DDoS-Erkennung, Mitigation, Management und Bedrohungsanalyse
Umfassende Sicherheit & CGNAT
TLS/SSL Inspection
Web-Application-Firewall
Anwendungssicherheit und Load Balancing
Analytik und Management
CGNAT und IPv6-Migration
In diesem Artikel werden architektonische Designrichtlinien für Unternehmensnetzwerke vorgestellt, die Microsoft Office 365-Dienste bereitstellen. Office 365 hat standardmäßige SaaS-Architekturanforderungen, aber auch mehrere einzigartige Optionen, um optimale Anwendungsleistung, Skalierbarkeit und Ausfallsicherheit zu bieten.
Komponenten außerhalb der zentralen LAN- und WAN-Umgebung können das Gesamterlebnis der Benutzer beeinträchtigen. Dazu gehören Desktop- und andere Endbenutzergeräte, Client-Software und Betriebsumgebungen. Die Leistung kann auch durch Konfigurationen und Richtlinien beeinflusst werden, die vom Kundenadministrator für Office 365 verwaltet werden.
Dieser Artikel befasst sich mit der Architektur des Unternehmensnetzwerks und den Entwurfsmethoden, die den Netzwerkadministratoren zur Verfügung stehen, um die Leistung und Skalierbarkeit der Microsoft Office 365-Dienste zu optimieren.
Office 365 verfügt über eine breite Palette von Cloud-Diensten mit sehr unterschiedlichen Leistungsanforderungen. Anwendungen wie OneDrive und Outlook übertragen Daten im Hintergrund. Das Datenvolumen kann enorm sein, hat aber nur geringe Auswirkungen auf die unmittelbare Nutzererfahrung. Skype for Business bietet Sprach- und Videostreaming und hat hohe Anforderungen an die Netzwerkleistung. Paketverluste im Netzwerk oder Latenzprobleme wirken sich direkt auf die Sprachqualität aus und führen zu einer sehr schlechten Nutzererfahrung.
Die Mindestleistungsanforderungen von Microsoft für Skype for Business sind:
Einige Anwendungen benötigen Netzwerklatenzen von nur 25 Millisekunden. Office 365 hat mit über 50 Anwendungen und Diensten einen großen Anteil am WAN-Verkehr. Viele dieser Dienste sind geschäftskritisch, so dass Serviceausfälle und schlechte Leistung direkte Auswirkungen auf das Unternehmen haben.
Die wichtigsten Themen, die in diesem Artikel behandelt werden, sind:
Sobald der Office 365-Datenverkehr an den Microsoft Global Network Access Point übergeben wird, werden die Daten mithilfe fortschrittlicher Hochgeschwindigkeits-Netzwerktechnologien intelligent weitergeleitet. Probleme mit der Netzwerkleistung treten häufig in dem Netzwerksegment zwischen dem Netzwerkrand des Kunden und dem Microsoft-Netzwerk auf.
Der Kunde ist für dieses Netzwerksegment verantwortlich. Zu den Planungskriterien für Office 365-Netzwerke gehören:
Es gibt verschiedene Netzwerklösungen für die Anbindung des Kundennetzwerks an die Cloud-Dienste von Office 365:
Die gängigste Methode zur Verbindung mit Office 365-Diensten ist die direkte Weiterleitung des Datenverkehrs über das Internet. Oft hängt die Leistung dieses Netzwerks vom Internetdienstanbieter ab. Dieses Netzwerksegment sollte sowohl auf Leistung als auch auf andere Probleme überwacht werden. Siehe den Abschnitt "Fehlerbehebung und Überwachung von WANS".
Selbst wenn die Verbindung zwischen dem Kundennetzwerk und Office 365 über diese Methode erfolgt, werden mobile Benutzer und potenzielle Zweigstellen diese direkte Internetverbindung nutzen.
Zu den Optionen für die Netzgestaltung gehören:
Die WAN-Infrastrukturen der Kunden können auf ISP- oder Co-Location-Einrichtungen ausgedehnt werden, die direkte Peering-Beziehungen zu Microsoft unterhalten. Diese Einrichtungen können direkte Carrier-Verbindungen zu Microsoft bereitstellen.
Eine Beispielkonfiguration wäre, dass der Kunde eine Multiprotocol Label Switching (MPLS)-Leitung zu einem ISP bereitstellt, die eine direkte Weiterleitung zu Office 365 ermöglicht.
