Внедрение раздельного VPN-туннелирования для Office 365Implementing VPN split tunneling for Office 365

Примечание

Этот раздел является частью набора тем, посвященных оптимизации Office 365 для удаленных пользователей.This topic is part of a set of topics that address Office 365 optimization for remote users.

На протяжении многих лет предприятия используют VPN для поддержки удаленных опытом для своих пользователей.For many years, enterprises have been using VPNs to support remote experiences for their users. Хотя основные рабочие нагрузки оставались локальными, VPN-доступ от удаленного клиента, маршрутизируемый через центр обработки данных в корпоративной сети, был основным способом доступа удаленных пользователей к корпоративным ресурсам.Whilst core workloads remained on-premises, a VPN from the remote client routed through a datacenter on the corporate network was the primary method for remote users to access corporate resources. Чтобы защитить эти соединения, предприятия создают уровни решений сетевой безопасности вдоль путей VPN.To safeguard these connections, enterprises build layers of network security solutions along the VPN paths. Эта безопасность была построена для защиты внутренней инфраструктуры и защиты мобильного просмотра внешних веб-сайтов путем перенастройки трафика в VPN, а затем по локальному периметру Интернета.This security was built to protect internal infrastructure and to safeguard mobile browsing of external web sites by rerouting traffic into the VPN and then out through the on-premises Internet perimeter. VPN, сетевые периметры и связанная инфраструктура безопасности часто были специально построены и масштабируются для определенного объема трафика, как правило, при этом большинство подключений инициируются из корпоративной сети, и большинство из них находятся в пределах внутренней сети.VPNs, network perimeters, and associated security infrastructure were often purpose-built and scaled for a defined volume of traffic, typically with most connectivity being initiated from within the corporate network, and most of it staying within the internal network boundaries.

В течение некоторого времени модели VPN, в которых все подключения с удаленного пользовательского устройства перенаправлялись обратно в локальную сеть (известную как принудительное туннелирование), были в основном устойчивыми, до тех пор пока количество удаленных пользователей было скромным и объемы трафика, пересекающие VPN, были низкими.For quite some time, VPN models where all connections from the remote user device are routed back into the on-premises network (known as forced tunneling) were largely sustainable as long as the concurrent scale of remote users was modest and the traffic volumes traversing VPN were low. Некоторые клиенты продолжали использовать принудительное VPN-туннелирование в качестве статус-кво даже после того, как их приложения переместились из корпоративного периметра в общедоступные облака SaaS, и Office 365 является ярким примером тому.Some customers continued to use VPN force tunneling as the status quo even after their applications moved from inside the corporate perimeter to public SaaS clouds, Office 365 being a prime example.

Использование вынужденных VPN-каналов для подключения к распределенным и чувствительным к производительности облачным приложениям является субоптимальным, но негативный эффект от этого, возможно, был принят некоторыми предприятиями, чтобы сохранить статус-кво с точки зрения безопасности.The use of forced tunneled VPNs for connecting to distributed and performance-sensitive cloud applications is suboptimal, but the negative effect of that may have been accepted by some enterprises so as to maintain the status quo from a security perspective. Пример схемы этого сценария можно увидеть ниже:An example diagram of this scenario can be seen below:

Конфигурация Split Tunnel VPN

Эта проблема растет на протяжении многих лет, и многие клиенты сообщают о значительном сдвиге шаблонов сетевого трафика.This problem has been growing for many years, with many customers reporting a significant shift of network traffic patterns. Трафик, который раньше был на месте, теперь подключается к внешним конечным точкам облака.Traffic that used to stay on premises now connects to external cloud endpoints. Многие клиенты Microsoft сообщают, что ранее около 80% их сетевого трафика приходилось на некоторый внутренний источник (обозначенный пунктирной линией на диаграмме выше).Numerous Microsoft customers report that previously, around 80% of their network traffic was to some internal source (represented by the dotted line in the above diagram). В 2020 году это число составляет около 20% или меньше, поскольку они перенесли основные рабочие нагрузки в облако, и эти тенденции не редкость для других предприятий.In 2020 that number is now around 20% or lower as they have shifted major workloads to the cloud, these trends are not uncommon with other enterprises. Со временем, по мере продвижения в облаке, описанная выше модель становится все более обременительной и неустойчивой, не позволяя организации быть гибкой, когда они переходят в облачный первый мир.Over time, as the cloud journey progresses, the above model becomes increasingly cumbersome and unsustainable, preventing an organization from being agile as they move into a cloud first world.

Всемирный кризис, вызванный COVID-19, обострил эту проблему и требует ее быстрого устранения.The worldwide COVID-19 crisis has escalated this problem to require immediate remediation. Необходимость обеспечения безопасности сотрудников вызвала беспрецедентные требования к корпоративным ИТ-специалистам для поддержки производительности на дому в массовом масштабе.The need to ensure employee safety has generated unprecedented demands on enterprise IT to support work-from-home productivity at a massive scale. Microsoft Office 365 может помочь клиентам выполнить этот спрос, но высокая емкость пользователей, работающих из дома, создает большой объем трафика Office 365, который, если проходить через принудительное VPN-канал и локальное сетевое периметры, вызывает быстрое насыщение и приводит к выходу из емкости инфраструктуры VPN.Microsoft Office 365 is well positioned to help customers fulfill that demand, but high concurrency of users working from home generates a large volume of Office 365 traffic which, if routed through forced tunnel VPN and on-premises network perimeters, causes rapid saturation and runs VPN infrastructure out of capacity. В этой новой реальности использование VPN для доступа к Office 365 больше не просто препятствие производительности, а твердая стена, которая влияет не только на Office 365, но и на критически важные бизнес-операции, которые по-прежнему должны полагаться на VPN для работы.In this new reality, using VPN to access Office 365 is no longer just a performance impediment, but a hard wall that not only impacts Office 365 but critical business operations that still have to rely on the VPN to operate.

