Citrix SD-WAN Orchestrator

Optimisation d’Office 365

Les fonctionnalités d’optimisation d’Office 365 respectent les principes de connectivité réseau de Microsoft Office 365, afin d’optimiser Office 365. Office 365 est fourni en tant que service via plusieurs points de terminaison de service (portes d’entrée) situés dans le monde entier.

Pour obtenir une expérience utilisateur optimale pour le trafic Office 365, Microsoft recommande de rediriger le trafic Office365 directement vers Internet à partir d’environnements de succursales. Évitez les pratiques telles que le retour vers un proxy central. Le trafic Office 365, tel qu’Outlook, Word, sont sensibles à la latence et le trafic de retour introduit plus de latence, ce qui entraîne une mauvaise expérience utilisateur. Citrix SD-WAN vous permet de configurer des stratégies pour ventiler le trafic Office 365 vers Internet.

Le trafic Office 365 est dirigé vers le point de terminaison de service Office 365 le plus proche, qui existe à la périphérie de l’infrastructure Microsoft Office 365 dans le monde entier. Une fois que le trafic atteint une porte d’entrée, il passe par le réseau Microsoft et atteint sa destination réelle. Il réduit la latence au fur et à mesure que le temps aller-retour entre le réseau client et le point de terminaison Office 365 diminue.

Fonctionnement de l’optimisation Office 365

Les signatures de point de terminaison Microsoft sont mises à jour au maximum une fois par jour. L’agent de l’appliance interroge quotidiennement le service Citrix (sdwan-app-routing.citrixnetworkapi.net) pour obtenir le dernier ensemble de signatures de point de terminaison. L’appliance SD-WAN interroge le service Citrix (sdwan-app-routing.citrixnetworkapi.net), une fois par jour, lorsque l’appliance est activée.

Si de nouvelles signatures sont disponibles, l’appliance les télécharge et les stocke dans la base de données. Les signatures sont essentiellement une liste d’URL et d’adresses IP utilisées pour détecter le trafic Office 365 en fonction des stratégies de direction du trafic qui peuvent être configurées.

Remarque

À l’exception de la catégorie Office 365 par défaut, la détection et la classification des premiers paquets du trafic Office 365 sont effectuées par défaut, que la fonctionnalité de répartition d’Office 365 soit activée ou non.

Lorsqu’une demande pour l’application Office 365 arrive, le classificateur d’applications effectue une première recherche de base de données de classificateur de paquets, identifie et marque le trafic Office 365. Une fois que le trafic Office 365 est classé, la route d’application créée automatiquement et les stratégies de pare-feu prennent effet et répartit le trafic directement vers Internet. Les requêtes DNS Office 365 sont transférées à des services DNS spécifiques tels que Quad9.

O365-working

Les signatures sont téléchargées depuis Cloud Service (sdwan-app-routing.citrixnetworkapi.net).

Configurer la ventilation Office 365

La stratégie de répartition Office 365 vous permet de spécifier la catégorie de trafic Office 365 que vous pouvez extraire directement de la succursale. En activant le découpage Office 365 et la compilation de la configuration, un objet DNS, un objet d’application, un itinéraire d’application et un modèle de stratégie de pare-feu sont automatiquement créés et appliqués aux sites de succursales avec le service Internet.

Pré-requis

Assurez-vous que vous disposez des éléments suivants :

  1. Pour effectuer une panne Office 365, un service Internet doit être configuré sur l’appliance.

  2. Assurez-vous que l’interface de gestion est connectée à Internet.

  3. Assurez-vous que le DNS de gestion est configuré.

Dans le service Citrix SD-WAN Orchestrator, chaque réseau possède par défaut la règle Office 365 sous Groupe d’applications. Pour naviguer, accédez à Configuration réseau > Routage > Politiques de routage > Routes d’application.

O365

Vous ne pouvez pas supprimer la règle, mais vous pouvez configurer les paramètres selon vos besoins.

Détail de l'O365

Cliquez sur la règle Office 365 pour afficher les paramètres par défaut Type de correspondance, Groupe d’applications, Service de mise à disposition, etc. Vous ne pouvez pas modifier ces paramètres par défaut.

Les points de terminaison Office 365 sont un ensemble d’adresses réseau et de sous-réseaux. À partir de Citrix SD-WAN 11.4.0, les points de terminaison Office 365 sont classés dans les catégories Optimize, Allowet Default . Citrix SD-WAN fournit une classification plus précise des catégories Optimize et Allow, permettant ainsi une gestion sélective de bout en bout afin d’améliorer les performances du trafic Office 365 sensible au réseau. La direction du trafic sensible au réseau vers le SD-WAN dans le cloud (Cloud Direct ou un VPX SD-WAN sur Azure), ou d’un périphérique SD-WAN domestique vers un SD-WAN situé à proximité avec une connectivité Internet plus fiable, permet une qualité de service de qualité de service et une résilience de connexion supérieure par rapport à la simple direction du trafic vers le plus proche Porte d’entrée Office 365, au prix d’une augmentation de la latence. Une solution SD-WAN intégrée avec QoS réduit les interruptions et les déconnexions VoIP, réduit la nervosité et améliore les scores d’opinion moyens de Microsoft Teams sur la qualité multimédia. Les points de terminaison sont répartis dans les trois catégories suivantes :

  • Optimisation  : ces terminaux fournissent une connectivité à tous les services et fonctionnalités Office 365 et sont sensibles à la disponibilité, aux performances et à la latence. Il représente plus de 75 % de la bande passante, des connexions et du volume de données Office 365. Tous les points de terminaison Optimize sont hébergés dans les centres de données Microsoft. Les demandes de service à ces terminaux doivent être envoyées de la succursale vers Internet et ne doivent pas passer par le centre de données.

    La catégorie Optimiser est classée dans les sous-catégories suivantes :

    • Microsoft Teams en temps réel
    • Exchange Online
    • Optimisation SharePoint
  • Autoriser : ces points de terminaison fournissent uniquement la connectivité aux services et fonctionnalités Office 365 spécifiques, et ne sont pas sensibles aux performances du réseau et à la latence. La représentation de la bande passante et du nombre de connexions Office 365 est également plus faible. Ces points de terminaison sont hébergés dans les centres de données Microsoft. Les demandes de service à ces terminaux peuvent être extraites de la succursale vers Internet ou passer par le centre de données.

    La catégorie Autoriser est classée dans les sous-catégories suivantes :

    • Repli TCP des équipes
    • Courrier Exchange
    • Autoriser SharePoint
    • O365 Common

    REMARQUE

    La sous-catégorie Teams Realtime utilise le protocole de transport en temps réel UDP pour gérer le trafic Microsoft Teams, tandis que la sous-catégorie Teams TCP Fallback utilise le protocole de couche de transport TCP. Comme le trafic multimédia est fortement sensible à la latence, vous pouvez préférer ce trafic pour emprunter le chemin le plus direct possible et utiliser UDP au lieu de TCP comme protocole de couche de transport (transport le plus préféré pour les médias interactifs en temps réel en termes de qualité). Bien que UDP soit un protocole privilégié pour le trafic multimédia Teams, certains ports doivent être autorisés dans le pare-feu. Si les ports ne sont pas autorisés, le trafic Teams utilise TCP comme solution de secours, et l’activation de l’optimisation pour Teams TCP Fallback garantit une meilleure livraison de l’application Teams dans ce scénario. Pour plus d’informations, consultez Flux d’appels Microsoft Teams.

  • Par défaut : ces points de terminaison fournissent des services Office 365 qui ne nécessitent aucune optimisation et peuvent être traités comme du trafic Internet normal. Certains de ces points de terminaison peuvent ne pas être hébergés dans les centres de données Microsoft. Le trafic de cette catégorie n’est pas sensible aux variations de latence. Par conséquent, la rupture directe de ce type de trafic ne provoque aucune amélioration des performances par rapport à la panne Internet. En outre, le trafic dans cette catégorie peut ne pas toujours être du trafic Office 365, il est donc recommandé de désactiver cette option lors de l’activation de la répartition Office 365 dans votre réseau.

    REMARQUE

    Par défaut, les options de la catégorie Par défaut et des sous-catégories Optimiser et Autoriser sont désactivées. Vous ne pouvez pas supprimer ces paramètres, mais vous pouvez les activer si nécessaire.

  • Activer le service de balises  : Citrix SD-WAN vous permet d’effectuer une analyse des balises et de déterminer la latence nécessaire pour atteindre les points de terminaison Office 365 via chaque liaison WAN. Les services Office 365 Beacon sont activés par défaut. Vous pouvez le désactiver en désactivant cette option. Pour plus d’informations, consultez le service Office 365 Beacon.

  • Activer la sélection intelligente du chemin O365 - Citrix SD-WAN vous permet de choisir la meilleure liaison WAN disponible pour gérer le trafic Office 365. Par exemple, s’il existe deux liaisons WAN configurées pour un service Internet, parmi lesquelles une liaison WAN a une latence plus élevée et l’autre une latence plus faible, l’activation de la sélection intelligente du chemin sélectionnerait la liaison WAN avec la latence la plus faible fournie, les sondes de la liaison WAN ne présentant pas de perte.

    Vous pouvez consulter les détails concernant les liaisons WAN présentant la latence la plus faible et l’ensemble des décisions prises sur O365 Metrics.

Remarque

Si les sondes présentent des pertes, Citrix SD-WAN utilise la logique d’équilibrage de charge Internet par défaut pour sélectionner la meilleure liaison WAN, bien que la sélection intelligente du chemin soit activée.

