Nätverksplanering med ExpressRoute för Office 365

Denna artikel gäller för både Microsoft 365 Enterprise och Office 365 Enterprise.

ExpressRoute för Office 365 ger layer 3-anslutning mellan ditt nätverk och Microsofts datacenter. Kretsarna använder BGP-vägannonser (Border Gateway Protocol) för Office 365 klientdelsservrar. Från dina lokala enheters perspektiv, när de behöver välja rätt TCP/IP-sökväg till Office 365, ses Azure ExpressRoute som ett alternativ till Internet.

Azure ExpressRoute lägger till en direkt sökväg till en specifik uppsättning funktioner och tjänster som stöds av Office 365 servrar i Microsofts datacenter. Azure ExpressRoute ersätter inte Internetanslutningen till Microsofts datacenter eller grundläggande Internettjänster, till exempel domännamnsmatchning. Azure ExpressRoute och dina Internet-kretsar bör skyddas och vara redundanta.

I följande tabell visas några skillnader mellan Internet- och Azure ExpressRoute-anslutningar i kontexten för Office 365.

Skillnader i nätverksplanering Internetanslutning ExpressRoute-nätverksanslutning
Tillgång till nödvändiga Internettjänster, inklusive;
DNS-namnmatchning
Verifiering av återkallande av certifikat
Nätverk för innehållsleverans (CDN)
Ja
Begäranden till Microsoft-ägd DNS och/eller CDN infrastruktur kan använda ExpressRoute-nätverket.
Åtkomst till Office 365 tjänster, inklusive;
Exchange Online
SharePoint Online
Skype för företag – Online
Office i en webbläsare
Office 365 portalen och autentisering
Ja, alla program och funktioner
Ja, specifika program och funktioner
Lokal säkerhet i perimetern.
Ja
Ja
Planering för hög tillgänglighet.
Växla över till en alternativ Internetanslutning
Växla över till en alternativ ExpressRoute-anslutning
Direktanslutning med en förutsägbar nätverksprofil.
Nej
Ja
IPv6-anslutning.
Ja
Ja

Expandera rubrikerna nedan för mer vägledning om nätverksplanering.

Befintliga Azure ExpressRoute-kunder

Om du använder en befintlig Azure ExpressRoute-krets och vill lägga till Office 365 anslutning över den här kretsen bör du titta på antalet kretsar, utgående platser och storleken på kretsarna för att säkerställa att de uppfyller behoven för din Office 365 användning. De flesta kunder behöver extra bandbredd och många kräver fler kretsar.

Om du vill aktivera åtkomst till Office 365 över dina befintliga Azure ExpressRoute-kretsar konfigurerar du routningsfiltren så att de Office 365 tjänsterna är tillgängliga.

Azure ExpressRoute-prenumerationen är kundcentrerad, vilket innebär att prenumerationer är knutna till kunder. Som kund kan du ha flera Azure ExpressRoute-kretsar och få åtkomst till många Microsoft-molnresurser över dessa kretsar. Du kan till exempel välja att komma åt en virtuell Azure-värddator, en Office 365 testklient och en Office 365 produktionsklient över ett par redundanta Azure ExpressRoute-kretsar.

Den här tabellen beskriver de två typerna av peeringrelationer som du kan välja att implementera över dina kretsar.

Peering-relation Privat Azure Microsoft
Tjänster
IaaS: Azure Virtual Machines
PaaS: Offentliga Azure-tjänster
SaaS: Office 365
SaaS: Dynamics 365
Anslutningsinitiering****
Kund-till-Microsoft
Microsoft-till-kund
Kund-till-Microsoft
Microsoft-till-kund
QoS-stöd
Ingen QoS
QoS1

1 QoS stöder endast Skype för företag just nu.

Bandbreddsplanering för Azure ExpressRoute

Varje Office 365 kunden har unika bandbreddsbehov beroende på antalet personer på varje plats, hur aktiva de är med varje Office 365 program och andra faktorer som användning av lokal eller hybridutrustning och nätverkssäkerhetskonfigurationer.

