Implementando o ExpressRoute para o Microsoft 365
Este artigo se aplica a Microsoft 365 Enterprise.
O ExpressRoute para Microsoft 365 fornece um caminho de roteamento alternativo para muitos serviços da Internet voltados para o Microsoft 365. A arquitetura do ExpressRoute para Microsoft 365 baseia-se na publicidade de prefixos IP públicos de serviços do Microsoft 365 que já estão acessíveis pela Internet em seus circuitos do ExpressRoute provisionados para redistribuição subsequente desses prefixos IP em sua rede. Com o ExpressRoute, você efetivamente habilita vários caminhos de roteamento diferentes, por meio da Internet e por meio do ExpressRoute, para muitos serviços do Microsoft 365. Esse estado de roteamento em sua rede pode representar uma alteração significativa na forma como sua topologia de rede interna foi projetada.
Observação
Não recomendamos o ExpressRoute para o Microsoft 365 porque ele não fornece o melhor modelo de conectividade para o serviço na maioria das circunstâncias. Como tal, a autorização da Microsoft é necessária para usar esse modelo de conectividade. Examinamos cada solicitação do cliente e autorizamos o ExpressRoute para o Microsoft 365 somente nos cenários raros em que é necessário. Leia o guia ExpressRoute para Microsoft 365 para obter mais informações e, após uma revisão abrangente do documento com suas equipes de produtividade, rede e segurança, trabalhe com sua equipe de conta microsoft para enviar uma exceção, se necessário. Assinaturas não autorizadas que tentam criar filtros de rota para o Microsoft 365 receberão uma mensagem de erro.
Você precisa planejar cuidadosamente sua implementação do ExpressRoute para Microsoft 365 para acomodar as complexidades de rede de ter o roteamento disponível por meio de um circuito dedicado com rotas injetadas em sua rede principal e na Internet. Se você e sua equipe não executarem o planejamento e os testes detalhados neste guia, há um alto risco de você sofrer uma perda intermitente ou total de conectividade com os serviços do Microsoft 365 quando o circuito do ExpressRoute estiver habilitado.
Para ter uma implementação bem-sucedida, você precisará analisar seus requisitos de infraestrutura, passar por avaliação e design de rede detalhados, planejar cuidadosamente a distribuição de maneira encenada e controlada e criar um plano de validação e teste detalhado. Para um ambiente grande e distribuído, não é incomum ver implementações abrangendo vários meses. Este guia foi projetado para ajudá-lo a planejar com antecedência.
Grandes implantações bem-sucedidas podem levar seis meses no planejamento e geralmente incluem membros da equipe de muitas áreas da organização, incluindo administradores de servidores de rede, Firewall e Proxy, administradores do Microsoft 365, segurança, suporte ao usuário final, gerenciamento de projetos e patrocínio executivo. Seu investimento no processo de planejamento reduzirá a probabilidade de que você tenha falhas de implantação, resultando em tempo de inatividade ou solução de problemas complexa e cara.
Esperamos que os pré-requisitos a seguir sejam concluídos antes que este guia de implementação seja iniciado.
Você concluiu uma avaliação de rede para determinar se o ExpressRoute é recomendado e aprovado.
Você selecionou um provedor de serviços de rede do ExpressRoute. Encontre detalhes sobre os parceiros do ExpressRoute e os locais de emparelhamento.
Você já leu e entendeu a documentação do ExpressRoute e sua rede interna pode atender aos pré-requisitos do ExpressRoute de ponta a ponta.
Sua equipe leu todas as diretrizes e documentação públicas no https://aka.ms/expressrouteoffice365, https://aka.ms/erte assistiu à série treinamento do Azure ExpressRoute para Microsoft 365 no Canal 9 para obter uma compreensão dos detalhes técnicos críticos, incluindo:
As dependências da Internet dos serviços SaaS.
Como evitar rotas assimétricas e lidar com roteamento complexo.
Como incorporar controles de segurança, disponibilidade e nível de aplicativo do perímetro.
Começar coletando requisitos
Comece determinando quais recursos e serviços você planeja adotar em sua organização. Você precisa determinar quais recursos dos diferentes serviços do Microsoft 365 serão usados e quais locais em sua rede hospedarão pessoas usando esses recursos. Com o catálogo de cenários, você precisa adicionar os atributos de rede que cada um desses cenários exige; como fluxos de tráfego de rede de entrada e saída e se os pontos de extremidade do Microsoft 365 estiverem disponíveis no ExpressRoute ou não.
Para reunir os requisitos da sua organização:
Cataloge o tráfego de rede de entrada e saída para os serviços do Microsoft 365 que sua organização está usando. Consulte a página URLs e intervalos de endereços IP do Microsoft 365 para obter a descrição dos fluxos que diferentes cenários do Microsoft 365 exigem.
Colete a documentação da topologia de rede existente mostrando detalhes do backbone e topologia internos da WAN, conectividade de sites satélites, conectividade de usuário de última milha, roteamento para pontos de saída de perímetro de rede e serviços proxy.
Identifique os pontos de extremidade do serviço de entrada nos diagramas de rede aos quais o Microsoft 365 e outros serviços da Microsoft se conectarão, mostrando os caminhos de conexão do ExpressRoute propostos e pela Internet.
Identifique todos os locais de usuário geográfico e a conectividade WAN entre os locais, juntamente com quais locais atualmente têm uma saída para a Internet e quais locais são propostos para ter uma saída para um local de emparelhamento do ExpressRoute.
Identifique todos os dispositivos de borda, como proxies, firewalls e assim por diante, e cataloge sua relação com fluxos que passam pela Internet e expressRoute.
Documente se os usuários finais acessarão os serviços do Microsoft 365 por meio de Roteamento Direto ou proxy de aplicativo indireto para fluxos de Internet e ExpressRoute.
Adicione o local de seu locatário e locais de meet-me ao diagrama de rede.
Estimar as características de desempenho e latência de rede esperadas e observadas dos principais locais de usuário para o Microsoft 365. Tenha em mente que o Microsoft 365 é um conjunto global e distribuído de serviços e os usuários estarão se conectando a locais que podem ser diferentes do local de seu locatário. Por esse motivo, é recomendável medir e otimizar a latência entre o usuário e a borda mais próxima da rede global da Microsoft por meio das conexões do ExpressRoute e da Internet. Você pode usar suas descobertas na avaliação de rede para ajudar nessa tarefa.
Liste a segurança de rede da empresa e os requisitos de alta disponibilidade que precisam ser atendidos com a nova conexão ExpressRoute. Por exemplo, como os usuários continuam a obter acesso ao Microsoft 365 no caso da saída da Internet ou falha no circuito do ExpressRoute.
Documento em que fluxos de rede do Microsoft 365 de entrada e saída usarão o caminho da Internet e que usará o ExpressRoute. As especificidades das localizações geográficas de seus usuários e os detalhes da topologia de rede local podem exigir que o plano seja diferente de um local de usuário para outro.
Catalogar o tráfego de rede de saída e de entrada
Para minimizar o roteamento e outras complexidades de rede, recomendamos que você use apenas o ExpressRoute para o Microsoft 365 para os fluxos de tráfego de rede necessários para passar por cima de uma conexão dedicada devido aos requisitos regulatórios ou como resultado da avaliação de rede. Além disso, recomendamos que você stage o escopo do roteamento do ExpressRoute e aborde fluxos de tráfego de rede de saída e de entrada como estágios diferentes e distintos do projeto de implementação. Implantar o ExpressRoute para o Microsoft 365 apenas para fluxos de tráfego de rede de saída iniciados pelo usuário e deixar fluxos de tráfego de rede de entrada pela Internet pode ajudar a controlar o aumento da complexidade topológica e os riscos de introduzir possibilidades adicionais de roteamento assimétrico.
O catálogo de tráfego de rede deve conter listagens de todas as conexões de rede de entrada e saída que você terá entre sua rede local e a Microsoft.
Fluxos de tráfego de rede de saída são cenários em que uma conexão é iniciada do seu ambiente local, como de clientes ou servidores internos, com um destino dos serviços da Microsoft. Essas conexões podem ser diretas ao Microsoft 365 ou indireto, como quando a conexão passa por servidores proxy, firewalls ou outros dispositivos de rede no caminho para o Microsoft 365.
