VPN osztott bújtatásának implementálása a Microsoft 365-höz
Megjegyzés:
Ez a cikk a Microsoft 365 távoli felhasználók számára történő optimalizálását ismertető cikksorozat része.
- A Vpn split tunneling használatának áttekintése a Microsoft 365 távoli felhasználók számára való kapcsolatának optimalizálásához : Áttekintés: VPN osztott bújtatása a Microsoft 365-höz.
- A VPN osztott bújtatási forgatókönyveinek részletes listáját lásd: Gyakori VPN-osztási bújtatási forgatókönyvek a Microsoft 365-höz.
- A Teams-médiaforgalom VPN osztott bújtatási környezetekben való biztonságossá tételével kapcsolatos útmutatásért lásd: A Teams médiaforgalmának védelme VPN-elosztásos bújtatáshoz.
- A Stream és az élő események VPN-környezetekben való konfigurálásával kapcsolatos információkért lásd: A Stream és az élő események VPN-környezetekben való konfigurálásával kapcsolatos speciális szempontok.
- A Microsoft 365 globális bérlői teljesítményének optimalizálásával kapcsolatos információkért lásd: Microsoft 365 teljesítményoptimalizálás Kínai felhasználók számára.
A Microsoft által javasolt stratégia a távmunkások kapcsolatának optimalizálására összpontosít a problémák gyors csökkentésére és a nagy teljesítmény biztosítására néhány egyszerű lépéssel. Ezek a lépések módosítják az örökölt VPN-megközelítést néhány olyan meghatározott végpont esetében, amelyek megkerülik a szűk keresztmetszetű VPN-kiszolgálókat. Egy egyenértékű vagy akár kiváló biztonsági modell alkalmazható különböző rétegeken, hogy ne kelljen minden forgalmat biztonságossá tenni a vállalati hálózat kimenő forgalmánál. A legtöbb esetben ez hatékonyan megvalósítható órákon belül, majd a követelményeknek és az időnek megfelelően skálázható más számítási feladatokra.
VPN split tunneling implementálása
Ebben a cikkben a VPN-ügyfélarchitektúra kényszerített VPN-alagútból kényszerített VPN-alagútba való migrálásához szükséges egyszerű lépéseket találja néhány megbízható kivétellel, a 2. VPN osztott alagútmodellt a Microsoft 365 gyakori VPN osztott bújtatási forgatókönyveiben.
Az alábbi ábra bemutatja, hogyan működik az ajánlott vpn split tunnel megoldás:
1. Az optimalizálandó végpontok azonosítása
A Microsoft 365 URL-címeit és IP-címtartományait ismertető cikkben a Microsoft egyértelműen azonosítja az optimalizálni kívánt fő végpontokat, és optimalizálásként kategorizálja őket. Jelenleg csak négy URL-címet és 20 IP-alhálózatot kell optimalizálni. A végpontok ezen kis csoportja a Microsoft 365 szolgáltatás felé irányuló forgalom körülbelül 70–80%-át teszi ki, beleértve a késésre érzékeny végpontokat is, például a Teams-médiatartalmak esetében. Lényegében ez az a forgalom, amelyet különös figyelmet kell fordítanunk, és ez az a forgalom, amely hihetetlen nyomást gyakorol a hagyományos hálózati útvonalakra és a VPN-infrastruktúrára.
Az ebben a kategóriában lévő URL-címek a következő jellemzőkkel rendelkeznek:
- A Microsoft tulajdonában lévő és felügyelt végpontok a Microsoft infrastruktúráján vannak üzemeltetve
- Ip-címek megadása
- Alacsony változási arány, és várhatóan kis számban marad (jelenleg 20 IP-alhálózat)
- A sávszélesség és/vagy a késés érzékeny
- A szükséges biztonsági elemeket nem a hálózaton, hanem a szolgáltatásban biztosítják
- A Microsoft 365 szolgáltatás felé irányuló forgalom körülbelül 70–80%-a
További információ a Microsoft 365-végpontokról, valamint azok kategorizálásáról és kezeléséről: A Microsoft 365-végpontok kezelése.
URL-címek optimalizálása
A jelenlegi Optimalizálás URL-címek az alábbi táblázatban találhatók. A legtöbb esetben csak url-végpontokat kell használnia egy böngésző PAC-fájljában , ahol a végpontok a proxy helyett közvetlen küldésre vannak konfigurálva.