Dies würde vom Kunden verlangen, dass er:
Der Kunde wäre in der Lage, Netzwerkleistung und Ausfallsicherheit für geschäftskritische Office 365-Dienste zu garantieren.
MicrosoftExpressRoute® ähnelt der oben beschriebenen Methode der WAN-Erweiterung, wird aber von Microsoft als Dienst bereitgestellt. Der Netzwerkdienstleister würde diese direkte Verbindung zu Microsoft bereitstellen und das Netzwerk an Ihre Räumlichkeiten weiterleiten, ähnlich wie bei anderen Netzwerkverbindungen.
Fortschrittliche Netzwerktechnologien sind mit Application Delivery Controllern und SD-WAN-Lösungen verfügbar. Diese Lösungen bieten fortschrittliche und flexible WAN-Architekturen. Einige der Netzwerkfunktionen umfassen:
Das Microsoft Global Network verfügt über eine große Anzahl von Netzwerkzugangspunkten, die geografisch über die ganze Welt verteilt sind. Um die beste Leistung für Office 365-Dienste zu erzielen, sollten sich Kunden mit dem nächstgelegenen Microsoft Network Point of Presence (POP) verbinden. Sobald sie sich im Microsoft-Netzwerk befinden, wird der Datenverkehr auf intelligente Weise durch das globale Hochgeschwindigkeitsnetzwerk von Microsoft geroutet.
Office 365-Dienste verwenden GeoDNS-Lookup und andere Technologien, um festzustellen, woher DNS-Anfragen kommen, und leiten den Client-Datenverkehr an die geografisch nächstgelegene Service Front Door um.
Office 365-Clients verwenden lokale DNS-Server, die Anfragen an Microsoft DNS-Server weiterleiten. Die Microsoft Office 365 DNS-Server identifizieren den geografischen Standort des Clients und leiten den Client-Verkehr zum nächstgelegenen Eingangstor der Office 365-Dienste.
Die DNS-Server des Kunden müssen sich im selben Teilnetz wie die Clients befinden. Wenn die DNS-Server des Kunden weit von den Clients entfernt sind, wird der Datenverkehr über einen suboptimalen Pfad geleitet.
Die DNS-Server des Kunden sollten entweder:
Wenn der Datenverkehr und die Anzahl der Geräte zunehmen, können typische Sicherheitsinfrastrukturen und NAT-Implementierungen zu Engpässen werden. Sicherheitsgeräte können bei der Überprüfung des verschlüsselten Datenverkehrs Leistungseinbußen erleiden. Durch die Umleitung des Office 365-Verkehrs an den Rändern der kundeneigenen Geräte können bis zu 80 % der Last auf den Egress- und Edge-Sicherheitssystemen reduziert werden.
Die Vorteile, den Office 365-Datenverkehr direkt an den Office 365-Zugangspunkt zu leiten, sind:
Jeder einzelne Benutzer erstellt Dutzende von langlebigen Verbindungen zur gehosteten Office 365-Umgebung. Große Dokumente werden häufig in die und aus der Cloud übertragen. NAT-Server werden in ähnlicher Weise belastet.
Der Office 365-Client-Netzwerkverkehr zu den Cloud-Diensten durchläuft das Edge-Netzwerk und die Sicherheitssysteme. Dieser Stapel von Edge-Systemen ist komplex, teuer und muss äußerst zuverlässig sein. Zu den Office 365-Diensten gehören Sicherheitsdienste, die redundant sein können und direkt und sicher an das Microsoft-Netzwerk weitergeleitet werden können, wobei viele der Edge-Systeme des Unternehmens umgangen werden.
Im obigen Diagramm wird der Office 365-Datenverkehr erkannt und direkt an den Office 365-Netzwerkzugangspunkt weitergeleitet. Der übrige Internetverkehr wird zur Prüfung an die Edge-Sicherheitssysteme weitergeleitet. Office 365 bietet eine ähnliche Sicherheitsverarbeitung und wird von Microsoft zur Verfügung gestellt.