Fluxos de tráfego de rede de entrada são cenários em que uma conexão é iniciada da nuvem da Microsoft para um host local. Essas conexões normalmente precisam passar por firewall e outras infraestruturas de segurança que a política de segurança do cliente exige para fluxos de origem externa.
Leia a seção Garantir simetria de rota para determinar quais serviços enviarão tráfego de entrada e procurarão a coluna marcada como ExpressRoute para Microsoft 365 no artigo de referência de pontos de extremidade do Microsoft 365 para determinar o restante das informações de conectividade.
Para cada serviço que requer uma conexão de saída, você deseja descrever a conectividade planejada para o serviço, incluindo roteamento de rede, configuração de proxy, inspeção de pacotes e necessidades de largura de banda.
Para cada serviço que requer uma conexão de entrada, você precisará de algumas informações adicionais. Os servidores na nuvem da Microsoft estabelecerão conexões com sua rede local. Para garantir que as conexões sejam feitas corretamente, você deseja descrever todos os aspectos dessa conectividade, incluindo; as entradas DNS públicas para os serviços que aceitarão essas conexões de entrada, os endereços IP IPv4 formatados pelo CIDR, quais equipamentos ISP estão envolvidos e como o NAT de entrada ou NAT de origem é tratado para essas conexões.
As conexões de entrada devem ser revisadas independentemente de estarem se conectando pela Internet ou pelo ExpressRoute para garantir que o roteamento assimétrico não tenha sido introduzido. Em alguns casos, os pontos de extremidade locais aos quais os serviços do Microsoft 365 iniciam conexões de entrada também podem precisar ser acessados por outros serviços Microsoft e não Microsoft. É fundamental que habilitar o roteamento do ExpressRoute para esses serviços para fins do Microsoft 365 não interrompa outros cenários. Em muitos casos, os clientes podem precisar implementar alterações específicas em sua rede interna, como NAT baseada na origem, para garantir que os fluxos de entrada da Microsoft permaneçam simétricos após a habilitação do ExpressRoute.
Aqui está um exemplo do nível de detalhes necessário. Nesse caso, o Exchange Hybrid seria roteado para o sistema local por meio do ExpressRoute.
Propriedade Connection | Valor |
---|---|
Direção de tráfego de rede |
Entrada |
Serviço |
Exchange Híbrido |
Ponto de extremidade público do Microsoft 365 (fonte) |
Exchange Online (endereços IP) |
Ponto de extremidade local público (destino) |
5.5.5.5 |
Entrada DNS pública (Internet) |
Autodiscover.contoso.com |
Esse ponto de extremidade local será usado para outros serviços da Microsoft (que não são do Microsoft 365) |
Não |
Esse ponto de extremidade local será usado por usuários/sistemas na Internet |
Sim |
Sistemas internos publicados por meio de pontos de extremidade públicos |
Exchange Server função de acesso ao cliente (local) 192.168.101, 192.168.102, 192.168.103 |
Anúncio ip do ponto de extremidade público |
Para Internet: 5.5.0.0/16 Para ExpressRoute: 5.5.5.0/24 |
Controles de segurança/perímetro |
Caminho da Internet: DeviceID_002 caminho do ExpressRoute: DeviceID_003 |
Alta Disponibilidade |
Ativo/Ativo em dois circuitos com redundância geográfica / ExpressRoute - Chicago e Dallas |
Controle de simetria de caminho |
Método: Caminho da Internet nat de origem: conexões de entrada nat de origem para o caminho 192.168.5.5 ExpressRoute: conexões NAT de origem para 192.168.1.0 (Chicago) e 192.168.2.0 (Dallas) |
Aqui está um exemplo de um serviço que é somente de saída:
Propriedade Connection | Valor |
---|---|
Direção de tráfego de rede |
Saída |
Serviço |
SharePoint |
Ponto de extremidade local (origem) |
Estação de trabalho do usuário |
Ponto de extremidade público do Microsoft 365 (destino) |
SharePoint (endereços IP) |
Entrada DNS pública (Internet) |
*.sharepoint.com (e mais FQDNs) |
Referências da CDN |
cdn.sharepointonline.com (e mais FQDNs) – endereços IP mantidos por provedores de CDN) |
Anúncio ip e NAT em uso |
Caminho da Internet/Nat de origem: 1.1.1.0/24 Caminho do ExpressRoute/Nat de origem: 1.1.2.0/24 (Chicago) e 1.1.3.0/24 (Dallas) |
Método de conectividade |
Internet: via proxy de camada 7 (arquivo.pac) ExpressRoute: roteamento direto (sem proxy) |
Controles de segurança/perímetro |
Caminho da Internet: DeviceID_002 Caminho do ExpressRoute: DeviceID_003 |
Alta Disponibilidade |
Caminho da Internet: Saída redundante da Internet Caminho do ExpressRoute: Roteamento ativo/ativo de 'batata quente' em 2 circuitos do ExpressRoute com redundância geográfica - Chicago e Dallas |
Controle de simetria de caminho |
Método: NAT de origem para todas as conexões |
Seu design de topologia de rede com conectividade regional
Depois de entender os serviços e seus fluxos de tráfego de rede associados, você pode criar um diagrama de rede que incorpora esses novos requisitos de conectividade e ilustra as alterações que você fará para usar o ExpressRoute para o Microsoft 365. Seu diagrama deve incluir:
Todos os locais de usuário de onde o Microsoft 365 e outros serviços serão acessados.
Todos os pontos de saída da Internet e do ExpressRoute.
Todos os dispositivos de saída e de entrada que gerenciam a conectividade dentro e fora da rede, incluindo roteadores, firewalls, servidores proxy de aplicativo e detecção/prevenção de intrusão.
Destinos internos para todo o tráfego de entrada, como servidores internos do ADFS que aceitam conexões dos servidores proxy de aplicativo Web do ADFS.
Catálogo de todas as sub-redes IP que serão anunciadas
Identifique cada local de onde as pessoas acessarão o Microsoft 365 e liste os locais de meet-me que serão usados para o ExpressRoute.
Locais e partes da topologia de rede interna, em que os prefixos de IP da Microsoft aprendidos com o ExpressRoute serão aceitos, filtrados e propagados.
A topologia de rede deve ilustrar a localização geográfica de cada segmento de rede e como ela se conecta à rede Da Microsoft pelo ExpressRoute e/ou pela Internet.
O diagrama abaixo mostra cada local em que as pessoas usarão o Microsoft 365 junto com os anúncios de roteamento de entrada e saída para o Microsoft 365.
Para tráfego de saída, as pessoas acessam o Microsoft 365 de uma das três maneiras:
Através de um local de me encontrar em América do Norte para as pessoas na Califórnia.
Através de uma localização de meet-me na Região Administrativa Especial de Hong Kong para as pessoas em Hong Kong SAR.
Através da internet em Bangladesh, onde há menos pessoas e nenhum circuito do ExpressRoute provisionado.
Da mesma forma, o tráfego de rede de entrada do Microsoft 365 retorna de uma das três maneiras:
Através de um local de me encontrar em América do Norte para as pessoas na Califórnia.
Através de uma localização de meet-me na Região Administrativa Especial de Hong Kong para as pessoas em Hong Kong SAR.
Através da internet em Bangladesh, onde há menos pessoas e nenhum circuito do ExpressRoute provisionado.
Determinar o local apropriado de meet-me
A seleção de locais de meet-me, que são o local físico em que o circuito do ExpressRoute conecta sua rede à rede da Microsoft, é influenciada pelos locais de onde as pessoas acessarão o Microsoft 365. Como uma oferta saaS, o Microsoft 365 não opera sob o modelo regional IaaS ou PaaS da mesma forma que o Azure. Em vez disso, o Microsoft 365 é um conjunto distribuído de serviços de colaboração, onde os usuários podem precisar se conectar a pontos de extremidade em vários datacenters e regiões, que podem não estar necessariamente no mesmo local ou região onde o locatário do usuário está hospedado.