В течение многих лет Microsoft тесно сотрудничает с заказчиками и отраслью в целом, чтобы предоставлять эффективные современные решения этих проблем в рамках наших собственных услуг и соответствовать лучшим отраслевым практикам.Microsoft has been working closely with customers and the wider industry for many years to provide effective, modern solutions to these problems from within our own services, and to align with industry best practice. Принципы подключения для службы Office 365 были разработаны для эффективной работы удаленных пользователей, в то же время позволяя организации поддерживать безопасность и контролировать их подключение.Connectivity principles for the Office 365 service have been designed to work efficiently for remote users whilst still allowing an organization to maintain security and control over their connectivity. Эти решения также могут быть реализованы быстро с ограниченной работой, но при этом могут оказать существенное положительное влияние на описанные выше проблемы.These solutions can also be implemented quickly with limited work yet achieve a significant positive impact on the problems outlined above.

Рекомендованная Microsoft стратегия оптимизации подключения удаленных сотрудников направлена на быстрое устранение проблем с помощью традиционного подхода, а также обеспечение высокой производительности за несколько простых шагов.Microsoft's recommended strategy for optimizing remote worker's connectivity is focused on rapidly alleviating the problems with the traditional approach and also providing high performance with a few simple steps. Эти действия корректируют устаревший VPN-подход для нескольких определенных конечных точек, которые обходят узкие VPN-серверы.These steps adjust the legacy VPN approach for a few defined endpoints that bypass bottlenecked VPN servers. Эквивалентная или даже превосходная модель безопасности может применяться на разных уровнях, чтобы избавить от необходимости защищать весь трафик на выходе корпоративной сети.An equivalent or even superior security model can be applied at different layers to remove the need to secure all traffic at the egress of the corporate network. В большинстве случаев это может быть эффективно достигнуто в течение нескольких часов, а затем масштабируется для других рабочих нагрузок, если этого требуют требования и время.In most cases this can be effectively achieved within hours and is then scalable to other workloads as requirements demand and time allows.

Общие сценарии VPNCommon VPN scenarios

В приведенном ниже списке вы увидите наиболее распространенные сценарии VPN, встречающиеся в корпоративных средах.In the list below you'll see the most common VPN scenarios seen in enterprise environments. Большинство клиентов традиционно используют модель 1 (VPN Forced Tunnel).Most customers traditionally operate model 1 (VPN Forced Tunnel). Этот раздел поможет вам быстро и безопасно перейти на модель 2, которая достижима с относительно небольшими усилиями и имеет огромные преимущества для производительности сети и пользовательского интерфейса.This section will help you to quickly and securely transition to model 2, which is achievable with relatively little effort, and has enormous benefits to network performance and user experience.

МодельModel ОписаниеDescription
1. VPN Принудительный туннель1. VPN Forced Tunnel 100% трафика идет в VPN-туннель, включая локальное подключение, Интернет и все O365/M365100% of traffic goes into VPN tunnel, including on-premise, Internet, and all O365/M365
2. VPN Forced Tunnel с несколькими исключениями2. VPN Forced Tunnel with few exceptions Туннель VPN используется по умолчанию (точки маршрута по умолчанию - VPN), с несколькими наиболее важными сценариями исключений, которые разрешены для прямого доступа.VPN tunnel is used by default (default route points to VPN), with few, most important exempt scenarios that are allowed to go direct
3. VPN Forced Tunnel с широкими исключениями3. VPN Forced Tunnel with broad exceptions Туннель VPN используется по умолчанию (точки маршрута по умолчанию - VPN), с широкими исключениями, которые разрешены для прямого доступа (например, все Office 365, All Salesforce, All Zoom)VPN tunnel is used by default (default route points to VPN), with broad exceptions that are allowed to go direct (such as all Office 365, All Salesforce, All Zoom)
4. VPN избирательный туннель4. VPN Selective Tunnel VPN-туннель используется только для служб, основанных на корсетях.VPN tunnel is used only for corpnet-based services. Маршрут по умолчанию (Интернет и все службы на основе Интернета) проходит напрямую.Default route (Internet and all Internet-based services) goes direct.
5. Без VPN5. No VPN Вариант #2, где вместо устаревших VPN все службы корсета публикуются с помощью современных подходов к безопасности (например, Zscaler ZPA, Azure Active Directory (Azure AD) Proxy/MCAS и т.д.)A variation of #2, where instead of legacy VPN, all corpnet services are published through modern security approaches (like Zscaler ZPA, Azure Active Directory (Azure AD) Proxy/MCAS, etc.)

1. VPN Принудительный туннель1. VPN Forced Tunnel

Это наиболее распространенный стартовый сценарий для большинства корпоративных клиентов.This is the most common starting scenario for most enterprise customers. Используется принудительный VPN, что означает, что 100% трафика направляется в корпоративную сеть независимо от того, находится конечная точка в корпоративной сети или нет.A forced VPN is used, which means 100% of traffic is directed into the corporate network regardless of the fact the endpoint resides within the corporate network or not. Любой внешний (интернет) связанный трафик, например Office 365 или просмотр в Интернете, затем привязывался к волосам из локального оборудования безопасности, например прокси-служб.Any external (Internet) bound traffic such as Office 365 or Internet browsing is then hair-pinned back out of the on premises security equipment such as proxies. В текущих условиях, когда почти 100% пользователей работают удаленно, эта модель создает высокую нагрузку на инфраструктуру VPN и, вероятно, значительно затруднит производительность всего корпоративного трафика и, следовательно, эффективно работать на предприятии в период кризиса.In the current climate with nearly 100% of users working remotely, this model therefore puts high load on the VPN infrastructure and is likely to significantly hinder performance of all corporate traffic and thus the enterprise to operate efficiently at a time of crisis.

VPN Принудительный туннель модель 1

2. VPN Принудительный туннель с небольшим количеством доверенных исключений2. VPN Forced Tunnel with a small number of trusted exceptions

Эта модель значительно эффективнее для работы предприятия, так как она позволяет нескольким контролируемым и определенным конечным точкам с очень высокой нагрузкой и задержкой, чувствительными к обходу VPN-туннеля и непосредственно к службе Office 365 в этом примере.This model is significantly more efficient for an enterprise to operate under as it allows a few controlled and defined endpoints that are very high load and latency sensitive to bypass the VPN tunnel and go direct to the Office 365 service in this example. Это значительно повышает производительность для разгруженных служб, а также снижает нагрузку на инфраструктуру VPN, что позволяет элементам, которые по-прежнему требуют от нее работать с более низким содержанием ресурсов.This significantly improves the performance for the offloaded services, and also decreases the load on the VPN infrastructure, thus allowing elements that still require it to operate with lower contention for resources. Именно эта модель в этой статье сосредоточена на оказании помощи при переходе на так, как это позволяет быстро принимать простые определенные действия с многочисленными положительными результатами.It is this model that this article concentrates on assisting with the transition to as it allows for simple, defined actions to be taken quickly with numerous positive outcomes.

