Servizi di rete per Contoso Corporation
Per adottare un'infrastruttura inclusivo del cloud, Contoso ha individuato un cambiamento fondamentale nel modo in cui il traffico di rete verso i servizi cloud viaggia. Anziché un modello hub-spoke interno che concentra la connettività di rete e il traffico per il livello successivo della gerarchia di office, hanno eseguito il mapping delle posizioni degli utenti a internet locale in uscita e alle connessioni locali al percorso di rete Microsoft 365 più vicino su Internet.
Infrastruttura di rete
Di seguito sono riportati gli elementi di rete che collegano gli uffici Contoso in tutto il mondo:
Rete WAN MPLS (Multiprotocol Label Switching)
Una rete WAN MPLS collega la sede centrale di Parigi agli uffici regionali e regionali agli uffici satellite in una configurazione spoke-and-hub. La rete consente agli utenti di accedere ai server locali che costituiscono applicazioni line-of-business nella sede centrale di Parigi. Instrada anche qualsiasi traffico Internet generico all'ufficio di Parigi, dove i dispositivi di sicurezza di rete pulino le richieste. All'interno di ogni ufficio, i router distribuiscono il traffico agli host cablati o ai punti di accesso wireless nelle subnet, che usano lo spazio degli indirizzi IP privati.
Accesso internet diretto locale per il traffico di Microsoft 365
Ogni ufficio ha un dispositivo SD-WAN (Software-Defined WAN) che dispone di uno o più circuiti di rete ISP Internet locali con la propria connettività Internet tramite un server proxy. Questo viene in genere implementato come collegamento WAN a un ISP locale che fornisce anche indirizzi IP pubblici e un server DNS locale.
Presenza Internet
Contoso possiede il nome di dominio pubblico contoso.com. Il sito Web pubblico contoso per l'ordinazione dei prodotti è un set di server in un data center connesso a Internet nel campus di Parigi. Contoso usa un intervallo di indirizzi IP pubblici /24 su Internet.
La figura 1 mostra l'infrastruttura di rete Contoso e le relative connessioni a Internet.
Figura 1: Rete Contoso
Uso di SD-WAN per la connettività di rete ottimale a Microsoft
Contoso ha seguito i principi della connettività di rete di Microsoft 365 per:
- Identificare e differenziare il traffico di rete di Microsoft 365
- Uscire dalle connessione di rete a livello locale
- Evitare fenomeni di "hairpinning" di rete
- Bypassare i dispositivi di protezione di rete duplicati
Esistono tre categorie di traffico di rete per Microsoft 365: Optimize, Allow e Default. Ottimizzare e consentire il traffico è un traffico di rete attendibile crittografato e protetto negli endpoint ed è destinato alla rete di Microsoft 365.
Contoso ha deciso di:
Usare l'uscita Internet diretta per Ottimizzare e Consentire il traffico di categoria e per inoltrare tutto il traffico di categoria predefinito alla connessione Internet centrale basata su Parigi.
Distribuire dispositivi SD-WAN in ogni ufficio come un modo semplice per seguire questi principi e ottenere prestazioni di rete ottimali per i servizi basati sul cloud di Microsoft 365.
I dispositivi SD-WAN sono dotati di una porta LAN per la rete di uffici locale e di più porte WAN. Una porta WAN si connette alla rete MPLS. Un altro si connette a un circuito ISP locale. Il dispositivo SD-WAN instrada il traffico di rete delle categorie Optimize e Allow ai collegamenti ISP.
Infrastruttura di app line-of-business di Contoso
Contoso ha progettato l'infrastruttura Intranet di applicazioni line-of-business e server per quanto segue:
- Gli uffici secondari si avvalgono dei server di memorizzazione nella cache locale per archiviare documenti con accesso frequente e siti Web interni.
- Gli hub regionali utilizzano server applicazioni regionali per gli uffici secondari e regionali. Questi server vengono sincronizzati con i server della sede di Parigi.
- I data center del campus di Parigi contengono server applicazioni centralizzati che servono l'intera organizzazione.
La figura 2 mostra la percentuale di capacità del traffico di rete usata per l'accesso ai server nella Intranet di Contoso.
Figura 2: Infrastruttura contoso per le applicazioni interne
Per gli uffici dell'hub satellite o regionale, il 60% delle risorse necessarie per i dipendenti può essere servito da server di ufficio satellite e hub regionali. Il 40% aggiuntivo delle richieste di risorse deve passare attraverso il collegamento WAN al campus di Parigi.
Analisi di rete e preparazione per Microsoft 365 per le aziende
L'adozione riuscita di Microsoft 365 per i servizi aziendali da parte degli utenti contoso dipende dalla connettività a Internet o direttamente ai servizi cloud Microsoft a disponibilità elevata e prestazioni elevate. Contoso ha seguito questa procedura per pianificare e implementare la connettività ottimizzata a Microsoft 365 per i servizi cloud aziendali:
Creare un diagramma di rete WAN aziendale per facilitare la pianificazione
Per avviare la pianificazione della rete, Contoso ha creato un diagramma che mostra le posizioni degli uffici, la connettività di rete esistente, i dispositivi perimetrali di rete esistenti e le classi di servizio gestite nella rete. Questo diagramma è stato usato per ogni passaggio successivo della pianificazione e dell'implementazione della connettività di rete.
Creare un piano per la connettività di rete di Microsoft 365 per le aziende
Contoso ha usato i principi di connettività di rete di Microsoft 365 e le architetture di rete di riferimento di esempio per identificare SD-WAN come topologia preferita per la connettività di Microsoft 365.
Analizzare l'utilizzo della connessione Internet e la larghezza di banda MPLS-WAN in ogni ufficio e aumentare la larghezza di banda in base alle esigenze
L'utilizzo corrente di ogni ufficio è stato analizzato e i circuiti sono stati aumentati in modo che il traffico basato sul cloud di Microsoft 365 possa funzionare con una capacità inutilizzata media del 20%.
Ottimizzare le prestazioni per i servizi di rete Microsoft
Contoso ha determinato il set di endpoint di Office 365, Intune e Azure e firewall configurati, dispositivi di sicurezza e altri sistemi nel percorso Internet per ottenere prestazioni ottimali. Gli endpoint per Office 365 ottimizzare e consentire il traffico di categoria sono stati configurati nei dispositivi SD-WAN per il routing tramite il circuito ISP.
Configurare dns interno
Il DNS deve essere funzionale e ricercato localmente per il traffico di Microsoft 365.
Convalidare la connettività di porta e endpoint di rete
Contoso ha eseguito gli strumenti di test della connettività di rete Microsoft per convalidare la connettività per Microsoft 365 per i servizi cloud aziendali.
Ottimizzare i computer dei dipendenti per la connettività di rete
I singoli computer sono stati controllati per assicurarsi che siano stati installati gli aggiornamenti più recenti del sistema operativo e che il monitoraggio della sicurezza degli endpoint fosse attivo in tutti i client.
Passaggio successivo
Informazioni su come Contoso sta sfruttando i propri Active Directory locale Domain Services nel cloud per i dipendenti e l'autenticazione federativa per clienti e partner aziendali.
Vedere anche
Roadmap di rete per Microsoft 365