Isso significa que a consideração mais importante que você precisa fazer ao selecionar locais de meet-me para o ExpressRoute para o Microsoft 365 é de onde as pessoas da sua organização estarão se conectando. A recomendação geral para a conectividade ideal do Microsoft 365 é implementar o roteamento, para que as solicitações de usuário para os serviços do Microsoft 365 sejam entregues à rede Microsoft pelo caminho de rede mais curto, isso também costuma ser chamado de roteamento de "batata quente". Por exemplo, se a maioria dos usuários do Microsoft 365 estiver em um ou dois locais, selecionar locais de meet-me que estejam mais próximos ao local desses usuários criarão o design ideal. Se sua empresa tiver grandes populações de usuários em muitas regiões diferentes, talvez você queira considerar ter vários circuitos do ExpressRoute e locais de meet-me. Para alguns de seus locais de usuário, o caminho mais curto/ideal para a rede Microsoft e o Microsoft 365 pode não ser por meio de seus pontos de encontro interno wan e expressRoute, mas por meio da Internet.
Muitas vezes, há vários locais de meet-me que podem ser selecionados em uma região com relativa proximidade com seus usuários. Preencha a tabela a seguir para orientar suas decisões.
Locais planejados do ExpressRoute meet-me na Califórnia e Nova York
Local |
Número de pessoas |
Latência esperada para a rede Microsoft por meio da saída da Internet |
Latência esperada para a rede Microsoft no ExpressRoute |
---|---|---|---|
Los Angeles |
10.000 |
~15ms |
~10ms (via Vale do Silício) |
Washington DC |
15.000 |
~20ms |
~10ms (via Nova York) |
Dallas |
5.000 |
~15ms |
~40ms (via Nova York) |
Depois que a arquitetura de rede global mostrando a região do Microsoft 365, o provedor de serviços de rede expressRoute atender-me locais e a quantidade de pessoas por local tiver sido desenvolvida, ela poderá ser usada para identificar se alguma otimização pode ser feita. Ele também pode mostrar conexões de rede de grampo global onde o tráfego roteia para um local distante, a fim de obter a localização de meet-me. Se um grampo de cabelo na rede global for descoberto, ele deverá ser corrigido antes de continuar. Encontre outro local de meet-me ou use pontos de saída seletivos da Saída da Internet para evitar o grampo de cabelo.
O primeiro diagrama mostra um exemplo de um cliente com dois locais físicos em América do Norte. Você pode ver as informações sobre locais de escritório, locais de locatário do Microsoft 365 e várias opções para locais de meet-me do ExpressRoute. Neste exemplo, o cliente selecionou o local meet-me com base em dois princípios, em ordem:
Proximidade mais próxima das pessoas em sua organização.
Mais próximo de um datacenter da Microsoft onde o Microsoft 365 está hospedado.
Expandindo um pouco mais esse conceito, o segundo diagrama mostra um exemplo de cliente multinacional diante de informações e tomadas de decisão semelhantes. Esse cliente tem um pequeno escritório em Bangladesh com apenas uma pequena equipe de 10 pessoas focada em aumentar sua presença na região. Há um local de meet-me em Chennai e um datacenter da Microsoft com o Microsoft 365 hospedado em Chennai para que um local de meet-me faça sentido; no entanto, para 10 pessoas, a despesa do circuito extra é pesada. Ao examinar sua rede, você precisará determinar se a latência envolvida no envio do tráfego de rede em sua rede é mais eficaz do que gastar o capital para adquirir outro circuito do ExpressRoute.
Como alternativa, as 10 pessoas em Bangladesh podem ter um melhor desempenho com seu tráfego de rede enviado pela internet para a rede microsoft do que roteando em sua rede interna, como mostramos nos diagramas introdutórios e reproduzidos abaixo.
Create seu plano de implementação do ExpressRoute para Microsoft 365
Seu plano de implementação deve abranger os detalhes técnicos da configuração do ExpressRoute e os detalhes de configurar todas as outras infraestruturas em sua rede, como a seguinte.
Planeje quais serviços se dividem entre o ExpressRoute e a Internet.
Planeje a largura de banda, a segurança, a alta disponibilidade e o failover.
Projetar roteamento de entrada e saída, incluindo otimizações de caminho de roteamento adequadas para diferentes locais
Decida até onde as rotas do ExpressRoute serão anunciadas em sua rede e qual é o mecanismo para os clientes selecionarem o caminho da Internet ou do ExpressRoute; por exemplo, roteamento direto ou proxy de aplicativo.
Planeje alterações de registro DNS, incluindo entradas do Sender Policy Framework .
Planeje a estratégia nat, incluindo NAT de saída e de entrada.
Planeje seu roteamento com os caminhos de rede da Internet e do ExpressRoute
Para sua implantação inicial, todos os serviços de entrada, como email de entrada ou conectividade híbrida, são recomendados para usar a Internet.
Planeje o roteamento lan do cliente do usuário final, como configurar um arquivo PAC/WPAD, rota padrão, servidores proxy e anúncios de rota BGP.
Planeje o roteamento de perímetro, incluindo servidores proxy, firewalls e proxies de nuvem.
Planeje sua largura de banda, segurança, alta disponibilidade e failover
Create um plano de largura de banda necessário para cada carga de trabalho principal do Microsoft 365. Estimar separadamente Exchange Online, SharePoint e Skype for Business Requisitos de largura de banda online. Você pode usar as calculadoras de estimativa que fornecemos para Exchange Online e Skype for Business como ponto de partida; no entanto, um teste piloto com uma amostra representativa dos perfis e locais de usuário é necessário para entender completamente as necessidades de largura de banda da sua organização.
Adicione como a segurança é tratada em cada local de saída da Internet e do ExpressRoute ao seu plano, lembre-se de que todas as conexões do ExpressRoute com o Microsoft 365 usam emparelhamento público e ainda devem ser protegidas de acordo com as políticas de segurança da sua empresa de conexão com redes externas.
Adicione detalhes ao seu plano sobre quais pessoas serão afetadas pelo tipo de interrupção e como essas pessoas poderão executar seu trabalho em plena capacidade da maneira mais simples.
Planejar requisitos de largura de banda, incluindo requisitos de Skype for Business em Jitter, Latency, Congestion e Headroom
Skype for Business Online também tem requisitos de rede extras específicos, que são detalhados no artigo Qualidade da Mídia e Desempenho da Conectividade de Rede no Skype for Business Online.
Leia a seção Planejamento de largura de banda para o Azure ExpressRoute. Ao executar uma avaliação de largura de banda com seus usuários piloto, você pode usar nosso guia de ajuste de desempenho do Microsoft 365 usando linhas de base e histórico de desempenho.
Planejar requisitos de alta disponibilidade
Create um plano de alta disponibilidade para atender às suas necessidades e incorporá-lo ao diagrama de topologia de rede atualizado. Leia a seção Alta disponibilidade e failover com o Azure ExpressRoute.
Planejar os requisitos de segurança de rede
Create um plano para atender aos requisitos de segurança de rede e incorporá-lo ao diagrama de topologia de rede atualizado. Leia a seção Aplicando controles de segurança ao Azure ExpressRoute para cenários do Microsoft 365.
Projetar conectividade de serviço de saída
O ExpressRoute para Microsoft 365 tem requisitos de rede de saída que podem não ser familiares. Especificamente, os endereços IP que representam seus usuários e redes para o Microsoft 365 e atuam como pontos de extremidade de origem para conexões de rede de saída com a Microsoft devem seguir requisitos específicos descritos abaixo.
Os pontos de extremidade devem ser endereços IP públicos registrados para sua empresa ou para a operadora que fornece conectividade ExpressRoute a você.
Os pontos de extremidade devem ser anunciados na Microsoft e validados/aceitos pelo ExpressRoute.
Os pontos de extremidade não devem ser anunciados na Internet com a mesma ou mais métrica de roteamento preferencial.
Os pontos de extremidade não devem ser usados para conectividade com os serviços da Microsoft que não estão configurados no ExpressRoute.
Se o design de rede não atender a esses requisitos, há um alto risco de seus usuários sofrerem falhas de conectividade com o Microsoft 365 e outros serviços da Microsoft devido à rota de holing preto ou roteamento assimétrico. Isso ocorre quando as solicitações aos serviços da Microsoft são roteada pelo ExpressRoute, mas as respostas são roteada de volta pela Internet ou vice-versa, e as respostas são descartadas por dispositivos de rede com estado, como firewalls.
O método mais comum que você pode usar para atender aos requisitos acima é usar o NAT de origem, implementado como parte da rede ou fornecido pela operadora do ExpressRoute. O NAT de origem permite que você abstraa os detalhes e o endereço IP privado de sua rede de Internet do ExpressRoute e; juntamente com anúncios de rota IP adequados, forneça um mecanismo fácil para garantir a simetria do caminho. Se você estiver usando dispositivos de rede com estado específicos para locais de emparelhamento do ExpressRoute, você deve implementar pools NAT separados para cada emparelhamento do ExpressRoute para garantir a simetria do caminho.
Leia mais sobre os requisitos de NAT do ExpressRoute.
Adicione as alterações para a conectividade de saída ao diagrama de topologia de rede.
Projetar conectividade de serviço de entrada
A maioria das implantações corporativas do Microsoft 365 assume alguma forma de conectividade de entrada do Microsoft 365 para serviços locais, como para o Exchange, SharePoint e Skype for Business cenários híbridos, migrações de caixa de correio e autenticação usando a infraestrutura do ADFS. Quando o ExpressRoute habilita um caminho de roteamento extra entre sua rede local e a Microsoft para conectividade de saída, essas conexões de entrada podem inadvertidamente ser afetadas pelo roteamento assimétrico, mesmo que você pretenda que esses fluxos continuem a usar a Internet. Algumas precauções descritas abaixo são recomendadas para garantir que não haja impacto nos fluxos de entrada baseados na Internet do Microsoft 365 para sistemas locais.
Para minimizar os riscos de roteamento assimétrico para fluxos de tráfego de rede de entrada, todas as conexões de entrada devem usar o NAT de origem antes de serem roteada para segmentos de sua rede, que têm visibilidade de roteamento no ExpressRoute. Se as conexões de entrada forem permitidas em um segmento de rede com visibilidade de roteamento no ExpressRoute sem NAT de origem, as solicitações originadas do Microsoft 365 entrarão na Internet, mas a resposta que retornará ao Microsoft 365 preferirá o caminho de rede do ExpressRoute de volta à rede Microsoft, causando roteamento assimétrico.
Você pode considerar um dos seguintes padrões de implementação para atender a esse requisito:
Execute o NAT de origem antes que as solicitações sejam roteados para sua rede interna usando equipamentos de rede, como firewalls ou balanceadores de carga no caminho da Internet para seus sistemas locais.
Verifique se as rotas do ExpressRoute não são propagadas para os segmentos de rede em que os serviços de entrada, como servidores front-end ou sistemas proxy reverso, o tratamento de conexões com a Internet residem.
Contabilizar explicitamente esses cenários em sua rede e manter todos os fluxos de tráfego de rede de entrada pela Internet ajuda a minimizar a implantação e o risco operacional de roteamento assimétrico.
Pode haver casos em que você pode optar por direcionar alguns fluxos de entrada em conexões do ExpressRoute. Para esses cenários, leve em conta as seguintes considerações extras.
O Microsoft 365 só pode direcionar pontos de extremidade locais que usam IPs públicos. Isso significa que, mesmo que o ponto de extremidade de entrada local seja exposto apenas ao Microsoft 365 no ExpressRoute, ele ainda precisará ter IP público associado a ele.
Toda a resolução de nomes DNS que os serviços do Microsoft 365 executam para resolve pontos de extremidade locais acontecem usando DNS público. Isso significa que você deve registrar o FQDN dos pontos de extremidade de serviço de entrada em mapeamentos IP na Internet.
Para receber conexões de rede de entrada pelo ExpressRoute, as sub-redes de IP públicas para esses pontos de extremidade devem ser anunciadas à Microsoft por meio do ExpressRoute.
Avalie cuidadosamente esses fluxos de tráfego de rede de entrada para garantir que os controles de rede e de segurança adequados sejam aplicados a eles de acordo com as políticas de segurança e rede da sua empresa.
Depois que seus pontos de extremidade de entrada locais forem anunciados para a Microsoft no ExpressRoute, o ExpressRoute se tornará efetivamente o caminho de roteamento preferencial para esses pontos de extremidade para todos os serviços da Microsoft, incluindo o Microsoft 365. Isso significa que essas sub-redes de ponto de extremidade só devem ser usadas para comunicações com serviços do Microsoft 365 e nenhum outro serviço na rede microsoft. Caso contrário, seu design causará roteamento assimétrico em que conexões de entrada de outros serviços da Microsoft preferem rotear a entrada pelo ExpressRoute, enquanto o caminho de retorno usará a Internet.
No caso de um circuito do ExpressRoute ou local do meet-me estar desligado, você precisará garantir que os pontos de extremidade de entrada locais ainda estejam disponíveis para aceitar solicitações em um caminho de rede separado. Isso pode significar sub-redes publicitárias para esses pontos de extremidade por meio de vários circuitos do ExpressRoute.
Recomendamos aplicar o NAT de origem para todos os fluxos de tráfego de rede de entrada que entram em sua rede por meio do ExpressRoute, especialmente quando esses fluxos cruzam dispositivos de rede com estado, como firewalls.
Alguns serviços locais, como proxy do ADFS ou descoberta automática do Exchange, podem receber solicitações de entrada de serviços do Microsoft 365 e usuários da Internet. Para essas solicitações, o Microsoft 365 terá como destino o mesmo FQDN que solicitações de usuário pela Internet. Permitir conexões de usuário de entrada da Internet para esses pontos de extremidade locais, ao mesmo tempo em que força as conexões do Microsoft 365 a usar o ExpressRoute, representa uma complexidade significativa de roteamento. Para a grande maioria dos clientes que implementam cenários tão complexos no ExpressRoute, não é recomendável devido a considerações operacionais. Essa sobrecarga adicional inclui, gerenciando riscos de roteamento assimétrico e exigirá que você gerencie cuidadosamente anúncios e políticas de roteamento em várias dimensões.
Atualizar seu plano de topologia de rede para mostrar como você evitaria rotas assimétricas
Você deseja evitar o roteamento assimétrico para garantir que as pessoas em sua organização possam usar perfeitamente o Microsoft 365, bem como outros serviços importantes na Internet. Há duas configurações comuns que os clientes têm que causam roteamento assimétrico. Agora é um bom momento para examinar a configuração de rede que você está planejando usar e marcar se um desses cenários de roteamento assimétrico puder existir.
Para começar, examinaremos algumas situações diferentes associadas ao diagrama de rede a seguir. Neste diagrama, todos os servidores que recebem solicitações de entrada, como ADFS ou servidores híbridos locais, estão no data center de Nova Jersey e são anunciados na Internet.
Embora a rede de perímetro esteja segura, não há nenhum NAT de origem disponível para solicitações de entrada.
Os servidores do data center de Nova Jersey podem ver rotas de Internet e ExpressRoute.
Também temos sugestões sobre como corrigi-las.
Problema 1: conexão de nuvem para local pela Internet
O diagrama a seguir ilustra o caminho de rede assimétrico tomado quando sua configuração de rede não fornece NAT para solicitações de entrada da nuvem da Microsoft pela Internet.
A solicitação de entrada do Microsoft 365 recupera o endereço IP do ponto de extremidade local do DNS público e envia a solicitação para sua rede de perímetro.
Nesta configuração com falha, não há nenhum NAT de origem configurado ou disponível na rede de perímetro para onde o tráfego é enviado, resultando no endereço IP de origem real sendo usado como destino de retorno.
O servidor em sua rede roteia o tráfego retornado para o Microsoft 365 por meio de qualquer conexão de rede do ExpressRoute disponível.
O resultado é um caminho assimétrico para esse fluxo para o Microsoft 365, resultando em uma conexão quebrada.
Solução 1a: NAT de origem
Simplesmente adicionar um NAT de origem à solicitação de entrada resolve essa rede configurada incorretamente. Neste diagrama:
A solicitação de entrada continua a entrar pela rede de perímetro do data center de Nova Jersey. Desta vez, o NAT de origem está disponível.
