Citrix Gateway

优化适用于 Office365 的 Citrix Gateway VPN 拆分隧道

随着组织比以往更快地适应远程办公选项,因此必须优化远程访问基础架构,以便在流量负载增加的情况下实现无缝连接。

*Microsoft recommends excluding traffic destined to key Office 365 services from the scope of VPN connection by configuring split tunneling using published IPv4 and IPv6 address ranges. For best performance and most efficient use of VPN capacity, traffic to this dedicated IP address ranges associated with Office 365 Exchange Online, SharePoint Online, and Microsoft Teams (referred to as Optimize category in Microsoft documentation) must be routed directly, outside of the VPN tunnel. Please refer to [Microsoft guidance] <https://docs.microsoft.com/en-us/Office365/Enterprise/office-365-vpn-split-tunnel> for more detailed information about this recommendation.*

微软在 Citrix Gateway 中的建议是通过使用拆分隧道反向配置将微软提供的 IP 地址列表直接路由到互联网以获取 O365 流量来实现的。

配置涉及以下内容,可以使用 GUI 或 CLI 命令手动执行。

  • 为反向配置配置配置拆分隧道
  • 配置 Intranet 应用程序以便用户访问资源

使用 GUI 进行配置

使用 GUI 配置拆分隧道

  1. 在配置选项卡上,导航到 Citrix Gateway > 全局设置
  2. 在详细信息窗格的 “ 设置” 下,单击 “ 更改全局设置”。
  3. 客户端体验 选项卡的 拆分隧道中,选择 反向
  4. 单击确定

    将拆分隧道设置为反向

使用 GUI 创建 VPN 内部网应用程序

  1. 在配置选项卡上,导航到 Citrix Gateway > 全局设置
  2. 在详细信息窗格中的 Intranet 应用程序下,单击链接。
  3. 在 “ 配置 VPN Intranet 应用程序 ” 页中,单击 “ 添加”,然后单击 “ 新建”。

    单击以添加 Intranet 应用程序

    点击新建添加

  4. 名称中,键入配置文件的名称。
  5. 协议中,选择适用于网络资源的协议。
  6. 目标类型中,选择 IP 地址和子网掩码
  7. IP 地址中,输入 O365 流量必须直接路由到互联网的 IP 地址。有关 IP 地址的列表,请参阅 IP 地址列表。
  8. 网络掩码中,输入网络掩码 IP 地址。

    添加 Intranet 应用程序

  9. 单击 Create(创建),然后单击 Close(关闭)。

注意: 对所有 IP 地址重复此过程。

使用 CLI 进行配置

  • 要将拆分隧道设置为反向,请在命令提示符下键入;
set vpn parameter -splitTunnel REVERSE
<!--NeedCopy-->
  • 要添加 VPN Intranet 应用程序,请在命令提示符下键入;
add vpn intranetApplication intranetapp1 ANY 13.107.6.152 -netmask 255.255.255.254 -destPort 1-65535 -interception TRANSPARENT
<!--NeedCopy-->

注意: 对所有 IP 地址重复此过程。

  • 要绑定 Intranet 应用程序,请在命令提示符下键入;
bind vpn global -intranetApplication intranetapp1
<!--NeedCopy-->

Office 365 服务(EXO、SPO 和团队)的 IP 地址列表

参考资料: https://docs.microsoft.com/en-us/office365/enterprise/urls-and-ip-address-ranges

微软的注意: 作为微软应对 COVID-19 情况的一部分,微软宣布暂停一些计划中的 URL 和 IP 地址更改。此暂停旨在使客户 IT 团队能够自信、简单地实施针对在家办公 Office 365 场景的推荐网络优化。从 2020 年 3 月 24 日至 2020 年 6 月 30 日,这项暂停措施将停止更改关键 Office 365 服务(在线 Exchange、SharePoint Online 和 Microsoft Teams)对 “优化” 类别中包含的 IP 范围和 URL 的更改。

IPv4 地址范围

104.146.128.0/17
13.107.128.0/22
13.107.136.0/22
13.107.18.10/31
13.107.6.152/31
13.107.64.0/18
131.253.33.215/32
132.245.0.0/16
150.171.32.0/22
150.171.40.0/22
191.234.140.0/22
204.79.197.215/32
23.103.160.0/20
40.104.0.0/15
40.108.128.0/17
40.96.0.0/13
52.104.0.0/14
52.112.0.0/14
52.96.0.0/14
52.120.0.0/14|

IPv6 地址范围

2603:1006::/40
2603:1016::/36
2603:1026::/36
2603:1036::/36
2603:1046::/36
2603:1056::/36
2603:1096::/38
2603:1096:400::/40
2603:1096:600::/40
2603:1096:a00::/39
2603:1096:c00::/40
2603:10a6:200::/40
2603:10a6:400::/40
2603:10a6:600::/40
2603:10a6:800::/40
2603:10d6:200::/40
2620:1ec:4::152/128
2620:1ec:4::153/128
2620:1ec:c::10/128
2620:1ec:c::11/128
2620:1ec:d::10/128
2620:1ec:d::11/128
2620:1ec:8f0::/46
2620:1ec:900::/46
2620:1ec:a92::152/128
2620:1ec:a92::153/128
2a01:111:f400::/48
2620:1ec:8f8::/46
2620:1ec:908::/46
2a01:111:f402::/48

优化适用于 Office365 的 Citrix Gateway VPN 拆分隧道