Como rotear com o ExpressRoute para Office 365

Este artigo se aplica tanto ao Microsoft 365 Enterprise quanto ao Office 365 Enterprise.

Para entender corretamente o roteamento de tráfego para Office 365 usando o Azure ExpressRoute, você precisará ter uma compreensão firme dos principais requisitos de roteamento do ExpressRoute e dos circuitos e domínios de roteamento do ExpressRoute. Eles estabelecem os conceitos básicos para usar o ExpressRoute Office 365 que os clientes dependerão.

Alguns dos principais itens nos artigos acima que você precisará entender incluem:

  • Os circuitos do ExpressRoute não são mapeados para uma infraestrutura física específica, mas são uma conexão lógica feita em um único local de emparelhamento pela Microsoft e por um provedor de emparelhamento em seu nome.

  • Há um mapeamento 1:1 entre um circuito do ExpressRoute e uma chave S do cliente.

  • Cada circuito pode dar suporte a duas relações de emparelhamento independentes (emparelhamento privado do Azure e emparelhamento da Microsoft); Office 365 requer emparelhamento da Microsoft.

  • Cada circuito tem uma largura de banda fixa que é compartilhada entre todas as relações de emparelhamento.

  • Quaisquer endereços IPv4 públicos e números AS públicos que serão usados para o circuito do ExpressRoute devem ser validados como pertencentes a você ou atribuídos exclusivamente a você pelo proprietário do intervalo de endereços.

  • Os circuitos virtuais do ExpressRoute são redundantes globalmente e seguirão as práticas padrão de roteamento de BGP. É por isso que recomendamos dois circuitos físicos por saída para seu provedor em uma configuração ativa/ativa.

Consulte a página de perguntas frequentes para obter mais informações sobre serviços com suporte, custos e detalhes de configuração. Consulte o artigo locais do ExpressRoute para obter informações sobre a lista de provedores de conectividade que oferecem suporte a emparelhamento da Microsoft. Também gravamos uma série de treinamento do Azure ExpressRoute para Office 365 de 10 partes no Channel 9 para ajudar a explicar os conceitos mais detalhadamente.

Garantir a simetria de rota

Os Office 365 front-end podem ser acessados na Internet e no ExpressRoute. Esses servidores preferirão rotear de volta para o local em vez de circuitos do ExpressRoute quando ambos estão disponíveis. Por isso, há uma possibilidade de assimetria de rota se o tráfego de sua rede preferir rotear em relação aos circuitos da Internet. Rotas assimétricas são um problema porque os dispositivos que executam a inspeção de pacotes com estado podem bloquear o tráfego de retorno que segue um caminho diferente dos pacotes de saída seguidos.

Independentemente de você iniciar uma conexão com Office 365 pela Internet ou pelo ExpressRoute, a origem deve ser um endereço roteável publicamente. Com muitos clientes emparelhando diretamente com a Microsoft, ter endereços privados em que a duplicação é possível entre os clientes não é viável.

A seguir estão os cenários em que as comunicações Office 365 para sua rede local serão iniciadas. Para simplificar o design de rede, é recomendável rotear o seguinte pelo caminho da Internet.

Para a Microsoft rotear de volta para sua rede para esses fluxos de tráfego bidirecionais, as rotas BGP para seus dispositivos locais devem ser compartilhadas com a Microsoft. Ao anunciar prefixos de rota para a Microsoft por meio do ExpressRoute, você deve seguir estas práticas recomendadas:

  1. Não anuncie o mesmo prefixo de rota de endereço IP público para a Internet pública e por meio do ExpressRoute. É recomendável que os anúncios de Prefixo de Rota ip BGP para a Microsoft por expressRoute sejam de um intervalo que não é anunciado para a Internet. Se isso não for possível devido ao espaço de endereço IP disponível, é essencial garantir que você anuncie um intervalo mais específico no ExpressRoute do que qualquer circuito da Internet.

  2. Use pools de IP NAT separados por circuito do ExpressRoute e separados aos de seus circuitos de Internet.

  3. Qualquer rota anunciada para a Microsoft atrairá o tráfego de rede de qualquer servidor na rede da Microsoft, não apenas aquelas para as quais as rotas são anunciadas para sua rede por meio do ExpressRoute. Só anuncie rotas para servidores em que os cenários de roteamento são definidos e bem compreendidos pela sua equipe. Anuncie prefixos de rota de Endereço IP separados em cada um dos vários circuitos do ExpressRoute de sua rede.

