Dirigering med ExpressRoute för Office 365

Denna artikel gäller för både Microsoft 365 Enterprise och Office 365 Enterprise.

För att korrekt förstå routningstrafik till Office 365 med hjälp av Azure ExpressRoute behöver du ett fast grepp om kraven för ExpressRoute-routning och ExpressRoute-kretsarna och routningsdomänerna. Dessa beskriver grunderna för att använda ExpressRoute som Office 365 kunder kommer att förlita sig på.

Några av de viktigaste objekten i artiklarna ovan som du behöver förstå är:

  • ExpressRoute-kretsar är inte mappade till specifik fysisk infrastruktur, men är en logisk anslutning som görs på en enda peeringplats av Microsoft och en peeringprovider för din räkning.

  • Det finns en 1:1-mappning mellan en ExpressRoute-krets och en kunds-nyckel.

  • Varje krets har stöd för två oberoende peeringrelationer (privat Azure-peering och Microsoft-peering); Office 365 kräver Microsoft-peering.

  • Varje krets har en fast bandbredd som delas mellan alla peering-relationer.

  • Alla offentliga IPv4-adresser och offentliga AS-nummer som ska användas för ExpressRoute-kretsen måste verifieras som ägda av dig eller tilldelas dig exklusivt av adressintervallets ägare.

  • De virtuella ExpressRoute-kretsarna är redundanta globalt och följer standardmetoderna för BGP-routning. Därför rekommenderar vi två fysiska kretsar per utgående till providern i en aktiv/aktiv konfiguration.

Mer information om tjänster som stöds, kostnader och konfigurationsinformation finns på sidan med vanliga frågor och svar. Se artikeln Om ExpressRoute-platser för information om listan över anslutningsleverantörer som erbjuder Microsoft-peeringsupport. Vi har också spelat in en Azure ExpressRoute for Office 365 Training-serie i 10 delar på Channel 9 för att förklara begreppen mer noggrant.

Säkerställa routningssymmetri

De Office 365 klientdelsservrarna är tillgängliga på både Internet och ExpressRoute. Dessa servrar föredrar att dirigera tillbaka till den lokala miljön via ExpressRoute-kretsar när båda är tillgängliga. På grund av detta finns det en möjlighet att dirigera asymmetri om trafik från nätverket föredrar att dirigeras via dina Internet-kretsar. Asymmetriska vägar är ett problem eftersom enheter som utför tillståndskänslig paketgranskning kan blockera returtrafik som följer en annan sökväg än de utgående paket som följs.

Oavsett om du initierar en anslutning till Office 365 via Internet eller ExpressRoute måste källan vara en offentligt dirigerbar adress. Med många kunder som peerkopplar direkt med Microsoft är det inte möjligt att ha privata adresser där duplicering är möjligt mellan kunder.

Följande är scenarier där kommunikation från Office 365 till ditt lokala nätverk initieras. För att förenkla nätverksdesignen rekommenderar vi att du dirigerar följande via Internetsökvägen.

För att Microsoft ska kunna dirigera tillbaka till nätverket för dessa dubbelriktade trafikflöden måste BGP-vägarna till dina lokala enheter delas med Microsoft. När du annonserar routningsprefix till Microsoft via ExpressRoute bör du följa dessa metodtips:

  1. Annonsera inte samma offentliga IP-adressvägsprefix till det offentliga Internet och via ExpressRoute. Vi rekommenderar att IP BGP Route Prefix-annonserna till Microsoft via ExpressRoute kommer från ett intervall som inte alls annonseras till Internet. Om detta inte är möjligt att uppnå på grund av det tillgängliga IP-adressutrymmet är det viktigt att du annonserar ett mer specifikt intervall över ExpressRoute än några internetkretsar.

  2. Använd separata NAT IP-pooler per ExpressRoute-krets och avgränsa dem med dina Internet-kretsar.

  3. Alla vägar som annonseras till Microsoft kommer att locka nätverkstrafik från alla servrar i Microsofts nätverk, inte bara de för vilka vägar annonseras till ditt nätverk via ExpressRoute. Annonsera endast vägar till servrar där routningsscenarier definieras och förstås väl av ditt team. Annonsera separata IP-adressvägsprefix på var och en av flera ExpressRoute-kretsar från nätverket.

