VPN split tunneling implementeren voor Microsoft 365
Opmerking
Dit artikel maakt deel uit van een reeks artikelen die betrekking hebben op Microsoft 365-optimalisatie voor externe gebruikers of wanneer u netwerkoptimalisaties implementeert waarbij routering op basis van IP-voorvoegsels nodig is om congestiepunten in uw netwerkinfrastructuur te omzeilen.
- Zie Overzicht: VPN split tunneling voor Microsoft 365 voor een overzicht van het gebruik van VPN split tunneling om Microsoft 365-connectiviteit te optimaliseren voor externe gebruikers.
- Zie Algemene scenario's voor gesplitste VPN-tunneling voor Microsoft 365 voor een gedetailleerde lijst met scenario's voor gesplitste VPN-tunneling.
- Zie Teams-mediaverkeer beveiligen voor vpn-gesplitste tunneling voor hulp bij het beveiligen van Teams-mediaverkeer voor het beveiligen van Teams-mediaverkeer in vpn-split tunneling.
- Zie Speciale overwegingen voor Stream en livegebeurtenissen in VPN-omgevingen voor meer informatie over het configureren van Stream en livegebeurtenissen in VPN-omgevingen.
- Zie Optimalisatie van Microsoft 365-prestaties voor Gebruikers in China voor meer informatie over het optimaliseren van microsoft 365-tenantprestaties voor gebruikers in China.
Microsoft stelt een strategie voor om de connectiviteit snel en efficiënt te verbeteren. Dit omvat een paar eenvoudige stappen om uw netwerkroutes bij te werken, zodat bepaalde belangrijke eindpunten overbelaste VPN-servers kunnen omzeilen. Door een vergelijkbaar of beter beveiligingsmodel toe te passen op verschillende lagen, hoeft u niet al het verkeer op het eindpunt van het bedrijfsnetwerk te beveiligen en kunt u Microsoft 365-verkeer routeren met kortere en efficiëntere netwerkpaden. Dit kan meestal binnen enkele uren worden gedaan en naar behoefte worden geschaald naar meerdere Microsoft 365-workloads.
VPN split tunneling implementeren
In dit artikel vindt u de eenvoudige stappen die nodig zijn voor het migreren van uw VPN-clientarchitectuur van een geforceerde VPN-tunnel naar een geforceerde VPN-tunnel met een paar vertrouwde uitzonderingen, vpn-gesplitst tunnelmodel #2 in Veelvoorkomende scenario's voor vpn-split tunneling voor Microsoft 365.
In het volgende diagram ziet u hoe de aanbevolen vpn-oplossing voor gesplitste tunnel werkt:
1. Identificeer de eindpunten die u wilt optimaliseren
In het artikel Microsoft 365-URL's en IP-adresbereiken identificeert Microsoft duidelijk de belangrijkste eindpunten die u nodig hebt om te optimaliseren en categoriseert ze als Optimaliseren. Deze kleine groep eindpunten is goed voor ongeveer 70% - 80% van het volume van het verkeer naar de Microsoft 365-service, inclusief de latentiegevoelige eindpunten, zoals die voor Teams-media. In wezen is dit het verkeer waar we speciaal voor moeten zorgen en is ook het verkeer dat een ongelooflijke druk zal uitoefenen op traditionele netwerkpaden en VPN-infrastructuur.
URL's in deze categorie hebben de volgende kenmerken:
- Worden door Microsoft beheerde eindpunten gehost op microsoft-infrastructuur
- IP-adressen hebben gepubliceerd die zijn toegewezen voor specifieke services
- Lage wijzigingssnelheid
- Bandbreedte en/of latentiegevoelig zijn
- De vereiste beveiligingselementen kunnen worden geleverd in de service in plaats van inline op het netwerk
- Ongeveer 70-80% van het volume van het verkeer naar de Microsoft 365-service
Zie Microsoft 365-eindpunten beheren voor meer informatie over Microsoft 365-eindpunten en hoe deze worden gecategoriseerd en beheerd.
In de meeste gevallen hoeft u alleen URL-eindpunten te gebruiken in een PAC-browserbestand waarin de eindpunten zijn geconfigureerd om direct te worden verzonden, in plaats van naar de proxy. Als u alleen de URL's voor de categorie Optimaliseren nodig hebt, gebruikt u de eerste query of gebruikt u de tweede query voor IP-voorvoegsels.
URL's optimaliseren
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.urls} | select -unique -ExpandProperty urls
IP-adresbereiken optimaliseren
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.ips} | select -unique -ExpandProperty ips
2. Gesplitste tunnel implementeren voor Microsoft 365-eindpunten
Nu we deze kritieke eindpunten hebben geïdentificeerd, moeten we ze wegleiden van de VPN-tunnel en toestaan dat ze de lokale internetverbinding van de gebruiker gebruiken om rechtstreeks verbinding te maken met de service. De manier waarop dit wordt bereikt, is afhankelijk van het VPN-product en het computerplatform dat wordt gebruikt, maar de meeste VPN-oplossingen staan een bepaalde configuratie van beleid toe om deze logica toe te passen. Zie HOWTO-handleidingen voor algemene VPN-platforms voor informatie over vpn-platformspecifieke split tunnel-richtlijnen.