Decidir quais aplicativos e recursos são roteados pelo ExpressRoute

Ao configurar uma relação de emparelhamento usando o domínio de roteamento de emparelhamento da Microsoft e for aprovada para o acesso apropriado, você poderá ver todos os serviços de PaaS e SaaS disponíveis no ExpressRoute. Os Office 365 criados para o ExpressRoute podem ser gerenciados com comunidades BGP ou filtros de rota.

Cada um dos Office 365 disponíveis usando o emparelhamento da Microsoft é listado no artigo Office 365 pontos de extremidade por tipo de aplicativo e FQDN. O motivo para usar o FQDN nas tabelas é permitir que os clientes gerenciem o tráfego usando arquivos PAC ou outras configurações de proxy. Confira nosso guia para gerenciar pontos de extremidade do Office 365, por exemplo, arquivos PAC.

Em algumas situações, usamos um domínio curinga em que um ou mais sub-FQDNs são anunciados de forma diferente do domínio curinga de nível superior. Geralmente, isso acontece quando o curinga representa uma longa lista de servidores que são todos anunciados para o ExpressRoute e a Internet, enquanto um pequeno subconjunto de destinos é anunciado apenas para a Internet ou o inverso. Consulte as tabelas abaixo para entender onde estão as diferenças.

Esta tabela exibe os FQDNs curinga anunciados para a Internet e o Azure ExpressRoute juntamente com os sub-FQDNs anunciados apenas para a Internet.

Domínio curinga anunciado para circuitos do ExpressRoute e da Internet Sub-FQDN anunciado apenas para circuitos da Internet
*.microsoftonline.com
click.email.microsoftonline.com
portal.microsoftonline.com
provisioningapi.microsoftonline.com
adminwebservice.microsoftonline.com
*.officeapps.live.com
nexusRules.officeapps.live.com
nexus.officeapps.live.com
odc.officeapps.live.com
odc.officeapps.live.com
cdn.odc.officeapps.live.com
ols.officeapps.live.com
ocsredir.officeapps.live.com
ocws.officeapps.live.com
ocsa.officeapps.live.com

Normalmente, os arquivos PAC destinam-se a enviar solicitações de rede para pontos de extremidade anunciados pelo ExpressRoute diretamente para o circuito e todas as outras solicitações de rede para seu proxy. Se você estiver configurando um arquivo PAC como este, redigir o arquivo PAC na seguinte ordem:

  1. Inclua os sub-FQDNs da coluna dois na tabela acima na parte superior do arquivo PAC, enviando o tráfego para o proxy. Criamos um arquivo PAC de exemplo para você usar em nosso artigo sobre como gerenciar Office 365 ponto de extremidade.

  2. Inclua todos os FQDNs marcados como anunciados para o ExpressRoute neste artigo abaixo da primeira seção, enviando o tráfego diretamente para o circuito do ExpressRoute.

  3. Inclua quaisquer outros pontos de extremidade de rede ou regras abaixo dessas duas entradas, enviando o tráfego para seu proxy.

Esta tabela exibe os domínios curinga que são anunciados para circuitos da Internet apenas junto com os sub-FQDNs anunciados para os circuitos do Azure ExpressRoute e da Internet. Para o arquivo PAC acima, os FQDNs na coluna 2 na tabela abaixo são listados como sendo anunciados ao ExpressRoute no link referenciado, o que significa que eles seriam incluídos no segundo grupo de entradas no arquivo.

Domínio curinga anunciado somente para circuitos da Internet Sub-FQDN anunciado para circuitos do ExpressRoute e da Internet
*.office.com
*.outlook.office.com
home.office.com
outlook.office.com
portal.office.com
www.office.com
*.office.net
agent.office.net
*.office365.com
outlook.office365.com
smtp.office365.com
*.outlook.com
*.protection.outlook.com
*.mail.protection.outlook.com
autodiscover-<tenant>.outlook.com
*.windows.net
login.windows.net

Roteamento Office 365 tráfego pela Internet e pelo ExpressRoute

Para rotear para Office 365 aplicativo de sua escolha, você precisará determinar vários fatores-chave.

  1. Quanta largura de banda o aplicativo exigirá. A amostragem do uso existente é o único método confiável para determinar isso em sua organização.

  2. De quais locais de saída você deseja que o tráfego de rede deixe sua rede. Você deve planejar minimizar a latência de rede para conectividade com Office 365 pois isso afetará o desempenho. Como Skype for Business usa voz e vídeo em tempo real, ele é suscetível a latência de rede ruim.

