Microsoft 365용 VPN 분할 터널링 구현
참고
이 문서는 원격 사용자를 위한 Microsoft 365 최적화를 다루거나 네트워크 인프라의 혼잡 지점을 우회하기 위해 IP 접두사 기반 라우팅과 관련된 네트워크 최적화를 구현하는 경우를 다루는 문서 세트의 일부입니다.
- VPN 분할 터널링을 사용하여 원격 사용자를 위한 Microsoft 365 연결을 최적화하는 방법에 대한 개요는 개요: Microsoft 365용 VPN 분할 터널링을 참조하세요.
- VPN 분할 터널링 시나리오의 자세한 목록은 Microsoft 365에 대한 일반적인 VPN 분할 터널링 시나리오를 참조하세요.
- VPN 분할 터널링 환경에서 Teams 미디어 트래픽을 보호하는 방법에 대한 지침은 VPN 분할 터널링을 위한 Teams 미디어 트래픽 보안을 참조하세요.
- VPN 환경에서 Stream 및 라이브 이벤트를 구성하는 방법에 대한 자세한 내용은 VPN 환경에서 Stream 및 라이브 이벤트에 대한 특별 고려 사항을 참조하세요.
- 중국 사용자의 Microsoft 365 전 세계 테넌트 성능을 최적화하는 방법에 대한 자세한 내용은 중국 사용자를 위한 Microsoft 365 성능 최적화를 참조하세요.
Microsoft는 빠르고 효율적으로 연결을 개선하기 위한 전략을 제안합니다. 여기에는 네트워크 경로를 업데이트하는 몇 가지 간단한 단계가 포함되므로 특정 키 엔드포인트가 혼잡한 VPN 서버를 우회할 수 있습니다. 다른 계층에서 유사하거나 더 나은 보안 모델을 적용하면 회사 네트워크의 종료 지점에서 모든 트래픽을 보호할 필요가 없으며 더 짧고 효율적인 네트워크 경로를 사용하여 Microsoft 365 트래픽을 라우팅할 수 있습니다. 이 작업은 일반적으로 몇 시간 내에 수행할 수 있으며 필요에 따라 여러 Microsoft 365 워크로드로 확장할 수 있습니다.
VPN 분할 터널링 구현
이 문서에서는 Microsoft 365에 대한 일반적인 VPN 분할 터널링 시나리오에서 몇 가지 신뢰할 수 있는 예외, VPN분할 터널 모델 #2를 사용하여 VPN 강제 터널에서 VPN강제터널로 VPN 클라이언트 아키텍처를 마이그레이션하는 데 필요한 간단한 단계를 찾을 수 있습니다.
다음 다이어그램에서는 권장되는 VPN 분할 터널 솔루션의 작동 방식을 보여 줍니다.
1. 최적화할 끝점 식별
Microsoft 365 URL 및 IP 주소 범위 문서에서 Microsoft는 최적화에 필요한 핵심 엔드포인트를 명확하게 식별하고 최적화로 분류합니다. 이 소규모 엔드포인트 그룹은 Teams 미디어와 같은 대기 시간 중요한 엔드포인트를 포함하여 Microsoft 365 서비스에 대한 트래픽 볼륨의 약 70%-80%를 차지합니다. 기본적으로 이 트래픽은 특별히 처리해야 하는 트래픽이며 기존 네트워크 경로 및 VPN 인프라에 엄청난 압박을 가하는 트래픽이기도 합니다.
이 범주의 URL의 특징은 다음과 같습니다.
- Microsoft 인프라에서 호스트되며 Microsoft에서 소유 및 관리하는 끝점
- 특정 서비스에 전용인 게시된 IP 주소가 있습니다.
- 낮은 변경 속도
- 대역폭 및/또는 대기 시간에 민감
- 네트워크의 인라인 대신, 서비스에서 제공되는 필수 보안 요소가 제공될 수 있음
- Microsoft 365 서비스에 대한 트래픽 볼륨의 약 70-80%를 차지합니다.
Microsoft 365 엔드포인트 및 엔드포인트를 분류하고 관리하는 방법에 대한 자세한 내용은 Microsoft 365 엔드포인트 관리를 참조하세요.
대부분의 경우 사용자는 프록시가 아니라 직접 전송되도록 구성된 브라우저 PAC 파일의 URL 끝점만 사용해야 합니다. 최적화 범주에 대한 URL만 필요한 경우 첫 번째 쿼리를 사용하거나 IP 접두사에 두 번째 쿼리를 사용합니다.
URL 최적화
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.urls} | select -unique -ExpandProperty urls
IP 주소 범위 최적화
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.ips} | select -unique -ExpandProperty ips
2. Microsoft 365 엔드포인트에 대한 분할 터널 구현
이제 주요 끝점을 식별했으므로 VPN 터널에서 끝점을 전환하고 사용자의 로컬 인터넷 연결을 사용하여 서비스에 직접 연결할 수 있도록 허용해야 합니다. 이 작업이 수행되는 방식은 사용되는 VPN 제품 및 컴퓨터 플랫폼에 따라 다르지만 대부분의 VPN 솔루션은 일부 정책 구성을 통해 이 논리를 적용할 수 있습니다. VPN 플랫폼별 분할 터널 안내에 대한 자세한 내용은 공통 VPN 플랫폼 사용 방법 가이드를 참조하세요.