URL-címek optimalizálása | Port/protokoll | Rendeltetés |
---|---|---|
https://outlook.office365.com | TCP 443 | Ez az egyik elsődleges URL-cím, amelyet az Outlook a Exchange Online kiszolgálójához való csatlakozáshoz használ, és nagy sávszélesség-használattal és kapcsolatszámmal rendelkezik. Alacsony hálózati késésre van szükség az online szolgáltatásokhoz, például az azonnali kereséshez, más postaláda-naptárakhoz, az ingyenes/foglalt kereséshez, a szabályok és riasztások kezeléséhez, az Exchange Online archívumához, a kimenő üzeneteket elhagyó e-mailekhez. |
https://outlook.office.com | TCP 443 | Ez az URL-cím arra szolgál, hogy az Outlook Online Web Access csatlakozzon Exchange Online kiszolgálóhoz, és érzékeny a hálózati késésre. A SharePoint Online-nal való nagy fájlfeltöltéshez és -letöltéshez különösen szükség van kapcsolatra. |
https://\<tenant\>.sharepoint.com |
TCP 443 | Ez a SharePoint Online elsődleges URL-címe, és nagy sávszélességű használattal rendelkezik. |
https://\<tenant\>-my.sharepoint.com |
TCP 443 | Ez a OneDrive Vállalati verzió elsődleges URL-címe, amely nagy sávszélesség-használattal és valószínűleg magas kapcsolatszámmal rendelkezik a OneDrive Vállalati verzió Sync eszközből. |
Teams media IP-címek (URL nélkül) | UDP 3478, 3479, 3480 és 3481 | Relay Discovery kiosztása és valós idejű forgalom. Ezek a végpontok a Skype Vállalati verzió és a Microsoft Teams Médiaforgalomhoz (hívások, értekezletek stb.) használatosak. A legtöbb végpont akkor érhető el, ha a Microsoft Teams-ügyfél hívást hoz létre (és a szolgáltatáshoz szükséges IP-címek tartalmazzák). Az optimális médiaminőség érdekében az UDP protokoll használata szükséges. |
A fenti példákban a bérlőt a Microsoft 365-bérlő nevére kell cserélni. Például contoso.onmicrosoft.comcontoso.sharepoint.com és contoso-my.sharepoint.com használna.
IP-címtartományok optimalizálása
A végpontoknak megfelelő IP-címtartományok megírásakor a következők a következők. Nagyon erősen ajánlott egy olyan szkriptet használni, mint például aMicrosoft 365 IP-címe és URL-webszolgáltatása vagy az URL/IP oldal, hogy ellenőrizze a konfiguráció alkalmazásakor a frissítéseket, és rendszeresen hozzon létre egy szabályzatot. Ha folyamatos hozzáférés-kiértékelést használ, tekintse meg a folyamatos hozzáférés-kiértékelés IP-címváltozatát. Előfordulhat, hogy az optimalizált IP-címek megbízható IP-címen vagy VPN-en keresztül történő útválasztása bizonyos helyzetekben megakadályozza a insufficient_claims vagy az azonnali IP-kényszerítési ellenőrzéssel kapcsolatos blokkokat.
104.146.128.0/17
13.107.128.0/22
13.107.136.0/22
13.107.18.10/31
13.107.6.152/31
13.107.64.0/18
131.253.33.215/32
132.245.0.0/16
150.171.32.0/22
150.171.40.0/22
204.79.197.215/32
23.103.160.0/20
40.104.0.0/15
40.108.128.0/17
40.96.0.0/13
52.104.0.0/14
52.112.0.0/14
52.96.0.0/14
52.122.0.0/15
2. A végpontokhoz való hozzáférés optimalizálása a VPN-en keresztül
Most, hogy azonosítottuk ezeket a kritikus végpontokat, el kell távolítanunk őket a VPN-alagúttól, és lehetővé kell tennünk számukra, hogy a felhasználó helyi internetkapcsolatát használva közvetlenül csatlakozzanak a szolgáltatáshoz. Ennek módja a használt VPN-terméktől és gépplatformtól függően változik, de a legtöbb VPN-megoldás lehetővé teszi, hogy a szabályzat néhány egyszerű konfigurációja alkalmazza ezt a logikát. A VPN platformspecifikus felosztási alagútra vonatkozó útmutatásért lásd: ÚTMUTATÓk a gyakori VPN-platformokhoz.
Ha manuálisan szeretné tesztelni a megoldást, a következő PowerShell-példát végrehajtva emulálhatja a megoldást az útvonaltábla szintjén. Ez a példa minden Teams Media IP-alhálózathoz hozzáad egy útvonalat az útválasztási táblázathoz. Tesztelheti a Teams médiateljesítményét előtte és utána, és megfigyelheti a megadott végpontok útvonalai közötti különbséget.
