Microsoft 365용 VPN 분할 터널링 구현

아티클
12/21/2023

참고

이 문서는 원격 사용자를 위한 Microsoft 365 최적화를 다루는 문서 집합의 일부입니다.

VPN 분할 터널링을 사용하여 원격 사용자를 위한 Microsoft 365 연결을 최적화하는 방법에 대한 개요는 개요: Microsoft 365용 VPN 분할 터널링을 참조하세요.
VPN 분할 터널링 시나리오의 자세한 목록은 Microsoft 365에 대한 일반적인 VPN 분할 터널링 시나리오를 참조하세요.
VPN 분할 터널링 환경에서 Teams 미디어 트래픽을 보호하는 방법에 대한 지침은 VPN 분할 터널링을 위한 Teams 미디어 트래픽 보안을 참조하세요.
VPN 환경에서 Stream 및 live 이벤트를 구성하는 방법에 대한 자세한 내용은 VPN 환경에서 스트림 및 라이브 이벤트에 대한 특별 고려 사항을 참조하세요.
중국 사용자의 Microsoft 365 전 세계 테넌트 성능을 최적화하는 방법에 대한 자세한 내용은 중국 사용자를 위한 Microsoft 365 성능 최적화를 참조하세요.

원격 작업자의 연결을 최적화하기 위한 Microsoft의 권장 전략은 문제를 신속하게 완화하고 몇 가지 간단한 단계로 고성능을 제공하는 데 중점을 두고 있습니다. 이러한 단계는 병목 현상이 있는 VPN 서버를 우회하는 몇 가지 정의된 엔드포인트에 대한 레거시 VPN 접근 방식을 조정합니다. 동등하거나 우수한 보안 모델을 다양한 계층에 적용할 수 있으므로 회사 네트워크 송신에서 모든 트래픽을 보호할 필요가 없습니다. 대부분의 경우 이 작업은 몇 시간 내에 효과적으로 달성할 수 있으며 요구 사항 및 시간이 허용됨에 따라 다른 워크로드로 확장할 수 있습니다.

VPN 분할 터널링 구현

이 문서에서는 Microsoft 365에 대한 일반적인 VPN 분할 터널링 시나리오에서 몇 가지 신뢰할 수 있는 예외, VPN분할 터널 모델 #2를 사용하여 VPN 강제 터널에서 VPN강제터널로 VPN 클라이언트 아키텍처를 마이그레이션하는 데 필요한 간단한 단계를 찾을 수 있습니다.

다음 다이어그램은 권장 VPN 분할 터널 솔루션이 어떻게 진행되는지 보여줍니다.

분할 터널 VPN 솔루션 세부 정보입니다.

1. 최적화할 끝점 식별

Microsoft 365 URL 및 IP 주소 범위 문서에서 Microsoft는 최적화에 필요한 핵심 엔드포인트를 명확하게 식별하고 최적화로 분류합니다. 현재 최적화해야 하는 URL 4개와 IP 서브넷 20개만 있습니다. 이 소규모 엔드포인트 그룹은 Teams 미디어와 같은 대기 시간 중요한 엔드포인트를 포함하여 Microsoft 365 서비스에 대한 트래픽 볼륨의 약 70%-80%를 차지합니다. 기본적으로 이 트래픽은 특별히 처리해야 하는 트래픽이며 기존 네트워크 경로 및 VPN 인프라에 엄청난 압박을 가하는 트래픽이기도 합니다.

이 범주의 URL의 특징은 다음과 같습니다.

Microsoft 인프라에서 호스트되며 Microsoft에서 소유 및 관리하는 끝점
IP 제공
낮은 변경률 및 적은 수로 유지될 것으로 예상됨(현재 IP 서브넷 20개)
대역폭 및/또는 대기 시간에 민감
네트워크의 인라인 대신, 서비스에서 제공되는 필수 보안 요소가 제공될 수 있음
Microsoft 365 서비스에 대한 트래픽 볼륨의 약 70-80%를 차지합니다.

Microsoft 365 엔드포인트 및 분류 및 관리 방법에 대한 자세한 내용은 Microsoft 365 엔드포인트 관리를 참조하세요.

URL 최적화

현재 최적화 URL은 아래 표에서 확인할 수 있습니다. 대부분의 경우 사용자는 프록시가 아니라 직접 전송되도록 구성된 브라우저 PAC 파일의 URL 끝점만 사용해야 합니다.

URL 최적화	포트/프로토콜	용도
https://outlook.office365.com	TCP 443	이는 Outlook이 Exchange Online 서버에 연결하는 데 사용하는 기본 URL 중 하나이며 대역폭 사용량 및 연결 수가 많습니다. 빠른 검색, 다른 사서함 일정, 약속 있음/없음 조회, 규칙 및 알림 관리, Exchange Online Archive, 보낼 편지함에서 보내는 전자 메일과 같은 온라인 기능을 사용하려면 네트워크 대기 시간이 짧아야 합니다.
https://outlook.office.com	TCP 443	이 URL은 Outlook Online 웹 액세스에서 Exchange Online 서버에 연결하는 데 사용되며 네트워크 대기 시간에 민감합니다. SharePoint Online을 통한 대용량 파일 업로드 및 다운로드에는 연결이 특히 필요합니다.
`https://\<tenant\>.sharepoint.com`	TCP 443	SharePoint Online의 기본 URL이며 대역폭 사용량이 높습니다.
`https://\<tenant\>-my.sharepoint.com`	TCP 443	이는 비즈니스용 OneDrive의 기본 URL이며 비즈니스용 OneDrive 동기화 도구에서 대역폭 사용량 및 연결 수가 많을 수 있습니다.
Teams 미디어 IP(URL 없음)	UDP 3478, 3479, 3480 및 3481	릴레이 검색 할당 및 실시간 트래픽. 비즈니스용 Skype 및 Microsoft Teams 미디어 트래픽(통화, 모임 등)에 사용되는 엔드포인트입니다. 대부분의 끝점은 Microsoft Teams 클라이언트에서 호출을 설정할 때 제공됩니다. (또한 서비스에 대해 나열된 필수 IP에 포함됩니다) 최적의 미디어 품질을 위해서는 UDP 프로토콜을 사용해야 합니다.