För lite bandbredd leder till överbelastning, överföring av data och oförutsägbara fördröjningar. Att ha för mycket bandbredd leder till onödiga kostnader. I ett befintligt nätverk kallas bandbredd ofta för mängden tillgängligt utrymme på kretsen i procent. Att ha 10% utrymme kommer sannolikt att resultera i trängsel och att ha 80% utrymme innebär i allmänhet onödig kostnad. Typiska målallokeringar för huvudkontoret är 20 till 50 %.

För att hitta rätt bandbreddsnivå är den bästa mekanismen att testa din befintliga nätverksförbrukning. Det här är det enda sättet att få ett verkligt mått på användning och behov eftersom varje nätverkskonfiguration och program på vissa sätt är unika. När du mäter bör du vara uppmärksam på den totala bandbreddsförbrukningen, svarstiden och TCP-överbelastningen för att förstå dina nätverksbehov.

När du har en uppskattad baslinje som innehåller alla nätverksprogram, pilot Office 365 med en liten grupp som består av olika profiler för personer i din organisation för att fastställa den faktiska användningen och använda de två mätningarna för att uppskatta mängden bandbredd som du behöver för varje kontorsplats. Om det finns problem med svarstid eller TCP-överbelastning i testningen kan du behöva flytta utgående trafik närmare de personer som använder Office 365 eller ta bort intensiv nätverksgenomsökning, till exempel SSL-dekryptering/inspektion.

Alla våra rekommendationer om vilken typ av nätverksbearbetning som rekommenderas gäller för både ExpressRoute- och Internet-kretsar. Detsamma gäller för resten av vägledningen på vår webbplats för prestandajustering.

Tillämpa säkerhetskontroller på Azure ExpressRoute för Office 365 scenarier

Att skydda Azure ExpressRoute-anslutningen börjar med samma principer som att skydda Internetanslutningen. Många kunder väljer att distribuera nätverks- och perimeterkontroller längs ExpressRoute-sökvägen och ansluta sitt lokala nätverk till Office 365 och andra Microsoft-moln. Dessa kontroller kan omfatta brandväggar, programproxyservrar, skydd mot dataläckage, intrångsidentifiering, intrångsskyddssystem och så vidare. I många fall tillämpar kunderna olika nivåer av kontroller på trafik som initieras från en lokal plats till Microsoft, jämfört med trafik som initieras från Microsoft som går till kundens lokala nätverk, jämfört med trafik som initieras från en lokal plats som går till ett allmänt Internetmål.

Här är några exempel på hur du integrerar säkerhet med den ExpressRoute-anslutningsmodell som du väljer att distribuera.

ExpressRoute-integreringsalternativ Perimetermodell för nätverkssäkerhet
Samlokaliserat vid ett molnutbyte
Installera ny eller använd befintlig säkerhets-/perimeterinfrastruktur i samlokaliseringsanläggningen där ExpressRoute-anslutningen upprättas.
Använd samlokaliseringsanläggningen enbart för routnings-/sammanlänkningsändamål och backtransportanslutningar från samlokaliseringsanläggningen till den lokala säkerhets-/perimeterinfrastrukturen.
Punkt-till-punkt-Ethernet
Avsluta ExpressRoute-anslutningen punkt-till-punkt på den befintliga platsen för lokal säkerhet/perimeterinfrastruktur.
Installera ny säkerhets-/perimeterinfrastruktur som är specifik för ExpressRoute-sökvägen och avsluta punkt-till-punkt-anslutningen där.
Alla-till-alla IPVPN
Använd en befintlig lokal säkerhets-/perimeterinfrastruktur på alla platser som går ut i DET IPVPN som används för ExpressRoute för Office 365 anslutning.
Hairpin den IPVPN som används för ExpressRoute för Office 365 till specifika lokala platser som är avsedda att fungera som säkerhet/perimeter.

Vissa tjänstleverantörer erbjuder även hanterade säkerhets-/perimeterfunktioner som en del av sina integreringslösningar med Azure ExpressRoute.

När du överväger topologiplaceringen av de nätverks-/säkerhetsperimeteralternativ som används för ExpressRoute för Office 365 anslutningar, är följande extra överväganden

  • Nätverks-/säkerhetskontrollerna för djup och typ kan påverka prestanda och skalbarhet för Office 365 användarupplevelse.

  • Utgående (lokal-Microsoft>) och inkommande (Microsoft-lokalt>) [om aktiverat] flöden kan ha olika krav. Dessa skiljer sig troligen från utgående till allmänna Internetmål.

  • Office 365 kraven för portar/protokoll och nödvändiga IP-undernät är desamma, oavsett om trafiken dirigeras via ExpressRoute för Office 365 eller via Internet.

  • Topologisk placering av kundens nätverks-/säkerhetskontroller avgör det ultimata nätverket från slutpunkt till slutpunkt mellan användaren och Office 365 tjänsten och kan ha en betydande inverkan på nätverksfördröjning och överbelastning.

  • Kunderna uppmanas att utforma sin säkerhets-/perimetertopologi för användning med ExpressRoute för Office 365 i enlighet med bästa praxis för redundans, hög tillgänglighet och haveriberedskap.

Här är ett exempel på Contoso som jämför de olika Azure ExpressRoute-anslutningsalternativen med de perimetersäkerhetsmodeller som beskrivs ovan.

Exempel 1: Skydda Azure ExpressRoute

Contoso överväger att implementera Azure ExpressRoute och efter att ha planerat den optimala arkitekturen för routning med ExpressRoute för Office 365 och efter att ha använt ovanstående vägledning för att förstå bandbreddskrav bestämmer de den bästa metoden för att skydda sin perimeter.

För Contoso, en multinationell organisation med platser på flera kontinenter, måste säkerheten omfatta alla perimeterr. Det optimala anslutningsalternativet för Contoso är en anslutning med flera punkter med flera peeringplatser runt om i världen för att tillgodose behoven hos sina anställda på varje kontinent. Varje kontinent innehåller redundanta Azure ExpressRoute-kretsar på kontinenten och säkerheten måste omfatta alla dessa.

Contosos befintliga infrastruktur är tillförlitlig och kan hantera det extra arbetet, vilket innebär att Contoso kan använda infrastrukturen för sin Azure ExpressRoute- och internetperimetersäkerhet. Om så inte var fallet kan Contoso välja att köpa mer utrustning för att komplettera sin befintliga utrustning eller hantera en annan typ av anslutning.

Hög tillgänglighet och redundans med Azure ExpressRoute

Vi rekommenderar att du etablerar minst två aktiva kretsar från varje utgående med ExpressRoute till din ExpressRoute-provider. Det här är den vanligaste platsen där vi ser fel för kunder och du kan enkelt undvika det genom att etablera ett par aktiva/aktiva ExpressRoute-kretsar. Vi rekommenderar också minst två aktiva/aktiva Internet-kretsar eftersom många Office 365 tjänster endast är tillgängliga via Internet.

I nätverkets utgående punkt finns många andra enheter och kretsar som spelar en viktig roll i hur människor uppfattar tillgänglighet. Dessa delar av dina anslutningsscenarier omfattas inte av ExpressRoute eller Office 365 serviceavtal, men de spelar en viktig roll i tjänsttillgängligheten från slutpunkt till slutpunkt som uppfattas av personer i din organisation.

Fokusera på de personer som använder och använder Office 365, om ett fel i någon komponent skulle påverka användarnas upplevelse av att använda tjänsten, leta efter sätt att begränsa den totala procentandelen personer som påverkas. Om ett redundansläge är driftskomplext bör du tänka på personernas upplevelse av en lång tid för återställning och leta efter driftsmässiga enkla och automatiserade redundanslägen.

Utanför nätverket har Office 365, ExpressRoute och ExpressRoute-providern olika tillgänglighetsnivåer.