Példa: Teams Media IP-alhálózatok hozzáadása az útvonaltáblához
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = "52.120.0.0/14", "52.112.0.0/14", "13.107.64.0/18" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
A fenti szkriptben a $intIndex az internethez csatlakoztatott felület indexe (a kereséshez futtassa a get-netadapter parancsot a PowerShellben; keresse meg az ifIndex értékét), és $gateway a felület alapértelmezett átjárója (a kereséshez futtassa az ipconfig parancsot egy parancssorban vagy (Get-NetIPConfiguration | Foreach IPv4DefaultGateway). NextHop a PowerShellben).
Miután hozzáadta az útvonalakat, ellenőrizheti, hogy az útvonaltábla helyes-e. Ehhez futtassa az útvonalnyomtatást egy parancssorban vagy a PowerShellben. A kimenetnek tartalmaznia kell a hozzáadott útvonalakat, amelyek az illesztő indexét (ebben a példában 22 ) és az illesztő átjáróját (ebben a példában 192.168.1.1 ) jelenítik meg:
Ha az Optimalizálás kategóriában az összes jelenlegi IP-címtartományhoz szeretne útvonalakat hozzáadni, a következő szkriptváltozattal lekérdezheti a Microsoft 365 IP- és URL-webszolgáltatását az Optimize IP alhálózatok aktuális készletéhez, és hozzáadhatja őket az útvonaltáblához.
Példa: Adja hozzá az összes Optimize alhálózatot az útvonaltáblához
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
Ha véletlenül helytelen paraméterekkel adott hozzá útvonalakat, vagy egyszerűen csak vissza szeretné állítani a módosításokat, eltávolíthatja az imént hozzáadott útvonalakat a következő paranccsal:
foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
A VPN-ügyfelet úgy kell konfigurálni, hogy az optimalizált IP-címek felé irányuló forgalom így legyen irányítva. Ez lehetővé teszi a forgalom számára, hogy a microsoftos erőforrásokat, például a Microsoft 365 Service Front Doort, például a Microsoft 365-szolgáltatásokat és kapcsolati végpontokat a lehető legközelebb használja a felhasználókhoz. Ez lehetővé teszi, hogy nagy teljesítményszinteket nyújtsunk a felhasználóknak bárhol is vannak a világon, és teljes mértékben kihasználjuk a Microsoft világszínvonalú globális hálózatát, amely valószínűleg néhány ezredmásodpercen belül esik a felhasználók közvetlen kimenő forgalmától.
ÚTMUTATÓk a gyakori VPN-platformokhoz
Ez a szakasz részletes útmutatókra mutató hivatkozásokat tartalmaz a leggyakoribb partnerektől származó, a Microsoft 365-forgalomra vonatkozó osztott bújtatás implementálásához. Amint elérhetővé válnak, további útmutatókat adunk hozzá.
- WINDOWS 10 VPN-ügyfél: A Microsoft 365 forgalmának optimalizálása távoli dolgozók számára a natív Windows 10 VPN-ügyféllel
- Cisco Anyconnect: Az Office365 bármely összekapcsolási osztott alagútjának optimalizálása
- Palo Alto GlobalProtect: A Microsoft 365-forgalom optimalizálása VPN split alagúton keresztül – Hozzáférési útvonal kizárása
- F5 Networks BIG-IP APM: A Microsoft 365-forgalom optimalizálása VPN-en keresztül a BIG-IP APM használatakor
- Citrix-átjáró: A Citrix Gateway VPN osztott alagútjának optimalizálása az Office365-höz
- Pulse Secure: VPN-bújtatás: Osztott bújtatás konfigurálása a Microsoft 365-alkalmazások kizárásához
- Check Point VPN: Osztott alagút konfigurálása a Microsoft 365-höz és más SaaS-alkalmazásokhoz
Kapcsolódó cikkek
Áttekintés: VPN osztott bújtatása a Microsoft 365-höz
Gyakori VPN-osztási bújtatási forgatókönyvek a Microsoft 365-höz
A Teams médiaforgalmának biztonságossá tétele a VPN osztott bújtatásához
A STREAM és az élő események speciális szempontjai VPN-környezetekben
A Microsoft 365 teljesítményoptimalizálása Kínai felhasználók számára
A Microsoft 365 hálózati kapcsolati alapelvei
A Microsoft 365 hálózati adatkapcsolat felmérése
A Microsoft 365 hálózat- és teljesítményhangolása
Futtatás VPN-en: Hogyan tartja a Microsoft a távoli munkaerőt kapcsolatban
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: