在Cisco ASA上的AnyConnect VPN隧道中优化云服务

许多公司正在全球范围内在其业务中使用云服务，包括办公应用程序，BigData服务，用于集会/培训的聊天/视频/音频通信以及许多其他服务。但是，由于大量或大量转移到员工的远程工作，因此可以访问公司网络（除非客户当然不能完全在云平台上工作）为了确保访问的安全性，通常使用诸如Remote-Access VPN之类的服务。
传统上，此类服务可以将远程客户端的所有流量完全引导到VPN隧道，也可以基于IPv4 / IPv6子网有选择地从隧道引导或排除流量。

许多安全防护人员将决定最好的选择是使用完全tunnelall选项，以在连接到公司网络时完全控制所有用户流量，并且缺乏通过不受控制的Internet连接并行输出数据的能力。但是，还有另一种尺度...

• 如何绕过慢速公司VPN，以家庭Internet通道的速度直接将Box / Dropbox / SharePoint文件共享组织到云中？
• 如何直接与订户组织Webex / Skype连接，而无需通过HQ VPN网关进行连接，从而造成通信延迟并降低通信质量？
• 如何仅使某些云服务在VPN隧道之外工作，以便用户直接通过家庭Internet使用它们并集中控制其余不受信任的服务？
• 如何有效地减少VPN网关的负载，而又不将流量通过可信云应用程序传递呢？

VPN-, VPN-, , VPN. VPN, :

• ( Office365, Webex ..)
• (Webex, Skype, Jabber ..) / .

VPN .

VPN, :

• IP IP;
• IP , ;

Dynamic Split Tunneling, , Cisco AnyConnect 4.6 VPN Cisco ASA.

Dynamic Split Tunneling , VPN- , .

.

Cisco ASA / AnyConnect Group-Policy. , VPN ( IP ) / .

AnyConnect VPN Cisco ASA ASA VPN Load-Balancing

1. AnyConnect, :
   

   !
   ASA(config)# webvpn
   ASA(config-webvpn)# anyconnect-custom-attr dynamic-split-exclude-domains description dynamic-split-exclude-domains
   !

2. , (MS Skype for Business, MS Exchange Online, MS Sharepoint Online, MS O365, Cisco AMP for Endpoints, Cisco Webex) ( Group-Policy ! 510 ):

   
   
   • Microsoft ;
   • Cisco AMP;
   • Cisco Webex Teams Cisco Webex Meetings
   
   

   !
   ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains SKYPE skype.com, lync.com, teams.microsoft.com, skypeforbusiness.com
   !
   ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains EXCHANGE-ONLINE outlook.office.com, outlook.office365.com, smtp.office365.com, outlook.com, office.com
   !
   ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains SHAREPOINT-ONLINE sharepoint.com
   !
   ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains O365 online.office.com, officeapps.live.com, msappproxy.net, msftidentity.com, account.activedirectory.windowsazure.com, windows.net, microsoftonline.com, autologon.microsoftazuread-sso.com, microsoftonline-p.net, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.windows.net, office.com, cloudappsecurity.com, admin.microsoft.com
   !
   ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains CISCO-AMP amp.cisco.com, amp.sourcefire.com, panacea.threatgrid.com, panacea.threatgrid.eu
   !
   ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains CISCO-WEBEX wbx2.com, webex.com, ciscospark.com, webexcontent.com, activate.cisco.com, webapps.cisco.com, accompany.com, huron-dev.com, sparkpostmail1.com, giphy.com, safebrowsing.googleapis.com, walkme.com, s3.walkmeusercontent.com, speech.googleapis.com, texttospeech.googleapis.com, crashlytics.com, eum-appdynamics.com, amplitiude.com, segment.com, segment.io
   !

   
   

   Webex, AMP Skype

   
   

   !
   ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains CLOUD-SERVICES webex.com, wbx2.com, webexcontent.com, amp.cisco.com, amp.sourcefire.com, panacea.threatgrid.com, panacea.threatgrid.eu, skype.com, lync.com, teams.microsoft.com, skypeforbusiness.com
   !

   
   

   , , , . , webex.com, cisco.webex.com .

   
   
3. Group-Policy:
   

   !
   ASA(config)# group-policy ASHES-VPN attributes
   ASA(config-group-policy)# anyconnect-custom dynamic-split-exclude-domains value CLOUD-SERVICES
   !

4. VPN, , VPN!

   
   
   • VPN :
     
     webex.com cisco.webex.com:
     
   • , tunelall :
     
   
   

UPDATE: Microsoft , Webex Office365, .

, () Office365 , Skype Webex VPN- . , .

!

P.S. , "" =)