Gateway

为 Office365 优化 NetScaler Gateway VPN 拆分通道

随着组织比以往更快地适应远程办公选项,因此必须优化远程访问基础架构,以便在流量负载增加的情况下实现无缝连接。

重要:

Microsoft 建议使用已发布的 IPv4 和 IPv6 地址范围配置分割通道,将发往关键 Office 365 服务的流量排除在 VPN 连接范围之外。为了获得最佳性能和最有效地利用 VPN 容量,必须在 VPN 通道之外直接路由到与以下应用程序关联的专用 IP 地址范围的流量:

  • Office 365 Exchange Online
  • SharePoint Online
  • Microsoft Teams(在 Microsoft 文档中称为“优化”类别)

有关此建议的更多详细信息,请参阅 Microsoft 指南

Microsoft 在 NetScaler Gateway 中的建议是通过使用拆分通道反向配置将 Microsoft 提供的 IP 地址列表直接路由到互联网以获取 O365 流量来实现的。

配置涉及以下内容,可使用 GUI 或 CLI 手动执行:

  • 为反向配置配置配置分割通道。有关详细信息,请参阅 拆分通道选项
  • 配置Intranet应用程序以使用户访问资源。

使用 GUI 进行配置

使用 GUI 配置拆分通道

  1. 在“配置”选项卡上,导航到 NetScaler Gateway> 全局设置
  2. 在详细信息窗格的设置下,单击更改全局设置
  3. 客户端体验 选项卡的 拆分通道中,选择 反向
  4. 单击确定

    将拆分通道设置为反向

使用 GUI 创建 VPN 内部网应用程序

  1. 在“配置”选项卡上,导航到 Citrix Gateway > 全局设置
  2. 在详细信息窗格中的 Intranet 应用程序下,单击链接。
  3. 在“配置 VPN Intranet 应用程序”页中,单击“添加”,然后单击“新建”。

    单击以添加 Intranet 应用程序

    单击新建添加

  4. 名称中,键入配置文件的名称。
  5. 协议中,选择适用于网络资源的协议。
  6. 目标类型中,选择 IP 地址和网络掩码
  7. IP 地址中,输入 O365 流量必须直接路由到互联网的 IP 地址。有关 IP 地址的列表,请参阅 IP 地址列表。
  8. 网络掩码中,输入网络掩码 IP 地址。

    添加 Intranet 应用程序

  9. 单击 Create(创建),然后单击 Close(关闭)。

注意: 对所有 IP 地址重复此过程。

使用 CLI 进行配置

  • 要将拆分通道设置为反向,请在命令提示符下键入:
set vpn parameter -splitTunnel REVERSE
<!--NeedCopy-->
  • 要添加 VPN Intranet 应用程序,请在命令提示符下键入:
add vpn intranetApplication intranetapp1 ANY 13.107.6.152 -netmask 255.255.255.254 -destPort 1-65535 -interception TRANSPARENT
<!--NeedCopy-->

注意: 对所有 IP 地址重复此过程。

  • 要绑定 Intranet 应用程序,请在命令提示符下键入;
bind vpn global -intranetApplication intranetapp1
<!--NeedCopy-->

Office 365 服务(EXO、SPO 和 Microsoft Teams)的 IP 地址列表

参考资料:https://docs.microsoft.com/en-us/office365/enterprise/urls-and-ip-address-ranges

来自 Microsoft 的说明:

作为 Microsoft 对 COVID-19 局势的回应的一部分,Microsoft 宣布暂时暂停一些计划中的 URL 和 IP 地址变更。此暂停旨在使客户 IT 团队能够自信、简单地实施针对在家办公 Office 365 场景的推荐网络优化。从 2020 年 3 月 24 日至 2020 年 6 月 30 日,这项暂停措施将停止更改关键 Office 365 服务(在线 Exchange、SharePoint Online 和 Microsoft Teams)对“优化”类别中包含的 IP 范围和 URL 的更改。

IPv4 地址范围

104.146.128.0/17
13.107.128.0/22
13.107.136.0/22
13.107.18.10/31
13.107.6.152/31
13.107.64.0/18
131.253.33.215/32
132.245.0.0/16
150.171.32.0/22
150.171.40.0/22
191.234.140.0/22
204.79.197.215/32
23.103.160.0/20
40.104.0.0/15
40.108.128.0/17
40.96.0.0/13
52.104.0.0/14
52.112.0.0/14
52.96.0.0/14
52.120.0.0/14|

IPv6 地址范围

2603:1006::/40
2603:1016::/36
2603:1026::/36
2603:1036::/36
2603:1046::/36
2603:1056::/36
2603:1096::/38
2603:1096:400::/40
2603:1096:600::/40
2603:1096:a00::/39
2603:1096:c00::/40
2603:10a6:200::/40
2603:10a6:400::/40
2603:10a6:600::/40
2603:10a6:800::/40
2603:10d6:200::/40
2620:1ec:4::152/128
2620:1ec:4::153/128
2620:1ec:c::10/128
2620:1ec:c::11/128
2620:1ec:d::10/128
2620:1ec:d::11/128
2620:1ec:8f0::/46
2620:1ec:900::/46
2620:1ec:a92::152/128
2620:1ec:a92::153/128
2a01:111:f400::/48
2620:1ec:8f8::/46
2620:1ec:908::/46
2a01:111:f402::/48

为 Office365 优化 NetScaler Gateway VPN 拆分通道