Расщепление туннельных VPN-модели 2

3. принудительный туннель VPN с широкими исключениями3. VPN Forced Tunnel with broad exceptions

Третья модель расширяет область применения модели 2, так как вместо отправки небольшой группы определенных конечных точек напрямую отправляет весь трафик доверенным службам, таким как Office 365 и SalesForce.The third model broadens the scope of model two as rather than just sending a small group of defined endpoints direct, it instead sends all traffic directly to trusted services such Office 365 and SalesForce. Это еще больше снижает нагрузку на корпоративную инфраструктуру VPN и повышает производительность определенных услуг.This further reduces the load on the corporate VPN infrastructure and improves the performance of the services defined. Поскольку для оценки целесообразности и реализации этой модели, вероятно, будет уделяться больше времени, это, скорее всего, шаг, который можно принять итеративным образом позднее после успешного внедрения модели 2.As this model is likely to take more time to assess the feasibility of and implement, it is likely a step that can be taken iteratively at a later date once model two is successfully in place.

Разделенный туннель VPN модель 3

4. VPN Выборочный туннель4. VPN selective Tunnel

Эта модель переворачивает третью модель в том смысле, что по VPN-туннелю отправляется только трафик, идентифицированный как имеющий корпоративный IP-адрес, и, таким образом, интернет-путь является маршрутом по умолчанию для всего остального.This model reverses the third model in that only traffic identified as having a corporate IP address is sent down the VPN tunnel and thus the Internet path is the default route for everything else. Эта модель требует, чтобы организация была на пути к нулевому доверию и смогла безопасно реализовать эту модель.This model requires an organization to be well on the path to Zero Trust in able to safely implement this model. Следует отметить, что эта модель или ее разновидность, вероятно, со временем станут необходимыми значениями по умолчанию, поскольку все больше и больше служб уходят из корпоративной сети в облако.It should be noted that this model or some variation thereof will likely become the necessary default over time as more and more services move away from the corporate network and into the cloud. Microsoft использует эту модель внутри организации. Дополнительные сведения о внедрении раздельного VPN-туннелирования Microsoft см. в статье Запуск по VPN: как Microsoft поддерживает подключение своих удаленных сотрудников.Microsoft uses this model internally; you can find more information on Microsoft's implementation of VPN split tunneling at Running on VPN: How Microsoft is keeping its remote workforce connected.

Разделенный туннель VPN с модель 4

5. Без VPN5. No VPN

Более современная версия модели номер два, в которой любые внутренние службы публикуются с помощью современного подхода к безопасности или решения SDWAN, таких как Azure AD Proxy, MCAS, Zscaler ZPA и т.д.A more advanced version of model number two, whereby any internal services are published through a modern security approach or SDWAN solution such as Azure AD Proxy, MCAS, Zscaler ZPA, etc.

Разделенный туннель VPN с модель 5

Внедрение раздельного VPN-туннелированияImplement VPN split tunneling

В этом разделе вы найдете простые действия, необходимые для переноса архитектуры VPN-клиентов из принудительного туннеля VPN в принудительный туннель VPN с небольшим количеством доверенных исключений, модель vpn split tunnel #2 в распространенных сценариях VPN.In this section, you'll find the simple steps required to migrate your VPN client architecture from a VPN forced tunnel to a VPN forced tunnel with a small number of trusted exceptions, VPN split tunnel model #2 in Common VPN scenarios.

На приведенной ниже диаграмме показано, как работает рекомендуемое VPN-решение для разделения туннелейThe diagram below illustrates how the recommended VPN split tunnel solution works:

Сведения о разделении VPN-решения для туннеля

1. Определите конечные точки для оптимизации1. Identify the endpoints to optimize

В разделе URL-адресов и диапазонов IP-адресов Office 365 корпорация Майкрософт четко определяет ключевые конечные точки, которые необходимо оптимизировать, и классифицирует их как Оптимизировать.In the Office 365 URLs and IP address ranges topic, Microsoft clearly identifies the key endpoints you need to optimize and categorizes them as Optimize. В настоящее время существует всего четыре URL-адреса и 20 IP-подсетей, которые необходимо оптимизировать.There are currently just four URLS and 20 IP subnets that need to be optimized. На эту небольшую группу конечных точек приходится около 70% - 80% объема трафика в службу Office 365, включая чувствительные к задержкам конечные точки, например, для Teams СМИ.This small group of endpoints accounts for around 70% - 80% of the volume of traffic to the Office 365 service including the latency sensitive endpoints such as those for Teams media. По сути, это трафик, который нам необходимо заботиться, а также трафик, который будет оказывать невероятное давление на традиционные сетевые пути и ИНФРАСТРУКТУРУ VPN.Essentially this is the traffic that we need to take special care of and is also the traffic that will put incredible pressure on traditional network paths and VPN infrastructure.

URL в этой категории имеют следующие характеристики:URLs in this category have the following characteristics:

  • Находятся ли Microsoft в собственности и управляются конечными точками, размещенными на инфраструктуре MicrosoftAre Microsoft owned and managed endpoints, hosted on Microsoft infrastructure
  • Есть IP-адресаHave IPs provided
  • Низкий уровень изменений и, как ожидается, останется небольшим числом (в настоящее время 20 IP-подсетей)Low rate of change and are expected to remain small in number (currently 20 IP subnets)
  • Чувствительны ли пропускная способность и / или задержкаAre bandwidth and/or latency sensitive
  • Могут иметь необходимые элементы безопасности, предоставляемые в сервисе, а не встроенные в сетьAre able to have required security elements provided in the service rather than inline on the network
  • На его долю приходится около 70-80% объема трафика службы Office 365Account for around 70-80% of the volume of traffic to the Office 365 service

Для получения дополнительной информации о конечных точках Office 365 и о том, как они классифицируются и управляются, см. статью Управление конечными точками Office 365.For more information about Office 365 endpoints and how they are categorized and managed, see the article Managing Office 365 endpoints.