Als u de oplossing handmatig wilt testen, kunt u het volgende PowerShell-voorbeeld uitvoeren om de oplossing op routetabelniveau te emuleren. In dit voorbeeld wordt een route toegevoegd voor elk van de IP-subnetten van Teams Media in de routetabel. U kunt de mediaprestaties van Teams testen voor en na het gebruik van het teams-netwerkevaluatieprogramma en het verschil in routes voor de opgegeven eindpunten bekijken.
Voorbeeld: Ip-subnetten van Teams Media toevoegen aan de routetabel
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = " 52.112.0.0/14, 52.122.0.0/15, 2603:1063::/38" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
In het voorgaande script is $intIndex de index van de interface die is verbonden met internet (zoek door get-netadapter uit te voeren in PowerShell; zoek naar de waarde van ifIndex) en $gateway de standaardgateway van die interface is (door ipconfig uit te voeren in een opdrachtprompt of (Get-NetIPConfiguration | Foreach IPv4DefaultGateway). NextHop in PowerShell).
Nadat u de routes hebt toegevoegd, kunt u controleren of de routetabel juist is door routeafdruk uit te voeren in een opdrachtprompt of PowerShell.
Als u routes wilt toevoegen voor alle huidige IP-adresbereiken in de categorie Optimaliseren, kunt u de volgende scriptvariatie gebruiken om een query uit te voeren op de Microsoft 365 IP- en URL-webservice voor de huidige set IP-subnetten optimaliseren en deze toe te voegen aan de routetabel.
Voorbeeld: Alle Optimize-subnetten toevoegen aan de routetabel
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
Als u per ongeluk routes met onjuiste parameters hebt toegevoegd of gewoon uw wijzigingen wilt herstellen, kunt u de routes verwijderen die u zojuist hebt toegevoegd met de volgende opdracht:
foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
De VPN-client moet zo worden geconfigureerd dat verkeer naar de OPTIMIZE-IP-adressen op deze manier wordt gerouteerd. Hierdoor kan het verkeer lokale Microsoft-resources gebruiken, zoals Microsoft 365 Service Front Doors , zoals de Azure Front Door die Microsoft 365-services en connectiviteitseindpunten zo dicht mogelijk bij uw gebruikers levert. Hierdoor kunnen we hoge prestatieniveaus leveren aan gebruikers, waar ze zich ook ter wereld bevinden en profiteren we optimaal van het wereldwijde netwerk van Microsoft, dat waarschijnlijk binnen een paar milliseconden van het directe uitgaand verkeer van uw gebruikers is.
HOWTO-handleidingen voor algemene VPN-platforms
Deze sectie bevat koppelingen naar gedetailleerde handleidingen voor het implementeren van split tunneling voor Microsoft 365-verkeer van de meest voorkomende partners in deze ruimte. Zodra deze beschikbaar zijn, voegen we meer handleidingen toe.
- Windows 10 VPN-client: Microsoft 365-verkeer optimaliseren voor externe werknemers met de systeemeigen Windows 10 VPN-client
- Cisco Anyconnect: Anyconnect Split Tunnel optimaliseren voor Office365
- Palo Alto GlobalProtect: Microsoft 365-verkeer optimaliseren via VPN Split Tunnel Exclude Access Route
- F5 Networks BIG-IP APM: Microsoft 365-verkeer optimaliseren op externe toegang via VPN's bij gebruik van BIG-IP APM
- Citrix Gateway: Citrix Gateway VPN split tunnel optimaliseren voor Office365
- Pulse Secure: VPN-tunneling: split tunneling configureren om Microsoft 365-toepassingen uit te sluiten
- Check Point VPN: Split Tunnel configureren voor Microsoft 365 en andere SaaS-toepassingen
Verwante artikelen
Overzicht: VPN split tunneling voor Microsoft 365
Veelvoorkomende scenario's voor vpn-split tunneling voor Microsoft 365
Teams-mediaverkeer beveiligen voor gesplitste VPN-tunneling
Speciale overwegingen voor Stream en livegebeurtenissen in VPN-omgevingen
Microsoft 365-prestatieoptimalisatie voor China-gebruikers
Microsoft 365-netwerkconnectiviteitsprincipes
Microsoft 365-netwerkverbindingen evalueren
Microsoft 365-netwerk en prestaties afstemmen
Uitvoeren op VPN: hoe Microsoft zijn externe werknemers verbonden houdt