A resposta do servidor roteia de volta para o IP associado ao NAT de origem em vez do endereço IP original, resultando na resposta retornando ao longo do mesmo caminho de rede.
Solução 1b: escopo de rotas
Como alternativa, você pode optar por não permitir que os prefixos BGP do ExpressRoute sejam anunciados, removendo o caminho de rede alternativo para esses computadores. Neste diagrama:
A solicitação de entrada continua a entrar pela rede de perímetro do data center de Nova Jersey. Desta vez, os prefixos anunciados da Microsoft no circuito do ExpressRoute não estão disponíveis para o data center de Nova Jersey.
A resposta do servidor roteia de volta para o IP associado ao endereço IP original na única rota disponível, resultando na resposta retornando ao longo do mesmo caminho de rede.
Problema 2: conexão local para nuvem no ExpressRoute
O diagrama a seguir ilustra o caminho de rede assimétrico tomado quando sua configuração de rede não fornece NAT para solicitações de entrada da nuvem da Microsoft no ExpressRoute.
A solicitação de entrada do Microsoft 365 recupera o endereço IP do DNS e envia a solicitação para sua rede de perímetro.
Nesta configuração com falha, não há nenhum NAT de origem configurado ou disponível na rede de perímetro para onde o tráfego é enviado, resultando no endereço IP de origem real sendo usado como destino de retorno.
O computador em sua rede roteia o tráfego retornado para o Microsoft 365 por meio de qualquer conexão de rede do ExpressRoute disponível.
O resultado é uma conexão assimétrica com o Microsoft 365.
Solução 2: NAT de origem
Simplesmente adicionar um NAT de origem à solicitação de entrada resolve essa rede configurada incorretamente. Neste diagrama:
A solicitação de entrada continua a entrar pela rede de perímetro do data center de Nova York. Desta vez, o NAT de origem está disponível.
A resposta do servidor roteia de volta para o IP associado ao NAT de origem em vez do endereço IP original, resultando na resposta retornando ao longo do mesmo caminho de rede.
Papel verifique se o design de rede tem simetria de caminho
Neste ponto, você precisa verificar no papel que seu plano de implementação oferece simetria de rota para os diferentes cenários em que você usará o Microsoft 365. Você identificará a rota de rede específica que deverá ser tomada quando uma pessoa usar recursos diferentes do serviço. Desde a rede local e o roteamento de WAN até os dispositivos de perímetro até o caminho de conectividade; ExpressRoute ou internet e na conexão com o ponto de extremidade online.
Você precisará fazer isso para todos os serviços de rede do Microsoft 365 que foram previamente identificados como serviços que sua organização adotará.
Ele ajuda a fazer este passo a passo de papel de rotas com uma segunda pessoa. Explique a eles de onde cada salto de rede deve obter sua próxima rota e verifique se você está familiarizado com os caminhos de roteamento. Lembre-se de que o ExpressRoute sempre fornecerá uma rota mais escopo para endereços IP do servidor Microsoft, dando-lhe um custo de rota menor do que uma rota padrão da Internet.
Projetar configuração de conectividade do cliente
Se você estiver usando um servidor proxy para tráfego vinculado à Internet, precisará ajustar todos os arquivos de configuração pac ou cliente para garantir que os computadores cliente em sua rede estejam configurados corretamente para enviar o tráfego do ExpressRoute que você deseja para o Microsoft 365 sem transitar pelo servidor proxy, e o tráfego restante, incluindo algum tráfego do Microsoft 365, é enviado para o proxy relevante. Leia nosso guia sobre como gerenciar pontos de extremidade do Microsoft 365, por exemplo, arquivos PAC.
Observação
Os pontos de extremidade mudam com frequência, na maioria das vezes como semanalmente. Você só deve fazer alterações com base nos serviços e recursos que sua organização adotou para reduzir o número de alterações que você precisará fazer para se manter atualizado. Preste muita atenção à Data Efetiva no feed do RSS em que as alterações são anunciadas e um registro é mantido de todas as alterações passadas, os endereços IP que são anunciados podem não ser anunciados ou removidos do anúncio até que a data efetiva seja alcançada.
Garantir a simetria de rota
Os servidores front-end do Microsoft 365 estão acessíveis na Internet e no ExpressRoute. Esses servidores preferirão rotear de volta para o local em vez de circuitos do ExpressRoute quando ambos estiverem disponíveis. Por causa disso, há a possibilidade de rotear a assimetria se o tráfego de sua rede preferir rotear em seus circuitos da Internet. Rotas assimétricas são um problema porque dispositivos que executam inspeção de pacote com estado podem bloquear o tráfego de retorno que segue um caminho diferente dos pacotes de saída seguidos.
Independentemente de você iniciar uma conexão com o Microsoft 365 pela Internet ou ExpressRoute, a origem deve ser um endereço roteável publicamente. Com muitos clientes emparelhando diretamente com a Microsoft, ter endereços privados em que a duplicação é possível entre clientes não é viável.
Veja a seguir cenários em que as comunicações do Microsoft 365 para sua rede local serão iniciadas. Para simplificar o design de rede, recomendamos rotear o seguinte pelo caminho da Internet.
Serviços SMTP, como email de um locatário Exchange Online para um host local ou SharePoint Mail enviado do SharePoint para um host local. O protocolo SMTP é usado de forma mais ampla na rede da Microsoft do que os prefixos de rota compartilhados nos circuitos do ExpressRoute e na publicidade de servidores SMTP locais no ExpressRoute causarão falhas com esses outros serviços.
ADFS durante a validação de senha para entrar.
Skype for Business federaçãohíbrida e/ou Skype for Business.
Para que a Microsoft volte para sua rede para esses fluxos de tráfego bidirecional, as rotas BGP para seus dispositivos locais devem ser compartilhadas com a Microsoft. Ao anunciar prefixos de rota para a Microsoft no ExpressRoute, você deve seguir estas práticas recomendadas:
Não anuncie o mesmo prefixo de rota de endereço IP público para a Internet pública e pelo ExpressRoute. É recomendável que os anúncios de Prefixo de Rota BGP IP para a Microsoft pelo ExpressRoute sejam de um intervalo que não é anunciado para a Internet. Se isso não for possível devido ao espaço de Endereço IP disponível, é essencial garantir que você anuncie um intervalo mais específico no ExpressRoute do que qualquer circuito da Internet.
Use pools de IP NAT separados por circuito do ExpressRoute e separados aos dos circuitos da Internet.
Qualquer rota anunciada para a Microsoft atrairá o tráfego de rede de qualquer servidor na rede da Microsoft, não apenas aquelas para as quais as rotas são anunciadas para sua rede pelo ExpressRoute. Apenas anuncie rotas para servidores em que os cenários de roteamento são definidos e bem compreendidos pela sua equipe. Anuncie prefixos de rota de endereço IP separados em cada um dos vários circuitos do ExpressRoute de sua rede.
Alta disponibilidade e failover com o Azure ExpressRoute
Recomendamos provisionar pelo menos dois circuitos ativos de cada saída com o ExpressRoute para o provedor do ExpressRoute. Este é o lugar mais comum em que vemos falhas para os clientes e você pode evitá-la facilmente provisionando um par de circuitos ativos/ativos do ExpressRoute. Também recomendamos pelo menos dois circuitos ativos/ativos da Internet porque muitos serviços do Microsoft 365 só estão disponíveis pela Internet.
Dentro do ponto de saída da sua rede há muitos outros dispositivos e circuitos que desempenham um papel crítico na forma como as pessoas percebem a disponibilidade. Essas partes dos cenários de conectividade não são cobertas pelos SLAs do ExpressRoute ou do Microsoft 365, mas desempenham um papel crítico na disponibilidade de serviço de ponta a ponta, conforme percebido pelas pessoas em sua organização.
Concentre-se nas pessoas que usam e operam o Microsoft 365, se uma falha de qualquer componente afetar a experiência das pessoas usando o serviço, procure maneiras de limitar o percentual total de pessoas afetadas. Se um modo de failover for operacionalmente complexo, considere a experiência das pessoas de muito tempo para recuperação e procure modos de failover operacionalmente simples e automatizados.
