Почему вам следует рассмотреть возможность использования раздельного туннелирования для трафика Microsoft 365

Опубликовано: 10 Марта, 2023
Почему вам следует рассмотреть возможность использования раздельного туннелирования для трафика Microsoft 365

Пандемия COVID-19 заставила многие организации по-новому взглянуть на свою стратегию VPN. В конце концов, поскольку так много пользователей в мире работают из дома, VPN часто является единственным вариантом предоставления пользователям доступа к ресурсам, размещенным локально.

Для большинства организаций резкий переход к тому, чтобы все работали из дома, был далеко не гладким. Относительно немногие организации разработали свои VPN для поддержки ситуации, в которой почти все пользователи работают удаленно. Ничего не подозревающие организации столкнулись с проблемами во всем: от недостаточного лицензирования соединений до насыщения VPN.

Одна из причин, по которой VPN-подключения стали полностью перегружены, заключалась в том, что никто не мог предвидеть внезапный всплеск использования VPN. Другая причина, однако, заключается в том, что конфигурации VPN часто не развивались со временем.

Серверы VPN были неотъемлемой частью корпоративных центров обработки данных на протяжении большей части двух десятилетий. Из любопытства я поискал на своем собственном файловом сервере, чтобы узнать, когда я впервые начал писать о VPN. Моя самая старая статья на эту тему была написана еще в 1999 году. Дело в том, что VPN существуют уже очень давно.

Итак, имея это в виду, подумайте, насколько все было по-другому 20 лет назад. Интернет только начинал получать широкое распространение, а облачные сервисы еще только предстояло изобрести (по крайней мере, в том виде, в каком они существуют сегодня). Возможно, более важно то, что лишь немногие организации располагали ИТ-ресурсами за пределами своих центров обработки данных.

В то время технология VPN имела смысл. Пользователи могли установить зашифрованный туннель с VPN-сервером, что позволило бы им безопасно преодолевать периметральный брандмауэр организации и получать доступ к тем же сетевым ресурсам, к которым у них был бы доступ, если бы они работали на месте.

Виртуальные частные сети почти одинаковы, но ИТ сильно отличаются

Хотя сегодня VPN по-прежнему служат той же цели, ИТ сильно отличается от того, что было раньше. В дополнение к ресурсам в своем центре обработки данных у большинства организаций также есть ресурсы, находящиеся в различных облаках. Это могут быть облака IaaS, такие как Amazon AWS и Microsoft Azure, или облака SaaS, такие как Microsoft 365.

Итак, подумайте, что может произойти, если пользователь попытается выполнить всю свою работу, подключившись к VPN своего работодателя. Когда пользователь пытается получить доступ к ресурсам в центре обработки данных организации, VPN действует как путь к этим ресурсам. Теперь предположим, что пользователь пытается получить доступ к одной из служб Microsoft 365.

Когда пользователь впервые устанавливает сеанс VPN, ему назначается IP-адрес DHCP-сервером организации. DHCP-сервер также предоставляет клиентскому компьютеру IP-адрес DNS-сервера организации. Когда пользователь пытается получить доступ к ресурсу Microsoft 365, DNS-сервер организации определяет, что запрошенный ресурс находится в облаке Microsoft 365, а не в собственном центре обработки данных организации. Поэтому он перенаправляет запрос в Microsoft 365. Другими словами, поскольку пользователь подключен к корпоративной VPN, он получает доступ к облаку Microsoft 365 через интернет-соединение организации, а не свое собственное.

Использование интернет-соединения организации таким образом, вероятно, не имеет большого значения, если только относительно небольшое число пользователей работает удаленно. Однако, если все работают удаленно и организация страдает от насыщения VPN, то разрешение использовать собственное интернет-соединение организации для трафика Microsoft 365 только увеличивает перегрузку.