  3. Se você quiser que todos ou um subconjunto de seus locais de rede usem o ExpressRoute.

  4. De quais locais seu provedor de rede escolhido oferece o ExpressRoute.

Depois de determinar as respostas para essas perguntas, você poderá provisionar um circuito do ExpressRoute que atenda às necessidades de largura de banda e localização. Para obter mais assistência de planejamento de rede, consulte o guia Office 365 ajuste de rede e o estudo de caso sobre como a Microsoft lida com o planejamento de desempenho de rede.

Exemplo 1: localização geográfica única

Este exemplo é um cenário para uma empresa fictícia chamada Trey Research que tem uma única localização geográfica.

Os funcionários da Trey Research só têm permissão para se conectar aos serviços e sites na Internet que o departamento de segurança explicitamente permite no par de proxies de saída que ficam entre a rede corporativa e seu ISP.

A Trey Research planeja usar o Azure ExpressRoute para Office 365 e reconhece que algum tráfego, como o tráfego destinado a redes de distribuição de conteúdo, não poderá rotear pelo ExpressRoute para Office 365 conexão. Como todo o tráfego já é roteado para os dispositivos proxy por padrão, essas solicitações continuarão a funcionar como antes. Depois que a Trey Research determinar que eles podem atender aos requisitos de roteamento do Azure ExpressRoute, eles continuarão a criar um circuito, configurar o roteamento e vincular o novo circuito do ExpressRoute a uma rede virtual. Depois que a configuração fundamental do Azure ExpressRoute estiver em vigor, a Trey Research usará o arquivo PAC nº 2 que publicamos para rotear o tráfego com dados específicos do cliente pelo ExpressRoute direto para Office 365 conexões.

Conforme mostrado no diagrama a seguir, a Trey Research é capaz de atender ao requisito de rotear o tráfego de Office 365 pela Internet e um subconjunto de tráfego pelo ExpressRoute usando uma combinação de alterações de configuração de proxy de saída e roteamento.

  1. Usando o arquivo PAC nº 2 que publicamos para rotear o tráfego por meio de um ponto de saída de Internet separado para o Azure ExpressRoute para Office 365.

  2. Os clientes são configurados com uma rota padrão para os proxies da Trey Research.

Neste cenário de exemplo, Trey Research está usando um dispositivo proxy de saída. Da mesma forma, os clientes que não estão usando o Azure ExpressRoute para Office 365 podem querer usar essa técnica para rotear o tráfego com base no custo de inspecionar o tráfego destinado a pontos de extremidade de alto volume conhecidos.

Os FQDNs de volume mais alto para Exchange Online, SharePoint Online e Skype for Business Online são os seguintes:

Rede de borda do cliente do ExpressRoute.

  • outlook.office365.com, outlook.office.com

  • <tenant-name>.sharepoint.com, <tenant-name>-my.sharepoint.com, <tenant-name>-<app>.sharepoint.com

  • *.Lync.com juntamente com os intervalos de IP para tráfego não TCP

  • *broadcast.officeapps.live.com, *excel.officeapps.live.com, *onenote.officeapps.live.com, *powerpoint.officeapps.live.com, *view.officeapps.live.com, *visio.officeapps.live.com, *word-edit.officeapps.live.com, *word-view.officeapps.live.com, office.live.com

Saiba mais sobre como implantar e gerenciar configurações de proxy no Windows 8 e garantir que Office 365 não seja limitado pelo proxy.

Com um único circuito do ExpressRoute, não há alta disponibilidade para Trey Research. Caso o par redundante de dispositivos de borda da Trey que esteja atendendo a conectividade do ExpressRoute falhe, não há um circuito extra do ExpressRoute para o qual fazer failover. Isso deixa a Trey Research em um problema, pois o failover para a Internet exigirá reconfiguração manual e, em alguns casos, novos endereços IP. Se Trey quiser adicionar alta disponibilidade, a solução mais simples é adicionar circuitos extras do ExpressRoute para cada local e configurar os circuitos de maneira ativa/ativa.

Roteamento do ExpressRoute para Office 365 com vários locais

O último cenário, roteamento Office 365 tráfego via ExpressRoute é a base para uma arquitetura de roteamento ainda mais complexa. Independentemente do número de locais, do número de continentes em que esses locais existem, do número de circuitos do ExpressRoute e assim por diante, a capacidade de rotear algum tráfego para a Internet e algum tráfego pelo ExpressRoute será necessária.

As perguntas adicionais que devem ser respondidas para clientes com vários locais em várias regiões geográficas incluem:

  1. Você precisa de um circuito do ExpressRoute em todos os locais? Se você estiver usando o Skype for Business Online ou estiver preocupado com a sensibilidade de latência para o SharePoint Online ou Exchange Online, um par redundante de circuitos do ExpressRoute ativo/ativo é recomendado em cada local. Consulte o guia Skype for Business de conectividade de rede e qualidade de mídia para obter mais detalhes.

  2. Se um circuito do ExpressRoute não estiver disponível em uma região específica, como Office 365 tráfego destinado deve ser roteado?

  3. Qual é o método preferencial para consolidar o tráfego no caso de redes com muitos locais pequenos?

Cada um deles apresenta um desafio exclusivo que exige que você avalie sua própria rede e as opções disponíveis da Microsoft.

Considerações Componentes de rede a serem avaliados
Circuitos em mais de um local
Recomendamos um mínimo de dois circuitos configurados de maneira ativa/ativa.
As necessidades de custo, latência e largura de banda devem ser comparadas.
Use o custo de rota BGP, arquivos PAC e NAT para gerenciar o roteamento com vários circuitos.
Roteamento de locais sem um circuito do ExpressRoute
Recomendamos a saída e a resolução dns mais próximas da pessoa que está iniciando a solicitação de Office 365.
O encaminhamento dns pode ser usado para permitir que escritórios remotos descubram o ponto de extremidade apropriado.
Os clientes no escritório remoto devem ter uma rota disponível que forneça acesso ao circuito do ExpressRoute.
Consolidação de pequenas empresas
A largura de banda e o uso de dados disponíveis devem ser comparados cuidadosamente.

Observação

A Microsoft preferirá o ExpressRoute pela Internet se a rota estiver disponível, independentemente da localização física.

Cada uma dessas considerações deve ser levada em conta para cada rede exclusiva. Veja abaixo um exemplo.

Exemplo 2: Localizações multi-geográficas

Este exemplo é um cenário para uma empresa fictícia chamada "Humongous Insurance" que tem várias localizações geográficas.

A Humongous Insurance está geograficamente dispersa com escritórios em todo o mundo. Eles querem implementar o Azure ExpressRoute para Office 365 manter a maioria do tráfego Office 365 em conexões de rede diretas. A Humongous Insurance também tem escritórios em dois continentes adicionais. Os funcionários no escritório remoto em que o ExpressRoute não é viável precisarão rotear de volta para uma ou ambas as instalações principais para usar uma conexão do ExpressRoute.

O princípio orientador é obter o tráfego Office 365 destinado a um datacenter da Microsoft o mais rápido possível. Neste exemplo, a Humongous Insurance deve decidir se seus escritórios remotos devem ser roteados pela Internet para chegar a um datacenter da Microsoft por qualquer conexão o mais rápido possível ou se seus escritórios remotos devem rotear por uma rede interna para chegar a um datacenter da Microsoft por meio de uma conexão do ExpressRoute o mais rápido possível.

Os datacenters, as redes e a arquitetura de aplicativos da Microsoft foram projetados para levar comunicações globalmente diferentes e a serviceá-las da maneira mais eficiente possível. Essa é uma das maiores redes do mundo. As solicitações destinadas Office 365 que permanecem em redes de clientes por mais tempo do que o necessário não poderão aproveitar essa arquitetura.

Na situação do Humongous Insurance, eles devem continuar dependendo dos aplicativos que pretendem usar no ExpressRoute. Por exemplo, se ele for um cliente do Skype for Business Online ou planeja usar a conectividade do ExpressRoute ao se conectar a reuniões externas do Skype for Business Online, o design recomendado no Skype for Business O guia de conectividade de rede e qualidade de mídia online é provisionar um circuito adicional do ExpressRoute para o terceiro local. Isso pode ser mais caro de uma perspectiva de rede; No entanto, o roteamento de solicitações de um continente para outro antes de entregar a um datacenter da Microsoft pode causar uma experiência ruim ou inutilizável durante Skype for Business e comunicações online.

Se o Humongous Insurance não estiver usando ou não planeja usar o Skype for Business Online de alguma forma Office 365, o roteamento de um tráfego de rede destinado de volta para um continente com uma conexão do ExpressRoute pode ser viável, mas pode causar latência desnecessária ou congestionamento TCP. Em ambos os casos, é recomendável rotear o tráfego destinado à Internet para a Internet no site local para aproveitar as redes de distribuição de conteúdo das quais Office 365 depende.