Bestämma vilka program och funktioner som ska dirigeras via ExpressRoute

När du konfigurerar en peeringrelation med hjälp av Microsofts peeringroutningsdomän och har godkänts för lämplig åtkomst kan du se alla PaaS- och SaaS-tjänster som är tillgängliga via ExpressRoute. De Office 365 tjänster som utformats för ExpressRoute kan hanteras med BGP-communities eller vägfilter.

Var och en av de Office 365 funktioner som är tillgängliga med Microsoft-peering visas i artikeln Office 365 slutpunkter efter programtyp och FQDN. Anledningen till att använda FQDN i tabellerna är att tillåta kunder att hantera trafik med PAC-filer eller andra proxykonfigurationer, se vår guide för att hantera Office 365 slutpunkter, till exempel PAC-filer.

I vissa situationer har vi använt en jokerteckendomän där ett eller flera under-FQDN annonseras annorlunda än jokerteckendomänen på högre nivå. Det händer vanligtvis när jokertecknet representerar en lång lista över servrar som alla annonseras till ExpressRoute och Internet, medan en liten delmängd av mål endast annonseras till Internet eller tvärtom. Se tabellerna nedan för att förstå var skillnaderna finns.

Den här tabellen visar jokertecken-FQDN:er som annonseras till både Internet och Azure ExpressRoute tillsammans med de under-FQDN:er som endast annonseras till Internet.

Jokerteckendomän som annonseras till ExpressRoute- och Internet-kretsar Under-FQDN annonseras endast till Internet-kretsar
*.microsoftonline.com
click.email.microsoftonline.com
portal.microsoftonline.com
provisioningapi.microsoftonline.com
adminwebservice.microsoftonline.com
*.officeapps.live.com
nexusRules.officeapps.live.com
nexus.officeapps.live.com
odc.officeapps.live.com
odc.officeapps.live.com
cdn.odc.officeapps.live.com
ols.officeapps.live.com
ocsredir.officeapps.live.com
ocws.officeapps.live.com
ocsa.officeapps.live.com

Vanligtvis är PAC-filer avsedda att skicka nätverksbegäranden till ExpressRoute-annonserade slutpunkter direkt till kretsen och alla andra nätverksbegäranden till proxyn. Om du konfigurerar en PAC-fil så här skriver du PAC-filen i följande ordning:

  1. Inkludera under-FQDN från kolumn två i tabellen ovan överst i PAC-filen och skicka trafiken till proxyn. Vi har skapat en PAC-exempelfil som du kan använda i vår artikel om att hantera Office 365 slutpunkter.

  2. Inkludera alla FQDN:er som markerats som annonserade till ExpressRoute i den här artikeln under det första avsnittet och skicka trafiken direkt till ExpressRoute-kretsen.

  3. Inkludera andra nätverksslutpunkter eller regler under dessa två poster och skicka trafiken till proxyn.

Den här tabellen visar de jokerteckendomäner som annonseras till Internetkretsar endast tillsammans med de under-FQDN:er som annonseras till Azure ExpressRoute- och Internet-kretsar. För PAC-filen ovan visas FQDN i kolumn 2 i tabellen nedan som annonseras till ExpressRoute i den länk som refereras, vilket innebär att de skulle ingå i den andra gruppen poster i filen.

Jokerteckendomän annonseras endast till Internetkretsar Under-FQDN annonseras till ExpressRoute- och Internet-kretsar
*.office.com
*.outlook.office.com
home.office.com
outlook.office.com
portal.office.com
www.office.com
*.office.net
agent.office.net
*.office365.com
outlook.office365.com
smtp.office365.com
*.outlook.com
*.protection.outlook.com
*.mail.protection.outlook.com
autodiscover-<tenant>.outlook.com
*.windows.net
login.windows.net

Routning Office 365 trafik via Internet och ExpressRoute

Om du vill dirigera till Office 365 program som du väljer måste du fastställa ett antal viktiga faktorer.

  1. Hur mycket bandbredd programmet kommer att kräva. Sampling av befintlig användning är den enda tillförlitliga metoden för att fastställa detta i din organisation.

  2. Vilka utgående platser du vill att nätverkstrafiken ska lämna nätverket från. Du bör planera för att minimera nätverksfördröjningen för anslutning till Office 365 eftersom detta påverkar prestandan. Eftersom Skype för företag använder röst och video i realtid är det känsligt för dåliga svarstider i nätverket.