Оптимизация URL-адресовOptimize URLs

Текущие URL-адреса оптимизации можно найти в таблице ниже.The current Optimize URLs can be found in the table below. В большинстве случаев необходимо использовать конечные точки URL-адреса только в файле PAC браузера, в котором конечные точки настроены на прямую отправку, а не на прокси-сервер.Under most circumstances, you should only need to use URL endpoints in a browser PAC file where the endpoints are configured to be sent direct, rather than to the proxy.

Оптимизация URL-адресовOptimize URLs Порт/протоколPort/Protocol НазначениеPurpose
https://outlook.office365.com TCP 443TCP 443 Это один из основных URL-адресов, которые Outlook использует для подключения к своему серверу Exchange Online, и он использует большой объем трафика и количество подключений.This is one of the primary URLs Outlook uses to connect to its Exchange Online server and has a high volume of bandwidth usage and connection count. Низкая задержка в сети требуется для сетевых функций, включая: мгновенный поиск, другие календари почтовых ящиков, поиск занятости / занятости, управление правилами и оповещениями, онлайн-архив Exchange, отправка электронных писем из папки «Исходящие».Low network latency is required for online features including: instant search, other mailbox calendars, free / busy lookup, manage rules and alerts, Exchange online archive, emails departing the outbox.
https://outlook.office.com TCP 443TCP 443 Этот URL-адрес используется для Outlook Online Web Access для подключения к серверу Exchange Online и чувствителен к задержке в сети.This URL is used for Outlook Online Web Access to connect to Exchange Online server, and is sensitive to network latency. Связь особенно необходима для загрузки и выгрузки больших файлов с помощью SharePoint Online.Connectivity is particularly required for large file upload and download with SharePoint Online.
https:// <tenant> .sharepoint.comhttps://<tenant>.sharepoint.com TCP 443TCP 443 Это основной URL-адрес SharePoint Online и с высокой пропускной способностью.This is the primary URL for SharePoint Online and has high-bandwidth usage.
https:// <tenant> -my.sharepoint.comhttps://<tenant>-my.sharepoint.com TCP 443TCP 443 Это основной URL-адрес для OneDrive для бизнеса, он имеет высокую пропускную способность и, возможно, большое количество подключений из инструмента OneDrive для бизнеса Sync.This is the primary URL for OneDrive for Business and has high bandwidth usage and possibly high connection count from the OneDrive for Business Sync tool.
Команды Media IPs (без URL)Teams Media IPs (no URL) UDP 3478, 3479, 3480, и 3481UDP 3478, 3479, 3480, and 3481 Распределение обнаружения ретрансляторов и трафик в режиме реального времени (3478), аудио (3479), видео (3480) и совместное использование видеоэкранов (3481).Relay Discovery allocation and real-time traffic (3478), Audio (3479), Video (3480), and Video Screen Sharing (3481). Это конечные точки, используемые для Skype для бизнеса и Microsoft Teams мультимедиа (вызовы, собрания и т.д.).These are the endpoints used for Skype for Business and Microsoft Teams Media traffic (calls, meetings, etc.). Большинство конечных точек предоставляются, когда клиент Microsoft Teams устанавливает вызов (и содержатся в IP-адресах, указанных для службы).Most endpoints are provided when the Microsoft Teams client establishes a call (and are contained within the required IPs listed for the service). Использование протокола UDP требуется для оптимального качества медиа.Use of the UDP protocol is required for optimal media quality.

В приведенных выше примерах арендатор должен быть заменен именем вашего клиента Office 365.In the above examples, tenant should be replaced with your Office 365 tenant name. Например, contoso.onmicrosoft.com будет использовать contoso.sharepoint.com и constoso-my.sharepoint.com.For example, contoso.onmicrosoft.com would use contoso.sharepoint.com and constoso-my.sharepoint.com.

Оптимизировать диапазоны IP-адресовOptimize IP address ranges

На момент написания этих конечных точек диапазоны IP соответствуют следующим образом.At the time of writing the IP ranges that these endpoints correspond to are as follows. Настоятельно рекомендуется использовать сценарий, например этот пример, веб-службу Office 365 IP и URL-адресов или страницу URL-адресов и IP-адресов для проверки всех обновлений при применении конфигурации и регулярного применения политики. It is very strongly advised you use a script such as this example, the Office 365 IP and URL web service or the URL/IP page to check for any updates when applying the configuration, and put a policy in place to do so regularly.

104.146.128.0/17
13.107.128.0/22
13.107.136.0/22
13.107.18.10/31
13.107.6.152/31
13.107.64.0/18
131.253.33.215/32
132.245.0.0/16
150.171.32.0/22
150.171.40.0/22
191.234.140.0/22
204.79.197.215/32
23.103.160.0/20
40.104.0.0/15
40.108.128.0/17
40.96.0.0/13
52.104.0.0/14
52.112.0.0/14
52.96.0.0/14
52.120.0.0/14

2. Оптимизируйте доступ к этим конечным точкам через VPN2. Optimize access to these endpoints via the VPN

Теперь, когда мы определили эти критические конечные точки, нам нужно отвести их от VPN-туннеля и позволить им использовать локальное интернет-соединение пользователя для прямого подключения к услуге.Now that we have identified these critical endpoints, we need to divert them away from the VPN tunnel and allow them to use the user's local Internet connection to connect directly to the service. Способ, которым это выполняется, зависит от используемого продукта VPN и платформы компьютера, но большинство решений VPN позволяют применять эту логику в некоторой простой конфигурации политики.The manner in which this is accomplished will vary depending on the VPN product and machine platform used but most VPN solutions will allow some simple configuration of policy to apply this logic. Дополнительные сведения об разделениях связанных туннелей для платформ VPN см. в статье инструкции по выбору распространенных платформ VPN.For information VPN platform-specific split tunnel guidance, see HOWTO guides for common VPN platforms.