Várias regiões geográficas do ExpressRoute.

Quando a Humongous Insurance está planejando sua estratégia de várias regiões geográficas, há muitas coisas a serem consideradas em torno do tamanho do circuito, do número de circuitos, do failover e assim por diante.

Com o ExpressRoute em um único local com várias regiões tentando usar o circuito, a Humongous Insurance deseja garantir que as conexões com o Office 365 do escritório remoto sejam enviadas para o datacenter do Office 365 mais próximo da sede e recebidas pelo local da sede. Para fazer isso, a Humongous Insurance implementa o encaminhamento de DNS para reduzir o número de viagens de ida e volta e pesquisas de DNS necessárias para estabelecer a conexão apropriada com o ambiente de Office 365 mais próximo do ponto de saída da Internet da sede. Isso impede que o cliente resolva um servidor front-end local e garante que o servidor Front-End que a pessoa se conecta esteja perto da sede em que o Humongous Insurance está emparelhando com a Microsoft. Você também pode aprender a atribuir um encaminhador condicional para um nome de domínio.

Nesse cenário, o tráfego do escritório remoto resolveria a infraestrutura de front-end do Office 365 no América do Norte e usaria o Office 365 para se conectar aos servidores de back-end de acordo com a arquitetura do aplicativo Office 365. Por exemplo, Exchange Online encerraria a conexão no América do Norte e esses servidores front-end se conectariam ao servidor de caixa de correio de back-end onde quer que o locatário residia. Todos os serviços têm um serviço front door amplamente distribuído composto por destinos unicast e anycast.

Se a Humongous tiver escritórios principais em vários continentes, um mínimo de dois circuitos ativos/ativos por região será recomendado para reduzir a latência para aplicativos confidenciais, como o Skype for Business Online. Se todos os escritórios estão em um único continente ou não estão usando a colaboração em tempo real, ter um ponto de saída consolidado ou distribuído é uma decisão específica do cliente. Quando vários circuitos estiverem disponíveis, o roteamento BGP garantirá o failover se qualquer circuito único ficar indisponível.

Saiba mais sobre as configurações de roteamento de exemplo e https://azure.microsoft.com/documentation/articles/expressroute-config-samples-nat/.

Roteamento seletivo com o ExpressRoute

O roteamento seletivo com o ExpressRoute pode ser necessário por vários motivos, como teste, distribuição do ExpressRoute para um subconjunto de usuários. Há várias ferramentas que os clientes podem usar para rotear seletivamente Office 365 de rede pelo ExpressRoute:

  1. Filtragem/segregação de rotas – permitindo que as rotas BGP Office 365 pelo ExpressRoute para um subconjunto de suas sub-redes ou roteadores. Isso roteia seletivamente por segmento de rede do cliente ou local de escritório físico. Isso é comum para a distribuição escalonada do ExpressRoute para Office 365 e é configurado em seus dispositivos BGP.

  2. Arquivos/URLs pac – direcionando Office 365 tráfego de rede destinado para FQDNs específicos para rotear em um caminho específico. Isso roteia seletivamente pelo computador cliente, conforme identificado pela implantação de arquivo PAC.

  3. Filtragem de rotas - Os filtros de rota são uma maneira de consumir um subconjunto de serviços com suporte por meio do emparelhamento da Microsoft.

  4. Comunidades BGP – a filtragem com base em marcas da comunidade BGP permite que um cliente determine quais aplicativos Office 365 percorrerão o ExpressRoute e quais atravessarão a Internet.

Aqui está um link curto que você pode usar para voltar: https://aka.ms/erorouting

Avaliando a conectividade de rede do Office 365

Microsoft Azure ExpressRoute para Office 365

Como gerenciar o ExpressRoute para a conectividade do Office 365

Planejamento de rede com o ExpressRoute para Office 365

Como implementar o ExpressRoute para Office 365

Qualidade da mídia e desempenho de conectividade de rede no Skype for Business Online

Como otimizar a sua rede para o Skype for Business Online

ExpressRoute e QoS no Skype for Business Online

Fluxo de chamadas usando o ExpressRoute

Usando comunidades BGP no ExpressRoute para Office 365 cenários

Ajuste de desempenho do Office 365 usando linhas de base e histórico de desempenho

Plano de solução de problemas de desempenho do Office 365

URLs e intervalos de endereços IP do Office 365

Rede do Office 365 e ajuste de desempenho