Tjänsttillgänglighet

  • Office 365 tjänster omfattas av väldefinierade serviceavtal, som omfattar mått för drifttid och tillgänglighet för enskilda tjänster. En orsak Office 365 kan upprätthålla så hög servicetillgänglighet är möjligheten för enskilda komponenter att sömlöst redundansväxla mellan de många Microsoft-datacenter som använder det globala Microsoft-nätverket. Den här redundansväxlingen sträcker sig från datacentret och nätverket till flera utgående Internetpunkter och möjliggör sömlös redundans från de personer som använder tjänsten.

  • ExpressRoute tillhandahåller ett serviceavtal med 99,9 % tillgänglighet på enskilda dedikerade kretsar mellan Microsoft Network Edge och ExpressRoute-providern eller partnerinfrastrukturen. Dessa servicenivåer tillämpas på ExpressRoute-kretsnivå, som består av två oberoende anslutningar mellan den redundanta Microsoft-utrustningen och nätverksproviderns utrustning på varje peeringplats.

Providertillgänglighet

  • Microsofts servicenivåarrangemang stoppas hos din ExpressRoute-leverantör eller partner. Det här är också det första stället där du kan göra val som påverkar din tillgänglighetsnivå. Du bör noggrant utvärdera arkitekturen, tillgängligheten och återhämtningsegenskaperna som expressroute-providern erbjuder mellan din nätverksperimeter och din leverantörsanslutning på varje Microsoft-peeringplats. Var uppmärksam på både logiska och fysiska aspekter av redundans, peeringutrustning, wan-kretsar som tillhandahålls av transportföretaget och eventuella extra mervärdestjänster som NAT-tjänster eller hanterade brandväggar.

Utforma din tillgänglighetsplan

Vi rekommenderar starkt att du planerar och utformar hög tillgänglighet och återhämtning i dina anslutningsscenarier från slutpunkt till slutpunkt för Office 365. En design bör inkludera;

  • Inga enskilda felpunkter, inklusive både Internet- och ExpressRoute-kretsar.

  • Minimera antalet personer som påverkas och varaktigheten för den påverkan för de flesta förväntade fellägena.

  • Optimera för enkel, repeterbar och automatisk återställning från de mest förväntade fellägena.

  • Stöd för alla krav på nätverkstrafik och funktioner via redundanta sökvägar, utan betydande försämring.

Dina anslutningsscenarier bör innehålla en nätverkstopologi som är optimerad för flera oberoende och aktiva nätverkssökvägar till Office 365. Detta ger bättre tillgänglighet från slutpunkt till slutpunkt än en topologi som endast är optimerad för redundans på enskild enhet eller utrustningsnivå.

Tips

Om användarna distribueras över flera kontinenter eller geografiska regioner och var och en av dessa platser ansluter via redundanta WAN-kretsar till en enda lokal plats där en enda ExpressRoute-krets finns, får användarna mindre tjänsttillgänglighet från slutpunkt till slutpunkt än en nätverkstopologidesign som innehåller oberoende ExpressRoute-kretsar som ansluter de olika regionerna till närmaste peeringplats.

Vi rekommenderar att du etablerar minst två ExpressRoute-kretsar med varje krets som ansluter till med en annan geografisk peeringplats. Du bör etablera det här aktiva-aktiva kretsparet för varje region där personer använder ExpressRoute-anslutning för Office 365 tjänster. Detta gör att varje region kan vara ansluten under en katastrof som påverkar en större plats, till exempel ett datacenter eller en peeringplats. Genom att konfigurera dem som aktiva/aktiva kan slutanvändartrafiken distribueras över flera nätverkssökvägar. Detta minskar omfattningen för personer som påverkas vid avbrott i enheten eller nätverksutrustningen.

Vi rekommenderar inte att du använder en enda ExpressRoute-krets med Internet som en säkerhetskopia.

Exempel 2: Redundans och hög tillgänglighet

Contosos multigeografiska design har genomgått en granskning av routning, bandbredd, säkerhet och måste nu genomgå en granskning med hög tillgänglighet. Contoso anser att hög tillgänglighet omfattar tre kategorier; återhämtning, tillförlitlighet och redundans.

Återhämtning gör att Contoso snabbt kan återställa från fel. Med tillförlitlighet kan Contoso erbjuda ett konsekvent resultat i systemet. Redundans gör att Contoso kan flytta mellan en eller flera speglade infrastrukturinstanser.