  3. Om du vill att alla eller en delmängd av dina nätverksplatser ska använda ExpressRoute.

  4. Vilka platser din valda nätverksleverantör erbjuder ExpressRoute från.

När du har fastställt svaren på dessa frågor kan du etablera en ExpressRoute-krets som uppfyller bandbredds- och platsbehoven. Mer hjälp med nätverksplanering finns i guiden Office 365 nätverksjustering och fallstudien om hur Microsoft hanterar planering av nätverksprestanda.

Exempel 1: Enskild geografisk plats

Det här exemplet är ett scenario för ett fiktivt företag med namnet Trey Research som har en enda geografisk plats.

Anställda på Trey Research får endast ansluta till de tjänster och webbplatser på Internet som säkerhetsavdelningen uttryckligen tillåter på de par utgående proxyservrar som finns mellan företagsnätverket och deras Internetleverantör.

Trey Research planerar att använda Azure ExpressRoute för Office 365 och identifierar att viss trafik, till exempel trafik som är avsedd för nätverk för innehållsleverans, inte kan dirigeras via ExpressRoute för Office 365 anslutning. Eftersom all trafik redan dirigerar till proxyenheterna som standard fortsätter dessa begäranden att fungera som tidigare. När Trey Research har fastställt att de kan uppfylla routningskraven för Azure ExpressRoute fortsätter de med att skapa en krets, konfigurera routning och länka den nya ExpressRoute-kretsen till ett virtuellt nätverk. När den grundläggande Azure ExpressRoute-konfigurationen är på plats använder Trey Research PAC-filen #2 som vi publicerar för att dirigera trafik med kundspecifika data via direkt ExpressRoute för Office 365 anslutningar.

Som du ser i följande diagram kan Trey Research uppfylla kravet på att dirigera Office 365 trafik via Internet och en delmängd av trafiken via ExpressRoute med hjälp av en kombination av konfigurationsändringar för routning och utgående proxy.

  1. Med hjälp av PAC-filen #2 publicerar vi för att dirigera trafik via en separat utgående internetpunkt för Azure ExpressRoute för Office 365.

  2. Klienter konfigureras med en standardväg mot Trey Researchs proxyservrar.

I det här exempelscenariot använder Trey Research en utgående proxyenhet. På samma sätt kan kunder som inte använder Azure ExpressRoute för Office 365 använda den här tekniken för att dirigera trafik baserat på kostnaden för att inspektera trafik som är avsedd för välkända slutpunkter med hög volym.

De högsta volym-FQDN:erna för Exchange Online, SharePoint Online och Skype för företag Online är följande:

ExpressRoute-kunds edge-nätverk.

  • outlook.office365.com, outlook.office.com

  • <tenant-name>.sharepoint.com, <tenant-name>-my.sharepoint.com, <tenant-name>-<app>.sharepoint.com

  • *.Lync.com tillsammans med IP-intervallen för icke-TCP-trafik

  • *broadcast.officeapps.live.com, *excel.officeapps.live.com, *onenote.officeapps.live.com, *powerpoint.officeapps.live.com, *view.officeapps.live.com, *visio.officeapps.live.com, *word-edit.officeapps.live.com, *word-view.officeapps.live.com, office.live.com

Läs mer om att distribuera och hantera proxyinställningar i Windows 8 och se till att Office 365 inte begränsas av proxyn.

Med en enda ExpressRoute-krets finns det ingen hög tillgänglighet för Trey Research. Om Treys redundanta par med gränsenheter som betjänar ExpressRoute-anslutningen misslyckas finns det ingen extra ExpressRoute-krets att redundansväxla till. Detta lämnar Trey Research i en situation eftersom redigeriering till Internet kräver manuell omkonfiguration och i vissa fall nya IP-adresser. Om Trey vill lägga till hög tillgänglighet är den enklaste lösningen att lägga till extra ExpressRoute-kretsar för varje plats och konfigurera kretsarna på ett aktivt/aktivt sätt.

Dirigera ExpressRoute för Office 365 med flera platser

Det sista scenariot, routning Office 365 trafik över ExpressRoute är grunden för ännu mer komplex routningsarkitektur. Oavsett antalet platser, antalet kontinenter där dessa platser finns, antalet ExpressRoute-kretsar och så vidare krävs det att du kan dirigera viss trafik till Internet och viss trafik via ExpressRoute.

