Delen via


VPN split tunneling implementeren voor Microsoft 365

Opmerking

Dit artikel maakt deel uit van een reeks artikelen die betrekking hebben op Microsoft 365-optimalisatie voor externe gebruikers of wanneer u netwerkoptimalisaties implementeert waarbij routering op basis van IP-voorvoegsels nodig is om congestiepunten in uw netwerkinfrastructuur te omzeilen.

Microsoft stelt een strategie voor om de connectiviteit snel en efficiënt te verbeteren. Dit omvat een paar eenvoudige stappen om uw netwerkroutes bij te werken, zodat bepaalde belangrijke eindpunten overbelaste VPN-servers kunnen omzeilen. Door een vergelijkbaar of beter beveiligingsmodel toe te passen op verschillende lagen, hoeft u niet al het verkeer op het eindpunt van het bedrijfsnetwerk te beveiligen en kunt u Microsoft 365-verkeer routeren met kortere en efficiëntere netwerkpaden. Dit kan meestal binnen enkele uren worden gedaan en naar behoefte worden geschaald naar meerdere Microsoft 365-workloads.

VPN split tunneling implementeren

In dit artikel vindt u de eenvoudige stappen die nodig zijn voor het migreren van uw VPN-clientarchitectuur van een geforceerde VPN-tunnel naar een geforceerde VPN-tunnel met een paar vertrouwde uitzonderingen, vpn-gesplitst tunnelmodel #2 in Veelvoorkomende scenario's voor vpn-split tunneling voor Microsoft 365.

In het volgende diagram ziet u hoe de aanbevolen vpn-oplossing voor gesplitste tunnel werkt:

Details van vpn-oplossing voor gesplitste tunnel.

1. Identificeer de eindpunten die u wilt optimaliseren

In het artikel Microsoft 365-URL's en IP-adresbereiken identificeert Microsoft duidelijk de belangrijkste eindpunten die u nodig hebt om te optimaliseren en categoriseert ze als Optimaliseren. Deze kleine groep eindpunten is goed voor ongeveer 70% - 80% van het volume van het verkeer naar de Microsoft 365-service, inclusief de latentiegevoelige eindpunten, zoals die voor Teams-media. In wezen is dit het verkeer waar we speciaal voor moeten zorgen en is ook het verkeer dat een ongelooflijke druk zal uitoefenen op traditionele netwerkpaden en VPN-infrastructuur.

URL's in deze categorie hebben de volgende kenmerken:

  • Worden door Microsoft beheerde eindpunten gehost op microsoft-infrastructuur
  • IP-adressen hebben gepubliceerd die zijn toegewezen voor specifieke services
  • Lage wijzigingssnelheid
  • Bandbreedte en/of latentiegevoelig zijn
  • De vereiste beveiligingselementen kunnen worden geleverd in de service in plaats van inline op het netwerk
  • Ongeveer 70-80% van het volume van het verkeer naar de Microsoft 365-service

Zie Microsoft 365-eindpunten beheren voor meer informatie over Microsoft 365-eindpunten en hoe deze worden gecategoriseerd en beheerd.

In de meeste gevallen hoeft u alleen URL-eindpunten te gebruiken in een PAC-browserbestand waarin de eindpunten zijn geconfigureerd om direct te worden verzonden, in plaats van naar de proxy. Als u alleen de URL's voor de categorie Optimaliseren nodig hebt, gebruikt u de eerste query of gebruikt u de tweede query voor IP-voorvoegsels.

URL's optimaliseren

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.urls} | select -unique -ExpandProperty urls

IP-adresbereiken optimaliseren

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.ips} | select -unique -ExpandProperty ips

2. Gesplitste tunnel implementeren voor Microsoft 365-eindpunten

Nu we deze kritieke eindpunten hebben geïdentificeerd, moeten we ze wegleiden van de VPN-tunnel en toestaan dat ze de lokale internetverbinding van de gebruiker gebruiken om rechtstreeks verbinding te maken met de service. De manier waarop dit wordt bereikt, is afhankelijk van het VPN-product en het computerplatform dat wordt gebruikt, maar de meeste VPN-oplossingen staan een bepaalde configuratie van beleid toe om deze logica toe te passen. Zie HOWTO-handleidingen voor algemene VPN-platforms voor informatie over vpn-platformspecifieke split tunnel-richtlijnen.

