VPN osztott bújtatásának implementálása a Microsoft 365-höz

Cikk
12/21/2023

Megjegyzés:

Ez a cikk a Microsoft 365 távoli felhasználók számára történő optimalizálását ismertető cikksorozat része.

A Vpn split tunneling használatának áttekintése a Microsoft 365 távoli felhasználók számára való kapcsolatának optimalizálásához : Áttekintés: VPN osztott bújtatása a Microsoft 365-höz.
A VPN osztott bújtatási forgatókönyveinek részletes listáját lásd: Gyakori VPN-osztási bújtatási forgatókönyvek a Microsoft 365-höz.
A Teams-médiaforgalom VPN osztott bújtatási környezetekben való biztonságossá tételével kapcsolatos útmutatásért lásd: A Teams médiaforgalmának védelme VPN-elosztásos bújtatáshoz.
A Stream és az élő események VPN-környezetekben való konfigurálásával kapcsolatos információkért lásd: A Stream és az élő események VPN-környezetekben való konfigurálásával kapcsolatos speciális szempontok.
A Microsoft 365 globális bérlői teljesítményének optimalizálásával kapcsolatos információkért lásd: Microsoft 365 teljesítményoptimalizálás Kínai felhasználók számára.

A Microsoft által javasolt stratégia a távmunkások kapcsolatának optimalizálására összpontosít a problémák gyors csökkentésére és a nagy teljesítmény biztosítására néhány egyszerű lépéssel. Ezek a lépések módosítják az örökölt VPN-megközelítést néhány olyan meghatározott végpont esetében, amelyek megkerülik a szűk keresztmetszetű VPN-kiszolgálókat. Egy egyenértékű vagy akár kiváló biztonsági modell alkalmazható különböző rétegeken, hogy ne kelljen minden forgalmat biztonságossá tenni a vállalati hálózat kimenő forgalmánál. A legtöbb esetben ez hatékonyan megvalósítható órákon belül, majd a követelményeknek és az időnek megfelelően skálázható más számítási feladatokra.

VPN split tunneling implementálása

Ebben a cikkben a VPN-ügyfélarchitektúra kényszerített VPN-alagútból kényszerített VPN-alagútba való migrálásához szükséges egyszerű lépéseket találja néhány megbízható kivétellel, a 2. VPN osztott alagútmodellt a Microsoft 365 gyakori VPN osztott bújtatási forgatókönyveiben.

Az alábbi ábra bemutatja, hogyan működik az ajánlott vpn split tunnel megoldás:

A felosztott alagút VPN-megoldásának részletei.

1. Az optimalizálandó végpontok azonosítása

A Microsoft 365 URL-címeit és IP-címtartományait ismertető cikkben a Microsoft egyértelműen azonosítja az optimalizálni kívánt fő végpontokat, és optimalizálásként kategorizálja őket. Jelenleg csak négy URL-címet és 20 IP-alhálózatot kell optimalizálni. A végpontok ezen kis csoportja a Microsoft 365 szolgáltatás felé irányuló forgalom körülbelül 70–80%-át teszi ki, beleértve a késésre érzékeny végpontokat is, például a Teams-médiatartalmak esetében. Lényegében ez az a forgalom, amelyet különös figyelmet kell fordítanunk, és ez az a forgalom, amely hihetetlen nyomást gyakorol a hagyományos hálózati útvonalakra és a VPN-infrastruktúrára.

Az ebben a kategóriában lévő URL-címek a következő jellemzőkkel rendelkeznek:

A Microsoft tulajdonában lévő és felügyelt végpontok a Microsoft infrastruktúráján vannak üzemeltetve
Ip-címek megadása
Alacsony változási arány, és várhatóan kis számban marad (jelenleg 20 IP-alhálózat)
A sávszélesség és/vagy a késés érzékeny
A szükséges biztonsági elemeket nem a hálózaton, hanem a szolgáltatásban biztosítják
A Microsoft 365 szolgáltatás felé irányuló forgalom körülbelül 70–80%-a

További információ a Microsoft 365-végpontokról, valamint azok kategorizálásáról és kezeléséről: A Microsoft 365-végpontok kezelése.