위의 예제에서 테넌트는 Microsoft 365 테넌트 이름으로 바꿔야 합니다. 예를 들어 contoso.onmicrosoft.com contoso.sharepoint.com 및 contoso-my.sharepoint.com 사용합니다.

IP 주소 범위 최적화

이러한 엔드포인트가 해당하는 IP 주소 범위를 작성할 때는 다음과 같습니다. 이 예제, Microsoft 365 IP 및 URL 웹 서비스 또는 URL/IP 페이지 와 같은 스크립트를 사용하여 구성을 적용할 때 업데이트를 확인하고 정책을 정기적으로 적용하는 것이 좋습니다. 지속적인 액세스 평가를 활용하는 경우 연속 액세스 평가 IP 주소 변형을 참조하세요. 특정 시나리오에서 insufficient_claims 또는 인스턴트 IP 적용 검사 와 관련된 블록을 방지하려면 신뢰할 수 있는 IP 또는 VPN을 통해 최적화된 IP 라우팅이 필요할 수 있습니다.

104.146.128.0/17
13.107.128.0/22
13.107.136.0/22
13.107.18.10/31
13.107.6.152/31
13.107.64.0/18
131.253.33.215/32
132.245.0.0/16
150.171.32.0/22
150.171.40.0/22
204.79.197.215/32
23.103.160.0/20
40.104.0.0/15
40.108.128.0/17
40.96.0.0/13
52.104.0.0/14
52.112.0.0/14
52.96.0.0/14
52.122.0.0/15

2. VPN을 통해 이러한 끝점에 대한 액세스 최적화

이제 주요 끝점을 식별했으므로 VPN 터널에서 끝점을 전환하고 사용자의 로컬 인터넷 연결을 사용하여 서비스에 직접 연결할 수 있도록 허용해야 합니다. 이 작업을 수행하는 방법은 사용하는 VPN 제품 및 컴퓨터 플랫폼에 따라 다르지만, 대부분의 VPN 솔루션은 이 논리를 적용하는 간단한 정책 구성을 허용합니다. VPN 플랫폼별 분할 터널 안내에 대한 자세한 내용은 공통 VPN 플랫폼 사용 방법 가이드를 참조하세요.

솔루션을 수동으로 테스트하려는 경우 다음 PowerShell 예제를 실행하여 경로 테이블 수준에서 솔루션을 에뮬레이션할 수 있습니다. 이 예제에서는 경로 테이블에 각 Teams 미디어 IP 서브넷의 경로를 추가합니다. 전후의 Teams 미디어 성능을 테스트하고 지정된 끝점에 대한 경로 차이를 확인할 수 있습니다.

예제: 경로 테이블에 Teams 미디어 IP 서브넷 추가

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = "52.120.0.0/14", "52.112.0.0/14", "13.107.64.0/18" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

위 스크립트에서 $intIndex는 인터넷에 연결된 인터페이스의 색인(PowerShell에서 get-netadapter를 실행하여 찾고 ifIndex 값 확인)이며 $gateway는 해당 인터페이스의 기본 게이트웨이(명령 프롬프트에서 ipconfig나 PowerShell에서 (Get-NetIPConfiguration | Foreach IPv4DefaultGateway).NextHop를 실행하여 찾기)입니다.

경로를 추가 한 후 명령 프롬프트 또는 PowerShell에서 route print를 실행하여 경로 테이블이 올바른지 확인할 수 있습니다. 출력에는 인터페이스 색인(이 예제의 경우 22)과 해당 인터페이스의 게이트웨이(이 예제의 경우 192.168.1.1)를 표시하는 추가된 경로가 포함되어야 합니다.

출력을 라우팅합니다.

최적화 범주의 모든 현재 IP 주소 범위에 대한 경로를 추가하려면 다음 스크립트 변형을 사용하여 Microsoft 365 IP 및 URL 웹 서비스에서 현재 IP 서브넷 최적화 집합을 쿼리하고 경로 테이블에 추가할 수 있습니다.

예제: 경로 테이블에 모든 최적화 서브넷 추가

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

실수로 잘못된 매개 변수를 사용하여 경로를 추가했거나 변경 사항을 되돌리려는 경우 다음 명령을 사용하여 방금 추가한 경로를 제거할 수 있습니다.

foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

최적화 IP에 대한 트래픽이 이 방식으로 라우팅되도록 VPN 클라이언트를 구성해야 합니다. 이렇게 하면 트래픽이 Microsoft 365 서비스 및 연결 엔드포인트를 사용자에게 최대한 가깝게 제공하는 Azure Front Door와 같은 Microsoft 365 서비스 프런트 도어와 같은 로컬 Microsoft 리소스를 활용할 수 있습니다. 이를 통해 전 세계 어디서나 사용자에게 고성능 수준을 제공할 수 있으며 사용자의 직접 송신이 몇 밀리초 내에 있을 수 있는 Microsoft의 세계적 수준의 글로벌 네트워크를 최대한 활용할 수 있습니다.