Если вы хотите протестировать решение вручную, вы можете выполнить следующий пример PowerShell, чтобы эмулировать решение на уровне таблицы маршрутов.If you wish to test the solution manually, you can execute the following PowerShell example to emulate the solution at the route table level. В этом примере добавляется маршрут для каждой из подсетей Teams Media IP в таблицу маршрутов.This example adds a route for each of the Teams Media IP subnets into the route table. Вы можете протестировать производительность мультимедии Teams до и после и наблюдать разницу в маршрутах для указанных конечных точек.You can test Teams media performance before and after, and observe the difference in routes for the specified endpoints.

Пример: добавление IP-подсетей Teams Media в таблицу маршрутовExample: Add Teams Media IP subnets into the route table

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = "52.120.0.0/14", "52.112.0.0/14", "13.107.64.0/18" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

В приведенном выше сценарии $intIndex - это индекс интерфейса, подключенного к Интернету (найдите, запустив get-netadapter в PowerShell; найдите значение ifIndex), а $gateway - это шлюз по умолчанию для этого интерфейса (найдите, запустив ipconfig в командную строку или (Get-NetIPConfiguration | Foreach IPv4DefaultGateway) .NextHop в PowerShell).In the above script, $intIndex is the index of the interface connected to the internet (find by running get-netadapter in PowerShell; look for the value of ifIndex) and $gateway is the default gateway of that interface (find by running ipconfig in a command prompt or (Get-NetIPConfiguration | Foreach IPv4DefaultGateway).NextHop in PowerShell).

После добавления маршрутов вы можете подтвердить правильность таблицы маршрутов, запустив печать маршрута в командной строке или PowerShell.Once you have added the routes, you can confirm that the route table is correct by running route print in a command prompt or PowerShell. Вывод должен содержать маршруты, которые вы добавили, показывая индекс интерфейса (22 в этом примере) и шлюз для этого интерфейса (192.168.1.1 в этом примере):The output should contain the routes you added, showing the interface index (22 in this example) and the gateway for that interface (192.168.1.1 in this example):

Маршрут печати на выходе

Чтобы добавить маршруты для всех текущих диапазонов IP-адресов в категории «Оптимизировать», можно использовать следующий вариант сценария, чтобы запросить веб-службу IP-адресов и URL-адресов Office 365 для текущего набора подсетей «Оптимизировать IP» и добавить их в таблицу маршрутов.To add routes for all current IP address ranges in the Optimize category, you can use the following script variation to query the Office 365 IP and URL web service for the current set of Optimize IP subnets and add them to the route table.

Пример: добавление всех подсетей оптимизации в таблицу маршрутовExample: Add all Optimize subnets into the route table

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

Если вы случайно добавили маршруты с неверными параметрами или просто хотите отменить изменения, вы можете удалить только что добавленные маршруты с помощью следующей команды:If you inadvertently added routes with incorrect parameters or simply wish to revert your changes, you can remove the routes you just added with the following command:

foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

Клиент VPN должен быть настроен таким образом, чтобы трафик на IP-адреса Оптимизация направлялся таким образом.The VPN client should be configured so that traffic to the Optimize IPs are routed in this way. Это позволяет трафику использовать локальные ресурсы Майкрософт, такие как Office 365 входные двери службы, такие как входная дверь Azure, которая предоставляет Office 365 и конечные точки подключения как можно ближе к пользователям.This allows the traffic to utilize local Microsoft resources such as Office 365 Service Front Doors such as the Azure Front Door that deliver Office 365 services and connectivity endpoints as close to your users as possible. Это позволяет нам предоставлять пользователям высокие уровни производительности, где бы они ни были в мире, и в полной мере использовать глобальную сеть microsoft мирового класса,которая, скорее всего, находится в пределах нескольких миллисекунд от прямого отступа пользователей.This allows us to deliver high performance levels to users wherever they are in the world and takes full advantage of Microsoft's world class global network, which is likely within a few milliseconds of your users' direct egress.

Конфигурирование и защита Teams медиа-трафикаConfiguring and securing Teams media traffic

Некоторым администраторам может потребоваться более подробная информация о том, как потоки звонков работают в Teams при использовании модели раздельного туннелирования и как защищены подключения.Some administrators may require more detailed information on how call flows operate in Teams using a split tunneling model and how connections are secured.

НастройкаConfiguration

Для вызовов и собраний, если необходимые подсети Оптимизируйте IP для Teams мультимедиа правильно на месте в таблице маршрутов, когда Teams вызывает функцию GetBestRoute, чтобы определить, какой локальный интерфейс соответствует маршруту, который он должен использовать для определенного назначения, локальный интерфейс будет возвращен для назначений Microsoft в указанных выше блоках IP Microsoft.For both calls and meetings, as long as the required Optimize IP subnets for Teams media are correctly in place in the route table, when Teams calls the GetBestRoute function to determine which local interface corresponds to the route it should use for a particular destination, the local interface will be returned for Microsoft destinations in the Microsoft IP blocks listed above.

Некоторое программное обеспечение VPN-клиента позволяет управлять маршрутизацией на основе URL.Some VPN client software allows routing manipulation based on URL. Однако медиа-трафик команд не имеет URL-адреса, связанного с ним, поэтому управление маршрутизацией для этого трафика должно осуществляться с использованием IP-подсетей.However, Teams media traffic has no URL associated with it, so control of routing for this traffic must be done using IP subnets.

В определенных сценариях, которые часто не связаны с конфигурацией клиента команд, трафик мультимедиа по-прежнему проходит через VPN-туннель даже при наличии правильных маршрутов.In certain scenarios, often unrelated to Teams client configuration, media traffic still traverses the VPN tunnel even with the correct routes in place. Если вы столкнулись с этим сценарием, достаточно использовать правило брандмауэра, чтобы заблокировать доступ Teams ip-сети или порты к использованию VPN.If you encounter this scenario, then using a firewall rule to block the Teams IP subnets or ports from using the VPN should suffice.

Важно!

Чтобы убедиться Teams что трафик мультимедиа передается по нужному методу во всех сценариях VPN, убедитесь, что пользователи работают Microsoft Teams клиентской версии 1.3.00.13565 или больше.To ensure Teams media traffic is routed via the desired method in all VPN scenarios, please ensure users are running Microsoft Teams client version 1.3.00.13565 or greater. Эта версия содержит улучшения в обнаружении клиентом доступных сетевых путей.This version includes improvements in how the client detects available network paths.