URL-címek optimalizálása

A jelenlegi Optimalizálás URL-címek az alábbi táblázatban találhatók. A legtöbb esetben csak url-végpontokat kell használnia egy böngésző PAC-fájljában , ahol a végpontok a proxy helyett közvetlen küldésre vannak konfigurálva.

URL-címek optimalizálása	Port/protokoll	Rendeltetés
https://outlook.office365.com	TCP 443	Ez az egyik elsődleges URL-cím, amelyet az Outlook a Exchange Online kiszolgálójához való csatlakozáshoz használ, és nagy sávszélesség-használattal és kapcsolatszámmal rendelkezik. Alacsony hálózati késésre van szükség az online szolgáltatásokhoz, például az azonnali kereséshez, más postaláda-naptárakhoz, az ingyenes/foglalt kereséshez, a szabályok és riasztások kezeléséhez, az Exchange Online archívumához, a kimenő üzeneteket elhagyó e-mailekhez.
https://outlook.office.com	TCP 443	Ez az URL-cím arra szolgál, hogy az Outlook Online Web Access csatlakozzon Exchange Online kiszolgálóhoz, és érzékeny a hálózati késésre. A SharePoint Online-nal való nagy fájlfeltöltéshez és -letöltéshez különösen szükség van kapcsolatra.
`https://\<tenant\>.sharepoint.com`	TCP 443	Ez a SharePoint Online elsődleges URL-címe, és nagy sávszélességű használattal rendelkezik.
`https://\<tenant\>-my.sharepoint.com`	TCP 443	Ez a OneDrive Vállalati verzió elsődleges URL-címe, amely nagy sávszélesség-használattal és valószínűleg magas kapcsolatszámmal rendelkezik a OneDrive Vállalati verzió Sync eszközből.
Teams media IP-címek (URL nélkül)	UDP 3478, 3479, 3480 és 3481	Relay Discovery kiosztása és valós idejű forgalom. Ezek a végpontok a Skype Vállalati verzió és a Microsoft Teams Médiaforgalomhoz (hívások, értekezletek stb.) használatosak. A legtöbb végpont akkor érhető el, ha a Microsoft Teams-ügyfél hívást hoz létre (és a szolgáltatáshoz szükséges IP-címek tartalmazzák). Az optimális médiaminőség érdekében az UDP protokoll használata szükséges.

A fenti példákban a bérlőt a Microsoft 365-bérlő nevére kell cserélni. Például contoso.onmicrosoft.comcontoso.sharepoint.com és contoso-my.sharepoint.com használna.

IP-címtartományok optimalizálása

A végpontoknak megfelelő IP-címtartományok megírásakor a következők a következők. Nagyon erősen ajánlott egy olyan szkriptet használni, mint például a Microsoft 365 IP-címe és URL-webszolgáltatása vagy az URL/IP oldal, hogy ellenőrizze a konfiguráció alkalmazásakor a frissítéseket, és rendszeresen hozzon létre egy szabályzatot. Ha folyamatos hozzáférés-kiértékelést használ, tekintse meg a folyamatos hozzáférés-kiértékelés IP-címváltozatát. Előfordulhat, hogy az optimalizált IP-címek megbízható IP-címen vagy VPN-en keresztül történő útválasztása bizonyos helyzetekben megakadályozza a insufficient_claims vagy az azonnali IP-kényszerítési ellenőrzéssel kapcsolatos blokkokat.