Als u de oplossing handmatig wilt testen, kunt u het volgende PowerShell-voorbeeld uitvoeren om de oplossing op routetabelniveau te emuleren. In dit voorbeeld wordt een route toegevoegd voor elk van de IP-subnetten van Teams Media in de routetabel. U kunt de mediaprestaties van Teams testen voor en na het gebruik van het teams-netwerkevaluatieprogramma en het verschil in routes voor de opgegeven eindpunten bekijken.

Voorbeeld: Ip-subnetten van Teams Media toevoegen aan de routetabel

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = " 52.112.0.0/14, 52.122.0.0/15, 2603:1063::/38" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

In het voorgaande script is $intIndex de index van de interface die is verbonden met internet (zoek door get-netadapter uit te voeren in PowerShell; zoek naar de waarde van ifIndex) en $gateway de standaardgateway van die interface is (door ipconfig uit te voeren in een opdrachtprompt of (Get-NetIPConfiguration | Foreach IPv4DefaultGateway). NextHop in PowerShell).

Nadat u de routes hebt toegevoegd, kunt u controleren of de routetabel juist is door routeafdruk uit te voeren in een opdrachtprompt of PowerShell.

Als u routes wilt toevoegen voor alle huidige IP-adresbereiken in de categorie Optimaliseren, kunt u de volgende scriptvariatie gebruiken om een query uit te voeren op de Microsoft 365 IP- en URL-webservice voor de huidige set IP-subnetten optimaliseren en deze toe te voegen aan de routetabel.

Voorbeeld: Alle Optimize-subnetten toevoegen aan de routetabel

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

Als u per ongeluk routes met onjuiste parameters hebt toegevoegd of gewoon uw wijzigingen wilt herstellen, kunt u de routes verwijderen die u zojuist hebt toegevoegd met de volgende opdracht:

foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

De VPN-client moet zo worden geconfigureerd dat verkeer naar de OPTIMIZE-IP-adressen op deze manier wordt gerouteerd. Hierdoor kan het verkeer lokale Microsoft-resources gebruiken, zoals Microsoft 365 Service Front Doors , zoals de Azure Front Door die Microsoft 365-services en connectiviteitseindpunten zo dicht mogelijk bij uw gebruikers levert. Hierdoor kunnen we hoge prestatieniveaus leveren aan gebruikers, waar ze zich ook ter wereld bevinden en profiteren we optimaal van het wereldwijde netwerk van Microsoft, dat waarschijnlijk binnen een paar milliseconden van het directe uitgaand verkeer van uw gebruikers is.

HOWTO-handleidingen voor algemene VPN-platforms

Deze sectie bevat koppelingen naar gedetailleerde handleidingen voor het implementeren van split tunneling voor Microsoft 365-verkeer van de meest voorkomende partners in deze ruimte. Zodra deze beschikbaar zijn, voegen we meer handleidingen toe.

Overzicht: VPN split tunneling voor Microsoft 365

Veelvoorkomende scenario's voor vpn-split tunneling voor Microsoft 365

Teams-mediaverkeer beveiligen voor gesplitste VPN-tunneling

Speciale overwegingen voor Stream en livegebeurtenissen in VPN-omgevingen

Microsoft 365-prestatieoptimalisatie voor China-gebruikers

Microsoft 365-netwerkconnectiviteitsprincipes

Microsoft 365-netwerkverbindingen evalueren

Microsoft 365-netwerk en prestaties afstemmen

Alternatieve manieren voor beveiligingsprofessionals en IT om moderne beveiligingscontroles te realiseren in de huidige unieke scenario's voor extern werken (Microsoft Security Team-blog)

VPN-prestaties bij Microsoft verbeteren: Windows 10 VPN-profielen gebruiken om automatische verbindingen toe te staan

Uitvoeren op VPN: hoe Microsoft zijn externe werknemers verbonden houdt

Wereldwijd netwerk van Microsoft