Implementación de la tunelización dividida de VPN para Microsoft 365

Artículo
03/25/2025

Nota:

Este artículo forma parte de un conjunto de artículos que abordan la optimización de Microsoft 365 para usuarios remotos o al implementar optimizaciones de red que implican el enrutamiento basado en prefijos IP para omitir puntos de congestión en la infraestructura de red.

Para obtener información general sobre el uso de la tunelización dividida de VPN para optimizar la conectividad de Microsoft 365 para usuarios remotos, consulte Información general: Túnel dividido de VPN para Microsoft 365.
Para obtener una lista detallada de los escenarios de tunelización dividida de VPN, consulte Escenarios comunes de tunelización dividida de VPN para Microsoft 365.
Para obtener instrucciones sobre cómo proteger el tráfico multimedia de Teams en entornos de tunelización dividida de VPN, consulte Protección del tráfico multimedia de Teams para la tunelización dividida de VPN.
Para obtener información sobre cómo configurar eventos Stream y en directo en entornos VPN, consulte Consideraciones especiales para Stream y eventos en directo en entornos VPN.
Para obtener información sobre cómo optimizar el rendimiento de los inquilinos de Microsoft 365 en todo el mundo para los usuarios de China, consulte Optimización del rendimiento de Microsoft 365 para los usuarios de China.

Microsoft sugiere una estrategia para mejorar la conectividad de forma rápida y eficaz. Esto implica algunos pasos sencillos para actualizar las rutas de red, lo que permite que determinados puntos de conexión clave omitan los servidores VPN congestionados. Al aplicar un modelo de seguridad similar o mejor en diferentes capas, no es necesario proteger todo el tráfico en el punto de salida de la red corporativa y puede enrutar el tráfico de Microsoft 365 mediante rutas de acceso de red más cortas y eficaces. Normalmente, esto se puede hacer en cuestión de horas y se puede escalar a varias cargas de trabajo de Microsoft 365 según sea necesario.

Implementación de túnel dividido de VPN

En este artículo, encontrará los sencillos pasos necesarios para migrar la arquitectura de cliente VPN de un túnel forzado de VPN a un túnel forzado de VPN con algunas excepciones de confianza, modelo de túnel dividido de VPN n.º 2 en escenarios de tunelización dividida de VPN común para Microsoft 365.

En el diagrama siguiente se muestra cómo funciona la solución de túnel dividido de VPN recomendada:

Detalle de la solución VPN de túnel dividido.

1. Identificar los puntos de conexión que se deben optimizar

En el artículo Direcciones URL y intervalos de direcciones IP de Microsoft 365 , Microsoft identifica claramente los puntos de conexión clave que necesita para optimizarlos y los clasifica como Optimizar. Este pequeño grupo de puntos de conexión representa entre el 70 % y el 80 % del volumen de tráfico al servicio Microsoft 365, incluidos los puntos de conexión confidenciales de latencia, como los de los medios de Teams. Básicamente este es el tráfico que necesitamos tener especial cuidado y es también el tráfico que pondrá una presión increíble sobre las rutas de acceso de red tradicionales y la infraestructura VPN.

Las direcciones URL de esta categoría tienen las siguientes características:

Son los puntos de conexión que pertenecen a Microsoft, que también se encarga de administrarlos y alojarlos en su infraestructura
Tener direcciones IP publicadas dedicadas a servicios específicos
Baja tasa de cambio
Tienen ancho de banda o son sensibles a la latencia
Se les puede proporcionar elementos de seguridad necesarios directamente en el servicio en lugar de en línea en la red
Tenga en cuenta entre el 70 y el 80 % del volumen de tráfico al servicio Microsoft 365.

Para obtener más información sobre los puntos de conexión de Microsoft 365 y cómo se clasifican y administran, consulte Administración de puntos de conexión de Microsoft 365.

En la mayoría de los casos, solo debería necesitar usar puntos de conexión de URL en un archivo PAC de explorador en el que los puntos de conexión se configuren para enviarse directamente, en lugar de hacerlo al proxy. Si solo necesita las direcciones URL de la categoría Optimizar, use la primera consulta o use la segunda consulta para los prefijos IP.

Optimización de direcciones URL

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.urls} | select -unique -ExpandProperty urls

Optimización de intervalos de direcciones IP

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.ips} | select -unique -ExpandProperty ips

2. Implementación de túnel dividido para puntos de conexión de Microsoft 365

Ya identificados los puntos de conexión críticos, se deben desviar del túnel de VPN y permitirles usar la conexión a Internet local del usuario para conectarse directamente al servicio. La manera en que se realiza esto variará en función del producto VPN y la plataforma de máquina que se use, pero la mayoría de las soluciones VPN permiten que alguna configuración de directiva aplique esta lógica. Para obtener instrucciones sobre el túnel dividido específico de la plataforma de VPN, consulte Guías para obtener más información sobre las plataformas VPN comunes.

Si desea probar la solución manualmente, puede ejecutar el siguiente ejemplo de PowerShell para emular la solución en el nivel de la tabla de rutas. Este ejemplo agrega una ruta para cada subred IP del contenido multimedia de Teams a la tabla de rutas. Puede probar el rendimiento multimedia de Teams antes y después de usar la herramienta de evaluación de red de Teams y observar la diferencia en las rutas de los puntos de conexión especificados.

Ejemplo: agregar subredes IP del contenido multimedia de Teams a la tabla de rutas

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = " 52.112.0.0/14, 52.122.0.0/15, 2603:1063::/38" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

En el script anterior, $intIndex es el índice de la interfaz conectada a Internet (busque mediante la ejecución de get-netadapter en PowerShell; busque el valor de ifIndex) y $gateway es la puerta de enlace predeterminada de esa interfaz (busque mediante la ejecución de ipconfig en un símbolo del sistema o (Get-NetIPConfiguration | Foreach IPv4DefaultGateway). NextHop en PowerShell).

Una vez que haya agregado las rutas, puede confirmar que la tabla de rutas es la correcta, para ello, ejecute route print en un símbolo del sistema o PowerShell.

Para agregar rutas para todos los intervalos de direcciones IP actuales en la categoría Optimizar, puede usar la siguiente variación de script para consultar la dirección IP y el servicio web url de Microsoft 365 para el conjunto actual de subredes DE IP de Optimización y agregarlas a la tabla de rutas.

Ejemplo: agregar subredes IP de la categoría Optimizar a la tabla de rutas

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

Si ha agregado accidentalmente rutas con parámetros incorrectos o si simplemente desea revertir los cambios, puede quitar las rutas que acaba de agregar con el siguiente comando:

foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

El cliente VPN debe configurarse para que el tráfico a las direcciones IP de la categoría Optimizar se enrute de esta forma. Esto permite que el tráfico use recursos locales de Microsoft, como puertas frontales de servicio de Microsoft 365 , como Azure Front Door , que ofrece servicios de Microsoft 365 y puntos de conexión de conectividad lo más cerca posible de los usuarios. Esto nos permite ofrecer altos niveles de rendimiento a los usuarios dondequiera que se encuentren en el mundo y aprovecha al máximo la red global de clase mundial de Microsoft, que es probable en unos milisegundos de la salida directa de los usuarios.

Guías paso a paso para plataformas VPN comunes

En esta sección se proporcionan vínculos a guías detalladas para implementar la tunelización dividida para el tráfico de Microsoft 365 desde los asociados más comunes de este espacio. Agregaremos más guías a medida que estén disponibles.