了解安全Web网关中的IP持久性

简介

本文档介绍思科安全Web网关(SWG)中的持续IP。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于安全网络网关。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

概述

安全Web网关(SWG)流量在具有不同IP地址的多个代理实例之间进行负载均衡。  但是，截至2022年2月，SWG现在使用称为持久IP的功能为所有传出Web请求提供一致的出口IP。

持久IP现在适用于（几乎）所有Web流量。此功能可缓解当网站在会话过程中跟踪源IP地址时可能出现的潜在问题。

注意：目前，持续IP不可用于使用Umbrella的远程浏览器隔离功能(RBI)的流量。 这仅适用于为Web策略中的规则配置“隔离”操作时。

出口IP范围

引入此功能意味着SWG现在使用新的出口IP地址范围。有关Umbrella SWG使用的IP地址范围的详细信息，请参阅本文。

IP持久性问题

websitecanselect将用户的源IP与其“会话”一起存储。  通常（但并非始终），这包括需要登录凭据的网站，并且还会“验证”源IP以检查会话是否仍然有效。对于使用TLS会话恢复的网站，还需要持久IP(rfc5077)。

如果没有使用持续IP，这些网站可能会出现异常行为，可能会断断续续地“注销”用户或显示间歇性错误消息。

Umbrella SWG网站兼容性 

如果您认为网站存在与IP持久性有关的问题，请检查以下项：

• 检查Web策略中的类别/应用/目标是否受Isolate操作的影响。验证在不使用远程浏览器隔离的情况下问题是否仍然发生。此流量不使用持续IP功能。
• 请联系Umbrella支持以检查您的组织设置。  少数客户暂时禁用了持续IP功能，以便有时间考虑新的IP范围。

Additional Information

• 您无需采取任何操作来启用网站的持久IP。过去，此功能仅针对某些域（禁用HTTPS检查的域）启用。 但是，此功能现在适用于所有目标。
• 此功能适用于HTTP/HTTPS流量。
• 您没有固定的静态IP地址。此功能为同一会话中的后续Web请求提供永久出口IP地址。  但Umbrella不为每个组织提供固定/静态IP地址。  Umbrella是一个多租户平台，多个客户可以共享相同的出口IP地址。