Сигнальный трафик выполняется через HTTPS и не так чувствителен к задержке, как трафик мультимедиа, и помечен как Разрешить в URL-адресе/IP-данных и, таким образом, можно безопасно маршрутизировать через VPN-клиент при желании.Signaling traffic is performed over HTTPS and is not as latency sensitive as the media traffic and is marked as Allow in the URL/IP data and thus can safely be routed through the VPN client if desired.

БезопасностьSecurity

Одним из распространенных аргументов для избежания разделения туннелей является то, что это менее безопасно, т. Е.One common argument for avoiding split tunnels is that it is less secure to do so, i.e Любой трафик, который не проходит через VPN-туннель, не выиграет от какой-либо схемы шифрования, применяемой к VPN-туннелю, и поэтому является менее безопасным.any traffic that does not go through the VPN tunnel will not benefit from whatever encryption scheme is applied to the VPN tunnel, and is therefore less secure.

Основным контраргументом этого является то, что медиа-трафик уже зашифрован с помощью безопасного транспортного протокола реального времени (SRTP), профиля транспортного протокола реального времени (RTP), который обеспечивает конфиденциальность, аутентификацию и защиту от атак повторного воспроизведения для трафика RTP.The main counter-argument to this is that media traffic is already encrypted via Secure Real-Time Transport Protocol (SRTP), a profile of Real-Time Transport Protocol (RTP) that provides confidentiality, authentication, and replay attack protection to RTP traffic. Сам SRTP использует случайно сгенерированный сеансовый ключ, которым обмениваются через защищенный канал сигнализации TLS.SRTP itself relies on a randomly generated session key, which is exchanged via the TLS secured signaling channel. Это подробно описано в этом руководстве по безопасности, но основной раздел, представляющий интерес, - это шифрование мультимедиа.This is covered in great detail within this security guide, but the primary section of interest is media encryption.

Медиа-трафик шифруется с использованием SRTP, который использует сеансовый ключ, генерируемый безопасным генератором случайных чисел и обменивающийся с использованием канала TLS сигнализации.Media traffic is encrypted using SRTP, which uses a session key generated by a secure random number generator and exchanged using the signaling TLS channel. Кроме того, носитель, проходящий в обоих направлениях между сервером-посредником и его внутренним следующим участком, также шифруется с использованием SRTP.In addition, media flowing in both directions between the Mediation Server and its internal next hop is also encrypted using SRTP.

Skype для бизнеса Online генерирует имя пользователя / пароли для безопасного доступа к медиа-ретрансляторам через обход через ретрансляторы NAT (TURN).Skype for Business Online generates username/passwords for secure access to media relays over Traversal Using Relays around NAT (TURN). Мультимедийное реле обмениваются именем пользователя/паролем через SIP-канал с поддержкой TLS.Media relays exchange the username/password over a TLS-secured SIP channel. Стоит отметить, что хотя VPN-туннель может использоваться для подключения клиента к корпоративной сети, трафик все еще должен проходить в форме SRTP, когда он покидает корпоративную сеть для доступа к услуге.It is worth noting that even though a VPN tunnel may be used to connect the client to the corporate network, the traffic still needs to flow in its SRTP form when it leaves the corporate network to reach the service.

Сведения о том, Teams устраняет распространенные проблемы безопасности, такие как атаки усиления голосовой связи или обхода сеансов для атак на nat (STUN), можно найти в 5.1 Security Considerations for Implementers.Information on how Teams mitigates common security concerns such as voice or Session Traversal Utilities for NAT (STUN) amplification attacks can be found in 5.1 Security Considerations for Implementers.

Вы также можете прочитать о современных средствах управления безопасностью в сценариях удаленной работы в разделе Альтернативные способы для специалистов по безопасности и ИТ для достижения современных средств управления безопасностью в сегодняшних уникальных сценариях удаленной работы (блог Microsoft Security Team).You can also read about modern security controls in remote work scenarios at Alternative ways for security professionals and IT to achieve modern security controls in today's unique remote work scenarios (Microsoft Security Team blog).

ТестированиеTesting

После того, как политика введена в действие, вы должны подтвердить, что она работает как положено.Once the policy is in place, you should confirm it is working as expected. Существует несколько способов проверки правильности установки пути для использования локального подключения к Интернету:There are multiple ways of testing the path is correctly set to use the local Internet connection:

  • Запустите тест Microsoft 365 подключения, который будет запускать тесты подключения для вас, включая маршруты трассировки, как выше.Run the Microsoft 365 connectivity test that will run connectivity tests for you including trace routes as above. Мы также добавляем в VPN-тесты этот инструментарий, который также должен предоставить дополнительные сведения.We're also adding in VPN tests into this tooling that should also provide additional insights.

  • Простой tracert к конечной точке в пределах области разделенного туннеля должен показать выбранный путь, например:A simple tracert to an endpoint within scope of the split tunnel should show the path taken, for example:

    tracert worldaz.tr.teams.microsoft.com
    

    Затем следует увидеть путь через локальный интернет-портал к этой конечной точке, который должен разрешить ip в диапазоне Teams, настроенных для раздельного туннелинга.You should then see a path via the local ISP to this endpoint that should resolve to an IP in the Teams ranges we have configured for split tunneling.

  • Сделайте захват сети с помощью такого инструмента, как Wireshark.Take a network capture using a tool such as Wireshark. Отфильтруйте по UDP во время вызова, и вы увидите трафик, идущий на IP, в диапазоне Оптимизации Teams.Filter on UDP during a call and you should see traffic flowing to an IP in the Teams Optimize range. Если VPN-туннель используется для этого трафика, медиа-трафик не будет виден в трассировке.If the VPN tunnel is being used for this traffic, then the media traffic will not be visible in the trace.

Дополнительные журналы поддержкиAdditional support logs

Если вам нужны дополнительные данные для устранения неполадок или вы запрашиваете помощь от службы поддержки Microsoft, получение следующей информации должно помочь вам ускорить поиск решения.If you need further data to troubleshoot, or are requesting assistance from Microsoft support, obtaining the following information should allow you to expedite finding a solution. Универсальный инструментарий сценариев устранения неполадок Windows microsoft support's TSS Windows может помочь вам собрать соответствующие журналы простым способом.Microsoft support's TSS Windows CMD-based universal TroubleShooting Script toolset can help you to collect the relevant logs in a simple manner. Инструмент и инструкции по применению можно найти по адресу https://aka.ms/TssTools.The tool and instructions on use can be found at https://aka.ms/TssTools.

