Otimize o túnel dividido do AnyConnect para o Microsoft Office 365 e o Cisco Webex

Opções de download

  • PDF     (302.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (306.6 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (228.8 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:8 de Abril de 2020
ID do documento:215343

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como configurar um Adaptive Security Appliance (ASA) com configurações para excluir o tráfego destinado ao Microsoft Office 365 (inclui Equipes Microsoft) e ao Cisco Webex de uma conexão VPN. Ele incorpora exclusões de endereços de rede e exclusões dinâmicas (baseadas em FQDN (nome de domínio totalmente qualificado) para os clientes do AnyConnect que o suportam.

    Encapuslamento dividido

    O ASA precisa ser configurado para "excluir" a lista especificada de destinos IPv4 e IPv6 a serem excluídos do túnel. Infelizmente, a lista de endereços é dinâmica e pode ser alterada. Consulte a seção Configuração para obter um script python e um link para um loop de impressão de leitura de texto (REPL - read-eval-print loop) on-line que pode ser usado para recuperar a lista e gerar um exemplo de configuração.

    Encapsulamento de divisão dinâmica

    Além da lista de endereços de rede de exclusão de divisão, o tunelamento dividido dinâmico foi adicionado no AnyConnect 4.6 para Windows e Mac. O tunelamento dividido dinâmico usa o FQDN para determinar se a conexão deve ou não passar pelo túnel. O script python também determina os FQDNs dos endpoints a serem adicionados aos atributos personalizados do AnyConnect.

    Configuração

    Execute este script em um Python 3 REPL ou execute-o em um ambiente REPL público, como https://repl.it/@ministryofjay/AnyConnectO365DynamicExclude.

    import urllib.request
import uuid
import json
import re


def print_acl_lines(acl_name, ips, section_comment):
    slash_to_mask = (
        "0.0.0.0",
        "128.0.0.0",
        "192.0.0.0",
        "224.0.0.0",
        "240.0.0.0",
        "248.0.0.0",
        "252.0.0.0",
        "254.0.0.0",
        "255.0.0.0",
        "255.128.0.0",
        "255.192.0.0",
        "255.224.0.0",
        "255.240.0.0",
        "255.248.0.0",
        "255.252.0.0",
        "255.254.0.0",
        "255.255.0.0",
        "255.255.128.0",
        "255.255.192.0",
        "255.255.224.0",
        "255.255.240.0",
        "255.255.248.0",
        "255.255.252.0",
        "255.255.254.0",
        "255.255.255.0",
        "255.255.255.128",
        "255.255.255.192",
        "255.255.255.224",
        "255.255.255.240",
        "255.255.255.248",
        "255.255.255.252",
        "255.255.255.254",
        "255.255.255.255",
    )
    print(
        "access-list {acl_name} remark {comment}".format(
            acl_name=acl_name, comment=section_comment
        )
    )
    for ip in sorted(ips):
        if ":" in ip:
            # IPv6 address
            print(
                "access-list {acl_name} extended permit ip {ip} any6".format(
                    acl_name=acl_name, ip=ip
                )
            )
        else:
            # IPv4 address.  Convert to a mask
            addr, slash = ip.split("/")
            slash_mask = slash_to_mask[int(slash)]
            print(
                "access-list {acl_name} extended permit ip {addr} {mask} any4".format(
                    acl_name=acl_name, addr=addr, mask=slash_mask
                )
            )


# Fetch the current endpoints for O365
http_res = urllib.request.urlopen(
    url="https://endpoints.office.com/endpoints/worldwide?clientrequestid={}".format(
        uuid.uuid4()
    )
)
res = json.loads(http_res.read())
o365_ips = set()
o365_fqdns = set()
for service in res:
    if service["category"] == "Optimize":
        for ip in service.get("ips", []):
            o365_ips.add(ip)
        for fqdn in service.get("urls", []):
            o365_fqdns.add(fqdn)

# Generate an acl for split excluding For instance
print("##### Step 1: Create an access-list to include the split-exclude networks\n")
acl_name = "ExcludeSass"
# O365 networks
print_acl_lines(
    acl_name=acl_name,
    ips=o365_ips,
    section_comment="v4 and v6 networks for Microsoft Office 365",
)
# Microsoft Teams
# https://docs.microsoft.com/en-us/office365/enterprise/office-365-vpn-implement-split-tunnel#configuring-and-securing-teams-media-traffic
print_acl_lines(
  acl_name=acl_name,
  ips=["13.107.60.1/32"],
  section_comment="v4 address for Microsoft Teams"
)
# Cisco Webex - Per https://help.webex.com/en-us/WBX000028782/Network-Requirements-for-Webex-Teams-Services
webex_ips = [
    "64.68.96.0/19",
    "66.114.160.0/20",
    "66.163.32.0/19",
    "170.133.128.0/18",
    "173.39.224.0/19",
    "173.243.0.0/20",
    "207.182.160.0/19",
    "209.197.192.0/19",
    "216.151.128.0/19",
    "114.29.192.0/19",
    "210.4.192.0/20",
    "69.26.176.0/20",
    "62.109.192.0/18",
    "69.26.160.0/19",
]
print_acl_lines(
    acl_name=acl_name,
    ips=webex_ips,
    section_comment="IPv4 and IPv6 destinations for Cisco Webex",
)

# Edited. April 1st 2020
# Per advice from Microsoft they do NOT advise using dynamic split tunneling for their properties related to Office 365
#
print(
    "\n\n##### Step 2: Create an Anyconnect custom attribute for dynamic split excludes\n"
)
print("SKIP.  Per Microsoft as of April 2020 they advise not to dynamically split fqdn related to Office365")
#print(
#    """
#webvpn
#  anyconnect-custom-attr dynamic-split-exclude-domains description dynamic-split-exclude-domains
#
#anyconnect-custom-data dynamic-split-exclude-domains saas {}
#""".format(
#        ",".join([re.sub(r"^\*\.", "", f) for f in o365_fqdns])
#    )
#)
#
print("\n##### Step 3: Configure the split exclude in the group-policy\n")
print(
    """
group-policy GP1 attributes
 split-tunnel-policy excludespecified
 ipv6-split-tunnel-policy excludespecified
 split-tunnel-network-list value {acl_name}
""".format(
        acl_name=acl_name
    )
)

    Note: A Microsoft recomenda excluir o tráfego destinado aos principais serviços do Office 365 do escopo da conexão VPN configurando o tunelamento dividido usando intervalos de endereços IPv4 e IPv6 publicados. Para obter o melhor desempenho e o uso mais eficiente da capacidade de VPN, o tráfego para esses intervalos de endereços IP dedicados associados ao Office 365 Exchange Online, SharePoint Online e Microsoft Teams (conhecidos como categoria Otimizar na documentação da Microsoft) deve ser roteado diretamente, fora do túnel VPN. Consulte Otimizar a conectividade do Office 365 para usuários remotos usando o tunelamento dividido de VPN para obter informações mais detalhadas sobre esta recomendação.

    Note: A partir de abril de 2020, as equipes da Microsoft dependem de que o intervalo de IP 13.107.60.1/32 deve ser excluído do túnel. Consulte Configurando e protegendo o tráfego de mídia de equipes para obter mais informações.

    Verificação

    Quando um usuário é conectado, ele deve ver as "Rotas não seguras" preenchidas com os endereços fornecidos na ACL, bem como a lista "Exclusão de túnel dinâmico".

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Jay Young
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos