Sistema de rede para a Contoso Corporation
Para adotar uma infraestrutura com inclusão na cloud, a Contoso concebeu uma mudança fundamental na forma como o tráfego de rede para os serviços cloud viaja. Em vez de um modelo hub-and-spoke interno que foca a conectividade de rede e o tráfego para o próximo nível da hierarquia do Office, mapeou as localizações dos utilizadores para a saída da Internet local e ligações locais à localização de rede mais próxima do Microsoft 365 na Internet.
Infraestrutura de rede
Estes são os elementos de rede que ligam os escritórios da Contoso em todo o mundo:
Rede WAN de Comutação de Rótulos Multiprotocolo (MPLS)
Uma rede MPLS WAN liga a sede de Paris a escritórios regionais e escritórios regionais a escritórios de satélite numa configuração spoke-and-hub. A rede permite que os utilizadores acedam a servidores no local que constituem aplicações de linha de negócio na sede de Paris. Também encaminha qualquer tráfego genérico de Internet para o escritório de Paris, onde os dispositivos de segurança de rede limpam os pedidos. Em cada escritório, os routers fornecem tráfego para anfitriões com fios ou pontos de acesso sem fios em sub-redes, que utilizam o espaço de endereços IP privados.
Acesso direto local à Internet para tráfego do Microsoft 365
Cada escritório tem um dispositivo WAN (SD-WAN) definido pelo software que tem um ou mais circuitos de rede ISP de Internet locais com a sua própria conectividade internet através de um servidor proxy. Normalmente, isto é implementado como uma ligação WAN para um ISP local que também fornece endereços IP públicos e um servidor DNS local.
Presença na Internet
A Contoso é proprietária do contoso.com nome de domínio público. O site público da Contoso para encomendar produtos é um conjunto de servidores num datacenter ligado à Internet no campus de Paris. A Contoso utiliza um intervalo de endereços IP públicos /24 na Internet.
A Figura 1 mostra a infraestrutura de rede da Contoso e as respetivas ligações à Internet.
Figura 1: a rede Contoso
Uso de SD-WAN para conectividade de rede ideal para a Microsoft
A Contoso seguiu os Princípios de conectividade de rede do Microsoft 365 para:
- Identificar e diferenciar o tráfego de rede do Microsoft 365
- Enviar conexões de rede de saída localmente
- Evitar hairpins de rede
- Ignorar dispositivos de segurança de rede duplicados
Existem três categorias de tráfego de rede para o Microsoft 365: Otimizar, Permitir e Predefinição. Otimizar e Permitir tráfego é tráfego de rede fidedigno encriptado e protegido nos pontos finais e destina-se à rede do Microsoft 365.
A Contoso decidiu:
Utilize a saída direta da Internet para Otimizar e Permitir tráfego de categorias e para reencaminhar todo o tráfego de categoria predefinido para a ligação à Internet central baseada em Paris.
Implemente dispositivos SD-WAN em cada escritório como uma forma simples de seguir estes princípios e alcançar um desempenho de rede ideal para serviços baseados na nuvem do Microsoft 365.
Os dispositivos SD-WAN possuem uma porta LAN para a rede do escritório local e várias portas WAN. Uma porta WAN liga-se à respetiva rede MPLS. Outra ligação a um circuito ISP local. O dispositivo SD-WAN roteia o tráfego de rede da categoria Otimizar e Permitir através do link ISP.
A infraestrutura de aplicações de linha de negócio da Contoso
A Contoso arquitetou a respetiva aplicação de linha de negócio e a infraestrutura de intranet de servidor para o seguinte:
- As filiais usam servidores de cache locais para armazenar documentos acessados com frequência e sites internos.
- Os hubs regionais utilizam servidores de aplicações regionais para as filiais e para as filiais. Estes servidores são sincronizados com servidores na sede de Paris.
- Os datacenters do campus de Paris contêm servidores de aplicações centralizados que servem toda a organização.
A Figura 2 mostra a percentagem de capacidade de tráfego de rede utilizada ao aceder aos servidores na intranet da Contoso.
Figura 2: a infraestrutura da Contoso para aplicações internas
Para os escritórios de satélite ou centros regionais, 60% dos recursos necessários para os funcionários podem ser servidos por servidores de escritórios por satélite e centros regionais. Os 40% adicionais dos pedidos de recursos têm de passar pela ligação WAN para o campus de Paris.
Análise de rede e preparação para o Microsoft 365 para grandes empresas
A adoção bem-sucedida do Microsoft 365 para serviços empresariais por parte dos utilizadores da Contoso depende da elevada disponibilidade e do desempenho da conectividade à Internet ou diretamente aos serviços cloud da Microsoft. A Contoso tomou estes passos para planear e implementar a conectividade otimizada ao Microsoft 365 para serviços cloud empresariais:
Criar um diagrama de rede WAN da empresa para ajudar no planeamento
Para iniciar o planeamento da rede, a Contoso criou um diagrama que mostra as respetivas localizações de escritório, a conectividade de rede existente, os dispositivos de perímetro de rede existentes e as classes de serviço geridas na rede. Ela usou este diagrama para cada etapa subsequente no planejamento e na implementação da conectividade de rede.
Criar um plano para o Microsoft 365 para conectividade de rede empresarial
A Contoso utilizou os princípios de conectividade de rede do Microsoft 365 e arquiteturas de rede de referência de exemplo para identificar a SD-WAN como a topologia preferida para a conectividade do Microsoft 365.
Analise a utilização da ligação à Internet e a largura de banda MPLS-WAN em cada escritório e aumente a largura de banda conforme necessário
A utilização atual de cada escritório foi analisada e os circuitos foram aumentados para que o tráfego baseado na nuvem do Microsoft 365 funcionasse com uma média de 20% de capacidade não utilizada.
Otimizar o desempenho para os serviços de rede da Microsoft
A Contoso determinou o conjunto de Office 365, Intune e pontos finais do Azure e firewalls configuradas, dispositivos de segurança e outros sistemas no caminho da Internet para um desempenho ideal. Os pontos finais para Office 365 Otimizar e Permitir tráfego de categoria foram configurados nos dispositivos SD-WAN para encaminhamento através do circuito ISP.
Configurar o DNS interno
O DNS precisa ser funcional e ser pesquisado localmente para o tráfego do Microsoft 365.
Validar o ponto final de rede e a conectividade da porta
A Contoso executou ferramentas de teste de conectividade de rede da Microsoft para validar a conectividade do Microsoft 365 para serviços cloud empresariais.
Otimizar os computadores dos funcionários para conectividade de rede
Foram verificados computadores individuais para garantir que as atualizações mais recentes do sistema operativo foram instaladas e que a monitorização de segurança de pontos finais estava ativa em todos os clientes.
Próxima etapa
Saiba como a Contoso está a tirar partido das suas Active Directory local Domain Services na cloud para funcionários e federar a autenticação para clientes e parceiros empresariais.
Confira também
Mapa de redes do Microsoft 365