Zabezpieczanie ruchu multimediów aplikacji Teams na potrzeby tunelowania podziału sieci VPN
Uwaga
Ten artykuł jest częścią zestawu artykułów dotyczących optymalizacji platformy Microsoft 365 dla użytkowników zdalnych.
- Aby zapoznać się z omówieniem korzystania z tunelowania podzielonego sieci VPN w celu optymalizacji łączności platformy Microsoft 365 dla użytkowników zdalnych, zobacz Omówienie: tunelowanie podzielone sieci VPN dla platformy Microsoft 365.
- Aby uzyskać szczegółowe wskazówki dotyczące implementowania tunelowania podzielonego sieci VPN, zobacz Implementing VPN split tunneling for Microsoft 365 (Implementowanie tunelowania podzielonego sieci VPN dla platformy Microsoft 365).
- Aby uzyskać szczegółową listę scenariuszy tunelowania podzielonego sieci VPN, zobacz Typowe scenariusze tunelowania podzielonego sieci VPN dla platformy Microsoft 365.
- Aby uzyskać informacje o sposobie konfigurowania Stream i zdarzeń na żywo w środowiskach sieci VPN, zobacz Specjalne zagadnienia dotyczące Stream i zdarzeń na żywo w środowiskach sieci VPN.
- Aby uzyskać informacje na temat optymalizacji wydajności dzierżawy platformy Microsoft 365 na całym świecie dla użytkowników w Chinach, zobacz Optymalizacja wydajności platformy Microsoft 365 dla chińskich użytkowników.
Niektórzy administratorzy usługi Microsoft Teams mogą wymagać szczegółowych informacji na temat sposobu działania przepływów wywołań w usłudze Teams przy użyciu modelu tunelowania podzielonego i sposobu zabezpieczania połączeń.
Konfiguracja
Zarówno w przypadku wywołań, jak i spotkań, o ile wymagane podsieci IP optymalizacji dla nośników usługi Teams są prawidłowo używane w tabeli tras, gdy usługa Teams wywołuje funkcję GetBestRoute w celu określenia, który interfejs lokalny odpowiada trasie, której powinien używać dla określonego miejsca docelowego, interfejs lokalny zostanie zwrócony dla miejsc docelowych firmy Microsoft w blokach adresów IP firmy Microsoft wymienionych powyżej.
Niektóre oprogramowanie klienckie sieci VPN umożliwia manipulowanie routingiem na podstawie adresu URL. Jednak ruch multimedialny usługi Teams nie ma skojarzonego z nim adresu URL, dlatego należy kontrolować routing dla tego ruchu przy użyciu podsieci IP.
W niektórych scenariuszach, często niezwiązanych z konfiguracją klienta usługi Teams, ruch multimedialny nadal przechodzi przez tunel VPN nawet z odpowiednimi trasami. Jeśli wystąpi ten scenariusz, użycie reguły zapory w celu zablokowania podsieci IP lub portów usługi Teams przy użyciu sieci VPN powinno wystarczyć.
Ważna
Aby upewnić się, że ruch multimedialny usługi Teams jest kierowany za pomocą żądanej metody we wszystkich scenariuszach sieci VPN, upewnij się, że użytkownicy korzystają z klienta usługi Microsoft Teams w wersji 1.3.00.13565 lub nowszej . Ta wersja obejmuje ulepszenia sposobu wykrywania dostępnych ścieżek sieciowych przez klienta.
Ruch sygnałowy jest wykonywany za pośrednictwem protokołu HTTPS i nie jest tak wrażliwy na opóźnienie jak ruch multimedialny i jest oznaczony jako Zezwalaj w danych adresu URL/IP, a tym samym może być bezpiecznie kierowany przez klienta sieci VPN w razie potrzeby.
Uwaga
Przeglądarka Microsoft Edge 96 lub nowsza obsługuje również tunelowanie podzielone sieci VPN dla ruchu równorzędnego. Oznacza to, że klienci mogą na przykład korzystać z tunelowania podzielonego sieci VPN dla klientów internetowych usługi Teams w przeglądarce Edge. Klienci, którzy chcą skonfigurować ją dla witryn internetowych działających w przeglądarce Edge, mogą to osiągnąć, wykonując dodatkowy krok wyłączania zasad WebRtcRespectOsRoutingTableEnabled przeglądarki Edge.
Bezpieczeństwo
Jednym z typowych argumentów unikania tuneli podzielonych jest to, że jest to mniej bezpieczne, tj. każdy ruch, który nie przechodzi przez tunel VPN, nie skorzysta z jakiegokolwiek schematu szyfrowania stosowanego do tunelu VPN i dlatego jest mniej bezpieczny.
Głównym kontrargumentem jest to, że ruch multimedialny jest już szyfrowany za pośrednictwem protokołu SRTP (Secure Real-Time Transport Protocol), profilu protokołu Real-Time Transport Protocol (RTP), który zapewnia poufność, uwierzytelnianie i ochronę przed atakami odtwarzania dla ruchu RTP. Sam protokół SRTP opiera się na losowo wygenerowanym kluczu sesji, który jest wymieniany za pośrednictwem kanału sygnałowego zabezpieczonego przez protokół TLS. Jest to szczegółowo omówione w tym przewodniku po zabezpieczeniach, ale podstawową interesującą częścią jest szyfrowanie multimediów.
