Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Примечание.
Эта статья является частью набора статей, в которых рассматривается оптимизация Microsoft 365 для удаленных пользователей или при реализации оптимизации сети, которая включает маршрутизацию на основе IP-префикса для обхода точек перегрузки в сетевой инфраструктуре.
- Общие сведения об использовании разделенного туннелирования VPN для оптимизации подключения к Microsoft 365 для удаленных пользователей см. в статье Обзор: раздельное туннелирование VPN для Microsoft 365.
- Подробный список сценариев разделенного туннелирования VPN см. в статье Общие сценарии разделенного туннелирования VPN для Microsoft 365.
- Рекомендации по защите трафика мультимедиа Teams в средах разделенного туннелирования VPN см. в статье Защита трафика мультимедиа Teams для раздельного туннелирования VPN.
- Сведения о настройке Stream и трансляций в средах VPN см. в статье Особые рекомендации по Stream и трансляциям в средах VPN.
- Сведения об оптимизации производительности клиента Microsoft 365 по всему миру для пользователей в Китае см. в статье Оптимизация производительности Microsoft 365 для пользователей из Китая.
Корпорация Майкрософт предлагает стратегию быстрого и эффективного улучшения подключения. Это включает несколько простых шагов по обновлению сетевых маршрутов, позволяя определенным ключевым конечным точкам обходить перегруженные VPN-серверы. Применяя аналогичную или лучшую модель безопасности на разных уровнях, нет необходимости защищать весь трафик в точке выхода корпоративной сети, и вы можете маршрутизировать трафик Microsoft 365 с помощью более коротких и эффективных сетевых путей. Обычно это можно сделать в течение нескольких часов и при необходимости можно масштабировать до нескольких рабочих нагрузок Microsoft 365.
Внедрение раздельного VPN-туннелирования
В этой статье вы найдете простые шаги, необходимые для переноса архитектуры VPN-клиента из туннеля, принудительного VPN-туннеля в туннел принудительного VPN с несколькими доверенными исключениями, модель разделенного vpn-туннеля No 2 в статье Общие сценарии разделенного туннелирования VPN для Microsoft 365.
На следующей схеме показано, как работает рекомендуемое решение разделенного туннеля VPN:
1. Определите конечные точки для оптимизации
В статье URL-адреса и диапазоны IP-адресов Microsoft 365 корпорация Майкрософт четко определяет ключевые конечные точки, необходимые для оптимизации, и классифицирует их как оптимизированные. На эту небольшую группу конечных точек приходится около 70–80 % объема трафика к службе Microsoft 365, включая конечные точки, чувствительные к задержке, например для мультимедиа Teams. По сути, это трафик, о который мы должны позаботиться, а также трафик, который окажет невероятное давление на традиционные сетевые пути и VPN-инфраструктуру.
URL в этой категории имеют следующие характеристики:
- Находятся ли Microsoft в собственности и управляются конечными точками, размещенными на инфраструктуре Microsoft
- Опубликовали IP-адреса, выделенные для определенных служб
- Низкий уровень изменений
- Чувствительны ли пропускная способность и / или задержка
- Могут иметь необходимые элементы безопасности, предоставляемые в сервисе, а не встроенные в сеть
- На долю около 70–80 % объема трафика в службу Microsoft 365
Дополнительные сведения о конечных точках Microsoft 365 и способах их классификации и управления ими см. в статье Управление конечными точками Microsoft 365.
В большинстве случаев необходимо использовать конечные точки URL-адреса только в файле PAC браузера, в котором конечные точки настроены на прямую отправку, а не на прокси-сервер. Если вам нужны только URL-адреса для категории Optimize, используйте первый запрос или второй запрос для префиксов IP-адресов.
Оптимизация URL-адресов
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.urls} | select -unique -ExpandProperty urls
Оптимизировать диапазоны IP-адресов
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.ips} | select -unique -ExpandProperty ips
2. Реализация разделенного туннеля для конечных точек Microsoft 365
Теперь, когда мы определили эти критические конечные точки, нам нужно отвести их от VPN-туннеля и позволить им использовать локальное интернет-соединение пользователя для прямого подключения к услуге. Способ выполнения этой задачи зависит от используемого продукта VPN и платформы компьютера, но большинство РЕШЕНИЙ VPN позволяют использовать определенную конфигурацию политики для применения этой логики. Дополнительные сведения об разделениях связанных туннелей для платформ VPN см. в статье инструкции по выбору распространенных платформ VPN.