Рекомендации по выбору распространенных платформ VPNHOWTO guides for common VPN platforms

В этом разделе приведены ссылки на подробные руководства по внедрению раздельного туннелирования для трафика Office 365 от самых распространенных партнеров в этом пространстве.This section provides links to detailed guides for implementing split tunneling for Office 365 traffic from the most common partners in this space. Мы добавим дополнительные руководства по мере их появления.We'll add additional guides as they become available.

Вопросы и ответыFAQ

Группа безопасности Майкрософт опубликовала статью, в которую излагаются основные пути для специалистов по безопасности, и ИТ-специалисты могут обеспечить современные средства управления безопасностью в современных уникальных удаленных сценариях работы. The Microsoft Security Team has published an article that outlines key ways for security professionals and IT can achieve modern security controls in today's unique remote work scenarios. Кроме того, ниже приведены некоторые распространенные вопросы и ответы клиентов по этому вопросу.In addition, below are some of the common customer questions and answers on this subject.

Как я могу запретить пользователям доступ к другим арендаторам, которым я не доверяю, где они могут отфильтровать данные?How do I stop users accessing other tenants I do not trust where they could exfiltrate data?

Ответ - функция, называемая ограничениями арендатора.The answer is a feature called tenant restrictions. Трафик аутентификации не имеет большого объема и не особенно чувствителен к задержке, поэтому его можно отправить через решение VPN на локальный прокси-сервер, где применяется данная функция.Authentication traffic is not high volume nor especially latency sensitive so can be sent through the VPN solution to the on-premises proxy where the feature is applied. Здесь сохраняется допустимый список доверенных клиентов, и если клиент пытается получить маркер для клиента, которому не доверяют, прокси-сервер просто отказано в запросе.An allow list of trusted tenants is maintained here and if the client attempts to obtain a token to a tenant that is not trusted, the proxy simply denies the request. Если арендатору доверяют, токен доступен, если у пользователя есть необходимые учетные данные и права.If the tenant is trusted, then a token is accessible if the user has the right credentials and rights.

Поэтому, несмотря на то, что пользователь может сделать подключение TCP/UDP к отмеченным выше конечным точкам Оптимизируйте, без допустимой маркерной записи для доступа к клиенту, он просто не может войти и получить доступ к любым данным.So even though a user can make a TCP/UDP connection to the Optimize marked endpoints above, without a valid token to access the tenant in question, they simply cannot log in and access/move any data.

Разрешает ли эта модель доступ к потребительским службам, таким как личные учетные записи OneDrive?Does this model allow access to consumer services such as personal OneDrive accounts?

Нет, это не так, конечные точки Office 365 не совпадают с потребительскими службами (например, Onedrive.live.com), поэтому разделенный туннель не позволит пользователю получить прямой доступ к потребительским службам.No, it does not, the Office 365 endpoints are not the same as the consumer services (Onedrive.live.com as an example) so the split tunnel will not allow a user to directly access consumer services. Трафик к конечным точкам потребителей будет продолжать использовать VPN-туннель, и существующие политики будут продолжать применяться.Traffic to consumer endpoints will continue to use the VPN tunnel and existing policies will continue to apply.

Как применить DLP и защитить свои конфиденциальные данные, когда трафик больше не проходит через мое локальное решение?How do I apply DLP and protect my sensitive data when the traffic no longer flows through my on-premises solution?

Чтобы предотвратить случайное раскрытие конфиденциальной информации, Office 365 имеет богатый набор встроенных инструментов.To help you prevent the accidental disclosure of sensitive information, Office 365 has a rich set of built-in tools. Вы можете использовать встроенные возможности DLP Teams и SharePoint для обнаружения ненадлежащим образом хранимых или передаваемых конфиденциальных данных.You can use the built-in DLP capabilities of Teams and SharePoint to detect inappropriately stored or shared sensitive information. Если часть вашей стратегии удаленной работы включает политику bring-your-own-device (BYOD), вы можете использовать условный доступ на основе приложений, чтобы предотвратить скачивание конфиденциальных данных на личные устройства пользователей.If part of your remote work strategy involves a bring-your-own-device (BYOD) policy, you can use app-based Conditional Access to prevent sensitive data from being downloaded to users' personal devices

Как мне оценить и поддерживать контроль над аутентификацией пользователей, когда они подключаются напрямую?How do I evaluate and maintain control of the user's authentication when they are connecting directly?

В дополнение к функции ограничения арендатора, отмеченной в В1, политики условного доступа могут применяться для динамической оценки риска запроса аутентификации и соответствующей реакции.In addition to the tenant restrictions feature noted in Q1, conditional access policies can be applied to dynamically assess the risk of an authentication request and react appropriately. Microsoft рекомендует, чтобы модель нулевого доверия внедрялась с течением времени, и мы можем использовать политики условного доступа Azure AD для обеспечения контроля в мобильных и облачных системах.Microsoft recommends the Zero Trust model is implemented over time and we can use Azure AD conditional access policies to maintain control in a mobile and cloud first world. Политики условного доступа могут использоваться для принятия в реальном времени решения об успешности запроса на проверку подлинности на основе многочисленных факторов, таких как:Conditional access policies can be used to make a real-time decision on whether an authentication request is successful based on numerous factors such as:

  • Устройство, устройство известно / доверено / домен присоединен?Device, is the device known/trusted/Domain joined?
  • IP - запрос на аутентификацию поступает с известного корпоративного IP-адреса?IP – is the authentication request coming from a known corporate IP address? Или из страны, которой мы не доверяем?Or from a country we do not trust?
  • Приложение - авторизован ли пользователь для использования этого приложения?Application – Is the user authorized to use this application?

Затем мы можем запустить политику, такую как одобрить, запустить MFA или заблокировать аутентификацию на основе этих политик.We can then trigger policy such as approve, trigger MFA or block authentication based on these policies.

Как мне защитить себя от вирусов и вредоносных программ?How do I protect against viruses and malware?