De extra frågor som måste besvaras för kunder med flera platser i flera geografiska områden är:

  1. Behöver du en ExpressRoute-krets på varje plats? Om du använder Skype för företag Online eller är intresserad av svarstidskänslighet för SharePoint Online eller Exchange Online rekommenderas ett redundant par med aktiva/aktiva ExpressRoute-kretsar på varje plats. Mer information finns i Skype för företag mediakvalitet och nätverksanslutningsguide.

  2. Hur ska Office 365 dirigeras om en ExpressRoute-krets inte är tillgänglig i en viss region?

  3. Vilken är den bästa metoden för att konsolidera trafiken när det gäller nätverk med många små platser?

Var och en av dessa utgör en unik utmaning som kräver att du utvärderar ditt eget nätverk och de alternativ som är tillgängliga från Microsoft.

Att tänka på Nätverkskomponenter att utvärdera
Kretsar på mer än en plats
Vi rekommenderar minst två kretsar som konfigurerats på ett aktivt/aktivt sätt.
Kostnads-, svarstids- och bandbreddsbehov måste jämföras.
Använd BGP-vägkostnad, PAC-filer och NAT för att hantera routning med flera kretsar.
Routning från platser utan en ExpressRoute-krets
Vi rekommenderar utgående och DNS-matchning så nära den person som initierar begäran om Office 365.
DNS-vidarebefordring kan användas för att tillåta fjärrkontor att identifiera lämplig slutpunkt.
Klienter på fjärrkontoret måste ha en tillgänglig väg som ger åtkomst till ExpressRoute-kretsen.
Konsolidering av små kontor
Tillgänglig bandbredd och dataanvändning bör jämföras noggrant.

Anteckning

Microsoft föredrar ExpressRoute via Internet om vägen är tillgänglig oavsett fysisk plats.

Var och en av dessa överväganden måste beaktas för varje unikt nätverk. Nedan visas ett exempel.

Exempel 2: Flera geografiska platser

Det här exemplet är ett scenario för ett fiktivt företag med namnet "Humongous Insurance" som har flera geografiska platser.

Humongous Insurance är geografiskt spridda med kontor över hela världen. De vill implementera Azure ExpressRoute för Office 365 för att behålla de flesta av sina Office 365 trafik på direkta nätverksanslutningar. Humongous Insurance har också kontor på ytterligare två kontinenter. De anställda på fjärrkontoret där ExpressRoute inte är möjligt måste dirigera tillbaka till en eller båda de primära anläggningarna för att använda en ExpressRoute-anslutning.

Den vägledande principen är att få Office 365 trafik till ett Microsoft-datacenter så snabbt som möjligt. I det här exemplet måste Humongous Insurance bestämma om deras fjärranslutna kontor ska dirigeras via Internet för att komma till ett Microsoft-datacenter via en anslutning så snabbt som möjligt eller om deras fjärrkontor ska dirigeras via ett internt nätverk för att komma till ett Microsoft-datacenter via en ExpressRoute-anslutning så snabbt som möjligt.

Microsofts datacenter, nätverk och programarkitektur är utformade för att ta globalt olika kommunikationer och betjäna dem på så effektivt sätt som möjligt. Detta är ett av de största nätverken i världen. Begäranden som är avsedda för Office 365 som finns kvar i kundnätverk längre än nödvändigt kan inte dra nytta av den här arkitekturen.

I Humongous Insurances situation bör de fortsätta beroende på vilka program de tänker använda via ExpressRoute. Om de till exempel är en Skype för företag Online-kund, eller planerar att använda ExpressRoute-anslutning vid anslutning till externa Skype för företag Online-möten, är den design som rekommenderas i Skype för företag Online mediakvalitet och nätverksanslutningsguiden att etablera ytterligare en ExpressRoute-krets för den tredje platsen . Detta kan vara dyrare ur ett nätverksperspektiv. Routningsbegäranden från en kontinent till en annan innan de levereras till ett Microsoft-datacenter kan dock orsaka en dålig eller oanvändbar upplevelse under Skype för företag Online-möten och -kommunikation.

Om Humongous Insurance inte använder eller inte planerar att använda Skype för företag Online på något sätt kan routning Office 365 avsedd nätverkstrafik tillbaka till en kontinent med en ExpressRoute-anslutning vara möjlig, men kan orsaka onödig svarstid eller TCP-överbelastning. I båda fallen rekommenderas routning av Internettrafik till Internet på den lokala platsen för att dra nytta av de nätverk för innehållsleverans som Office 365 förlitar sig på.