Ruch multimediów jest szyfrowany przy użyciu protokołu SRTP, który używa klucza sesji wygenerowanego przez bezpieczny generator liczb losowych i wymienianego przy użyciu kanału TLS sygnalizacji. Ponadto nośnik przepływający w obu kierunkach między serwerem mediacji a jego wewnętrznym następnym przeskokem jest również szyfrowany przy użyciu protokołu SRTP.
Skype dla firm Online generuje nazwy użytkownika/hasła w celu bezpiecznego dostępu do przekaźników multimediów za pośrednictwem przekaźników przy użyciu przekaźników wokół translatora adresów sieciowych (TURN). Przekaźniki multimediów wymieniają nazwę użytkownika/hasło za pośrednictwem kanału SIP zabezpieczonego przez protokół TLS. Warto zauważyć, że nawet jeśli tunel VPN może być używany do łączenia klienta z siecią firmową, ruch musi nadal przepływać w formularzu SRTP, gdy opuszcza sieć firmową, aby dotrzeć do usługi.
Informacje na temat sposobu, w jaki usługa Teams eliminuje typowe problemy z zabezpieczeniami, takie jak ataki wzmacniania połączeń głosowych lub narzędzi przechodzenia sesji na potrzeby ataków wzmacniania translatora adresów sieciowych (STUN), można znaleźć w artykule 5.1 Zagadnienia dotyczące zabezpieczeń dla implementatorów.
Możesz również przeczytać o nowoczesnych mechanizmach kontroli zabezpieczeń w scenariuszach pracy zdalnej w artykule Alternatywne sposoby dla specjalistów ds. zabezpieczeń i działu IT w celu uzyskania nowoczesnych mechanizmów kontroli zabezpieczeń w dzisiejszych unikatowych scenariuszach pracy zdalnej (blog zespołu ds. zabezpieczeń firmy Microsoft).
Testowanie
Po wprowadzeniu zasad należy potwierdzić, że działa zgodnie z oczekiwaniami. Istnieje wiele sposobów testowania ścieżki jest poprawnie ustawiona do korzystania z lokalnego połączenia internetowego:
Uruchom test łączności platformy Microsoft 365 , który będzie uruchamiał testy łączności, w tym trasy śledzenia, jak powyżej. Dodajemy również testy sieci VPN do tego narzędzia, które powinno również dostarczyć dodatkowych szczegółowych informacji.
Prosta kontrolka śledzenia punktu końcowego w zakresie tunelu podzielonego powinna pokazywać pobraną ścieżkę, na przykład:
tracert worldaz.tr.teams.microsoft.com
Następnie powinna zostać wyświetlona ścieżka za pośrednictwem lokalnego usługodawcy sieciowego do tego punktu końcowego, która powinna zostać rozpoznana jako adres IP w zakresach usługi Teams skonfigurowanych do tunelowania podzielonego.
Wykonaj przechwytywanie sieci przy użyciu narzędzia takiego jak Wireshark. Filtruj według protokołu UDP podczas wywołania i powinien zostać wyświetlony ruch przepływający do adresu IP w zakresie optymalizacji usługi Teams. Jeśli tunel VPN jest używany dla tego ruchu, ruch multimedialny nie będzie widoczny w śladzie.
Dodatkowe dzienniki pomocy technicznej
Jeśli potrzebujesz dalszych danych do rozwiązywania problemów lub żądasz pomocy od pomocy technicznej firmy Microsoft, uzyskanie poniższych informacji powinno umożliwić przyspieszenie znajdowania rozwiązania. Zestaw narzędzi uniwersalnego skryptu rozwiązywania problemów firmy Microsoft oparty na usłudze TSS Windows PowerShell może pomóc w prosty sposób zebrać odpowiednie dzienniki. Narzędzie i instrukcje dotyczące używania można znaleźć, pobierając TSS.zip tutaj oraz dodatkowe informacje na stronie Wprowadzenie do zestawu narzędzi TroubleShootingScript (TSS).
Artykuły pokrewne
Omówienie: tunelowanie podzielone sieci VPN dla platformy Microsoft 365
Implementowanie tunelowania podzielonego sieci VPN dla platformy Microsoft 365
Typowe scenariusze tunelowania podzielonego sieci VPN dla platformy Microsoft 365
Specjalne zagadnienia dotyczące Stream i wydarzeń na żywo w środowiskach sieci VPN
Optymalizacja wydajności platformy Microsoft 365 dla chińskich użytkowników
Zasady łączności sieciowej platformy Microsoft 365
Ocena łączności sieciowej na platformie Microsoft 365
Dostrajanie sieci i wydajności platformy Microsoft 365
Uruchamianie w sieci VPN: Jak firma Microsoft utrzymuje połączenie ze swoimi zdalnymi pracownikami