Трафик Microsoft 365 и раздельное туннелирование

Изображение 1571
Шаттерсток

Решение этой проблемы заключается в использовании метода, называемого раздельным туннелированием. К сожалению, я не могу показать вам точные шаги, необходимые для реализации раздельного туннелирования, потому что каждая VPN делает это по-своему. Тем не менее, я хочу хотя бы объяснить, как работает раздельное туннелирование.

Обычно VPN-клиент перенаправляет весь исходящий трафик пользователя через VPN-туннель, независимо от конечного пункта назначения трафика. Раздельное туннелирование позволяет настроить VPN-клиент таким образом, чтобы обеспечить выборочную маршрутизацию трафика. Трафик, относящийся к ресурсам внутри корпоративного центра обработки данных, может передаваться через туннель, в то время как интернет-трафик минует туннель и вместо этого отправляется через обычное интернет-соединение пользователя. С точки зрения Microsoft 365 пользователи могут получить доступ к Microsoft 365 напрямую, а не через VPN-туннель.

Разгрузите трафик Microsoft 365 из вашей VPN

Если вы хотите разгрузить трафик Microsoft 365 из VPN, то лучше всего начать с включения раздельного туннелирования и предоставления прямого доступа к Интернету (используя собственное подключение пользователя к Интернету) к некоторым наиболее часто используемым URL-адресам Microsoft 365. Вот некоторые URL-адреса, к которым Microsoft рекомендует клиентам подключаться напрямую:

  • https://outlook.office365.com (TCP-порт 443): это один из URL-адресов, которые Outlook использует для связи с Exchange Online.
  • https://outlook.office.com (TCP-порт 443): этот URL-адрес используется Outlook Online Web Access.
  • https://<tenant>.sharepoint.com (TCP-порт 443): это основной URL-адрес, используемый SharePoint Online.
  • https://<tenant>-my.sharepoint.com (TCP-порт 443): этот URL-адрес используется OneDrive для бизнеса.

В этих URL-адресах вы должны заменить <tenant> своим именем клиента. Например, имя клиента для моей подписки на Microsoft 365 — Posey. Таким образом, мой URL-адрес SharePoint будет https://posey.sharepoint.com, а не https://<tenant>.sharepoint.com.

Microsoft немного по-другому относится к Teams. Вместо того, чтобы предоставлять набор URL-адресов, Microsoft просто перечисляет набор номеров портов. Трафик через эти порты должен использовать локальное интернет-соединение пользователя. Порты:

  • UDP 3478: распределение обнаружения ретрансляции и трафик в реальном времени
  • UDP 3479: звук команд
  • UDP 3480: видео команд
  • UDP 3481: совместное использование экрана видео

Кстати, Microsoft рекомендует убедиться, что пользователи используют клиент Teams версии 1.3.00.13565 или выше, чтобы избежать проблем, связанных с маршрутизацией.

Раздельное туннелирование для трафика Microsoft 365: хорошая идея

По возможности рекомендуется использовать раздельное туннелирование для трафика Microsoft 365. Это улучшит работу пользователей, поскольку им больше не придется сталкиваться с задержкой, связанной с ретрансляцией трафика Microsoft 365 через корпоративный центр обработки данных. Это также поможет разгрузить вашу VPN. Здесь Microsoft предоставляет много дополнительной информации о раздельном туннелировании VPN.

Microsoft

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Миграция автономного клиента Office 365 на Exchange 2010 (часть 8)
13 Марта, 2023
Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 2)
13 Марта, 2023
Миграция автономного клиента Office 365 в Exchange 2010 (часть 7)
13 Марта, 2023
Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 1)
13 Марта, 2023
Миграция автономного клиента Office 365 на Exchange 2010 (часть 6)
13 Марта, 2023
Настройка гибридного развертывания Exchange с переходом на Office 365 (Exchange Online) (часть 11)
13 Марта, 2023
Миграция автономного клиента Office 365 на Exchange 2010 (часть 5)
13 Марта, 2023
Настройка гибридного развертывания Exchange с переходом на Office 365 (Exchange Online) (часть 10)
13 Марта, 2023