault IP Rangeからの割り当てになるため。)もし、既にルールが定義されている場合は問題ないことを確認してから、Continueで続行します。
3.ポリシーを定義(ユーザ/ユーザグループへの割り当て)
アドレスレンジの定義ができたらDynamic IP Allocationのページ移動し、ポリシーを定義します。
私はここで、きっとUser/Groupsで対象のユーザを選択し、IP Rangeで作成したDynamic IP Rangeを選択するんだろうなと思っていましたが、IP Rangeでは、Network Rangeの作成が必要でした。
下図の「View network Range List」からNetwork Rangeの作成を行います。
今回は、10.40.0.1-10.40.0.100のNetwork Rangeを作成しました。
Network Rangeを2つ以上設定すれば、3つ以上のアドレスレンジから割り当てが可能ですが、今回は1つだけにしておきます。
Network Rangeの作成を行うと、Allocated Rangesの選択項目に出てくるので作成したNetwork Rangeを選択します。
当然ですが、このNetwork RangeはDynamic IP Rangeに含まれるレンジを選択する必要があります。
念のためDynamic IP Rangeに含まれないNetwork Rangeを選択してみたところ、以下のようなエラーが表示されて設定保存ができませんでした。
▶error message:「The range XXX is not part of Dynamic defauld range」
正しいNetwork Rangeを選択しなおして今回は以下のようなポリシーを設定しました。
-
- Name/Description:TestRule_1
- User/Groups:UserA
- Platforms:Any
- Allocated Ranges:10.40.0.1-10.40.0.100
これで設定は完了です。
結果
この状態で、UserAとUserBを接続させると・・・
UserAには10.40.0.91が付与され、Dynamic IP Rangeから割り当てが行われていることがわかります。
■UserAのIPアドレス
一方、UserBを接続してみると10.41.113.182が付与され、Default IP Rangeから割り当てが行われていることがわかります。
■UserBのIPアドレス
このように想定通り複数レンジからの割り当てができました。
補足
ここからは2つのシチュエーションを想定し、少し細かい仕様をQA形式でまとめています。
Q:Dynamic IP Rangeを使い果たしたら?
→A:Default IP Rangeから割り当てを行います。
Q:同一ユーザアカウントで2台同時接続したら?
→A:2台ともDefault IP Rangeから割り当てを行います。
例えば、Network Rangeを10.40.0.1~10.40.0.100としUserAに割り当てを行った場合、UserAのアカウントで2台同時接続したら2台とも10.40.0.1~10.40.0.100から割り当てが行われます。よって、ユーザアカウント数に加えて接続台数も考慮してNetwork Rangeを設定する必要があります。
Q:ポリシーが重複している場合は?
まとめ
最後に、Dynamic IP Rangeを利用するうえでのポイントと注意点まとめると、こんなかんじです。
・Dynamic IP Allocationページはデフォルトで無効化されている。
有効化したい場合はまず、SettingsページのDynamic IP Rangeを定義する必要がある。
・Dynamic IP RangeはDefault IP Rangeと重複しないように注意が必要。
・Network RangeはDynamic IP Rangeに含まれるレンジを定義する必要がある。
・Network RangeはDynamic IP Range内で複数作成が可能。
・ポリシーにマッチしないユーザには、Default IP Rangeからの割り当てとなる。
・Network Rangeはユーザアカウント数と接続台数を考慮して設定する必要がある。
・Dynamic IP Policyは上から順にチェックを行い一度ヒットしたらそれ以降は適用されないため、順番に注意が必要。
固定IPを割り当てたい
設定
固定IPの割り当てを行いたい場合はまず、SettingsページのStatic IP Rangeに任意のアドレスレンジを設定します。
今回は、192.168.2.0/24にしてみました。
アドレスレンジの定義ができたらStatic IP Allocationのページ移動します。
ここからは、アップデート前と全く同じです。
以下の流れで設定を行います。
- 有効化
デフォルトでは無効化されているため、トグルスイッチで有効化します。 - アドレスの割り当て
対象のユーザをプルダウンで選択し、先ほど設定したアドレスレンジ(192.168.2.0/24)の中から1つアドレスを割り当てます。
今回の例の場合は、192.168.2.1を設定します。
その後、「Add」ボタンから追加を行います。 - 保存
設定内容を確認し保存を行います。
今回はUserAに対して192.168.2.1を割り当ててみました。
設定はこれで完了です。
結果
接続を行ってみると・・・
想定通り192.168.2.1が付与されました。
■UserAのIPアドレス
補足
ここからは2つのシチュエーションを想定し、少し細かい仕様をQA形式でまとめてみました。
Q:動的IPにて接続された状態で固定IPを割り当てたらどうなる?
→A:固定IPを使って自動的に再接続されます。この時断時間はほとんどありません。
この点はアップデート前から変更ありませんでした。
Q:固定IPを付与したユーザで、2台同時接続を行った場合どうなる?
→A:1台目の端末が固定IPを持ち続け2台目の端末には動的IPレンジから割り当てられます。
つまり固定IPが必要な端末数に合わせてユーザを作成する必要があります。この点もアップデート前から変更ありません。
まとめ
固定IPの設定をする際のポイントと注意点を改めて記載します。
- Static IP RangeはDefault IP RangeやDynamic IP Rangeと重複しないように設定をする。
- 動的IPにて接続した状態で固定IPを割り当てた場合、固定IPを使って自動的に再接続され通信断時間はほとんどない。
- 2台同時接続した場合、固定IPが割り当てられるのは最初に接続を行った1台のみで、2台目にはDynamic IP RangeやDefault IP Rangeからの動的IP割り当てになる。
最後に
今回は、モバイルユーザのIP割り当て方法にアップデートが加わり、改めて記事にしてみました。
これからCato利用を検討されている方にも、既にご利用中の方にもお役に立てれば幸いです!