Кроме того, Office 365 обеспечивает защиту для отмеченных конечных точек Оптимизация на различных уровнях в самой службе, описанной в этом документе.Again, Office 365 provides protection for the Optimize marked endpoints in various layers in the service itself, outlined in this document. Как отмечалось, гораздо эффективнее предоставлять эти элементы безопасности в самой службе, а не пытаться делать это в соответствии с устройствами, которые могут не полностью понимать протоколы и трафик. По умолчанию SharePoint Online автоматически сканирует отправки файлов на известные вредоносные программыAs noted, it is vastly more efficient to provide these security elements in the service itself rather than try to do it in line with devices that may not fully understand the protocols/traffic.By default, SharePoint Online automatically scans file uploads for known malware

Для Exchange указанных выше конечных точек Exchange Online Protection и Microsoft Defender для Office 365 отлично обеспечивают безопасность трафика для службы.For the Exchange endpoints listed above, Exchange Online Protection and Microsoft Defender for Office 365 do an excellent job of providing security of the traffic to the service.

Могу ли я отправить больше, чем просто Оптимизировать трафик напрямую?Can I send more than just the Optimize traffic direct?

Приоритет должен быть отдан отмеченным конечным точкам Оптимизировать, поскольку они дадут максимальную выгоду для низкого уровня работы.Priority should be given to the Optimize marked endpoints as these will give maximum benefit for a low level of work. Однако при желании для работы службы необходимо использовать отмеченные конечные точки Allow и иметь IP-адреса для конечных точек, которые можно использовать при необходимости.However, if you wish, the Allow marked endpoints are required for the service to work and have IP addresses provided for the endpoints that can be used if necessary.

Существуют также различные поставщики, которые предлагают облачные прокси-решения и решения безопасности, называемые безопасными веб-шлюзами, которые обеспечивают центральную безопасность, управление и корпоративное приложение политики для общего просмотра веб-страниц. There are also various vendors who offer cloud-based proxy/security solutions called secure web gateways which provide central security, control, and corporate policy application for general web browsing. Эти решения могут хорошо работать в облачном первом мире, при высокой доступности, выполнения и подготовка близко к пользователям, позволяя безопасному доступу в Интернет для доставки из облачного расположения, близкого к пользователю.These solutions can work well in a cloud first world, if highly available, performant, and provisioned close to your users by allowing secure Internet access to be delivered from a cloud-based location close to the user. Это устраняет необходимость использования шпильки через VPN / корпоративную сеть для общего просмотра трафика, в то же время позволяя осуществлять централизованный контроль безопасности.This removes the need for a hairpin through the VPN/corporate network for general browsing traffic, whilst still allowing central security control.

Однако даже с учетом этих решений Microsoft по-прежнему настоятельно рекомендует отправлять трафик Office 365 с пометкой «Оптимизация» непосредственно в службу.Even with these solutions in place however, Microsoft still strongly recommends that Optimize marked Office 365 traffic is sent direct to the service.

Инструкции по разрешению прямого доступа к виртуальной сети Azure см. В статье Удаленная работа с помощью Azure VPN-вход "точка — сеть".For guidance on allowing direct access to an Azure Virtual Network, see the article Remote work using Azure VPN Gateway Point-to-site.

Зачем нужен порт 80?Why is port 80 required? Трафик отправляется в открытом виде?Is traffic sent in the clear?

Порт 80 используется только для таких вещей, как перенаправление на сеанс порта 443, данные клиента не отправляются или недоступны через порт 80.Port 80 is only used for things like redirect to a port 443 session, no customer data is sent or is accessible over port 80. Шифрование описывает шифрование данных в пути и в покое для Office 365, а типы трафика описывает, как мы используем SRTP для защиты Teams трафика мультимедиа.Encryption outlines encryption for data in transit and at rest for Office 365, and Types of traffic outlines how we use SRTP to protect Teams media traffic.

Применяется ли этот совет к пользователям в Китае, использующим всемирный экземпляр Office 365?Does this advice apply to users in China using a worldwide instance of Office 365?

Нет.No, it does not. Единственное предостережение к приведенному выше совету - пользователи в КНР, которые подключаются к всемирному экземпляру Office 365.The one caveat to the above advice is users in the PRC who are connecting to a worldwide instance of Office 365. Из-за распространенной перегрузки сети в регионе, производительность прямого выхода в Интернет может быть переменной.Due to the common occurrence of cross border network congestion in the region, direct Internet egress performance can be variable. Большинство клиентов в регионе используют VPN для передачи трафика в корпоративную сеть и используют свои авторизованные каналы MPLS или аналогичные для выхода за пределы страны по оптимизированному пути.Most customers in the region operate using a VPN to bring the traffic into the corporate network and utilize their authorized MPLS circuit or similar to egress outside the country via an optimized path. Об этом подробнее говорится в статье Оптимизация производительности Office 365 для пользователей из Китая.This is outlined further in the article Office 365 performance optimization for China users.

Работает ли конфигурация раздельного туннеля для Teams в браузере?Does split-tunnel configuration work for Teams running in a browser?

Да, это делает, через поддерживаемые браузеры, которые перечислены в Получить клиентов для Microsoft Teams.Yes it does, via supported browsers, which are listed in Get clients for Microsoft Teams.

Обзор: раздельное VPN-туннелирование для Office 365Overview: VPN split tunneling for Office 365

Оптимизация производительности Office 365 для пользователей КитаяOffice 365 performance optimization for China users

Альтернативные пути для специалистов по безопасности и ИТ для достижения современных мер безопасности в современных уникальных сценариях удаленной работы (блог Microsoft Security Team)Alternative ways for security professionals and IT to achieve modern security controls in today's unique remote work scenarios (Microsoft Security Team blog)

Улучшение производительности VPN в Майкрософт: использование VPN-профилей Windows 10 для разрешения автоматических подключенийEnhancing VPN performance at Microsoft: using Windows 10 VPN profiles to allow auto-on connections

Запуск по VPN: как Microsoft поддерживает подключение своих удаленных сотрудниковRunning on VPN: How Microsoft is keeping its remote workforce connected

Принципы сетевого подключения к Office 365Office 365 Network Connectivity Principles

Доступ к сетевому подключению Office 365Assessing Office 365 network connectivity

Сеть Office 365 и настройка производительностиOffice 365 network and performance tuning