104.146.128.0/17
13.107.128.0/22
13.107.136.0/22
13.107.18.10/31
13.107.6.152/31
13.107.64.0/18
131.253.33.215/32
132.245.0.0/16
150.171.32.0/22
150.171.40.0/22
204.79.197.215/32
23.103.160.0/20
40.104.0.0/15
40.108.128.0/17
40.96.0.0/13
52.104.0.0/14
52.112.0.0/14
52.96.0.0/14
52.122.0.0/15

2. A végpontokhoz való hozzáférés optimalizálása a VPN-en keresztül

Most, hogy azonosítottuk ezeket a kritikus végpontokat, el kell távolítanunk őket a VPN-alagúttól, és lehetővé kell tennünk számukra, hogy a felhasználó helyi internetkapcsolatát használva közvetlenül csatlakozzanak a szolgáltatáshoz. Ennek módja a használt VPN-terméktől és gépplatformtól függően változik, de a legtöbb VPN-megoldás lehetővé teszi, hogy a szabályzat néhány egyszerű konfigurációja alkalmazza ezt a logikát. A VPN platformspecifikus felosztási alagútra vonatkozó útmutatásért lásd: ÚTMUTATÓk a gyakori VPN-platformokhoz.

Ha manuálisan szeretné tesztelni a megoldást, a következő PowerShell-példát végrehajtva emulálhatja a megoldást az útvonaltábla szintjén. Ez a példa minden Teams Media IP-alhálózathoz hozzáad egy útvonalat az útválasztási táblázathoz. Tesztelheti a Teams médiateljesítményét előtte és utána, és megfigyelheti a megadott végpontok útvonalai közötti különbséget.

Példa: Teams Media IP-alhálózatok hozzáadása az útvonaltáblához

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = "52.120.0.0/14", "52.112.0.0/14", "13.107.64.0/18" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

A fenti szkriptben a $intIndex az internethez csatlakoztatott felület indexe (a kereséshez futtassa a get-netadapter parancsot a PowerShellben; keresse meg az ifIndex értékét), és $gateway a felület alapértelmezett átjárója (a kereséshez futtassa az ipconfig parancsot egy parancssorban vagy (Get-NetIPConfiguration | Foreach IPv4DefaultGateway). NextHop a PowerShellben).

Miután hozzáadta az útvonalakat, ellenőrizheti, hogy az útvonaltábla helyes-e. Ehhez futtassa az útvonalnyomtatást egy parancssorban vagy a PowerShellben. A kimenetnek tartalmaznia kell a hozzáadott útvonalakat, amelyek az illesztő indexét (ebben a példában 22 ) és az illesztő átjáróját (ebben a példában 192.168.1.1 ) jelenítik meg:

Nyomat kimenetének átirányítása.

Ha az Optimalizálás kategóriában az összes jelenlegi IP-címtartományhoz szeretne útvonalakat hozzáadni, a következő szkriptváltozattal lekérdezheti a Microsoft 365 IP- és URL-webszolgáltatását az Optimize IP alhálózatok aktuális készletéhez, és hozzáadhatja őket az útvonaltáblához.

Példa: Adja hozzá az összes Optimize alhálózatot az útvonaltáblához

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

Ha véletlenül helytelen paraméterekkel adott hozzá útvonalakat, vagy egyszerűen csak vissza szeretné állítani a módosításokat, eltávolíthatja az imént hozzáadott útvonalakat a következő paranccsal:

foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

A VPN-ügyfelet úgy kell konfigurálni, hogy az optimalizált IP-címek felé irányuló forgalom így legyen irányítva. Ez lehetővé teszi a forgalom számára, hogy a microsoftos erőforrásokat, például a Microsoft 365 Service Front Doort, például a Microsoft 365-szolgáltatásokat és kapcsolati végpontokat a lehető legközelebb használja a felhasználókhoz. Ez lehetővé teszi, hogy nagy teljesítményszinteket nyújtsunk a felhasználóknak bárhol is vannak a világon, és teljes mértékben kihasználjuk a Microsoft világszínvonalú globális hálózatát, amely valószínűleg néhány ezredmásodpercen belül esik a felhasználók közvetlen kimenő forgalmától.

ÚTMUTATÓk a gyakori VPN-platformokhoz

Ez a szakasz részletes útmutatókra mutató hivatkozásokat tartalmaz a leggyakoribb partnerektől származó, a Microsoft 365-forgalomra vonatkozó osztott bújtatás implementálásához. Amint elérhetővé válnak, további útmutatókat adunk hozzá.