Если вы хотите протестировать решение вручную, вы можете выполнить следующий пример PowerShell, чтобы эмулировать решение на уровне таблицы маршрутов. В этом примере добавляется маршрут для каждой из подсетей Teams Media IP в таблицу маршрутов. Вы можете протестировать производительность мультимедиа Teams до и после с помощью средства оценки сети Teams и увидеть разницу в маршрутах для указанных конечных точек.
Пример: добавление IP-подсетей Teams Media в таблицу маршрутов
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = " 52.112.0.0/14, 52.122.0.0/15, 2603:1063::/38" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
В предыдущем сценарии $intIndex — это индекс интерфейса, подключенного к Интернету (найти, выполнив командлет get-netadapter в PowerShell; найдите значение ifIndex), а $gateway — шлюз по умолчанию для этого интерфейса (найдите, выполнив ipconfig в командной строке или (Get-NetIPConfiguration | Foreach IPv4DefaultGateway). NextHop в PowerShell).
После добавления маршрутов вы можете подтвердить правильность таблицы маршрутов, запустив печать маршрута в командной строке или PowerShell.
Чтобы добавить маршруты для всех текущих диапазонов IP-адресов в категории Optimize, можно использовать следующий вариант сценария, чтобы запросить веб-службу IP-адресов и URL-адресов Microsoft 365 для текущего набора подсетей Optimize IP и добавить их в таблицу маршрутов.
Пример: добавление всех подсетей оптимизации в таблицу маршрутов
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
Если вы случайно добавили маршруты с неверными параметрами или просто хотите отменить изменения, вы можете удалить только что добавленные маршруты с помощью следующей команды:
foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
Клиент VPN должен быть настроен таким образом, чтобы трафик на IP-адреса Оптимизация направлялся таким образом. Это позволяет трафику использовать локальные ресурсы Майкрософт, такие как Microsoft 365 Service Front Door, например Azure Front Door , который предоставляет службы Microsoft 365 и конечные точки подключения как можно ближе к вашим пользователям. Это позволяет нам предоставлять пользователям высокий уровень производительности, где бы они ни находились, и в полной мере воспользоваться преимуществами глобальной сети Майкрософт мирового класса, которая, вероятно, находится в течение нескольких миллисекундах от прямого исходящего трафика ваших пользователей.
Рекомендации по выбору распространенных платформ VPN
В этом разделе содержатся ссылки на подробные руководства по реализации раздельного туннелирования для трафика Microsoft 365 от наиболее распространенных партнеров в этом пространстве. Мы добавим дополнительные руководства по мере их доступности.
- VPN-клиент Windows 10: оптимизация трафика Microsoft 365 для удаленных сотрудников с помощью собственного VPN-клиента Windows 10
- Cisco Anyconnect: оптимизируйте разделительный туннель Anyconnect для Office365
- Palo Alto GlobalProtect: оптимизация трафика Microsoft 365 через VPN Split Tunnel Exclude Access Route
- F5 Networks BIG-IP APM: оптимизация трафика Microsoft 365 при удаленном доступе через VPN при использовании BIG-IP APM
- Citrix Gateway: оптимизация раздельного VPN-туннелирования Citrix Gateway для Office365
- Pulse Secure: VPN-туннелирование: настройка раздельного туннелирования для исключения приложений Microsoft 365
- Check Point VPN: настройка Split Tunnel для Microsoft 365 и других приложений SaaS
Статьи по теме
Обзор: раздельное туннелирование VPN для Microsoft 365
Распространенные сценарии раздельного туннелирования VPN для Microsoft 365
Защита медиатрафика Teams в раздельном VPN-туннелировании
Особые рекомендации по Stream и трансляциям в средах VPN
Оптимизация производительности Microsoft 365 для пользователей из Китая
Принципы сетевого подключения к Microsoft 365
Оценка сетевого подключения Microsoft 365
Настройка сети и производительности Microsoft 365
Запуск по VPN: как Microsoft поддерживает подключение своих удаленных сотрудников