I varje gränskonfiguration har Contoso redundanta brandväggar, proxyservrar och IDS. För Nordamerika har Contoso en gränskonfiguration i sitt Datacenter i Dallas och en annan gränskonfiguration i sitt Datacenter i Virginia. Den redundanta utrustningen på varje plats ger återhämtning till den platsen.

Nätverkskonfigurationen på Contoso bygger på några viktiga principer:

  • Det finns flera Azure ExpressRoute-kretsar i varje geografisk region.

  • Varje krets i en region har stöd för all nätverkstrafik inom den regionen.

  • Routning föredrar helt klart den ena eller den andra sökvägen beroende på tillgänglighet, plats och så vidare.

  • Redundansväxling mellan Azure ExpressRoute-kretsar sker automatiskt utan ytterligare konfiguration eller åtgärd som krävs av Contoso.

  • Redundansväxling mellan Internet-kretsar sker automatiskt utan ytterligare konfiguration eller åtgärd som krävs av Contoso.

I den här konfigurationen, med redundans på fysisk och virtuell nivå, kan Contoso erbjuda lokal återhämtning, regional återhämtning och global återhämtning på ett tillförlitligt sätt. Contoso valde den här konfigurationen efter att ha utvärderat en enda Azure ExpressRoute-krets per region samt möjligheten att växla över till Internet.

Om Contoso inte kunde ha flera Azure ExpressRoute-kretsar per region skulle routning av trafik med ursprung i Nordamerika till Azure ExpressRoute-kretsen i Asien och stillahavsområdet lägga till en oacceptabel svarstidsnivå och den nödvändiga DNS-vidarebefordrarkonfigurationen ökar komplexiteten.

Vi rekommenderar inte att du använder Internet som en säkerhetskopieringskonfiguration. Detta bryter contosos tillförlitlighetsprincip, vilket resulterar i en inkonsekvent upplevelse med hjälp av anslutningen. Dessutom krävs manuell konfiguration för att redundansväxla med hänsyn till de BGP-annonser som har konfigurerats, NAT-konfiguration, DNS-konfiguration och proxykonfigurationen. Den här extra redundanskomplexiteten ökar tiden för att återställa och minskar deras möjlighet att diagnostisera och felsöka stegen.

Har du fortfarande frågor om hur du planerar för och implementerar trafikhantering eller Azure ExpressRoute? Läs resten av våra riktlinjer för nätverk och prestanda eller vanliga frågor och svar om Azure ExpressRoute.

Arbeta med Azure ExpressRoute-leverantörer

Välj platserna för dina kretsar baserat på din bandbredd, svarstid, säkerhet och planering för hög tillgänglighet. När du känner till de optimala platserna vill du placera kretsar genom att granska den aktuella listan över providrar per region.

Kontakta leverantören eller leverantörerna för att välja de bästa anslutningsalternativen, punkt-till-punkt, flera punkter eller värdbaserade. Kom ihåg att du kan blanda och matcha anslutningsalternativen så länge bandbredden och andra redundanta komponenter stöder din routning och design med hög tillgänglighet.

Här är en kort länk som du kan använda för att komma tillbaka: https://aka.ms/planningexpressroute365

Utvärdera Nätverksanslutningar för Office 365

Azure ExpressRoute för Office 365

Hantera ExpressRoute för Office 365-anslutning

Dirigering med ExpressRoute för Office 365

Implementera ExpressRoute för Office 365

Använda BGP-communities i ExpressRoute för Office 365 scenarier

Prestanda för mediekvalitet och nätverksanslutning i Skype för företag – Online

Optimera ditt nätverk för Skype för företag – Online

ExpressRoute och QoS i Skype för företag Online

Samtalsflöde med ExpressRoute

Prestandajustering för Office 365 med baslinjer och prestandahistorik

Plan för prestandafelsökning för Office 365.

URL-adresser och IP-adressintervall för Office 365

Office 365 nätverks- och prestandajustering

Office 365-slutpunkter – vanliga frågor och svar