Поделиться через


Сеть корпорации Contoso

Чтобы внедрить инфраструктуру, включаемую в облако, компания Contoso разработала фундаментальный сдвиг в том, как передается сетевой трафик в облачные службы. Вместо внутренней звездообразной модели, которая фокусирует сетевое подключение и трафик для следующего уровня иерархии офиса, они сопоставляют расположения пользователей с локальным исходящим интернет-трафиком, а локальные подключения — с ближайшим сетевым расположением Microsoft 365 в Интернете.

Сетевая инфраструктура

Вот сетевые элементы, которые связывают офисы Contoso по всему миру:

  • Сеть WAN с многопротокольной коммутацией по меткам (MPLS)

    Глобальная сеть MPLS соединяет штаб-квартиру в Париже с региональными офисами, а региональные офисы — со вспомогательными офисами в конфигурации периферийных и центральных. Сеть позволяет пользователям получать доступ к локальным серверам, которые составляют бизнес-приложения в штаб-квартире в Париже. Он также направляет любой общий интернет-трафик в парижский офис, где устройства сетевой безопасности открескивать запросы. В каждом офисе маршрутизаторы доставляют трафик к проводным узлам или беспроводным точкам доступа в подсетях, которые используют пространство частных IP-адресов.

  • Локальный прямой доступ в Интернет для трафика Microsoft 365

    Каждый офис имеет программно-определяемое глобальное устройство (SD-WAN), которое имеет один или несколько локальных сетевых каналов интернет-провайдера с собственным подключением к Интернету через прокси-сервер. Обычно это реализуется в виде канала глобальной сети с локальным поставщиком услуг Интернета, который также предоставляет общедоступные IP-адреса и локальный DNS-сервер.

  • Интернет-представительство

    Корпорации Contoso принадлежит общедоступное доменное имя contoso.com. Общедоступный веб-сайт Contoso для заказа продуктов — это набор серверов в подключенном к Интернету центре обработки данных в парижском кампусе. Компания Contoso использует диапазон общедоступных IP-адресов /24 в Интернете.

На рисунке 1 показана сетевая инфраструктура Contoso и ее подключения к Интернету.

Сеть Contoso.

Рис. 1. Сеть Contoso

Использование технологии SD-WAN для оптимального подключения к ресурсам Майкрософт

В компании Contoso следуют указанным ниже принципам сетевого подключения для Microsoft 365:

  • Определение и дифференциация сетевого трафика Microsoft 365
  • Локальная организация исходящего трафика для сетевых подключений.
  • Недопущение "узких" мест в сети.
  • Обход дублируемых устройств обеспечения безопасности сети.

Существует три категории сетевого трафика для Microsoft 365: Optimize, Allow и Default. Оптимизация и разрешение трафика — это доверенный сетевой трафик, зашифрованный и защищенный в конечных точках и предназначенный для сети Microsoft 365.

В компании Contoso решили следующее:

  • Используйте прямой исходящий интернет-трафик для оптимизации и разрешения трафика категории, а также для перенаправления всего трафика категории по умолчанию в центральное подключение к Интернету в Париже.

  • Разверните устройства SD-WAN в каждом офисе, чтобы следовать этим принципам и достичь оптимальной производительности сети для облачных служб Microsoft 365.

    Устройство SD-WAN оснащено портом для подключения к локальной сети офиса и несколькими портами для подключения к глобальной сети. Один порт глобальной сети подключается к сети MPLS. Другой подключается к локальному каналу ISP. Устройство SD-WAN выполняет маршрутизацию оптимизированного и разрешенного сетевого трафика в канал поставщика услуг Интернета.

Инфраструктура бизнес-приложений Contoso

Компания Contoso проектировала инфраструктуру бизнес-приложений и серверной интрасети для следующих компонентов:

  • В подчиненных офисах используются локальные кэширующие серверы для хранения часто используемых документов и внутренних веб-сайтов.
  • Региональные центральные офисы используют региональные серверы приложений для региональных и подчиненных офисов. Эти серверы синхронизируются с серверами главного офиса в Париже.
  • Центры обработки данных кампуса в Париже содержат централизованные серверы приложений, которые обслуживают всю организацию.

На рисунке 2 показана процентная доля емкости сетевого трафика, используемого при доступе к серверам в интрасети Contoso.

Инфраструктура Contoso для внутренних приложений.

Рис. 2. Инфраструктура Contoso для внутренних приложений

Для вспомогательных или региональных центральных офисов 60 процентов ресурсов, необходимых сотрудникам, могут обслуживаться вспомогательными и региональными серверами центральных офисов. Дополнительные 40 процентов запросов на ресурсы должны проходить по каналу глобальной сети в Парижском кампусе.

Анализ сети и подготовка к Microsoft 365 для предприятий

Успешное внедрение Microsoft 365 для корпоративных служб пользователями Contoso зависит от высокой доступности и производительности подключения к Интернету или напрямую к облачным службам Майкрософт. Компания Contoso приняла следующие меры для планирования и реализации оптимизированного подключения к Microsoft 365 для корпоративных облачных служб:

  1. Создание схемы сети глобальной сети компании для планирования

    Чтобы начать планирование сети, компания Contoso создала схему, показывающую расположение офисов, существующее сетевое подключение, существующие устройства периметра сети и классы служб, управляемых в сети. Они использовали эту схему для каждого последующего этапа планирования и реализации сетевого подключения.

  2. Создание плана microsoft 365 для корпоративного сетевого подключения

    Компания Contoso использовала принципы сетевого подключения Microsoft 365 и примеры эталонных сетевых архитектур, чтобы определить SD-WAN в качестве предпочтительной топологии для подключения к Microsoft 365.

  3. Анализ использования подключения к Интернету и пропускной способности MPLS-WAN в каждом офисе и увеличение пропускной способности по мере необходимости

    Было проанализировано текущее использование каждого офиса, и каналы были увеличены, чтобы прогнозировалось, что облачный трафик Microsoft 365 будет работать в среднем 20 процентов неиспользуемой емкости.

  4. Оптимизация производительности для сетевых служб Майкрософт

    Компания Contoso определила набор Office 365, Intune и конечных точек Azure, а также настроенные брандмауэры, устройства безопасности и другие системы в пути к Интернету для обеспечения оптимальной производительности. Конечные точки для Office 365 Оптимизировать и Разрешить трафик категории были настроены на устройствах SD-WAN для маршрутизации по каналу ISP.

  5. Настройка внутренней DNS

    Для обеспечения трафика в Microsoft 365 необходима работоспособная DNS, которую можно найти в локальной сети.

  6. Проверка подключения к конечной точке сети и портам

    Компания Contoso запустила средства проверки сетевого подключения Майкрософт для проверки подключения к Microsoft 365 для облачных служб предприятия.

  7. Оптимизация компьютеров сотрудников для сетевого подключения

    Отдельные компьютеры были проверены, чтобы убедиться, что установлены последние обновления операционной системы и что мониторинг безопасности конечных точек был активен на всех клиентах.

Следующий этап

Узнайте, как компания Contoso использует свои локальная служба Active Directory доменных служб в облаке для сотрудников и федеративной проверки подлинности для клиентов и бизнес-партнеров.

См. также

Стратегия работы с сетями для Microsoft 365

Обзор Microsoft 365 для предприятий

Руководства по лаборатории тестирования