Diese Netzarchitektur wird hier beschrieben: Unternehmensnetzwerk-Architektur
Die Lenkung des Office 365-Verkehrs um Edge-CPE-Systeme ist erforderlich:
Der Office 365-Netzwerkverkehr ist verschlüsselt, kann aber anhand der Ziel-URL oder IP-Adresse in den HTTPS- und IP-Headern identifiziert werden. Microsoft veröffentlicht die aktuellen Office 365-Netzwerkendpunkt-URLs, IPv4- und IPv6-Adressen und TCP/UDP-Ports. Dadurch wird jeder Netzwerkzugangspunkt für jeden Office 365-Dienst identifiziert.
Diese Endpunktdaten werden heruntergeladen und verwendet, um den Traffic Steering Load Balancer so zu konfigurieren, dass er Daten, die für Office 365-Endpunkte bestimmt sind, direkt weiterleitet. Der gesamte andere Datenverkehr wird wie zuvor an die Edge-Sicherheitssysteme weitergeleitet.
Die Office 365-Daten ändern sich mit der Zeit und müssen heruntergeladen und neu in den Load Balancer geladen werden, um die Endpunktdaten zu aktualisieren. Hier sind die aktuellen Office 365-URLs und IP-Adressbereiche.
Nachstehend finden Sie eine kleine Auswahl dieser Daten.
Das Netzwerk zwischen dem Netzwerkrand des Kunden und dem Microsoft-Netzwerkrand wird in der Regel von einem Internetdienstanbieter (ISP) bereitgestellt. Dieser Teil des Office 365-Zugangsnetzwerks befindet sich außerhalb der Kontrolle sowohl des Kunden als auch von Microsoft und sollte sorgfältig eingerichtet und überwacht werden.
Express Route ist ein Dienst, der direkte Standleitungsverbindungen zum Microsoft-Netzwerk bietet. Express Route bietet eine überlegene Lösung mit verfügbaren Service Level Agreements. Diese Lösung ist mit höheren Betriebskosten verbunden.
Diese Netzverbindung kann mit verschiedenen Netzwerktools getestet und überwacht werden:
Dieses Netzsegment sollte auf Leistungskennzahlen überwacht werden:
1. Rundenzeitverzögerung und Latenzzeit.
a. Mit Dienstprogrammen wie PING/psping lassen sich zwar allgemeine Leistungsprobleme feststellen, aber sie liefern nicht viel mehr Informationen für die Diagnose
2. Netzwerk-Routing-Probleme wie "Haarnadeln" und Routing-Schleifen
a. Sobald die Probleme mit PING identifiziert sind, können Probleme innerhalb der ISP-Netzwerke mit einem Netzwerk-Trace-Route-Dienstprogramm identifiziert werden.b. Führen Sie einen tracert-Befehl an einen Microsoft-Dienst aus. Dieses Dienstprogramm zeigt jeden Hop im Netzwerk mit den Details der gesamten Netzwerkroute an. Jeder Hop wird mit der Hin- und Rücklaufzeit aufgelistet. Analysieren Sie die Routendaten und suchen Sie nach:
i. Lange Verzögerungszeiten zwischen Netzsprüngenii. Routingpfade zu weit entfernten geografischen Zielen.iii. Ungerade Routenpfade
3. Gespeicherte historische Leistungsdaten.
a. Es gibt Netzwerk-Überwachungstools, die die Netzwerkleistung kontinuierlich überwachen.b. Sammeln Sie diese Daten, um eine historische Basisleistung zu berechnenc. Diese Tools senden normalerweise Ereignisse für Leistungsprobleme
4. Microsoft Office 365 enthält Überwachungswerkzeuge.
a. Diese Tools testen den gesamten Pfad vom Office 365-Client zum Office 365-Cloud-Service. Ein Beispiel ist das Tool Skype Network Monitor and Assessment. Dieses Tool simuliert den Skype-Datenverkehr für mehr als 15 Sekunden und überwacht die Netzwerkleistung, Paketverluste und Jitter
A10 Networks hat sich mit Microsoft zusammengeschlossen, um eine Office 365-Lösung für Unternehmensnetzwerke zu entwickeln. A10 NetworksDie Produkte von Thunder bieten eine vollständige Unternehmenslösung oder können bestehende Edge-Systeme erweitern, um Office 365-Anwendungen auszulagern, zu skalieren und zu sichern.
Erfahren Sie mehr über die Application Delivery Controller und Load Balancing-Produkte von A10 .
Sehen ist Glauben. Vereinbaren Sie noch heute eine Live-Demo.