Fora da rede, o Microsoft 365, o ExpressRoute e o provedor do ExpressRoute têm níveis de disponibilidade diferentes.
Disponibilidade de serviço
Os serviços do Microsoft 365 são cobertos por contratos de nível de serviço bem definidos, que incluem métricas de tempo de atividade e disponibilidade para serviços individuais. Uma das razões pelas quais o Microsoft 365 pode manter níveis de disponibilidade de serviço tão altos é a capacidade dos componentes individuais falharem perfeitamente entre os muitos datacenters da Microsoft, usando a rede global da Microsoft. Esse failover se estende do datacenter e da rede para os vários pontos de saída da Internet e permite o failover perfeitamente da perspectiva das pessoas que usam o serviço.
O ExpressRoute fornece um SLA de disponibilidade de 99,9% em circuitos dedicados individuais entre o Microsoft Network Edge e o provedor do ExpressRoute ou a infraestrutura de parceiros. Esses níveis de serviço são aplicados no nível do circuito do ExpressRoute, que consiste em duas interconexões independentes entre o equipamento redundante da Microsoft e o equipamento do provedor de rede em cada local de emparelhamento.
Disponibilidade do provedor
- Os arranjos de nível de serviço da Microsoft param em seu provedor ou parceiro do ExpressRoute. Este também é o primeiro lugar em que você pode fazer escolhas que influenciarão seu nível de disponibilidade. Você deve avaliar de perto as características de arquitetura, disponibilidade e resiliência que o provedor do ExpressRoute oferece entre o perímetro de rede e a conexão dos provedores em cada local de emparelhamento da Microsoft. Preste muita atenção aos aspectos lógicos e físicos da redundância, do equipamento de emparelhamento, dos circuitos de WAN fornecidos pela operadora e de qualquer valor extra que adicione serviços como serviços NAT ou firewalls gerenciados.
Projetando seu plano de disponibilidade
Recomendamos que você planeje e projete alta disponibilidade e resiliência em seus cenários de conectividade de ponta a ponta para o Microsoft 365. Um design deve incluir;
Nenhum único ponto de falha, incluindo circuitos de Internet e ExpressRoute.
Minimizando o número de pessoas afetadas e a duração desse impacto para os modos de falha mais esperados.
Otimização para um processo de recuperação simples, repetível e automático dos modos de falha mais esperados.
Suporte às demandas completas de seu tráfego de rede e funcionalidade por meio de caminhos redundantes, sem degradação substancial.
Seus cenários de conectividade devem incluir uma topologia de rede otimizada para vários caminhos de rede independentes e ativos para o Microsoft 365. Isso produzirá uma disponibilidade de ponta a ponta melhor do que uma topologia otimizada apenas para redundância no nível de dispositivo ou equipamento individual.
Dica
Se seus usuários forem distribuídos em vários continentes ou regiões geográficas e cada um desses locais se conectar em circuitos wan redundantes a um único local onde um único circuito do ExpressRoute está localizado, seus usuários terão menos disponibilidade de serviço de ponta a ponta do que um design de topologia de rede que inclui circuitos independentes do ExpressRoute que conectam as diferentes regiões ao local de emparelhamento mais próximo.
Recomendamos provisionar pelo menos dois circuitos do ExpressRoute com cada circuito que se conecta com um local de emparelhamento geográfico diferente. Você deve provisionar esse par ativo de circuitos para cada região em que as pessoas usarão a conectividade ExpressRoute para serviços do Microsoft 365. Isso permite que cada região permaneça conectada durante um desastre que afeta um local importante, como um datacenter ou local de emparelhamento. Configurá-los como ativos/ativos permite que o tráfego de usuário final seja distribuído em vários caminhos de rede. Isso reduz o escopo das pessoas afetadas durante interrupções de dispositivos ou equipamentos de rede.
Não recomendamos usar um único circuito do ExpressRoute com a Internet como backup.
Exemplo: Failover e Alta Disponibilidade
O design multigráfico da Contoso passou por uma revisão de roteamento, largura de banda, segurança e agora deve passar por uma revisão de alta disponibilidade. A Contoso pensa na alta disponibilidade como cobrindo três categorias; resiliência, confiabilidade e redundância.
A resiliência permite que a Contoso se recupere de falhas rapidamente. A confiabilidade permite que a Contoso ofereça um resultado consistente no sistema. A redundância permite à Contoso um movimento entre uma ou mais instâncias espelhadas de infraestrutura.
Em cada configuração de borda, a Contoso tem Firewalls, Proxies e IDS redundantes. Para América do Norte, a Contoso tem uma configuração de borda no datacenter de Dallas e outra configuração de borda no datacenter da Virgínia. O equipamento redundante em cada local oferece resiliência a esse local.
A configuração de rede na Contoso é criada com base em alguns princípios principais:
Em cada região geográfica, há vários circuitos do Azure ExpressRoute.
Cada circuito dentro de uma região pode dar suporte a todo o tráfego de rede nessa região.
O roteamento claramente preferirá um ou outro caminho, dependendo da disponibilidade, localização e assim por diante.
O failover entre circuitos do Azure ExpressRoute acontece automaticamente sem configuração ou ação adicional exigida pela Contoso.
O failover entre circuitos da Internet acontece automaticamente sem configuração ou ação adicional exigida pela Contoso.
Nessa configuração, com redundância no nível físico e virtual, a Contoso é capaz de oferecer resiliência local, resiliência regional e resiliência global de forma confiável. A Contoso elegeu essa configuração depois de avaliar um único circuito do Azure ExpressRoute por região, bem como a possibilidade de falha na internet.
Se a Contoso não puder ter vários circuitos do Azure ExpressRoute por região, rotear o tráfego originário de América do Norte para o circuito do Azure ExpressRoute na Ásia-Pacífico adicionará um nível inaceitável de latência e a configuração de encaminhador DNS necessária adicionará complexidade.
Não é recomendável usar a Internet como configuração de backup. Isso quebra o princípio de confiabilidade da Contoso, resultando em uma experiência inconsistente usando a conexão. Além disso, a configuração manual seria necessária para fazer failover considerando os anúncios BGP que foram configurados, configuração nat, configuração DNS e a configuração do proxy. Essa complexidade de failover adicionada aumenta o tempo de recuperação e diminui sua capacidade de diagnosticar e solucionar problemas das etapas envolvidas.
Ainda tem dúvidas sobre como planejar e implementar o gerenciamento de tráfego ou o Azure ExpressRoute? Leia o restante da nossa rede e diretrizes de desempenho ou as perguntas frequentes do Azure ExpressRoute.
Aplicando controles de segurança ao Azure ExpressRoute para cenários do Microsoft 365
Proteger a conectividade do Azure ExpressRoute começa com os mesmos princípios que proteger a conectividade com a Internet. Muitos clientes optam por implantar controles de rede e perímetro ao longo do caminho do ExpressRoute conectando sua rede local ao Microsoft 365 e outras nuvens da Microsoft. Esses controles podem incluir firewalls, proxies de aplicativo, prevenção de vazamento de dados, detecção de intrusão, sistemas de prevenção de intrusão e assim por diante. Em muitos casos, os clientes aplicam diferentes níveis de controles ao tráfego iniciado desde a ida local à Microsoft, versus o tráfego iniciado da Microsoft indo para a rede local do cliente, versus o tráfego iniciado do local indo para um destino geral da Internet.
Aqui estão alguns exemplos de integração de segurança com o modelo de conectividade do ExpressRoute que você escolhe implantar.