솔루션을 수동으로 테스트하려는 경우 다음 PowerShell 예제를 실행하여 경로 테이블 수준에서 솔루션을 에뮬레이션할 수 있습니다. 이 예제에서는 경로 테이블에 각 Teams 미디어 IP 서브넷의 경로를 추가합니다. Teams 네트워크 평가 도구를 사용하기 전과 후에 Teams 미디어 성능을 테스트하고 지정된 엔드포인트에 대한 경로의 차이를 관찰할 수 있습니다.
예제: 경로 테이블에 Teams 미디어 IP 서브넷 추가
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = " 52.112.0.0/14, 52.122.0.0/15, 2603:1063::/38" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
앞의 스크립트에서 $intIndex 인터넷에 연결된 인터페이스의 인덱스입니다(PowerShell에서 get-netadapter 를 실행하여 찾기, ifIndex 값을 찾음) $gateway 해당 인터페이스의 기본 게이트웨이입니다(명령 프롬프트에서 ipconfig 를 실행하거나 (Get-NetIPConfiguration | Foreach IPv4DefaultGateway). PowerShell의 NextHop).
경로를 추가 한 후 명령 프롬프트 또는 PowerShell에서 route print를 실행하여 경로 테이블이 올바른지 확인할 수 있습니다.
최적화 범주의 모든 현재 IP 주소 범위에 대한 경로를 추가하려면 다음 스크립트 변형을 사용하여 Microsoft 365 IP 및 URL 웹 서비스에서 현재 IP 서브넷 최적화 집합을 쿼리하고 경로 테이블에 추가할 수 있습니다.
예제: 경로 테이블에 모든 최적화 서브넷 추가
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
실수로 잘못된 매개 변수를 사용하여 경로를 추가했거나 변경 사항을 되돌리려는 경우 다음 명령을 사용하여 방금 추가한 경로를 제거할 수 있습니다.
foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
최적화 IP에 대한 트래픽이 이 방식으로 라우팅되도록 VPN 클라이언트를 구성해야 합니다. 이렇게 하면 트래픽이 Microsoft 365 서비스 및 연결 엔드포인트를 사용자에게 최대한 가깝게 제공하는 Azure Front Door와 같은 Microsoft 365 서비스 프런트 도어와 같은 로컬 Microsoft 리소스를 활용할 수 있습니다. 이를 통해 전 세계 어디서나 사용자에게 고성능 수준을 제공할 수 있으며 사용자의 직접 송신이 몇 밀리초 내에 있을 수 있는 Microsoft의 세계적 수준의 글로벌 네트워크를 최대한 활용할 수 있습니다.
공통 VPN 플랫폼 사용 방법 가이드
이 섹션에서는 이 공간에서 가장 일반적인 파트너의 Microsoft 365 트래픽에 대한 분할 터널링을 구현하기 위한 자세한 가이드에 대한 링크를 제공합니다. 사용 가능한 가이드를 더 추가할 예정입니다.
- Windows 10 VPN 클라이언트: 네이티브 Windows 10 VPN 클라이언트를 사용하여 원격 작업자를 위한 Microsoft 365 트래픽 최적화
- Cisco Anyconnect: Office365의 Anyconnect 분할 터널 최적화
- Palo Alto GlobalProtect: VPN 분할 터널을 통해 Microsoft 365 트래픽 최적화 액세스 경로 제외
- F5 네트워크 BIG-IP APM: BIG-IP APM을 사용할 때 VPN을 통한 원격 액세스에서 Microsoft 365 트래픽 최적화
- Citrix 게이트웨이: Office 365용 Citrix 게이트웨이 VPN 분할 터널 최적화
- Pulse Secure: VPN Tunneling: Microsoft 365 애플리케이션을 제외하도록 분할 터널링을 구성하는 방법
- Check Point VPN: Microsoft 365 및 기타 SaaS 애플리케이션에 대한 분할 터널을 구성하는 방법
관련 문서
Microsoft 365에 대한 일반적인 VPN 분할 터널링 시나리오
VPN 분할 터널링을 위한 Teams 미디어 트래픽 보호
VPN 환경의 Stream 및 라이브 이벤트에 대한 특별 고려 사항
중국 사용자를 위한 Microsoft 365 성능 최적화
보안 전문가와 IT가 오늘날의 고유한 원격 작업 시나리오에서 최신 보안 제어를 달성할 수 있는 다른 방법(Microsoft 보안팀 블로그)
Microsoft에서 VPN 성능 향상: Windows 10 VPN 프로필을 사용하여 자동 연결 허용