Comprendre la persistance IP dans la passerelle Web sécurisée

Introduction

Ce document décrit l'IP persistant dans Cisco Secure Web Gateway (SWG).

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur la passerelle Web sécurisée.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Aperçu

Le trafic de la passerelle Web sécurisée (SWG) est équilibré en charge sur un certain nombre d'instances proxy avec différentes adresses IP.  Cependant, depuis février 2022, SWG fournit désormais une adresse IP de sortie cohérente pour toutes les requêtes Web sortantes à l'aide d'une fonction appelée Persistent IP.

L'IP permanente s'applique désormais à (presque) tout le trafic Web. Cette fonctionnalité atténue les problèmes potentiels qui peuvent se produire lorsque des sites Web suivent l'adresse IP source dans le cadre de la session.

Remarque : L'adresse IP permanente n'est pas actuellement disponible pour le trafic utilisant la fonctionnalité d'isolation du navigateur distant (RBI) d'Umbrella. Cela ne s'applique que lorsque l'action « Isoler » est configurée pour une règle dans votre stratégie Web.

Plage IP de sortie

L'introduction de cette fonctionnalité signifie que SWG utilise désormais une nouvelle plage d'adresses IP de sortie. Pour plus d'informations sur la plage d'adresses IP utilisée par Umbrella SWG, reportez-vous à cet article.

Problèmes de persistance IP

Un site Web peut choisir de stocker l'adresse IP source de l'utilisateur avec sa « session ».  En général (mais pas toujours), cela inclut les sites Web qui nécessitent des informations d'identification et l'adresse IP source est également « validée » pour vérifier que la session est toujours valide. Une adresse IP permanente est également requise pour les sites Web qui utilisent la reprise de session TLS (rfc5077).

Si aucune adresse IP persistante n'est utilisée, ces sites Web peuvent se comporter de manière inattendue et peuvent par intermittence « déconnecter » l'utilisateur ou présenter des messages d'erreur intermittents.

Compatibilité du site Web Umbrella SWG 

Si vous pensez qu'un site Web rencontre des problèmes liés à la persistance IP, veuillez vérifier les points suivants :

• Vérifiez si la catégorie / l'application / la destination est soumise à l'action Isoler dans votre stratégie Web. Vérifiez si le problème se produit toujours sans l'isolation du navigateur distant. Ce trafic n'utilise pas la fonctionnalité IP persistante.
• Contactez l'assistance Umbrella pour vérifier les paramètres de votre organisation.  Un petit nombre de clients ont temporairement désactivé la fonctionnalité IP persistante pour laisser le temps de prendre en compte la nouvelle plage IP.

Additional Information

• Vous n'avez pas besoin d'effectuer d'action pour activer l'IP permanente pour un site Web. Auparavant, cette fonctionnalité était uniquement activée pour certains domaines (ceux dont l'inspection HTTPS était désactivée). Toutefois, cette fonctionnalité s'applique désormais à toutes les destinations.
• Cette fonctionnalité fonctionne pour le trafic HTTP / HTTPS.
• Vous n'obtenez pas d'adresse IP statique fixe. Cette fonction fournit une adresse IP de sortie permanente pour les requêtes Web suivantes au cours de la même session.  Mais Umbrella ne fournit pas d'adresse IP fixe/statique pour chaque organisation.  Umbrella est une plate-forme multilocataire et plusieurs clients peuvent partager la même adresse IP de sortie.