Распространенные сценарии раздельного туннелирования VPN для Microsoft 365

Статья
10/03/2024

Примечание.

Эта статья является частью набора статей, которые рассматривают оптимизацию Microsoft 365 для удаленных пользователей.

Общие сведения об использовании разделенного туннелирования VPN для оптимизации подключения к Microsoft 365 для удаленных пользователей см. в статье Обзор: раздельное туннелирование VPN для Microsoft 365.
Подробные рекомендации по реализации раздельного туннелирования VPN см. в статье Реализация раздельного туннелирования VPN для Microsoft 365.
Рекомендации по защите трафика мультимедиа Teams в средах разделенного туннелирования VPN см. в статье Защита трафика мультимедиа Teams для раздельного туннелирования VPN.
Сведения о настройке Stream и трансляций в средах VPN см. в статье Особые рекомендации по Stream и трансляциям в средах VPN.
Сведения об оптимизации производительности клиента Microsoft 365 по всему миру для пользователей в Китае см. в статье Оптимизация производительности Microsoft 365 для пользователей из Китая.

В приведенном ниже списке вы увидите наиболее распространенные сценарии VPN в корпоративных средах. Большинство клиентов традиционно используют модель 1 (VPN Forced Tunnel). Этот раздел поможет вам быстро и безопасно перейти на модель 2, которая достижима с относительно небольшими усилиями и имеет огромные преимущества для производительности сети и взаимодействия с пользователем.

Модель	Описание
1. VPN Принудительный туннель	100 % трафика поступает в VPN-туннель, включая локальный, Интернет и все O365/M365
2. VPN Forced Tunnel с несколькими исключениями	Туннель VPN используется по умолчанию (точки маршрута по умолчанию - VPN), с несколькими наиболее важными сценариями исключений, которые разрешены для прямого доступа.
3. VPN Forced Tunnel с широкими исключениями	Vpn-туннель используется по умолчанию (маршруты по умолчанию указываются на VPN), за широкими исключениями, которые разрешены напрямую (например, все Microsoft 365, All Salesforce, All Zoom).
4. VPN избирательный туннель	VPN-туннель используется только для служб на основе корпоративной сети. Маршрут по умолчанию (Интернет и все службы в Интернете) проходит напрямую.
5. Без VPN	Вариант No 2. Вместо устаревших VPN все службы корпоративной сети публикуются с помощью современных подходов к безопасности (например, Zscaler ZPA, Microsoft Entra ID Proxy/MCAS и т. д.).

1. VPN Принудительный туннель

Наиболее распространенный сценарий запуска для большинства корпоративных клиентов. Используется принудительный VPN, что означает, что 100 % трафика направляется в корпоративную сеть независимо от того, находится ли конечная точка в корпоративной сети или нет. Любой внешний (Интернет) трафик, например Microsoft 365 или интернет-просмотр, затем закрепляется обратно из локального оборудования безопасности, такого как прокси-серверы. В нынешней ситуации, когда почти 100 % пользователей работают удаленно, эта модель, таким образом, ставит высокую нагрузку на инфраструктуру VPN и, скорее всего, значительно помешает производительности всего корпоративного трафика и, следовательно, предприятие будет эффективно работать во время кризиса.

Модель принудительного VPN-туннеля 1.

2. VPN Принудительный туннель с небольшим количеством доверенных исключений

Значительно эффективнее для работы предприятия. Эта модель позволяет нескольким управляемым и определенным конечным точкам, чувствительным к высокой нагрузке и задержке, обойти VPN-туннель и перейти непосредственно к службе Microsoft 365. Это значительно повышает производительность разгруженных служб, а также снижает нагрузку на инфраструктуру VPN, что позволяет элементам, которым она по-прежнему требуется, работать с меньшим состязанием за ресурсы. Именно эта модель в этой статье сосредоточена на оказании помощи в переходе, так как она позволяет быстро выполнять простые, определенные действия с многочисленными положительными результатами.

Модель VPN с разделением туннеля 2.

3. принудительный туннель VPN с широкими исключениями

Расширяет область модели 2. Вместо того чтобы отправлять небольшую группу определенных конечных точек напрямую, она отправляет весь трафик непосредственно в доверенные службы, такие как Microsoft 365 и SalesForce. Это еще больше снижает нагрузку на корпоративную инфраструктуру VPN и повышает производительность определенных услуг. Так как эта модель, скорее всего, займет больше времени для оценки целесообразности и реализации, это, вероятно, шаг, который можно выполнить итеративно позже, как только модель 2 будет успешно создана.

Модель VPN с разделенным туннелированием 3.

4. Выборочный туннель VPN

Обратная третья модель в том, что только трафик, определенный как с корпоративным IP-адресом, отправляется по VPN-туннелю, поэтому интернет-путь является маршрутом по умолчанию для всего остального. Эта модель требует, чтобы организация была на пути к нулевому доверию и смогла безопасно реализовать эту модель. Следует отметить, что эта модель или некоторые ее варианты, скорее всего, со временем станут необходимыми значениями по умолчанию, так как все больше служб отходят от корпоративной сети в облако.

Корпорация Майкрософт использует эту модель для внутренних целей. Дополнительные сведения о реализации разделенного туннелирования VPN майкрософт см. в статье Запуск в VPN: как корпорация Майкрософт сохраняет связь с удаленными сотрудниками.

Модель VPN с разделением туннеля 4.

5. Без VPN

Более расширенная версия модели no 2, в которой все внутренние службы публикуются с помощью современного подхода к безопасности или решения SDWAN, например Microsoft Entra ID Proxy, Defender for Cloud Apps, Zscaler ZPA и т. д.

Модель VPN с разделенным туннелированием 5.