Решения о маршрутизации для VPN
Сетевые маршруты необходимы сетевому стеку, чтобы понять, какой интерфейс использовать для исходящего трафика. Один из важнейших критериев принятия решений о конфигурация VPN состоит в том, хотите ли вы отправлять все данные по VPN (принудительное использование тоннеля) или передавать только часть данных по VPN (разделение туннеля). Это решение влияет на конфигурацию, планирование емкости и ожидания безопасности подключения.
Конфигурация разделение туннеля
В конфигурации с разделением туннеля можно указать маршруты, которые будут проходить через VPN, а весь другой трафик будут проходить через физический интерфейс.
Маршруты можно настроить с помощью VPNv2/<ProfileName>/RouteList параметра поставщика службы конфигурации VPNv2 (CSP).
Для каждого элемента маршрута в списке можно настроить следующие параметры:
- Адрес:
VPNv2/<ProfileName>/RouteList/<routeRowId>/Address - Размер префикса:
VPNv2/<ProfileName>/RouteList/<routeRowId>/Prefix - Маршрут исключения: V
VPNv2/<ProfileName>/RouteList/<routeRowId>/ExclusionRoute
С помощью WINDOWS VPN можно указать маршруты исключения, которые не должны проходить через физический интерфейс.
Для приложений VPN платформы UWP маршруты также можно добавить во время подключении через сервер.
Конфигурация принудительного использования туннеля
В конфигурации с принудительным туннелированием весь трафик проходит через VPN. Принудительное туннелирование является конфигурацией по умолчанию и вступает в силу, если маршруты не указаны.
Единственным последствием принудительного туннеля является обработка записей маршрутизации: маршруты VPN версии 4 и 6 по умолчанию (например , 0.0.0.0/0) добавляются в таблицу маршрутизации с более низкой метрикой, чем для других интерфейсов. Эта конфигурация отправляет трафик через VPN при условии, что в физическом интерфейсе нет определенного маршрута:
- Для встроенной VPN решение контролируется с помощью параметра MDM
VPNv2/ProfileName/NativeProfile/RoutingPolicyType - Для подключаемого модуля VPN UWP приложение управляет свойством . Если подключаемый модуль VPN указывает маршрут по умолчанию для IPv4 и IPv6 в качестве двух маршрутов включения, платформа VPN помечает подключение как Принудительное туннелирование.
Настройка маршрутизации
Сведения о настройке XML см. в разделе Параметры профиля VPN и VPNv2 CSP.
При настройке профиля VPN в Microsoft Intune можно включить конфигурацию разделенного туннеля:
После включения можно добавить маршруты, которые должны использовать VPN-подключение.
Связанные статьи
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по