ExpressRoute med flera geografiska områden.

När Humongous Insurance planerar sin strategi för flera geografiska områden finns det många saker att tänka på kring storleken på kretsen, antalet kretsar, redundans och så vidare.

Med ExpressRoute på en enda plats med flera regioner som försöker använda kretsen vill Humongous Insurance se till att anslutningar till Office 365 från fjärrkontoret skickas till det Office 365 datacenter närmaste huvudkontoret och tas emot av huvudkontorets plats. För att göra detta implementerar Humongous Insurance DNS-vidarebefordran för att minska antalet tur- och returresor och DNS-sökningar som krävs för att upprätta lämplig anslutning till den Office 365 miljö som är närmast huvudkontorets internetutgångspunkt. Detta förhindrar att klienten löser en lokal klientdelsserver och säkerställer att den Front-End server som personen ansluter till är nära huvudkontoret där Humongous Insurance peering med Microsoft. Du kan också lära dig att tilldela en villkorlig vidarebefordrare för ett domännamn.

I det här scenariot skulle trafik från fjärrkontoret lösa Office 365 klientdelsinfrastruktur i Nordamerika och använda Office 365 för att ansluta till serverdelsservrarna enligt arkitekturen i Office 365-programmet. Till exempel skulle Exchange Online avsluta anslutningen i Nordamerika och dessa klientdelsservrar skulle ansluta till serverdelens postlådeserver oavsett var klienten finns. Alla tjänster har en allmänt distribuerad front door-tjänst som består av unicast- och anycast-destinationer.

Om Humongous har stora kontor på flera kontinenter rekommenderas minst två aktiva/aktiva kretsar per region för att minska svarstiden för känsliga program som Skype för företag Online. Om alla kontor finns på en enda kontinent eller inte använder realtidssamarbete är det ett kundspecifikt beslut att ha en konsoliderad eller distribuerad utgående punkt. När flera kretsar är tillgängliga säkerställer BGP-routning redundansväxling om en enskild krets blir otillgänglig.

Läs mer om exempel på routningskonfigurationer och https://azure.microsoft.com/documentation/articles/expressroute-config-samples-nat/.

Selektiv routning med ExpressRoute

Selektiv routning med ExpressRoute kan behövas av olika orsaker, till exempel testning, distribution av ExpressRoute till en delmängd av användarna. Det finns olika verktyg som kunder kan använda för att selektivt dirigera Office 365 nätverkstrafik via ExpressRoute:

  1. Routningsfiltrering/uppdelning – så att BGP-vägarna kan Office 365 över ExpressRoute till en delmängd av dina undernät eller routrar. Detta dirigerar selektivt efter kundnätverkssegment eller fysisk kontorsplats. Detta är vanligt för häpnadsväckande distribution av ExpressRoute för Office 365 och konfigureras på dina BGP-enheter.

  2. PAC-filer/URL:er – dirigerar Office 365 avsedd nätverkstrafik för specifika FQDN:er att dirigeras på en specifik sökväg. Detta dirigerar selektivt efter klientdator som identifierats av PAC-fildistribution.

  3. Vägfiltrering - Vägfilter är ett sätt att använda en delmängd av tjänster som stöds via Microsoft-peering.

  4. BGP-communities – filtrering baserat på BGP-communitytaggar gör det möjligt för en kund att avgöra vilka Office 365 program kommer att passera ExpressRoute och vilka som kommer att passera internet.

Här är en kort länk som du kan använda för att komma tillbaka: https://aka.ms/erorouting

Utvärdera Nätverksanslutningar för Office 365

Azure ExpressRoute för Office 365

Hantera ExpressRoute för Office 365-anslutning

Nätverksplanering med ExpressRoute för Office 365

Implementera ExpressRoute för Office 365

Prestanda för mediekvalitet och nätverksanslutning i Skype för företag – Online

Optimera ditt nätverk för Skype för företag – Online

ExpressRoute och QoS i Skype för företag Online

Samtalsflöde med ExpressRoute

Använda BGP-communities i ExpressRoute för Office 365 scenarier

Prestandajustering för Office 365 med baslinjer och prestandahistorik

Plan för prestandafelsökning för Office 365.

URL-adresser och IP-adressintervall för Office 365

Office 365 nätverks- och prestandajustering