Opção de integração do ExpressRoute | Modelo de perímetro de segurança de rede |
---|---|
Colocado em uma troca de nuvem |
Instale nova ou use a infraestrutura de segurança/perímetro existente na instalação de colocação em que a conexão ExpressRoute é estabelecida. Use a instalação de colocação puramente para fins de roteamento/interconexão e conexões de transporte de volta da instalação de colocação para a infraestrutura local de segurança/perímetro. |
Ethernet ponto a ponto |
Encerre a conexão ExpressRoute ponto a ponto na localização de infraestrutura de segurança/perímetro local existente. Instale uma nova infraestrutura de segurança/perímetro específica para o caminho do ExpressRoute e encerre a conexão Ponto a Ponto lá. |
IPVPN de qualquer para qualquer |
Use uma infraestrutura de segurança/perímetro local existente em todos os locais que é saída para o IPVPN usado para a conectividade do ExpressRoute para Microsoft 365. Hairpin the IPVPN used for ExpressRoute for Microsoft 365 to specific local locations designated to serve como security/perimeter. |
Alguns provedores de serviços também oferecem funcionalidade de segurança/perímetro gerenciada como parte de suas soluções de integração com o Azure ExpressRoute.
Ao considerar o posicionamento de topologia das opções de perímetro de rede/segurança usadas para o ExpressRoute para conexões do Microsoft 365, a seguir estão considerações extras
Os controles de rede/segurança de profundidade e tipo podem ter impacto no desempenho e na escalabilidade da experiência do usuário do Microsoft 365.
Fluxos de saída (local-Microsoft>) e de entrada (Microsoft> local) [se habilitados] podem ter requisitos diferentes. Eles provavelmente são diferentes de Saída para destinos gerais da Internet.
Os requisitos do Microsoft 365 para portas/protocolos e sub-redes IP necessárias são os mesmos, se o tráfego é roteado pelo ExpressRoute para o Microsoft 365 ou pela Internet.
O posicionamento topológico dos controles de rede/segurança do cliente determina a rede de ponta a ponta entre o usuário e o serviço microsoft 365 e pode ter um impacto substancial na latência e no congestionamento da rede.
Os clientes são incentivados a projetar sua topologia de segurança/perímetro para uso com o ExpressRoute para o Microsoft 365 de acordo com as práticas recomendadas para redundância, alta disponibilidade e recuperação de desastres.
Aqui está um exemplo da Contoso que compara as diferentes opções de conectividade do Azure ExpressRoute com os modelos de segurança de perímetro discutidos acima.
Exemplo: como proteger o Azure ExpressRoute
A Contoso está considerando implementar o Azure ExpressRoute e, depois de planejar a arquitetura ideal para o ExpressRoute para o Microsoft 365 e depois de usar as diretrizes acima para entender os requisitos de largura de banda, eles estão determinando o melhor método para proteger seu perímetro.
Para a Contoso, uma organização multinacional com locais em vários continentes, a segurança deve abranger todos os perímetros. A opção de conectividade ideal para a Contoso é uma conexão de vários pontos com vários locais de emparelhamento em todo o mundo para atender às necessidades de seus funcionários em cada continente. Cada continente inclui circuitos redundantes do Azure ExpressRoute no continente e a segurança deve abranger todos eles.
A infraestrutura existente da Contoso é confiável e pode lidar com o trabalho extra, como resultado, a Contoso é capaz de usar a infraestrutura para sua segurança de perímetro do Azure ExpressRoute e internet. Se não fosse esse o caso, a Contoso poderia optar por comprar mais equipamentos para complementar seus equipamentos existentes ou lidar com um tipo diferente de conexão.
Planejamento de largura de banda para o Azure ExpressRoute
Cada cliente do Microsoft 365 tem necessidades de largura de banda exclusivas dependendo do número de pessoas em cada local, o quão ativos eles estão com cada aplicativo microsoft 365 e outros fatores, como o uso de equipamentos locais ou híbridos e configurações de segurança de rede.
Ter pouca largura de banda resultará em congestionamentos, retransmissões de dados e atrasos imprevisíveis. Ter muita largura de banda resultará em um custo desnecessário. Em uma rede existente, a largura de banda é frequentemente referida em termos da quantidade de headroom disponível no circuito como uma porcentagem. Ter 10% de espaço para a cabeça provavelmente resultará em congestionamento e ter 80% de espaço na cabeça geralmente significa custo desnecessário. As alocações típicas de destino do headroom são de 20% a 50%.
Para encontrar o nível certo de largura de banda, o melhor mecanismo é testar o consumo de rede existente. Essa é a única maneira de obter uma verdadeira medida de uso e necessidade, pois cada configuração de rede e aplicativos são, de certa forma, exclusivos. Ao medir, você deseja prestar muita atenção ao consumo total de largura de banda, latência e congestionamento TCP para entender suas necessidades de rede.
Depois de ter uma linha de base estimada que inclui todos os aplicativos de rede, pilote o Microsoft 365 com um pequeno grupo que compreende os diferentes perfis de pessoas em sua organização para determinar o uso real e use as duas medidas para estimar a quantidade de largura de banda necessária para cada local do office. Se houver algum problema de latência ou congestionamento TCP encontrado em seus testes, talvez seja necessário mover a saída para mais perto das pessoas que usam o Microsoft 365 ou remover a verificação intensiva de rede, como descriptografia/inspeção do SSL.
Todas as nossas recomendações sobre qual tipo de processamento de rede é recomendado se aplicam a circuitos do ExpressRoute e da Internet. O mesmo vale para o restante das diretrizes em nosso site de ajuste de desempenho.
Criar seus procedimentos de implantação e teste
Seu plano de implementação deve incluir o teste e o planejamento de reversão. Se sua implementação não estiver funcionando conforme o esperado, o plano deverá ser projetado para afetar o menor número de pessoas antes que os problemas sejam descobertos. A seguir estão alguns princípios de alto nível que seu plano deve considerar.
Stage the network segment and user service onboarding to minimize disruption.
Planeje rotas de teste com rastreamento e conexão TCP de um host conectado à Internet separado.
Preferencialmente, o teste de serviços de entrada e saída deve ser feito em uma rede de teste isolada com um locatário do Microsoft 365 de teste.
Como alternativa, o teste pode ser realizado em uma rede de produção se o cliente ainda não estiver usando o Microsoft 365 ou estiver em piloto.
Como alternativa, o teste pode ser realizado durante uma interrupção de produção que é reservada apenas para teste e monitoramento.
Como alternativa, o teste pode ser feito verificando rotas para cada serviço em cada nó de roteador da camada 3. Esse recuo só deve ser usado se nenhum outro teste for possível, uma vez que a falta de teste físico introduz o risco.
Criar seus procedimentos de implantação
Seus procedimentos de implantação devem ser distribuídos para pequenos grupos de pessoas em estágios para permitir testes antes de serem implantados em grupos maiores de pessoas. A seguir estão várias maneiras de encenar a implantação do ExpressRoute.
Configure o ExpressRoute com o emparelhamento da Microsoft e encaminhe os anúncios de rota para um único host apenas para fins de teste em etapas.
Anuncie rotas para a rede ExpressRoute para um único segmento de rede no início e expanda anúncios de rota por segmento de rede ou região.
Se estiver implantando o Microsoft 365 pela primeira vez, use a implantação de rede do ExpressRoute como piloto para algumas pessoas.
Se estiver usando servidores proxy, você poderá, alternativamente, configurar um arquivo PAC de teste para direcionar algumas pessoas ao ExpressRoute com testes e comentários antes de adicionar mais.
Seu plano de implementação deve listar cada um dos procedimentos de implantação que devem ser tomados ou comandos que precisam ser usados para implantar a configuração de rede. Quando o tempo de interrupção de rede chegar, todas as alterações que estão sendo feitas devem ser do plano de implantação escrito que foi escrito com antecedência e revisado por pares. Consulte nossas diretrizes sobre a configuração técnica do ExpressRoute.
Atualizando os registros TXT do SPF se você tiver alterado endereços IP para todos os servidores locais que continuarão enviando email.
Atualizando todas as entradas DNS para servidores locais se você tiver alterado endereços IP para acomodar uma nova configuração nat.
Verifique se você assinou o feed do RSS para notificações de ponto de extremidade do Microsoft 365 para manter qualquer configuração de roteamento ou proxy.
Após a conclusão da implantação do ExpressRoute, os procedimentos no plano de teste devem ser executados. Os resultados de cada procedimento devem ser registrados. Você deve incluir procedimentos para reverter para o ambiente de produção original caso os resultados do plano de teste indiquem que a implementação não foi bem-sucedida.
Criar seus procedimentos de teste
Seus procedimentos de teste devem incluir testes para cada serviço de rede de saída e de entrada para o Microsoft 365, ambos que usarão o ExpressRoute e os que não usarão. Os procedimentos devem incluir testes de cada local de rede exclusivo, incluindo usuários que não estão locais na LAN corporativa.
Alguns exemplos de atividades de teste incluem o seguinte.
Ping do roteador local para o roteador do operador de rede.
Validar os anúncios de endereço IP do Microsoft 365 e CRM Online 500+ são recebidos pelo roteador local.
Validar sua NAT de entrada e saída está operando entre o ExpressRoute e a rede interna.
Valide se as rotas para o NAT estão sendo anunciadas do roteador.
Valide se o ExpressRoute aceitou seus prefixos anunciados.
- Use o seguinte cmdlet para verificar anúncios de emparelhamento:
Get-AzureRmExpressRouteCircuitRouteTable -DevicePath Primary -ExpressRouteCircuitName TestER -ResourceGroupName RG -PeeringType MicrosoftPeering
Validar seu intervalo de IP nat público não é anunciado para a Microsoft por meio de qualquer outro circuito de rede do ExpressRoute ou da Internet pública, a menos que seja um subconjunto específico de um intervalo maior como no exemplo anterior.
Os circuitos do ExpressRoute são emparelhados, valide se as duas sessões BGP estão em execução.
Configure um único host no interior do nat e use ping, rastreamento e tcpping para testar a conectividade em todo o novo circuito para o host outlook.office365.com. Como alternativa, você pode usar uma ferramenta como Wireshark ou Microsoft Network Monitor 3.4 em uma porta espelhada para o MSEE para validar que você pode se conectar ao endereço IP associado a outlook.office365.com.
Testar a funcionalidade do nível do aplicativo para Exchange Online.
Testar o Outlook é capaz de se conectar a Exchange Online e enviar/receber email.
Testar o Outlook é capaz de usar o modo online.
Teste a conectividade do smartphone e a capacidade de envio/recebimento.
- Testar a funcionalidade do nível do aplicativo para o SharePoint
Testar OneDrive for Business cliente de sincronização.
Testar o acesso à Web do SharePoint.
- Testar a funcionalidade do nível do aplicativo para Skype for Business cenários de chamada:
Junte-se à chamada de conferência como usuário autenticado [convite iniciado pelo usuário final].
Convidar o usuário para a teleconferência [convite enviado do MCU].
Participe da conferência como usuário anônimo usando o aplicativo Web Skype for Business.
Junte a chamada de sua conexão com computador com fio, telefone IP e dispositivo móvel.
Chame para o usuário federado o Chamar para Validação PSTN: a chamada é concluída, a qualidade da chamada é aceitável, o tempo de conexão é aceitável.
Verifique se a presença status para contatos é atualizada para membros do locatário e usuários federados.
Problemas comuns
O roteamento assimétrico é o problema de implementação mais comum. Aqui estão algumas fontes comuns para procurar:
Usando uma topologia de roteamento de rede aberta ou plana sem NAT de origem no local.
Não usar o SNAT para rotear para serviços de entrada por meio das conexões da Internet e do ExpressRoute.
Não testar serviços de entrada no ExpressRoute em uma rede de teste antes de implantar amplamente.
Implantando a conectividade do ExpressRoute por meio de sua rede
Execute sua implantação em um segmento da rede por vez, distribuindo progressivamente a conectividade para diferentes partes da rede com um plano para reverter para cada novo segmento de rede. Se sua implantação estiver alinhada com uma implantação do Microsoft 365, implante primeiro em seus usuários piloto do Microsoft 365 e estenda-se a partir daí.
Primeiro para o teste e depois para a produção:
Execute as etapas de implantação para habilitar o ExpressRoute.
Teste sua visão de que as rotas de rede são conforme o esperado.
Execute testes em cada serviço de entrada e saída.
Reversão se você descobrir algum problema.
Configurar uma conexão de teste com o ExpressRoute com um segmento de rede de teste
Agora que você tem o plano concluído no papel, é hora de testar em pequena escala. Neste teste, você estabelecerá uma única conexão do ExpressRoute com o Microsoft Peering para uma sub-rede de teste em sua rede local. Você pode configurar um locatário do Microsoft 365 de avaliação com conectividade de e para a sub-rede de teste e incluir todos os serviços de saída e entrada que você usará em produção na sub-rede de teste. Configure o DNS para o segmento de rede de teste e estabeleça todos os serviços de entrada e saída. Execute seu plano de teste e verifique se você está familiarizado com o roteamento de cada serviço e a propagação de rota.
Executar os planos de implantação e teste
Ao concluir os itens descritos acima, marcar das áreas concluídas e verifique se você e sua equipe os revisaram antes de executar seus planos de implantação e teste.
Lista de serviços de saída e de entrada que estão envolvidos na alteração de rede.
Diagrama de arquitetura de rede global mostrando a saída da Internet e os locais de meet-me do ExpressRoute.
Diagrama de roteamento de rede que demonstra os diferentes caminhos de rede usados para cada serviço implantado.
Um plano de implantação com etapas para implementar as alterações e a reversão, se necessário.
Um plano de teste para testar cada serviço de rede e Microsoft 365.
Validação de papel concluída de rotas de produção para serviços de entrada e saída.
Um teste concluído em um segmento de rede de teste, incluindo testes de disponibilidade.
Escolha uma janela de interrupção que seja longa o suficiente para executar todo o plano de implantação e o plano de teste, tem algum tempo disponível para solução de problemas e tempo para reverter, se necessário.
Cuidado
Devido à natureza complexa do roteamento pela Internet e pelo ExpressRoute, é recomendável que o tempo adicional de buffer seja adicionado a essa janela para lidar com a solução de problemas de roteamento complexo.
Configurar o QoS para Skype for Business Online
O QoS é necessário para obter benefícios de voz e reunião para Skype for Business Online. Você pode configurar o QoS depois de garantir que a conexão de rede do ExpressRoute não bloqueie nenhum de seus outros acessos ao serviço do Microsoft 365. A configuração para QoS é descrita no artigo ExpressRoute e QoS no Skype for Business Online .
Solução de problemas de sua implementação
O primeiro lugar a ser olhado é nas etapas deste guia de implementação, alguma falha em seu plano de implementação? Voltar e execute outros pequenos testes de rede, se possível, para replicar o erro e depurá-lo lá.
Identifique quais serviços de entrada ou de saída falharam durante o teste. Obtenha especificamente os endereços IP e sub-redes para cada um dos serviços que falharam. Vá em frente e ande no diagrama de topologia de rede no papel e valide o roteamento. Valide especificamente onde o roteamento do ExpressRoute é anunciado, teste esse roteamento durante a interrupção, se possível, com rastreamentos.
Execute o PSPing com um rastreamento de rede em cada ponto de extremidade do cliente e avalie endereços IP de origem e de destino para validar se eles são conforme o esperado. Execute a telnet em qualquer host de email que você exponha na porta 25 e verifique se o SNAT está ocultando o endereço IP de origem original se isso for esperado.
Tenha em mente que, ao implantar o Microsoft 365 com uma conexão ExpressRoute, você precisará garantir que a configuração de rede do ExpressRoute seja projetada de forma ideal e você também otimize os outros componentes em sua rede, como computadores cliente. Além de usar este guia de planejamento para solucionar problemas das etapas que você pode ter perdido, também escrevemos um plano de solução de problemas de desempenho para o Microsoft 365 .
Aqui está um link curto que você pode usar para voltar: https://aka.ms/implementexpressroute365
Tópicos Relacionados
Avaliando a conectividade de rede do Microsoft 365
Azure ExpressRoute para Microsoft 365
Qualidade da mídia e desempenho de conectividade de rede no Skype for Business Online
Como otimizar a sua rede para o Skype for Business Online
ExpressRoute e QoS no Skype for Business Online
Fluxo de chamadas usando o ExpressRoute
Ajuste de desempenho do Microsoft 365 usando linhas de base e histórico de desempenho
Plano de solução de problemas de desempenho para o Microsoft 365