Transparent Transparent pour Office 365

La branche se décompose pour Office 365 commence par une requête DNS. La requête DNS passant par les domaines Office 365 doit être orientée localement. Si la panne Internet Office 365 est activée, les routes DNS internes sont déterminées et la liste transparente des redirecteurs est renseignée automatiquement. Les demandes DNS Office 365 sont transférées au service DNS open source Quad 9 par défaut. Le service DNS Quad 9 est sécurisé, évolutif et a une présence multi-pop. Vous pouvez modifier le service DNS si nécessaire.

Des redirecteurs transparents pour les applications Office 365 sont créés dans toutes les succursales où le service Internet et le service Office 365 sont activés.

Si vous utilisez un autre proxy DNS ou si le SD-WAN est configuré en tant que proxy DNS, la liste des redirecteurs est automatiquement remplie avec des redirecteurs pour les applications Office 365.

Considérations importantes pour la mise à niveau

Optimiser et autoriser les catégories

Si vous avez activé la stratégie de répartition Internet pour les catégories Optimiser et Autoriser Office 365, Citrix SD-WAN active automatiquement la stratégie de déclassement Internet pour les sous-catégories correspondantes lors de la mise à niveau vers Citrix SD-WAN 11.4.0.

Lorsque vous rétrogradez vers une version logicielle antérieure à Citrix SD-WAN 11.4.0, vous devez activer manuellement la répartition Internet pour la catégorie Optimiser ou Autoriser Office 365, que vous ayez activé les sous-catégories correspondantes dans la version 11.4.0 de Citrix SD-WAN ou pas.

Objets d’application Office 365

Si vous avez créé des règles/routes à l’aide des objets d’application générés automatiquement O365Optimize_InternetBreakoutet O365allow_InternetBreakout, assurez-vous de supprimer les règles/routes avant la mise à niveau vers Citrix SD-WAN 11.4.0. Après la mise à niveau, vous pouvez créer des règles/itinéraires à l’aide des nouveaux objets d’application correspondants.

Si vous procédez à la mise à niveau Citrix SD-WAN 11.4.0 sans supprimer les règles/itinéraires, une erreur s’affiche et, par conséquent, la mise à niveau échoue. Dans l’exemple ci-dessous, un utilisateur a configuré un profil Application QoE et voit une erreur lors de la tentative de mise à niveau vers Citrix SD-WAN 11.4.0 sans supprimer les règles/routes :

Exemple d'erreur pendant la mise à niveau

Remarque

Cette mise à niveau n’est pas requise pour les règles/itinéraires créés automatiquement. Elle s’applique uniquement aux règles/itinéraires que vous avez créés.

DNS

Si vous avez créé des règles de proxy DNS ou des règles de transfert transparent DNS à l’aide des applications Office 365 Optimisation et Office 365 Autoriser, assurez-vous de supprimer les règles avant de procéder à la mise à niveau vers Citrix SD-WAN 11.4.0. Après la mise à niveau, vous pouvez à nouveau créer les règles en utilisant les nouvelles applications correspondantes.

Si vous procédez à la mise à niveau Citrix SD-WAN 11.4.0 sans supprimer les anciennes règles de proxy DNS ou de redirecteur transparent, vous ne voyez aucune erreur et la mise à niveau réussit également. Toutefois, les règles de proxy DNS et les règles de transfert transparentes ne prennent pas effet dans Citrix SD-WAN 11.4.0.

Remarque

Cette activité ne s’applique pas aux règles DNS créées automatiquement. Elle s’applique uniquement aux règles DNS que vous avez créées.

Limitations

  • Si la stratégie de répartition Office 365 est configurée, l’inspection approfondie des paquets n’est pas effectuée sur les connexions destinées à la catégorie configurée d’adresses IP.
  • La stratégie de pare-feu créée automatiquement et les routes d’application ne sont pas modifiables.
  • La stratégie de pare-feu créée automatiquement a la priorité la plus faible et n’est pas modifiable.
  • Le coût de l’itinéraire pour l’itinéraire d’application créé automatiquement est de cinq. Vous pouvez le remplacer par un itinéraire à moindre coût.

Service de balises Office 365

Microsoft fournit le service de balise Office 365 pour mesurer l’accessibilité d’Office 365 via les liens WAN. Le service de balise est essentiellement une URL - sdwan.measure.office.com/apc/trans.gif, qui est analysée à intervalles réguliers. Le sondage est effectué sur chaque appliance pour chaque liaison WAN activée par Internet. Avec chaque sonde, une requête HTTP est envoyée au service de balises et une réponse HTTP est attendue. La réponse HTTP confirme la disponibilité et la disponibilité du service Office 365.

Citrix SD-WAN vous permet non seulement d’effectuer un sondage de balises, mais également de déterminer la latence nécessaire pour atteindre les points de terminaison Office 365 via chaque liaison WAN. La latence est le temps aller-retour nécessaire pour envoyer une demande et obtenir une réponse du service de balises Office 365 via une liaison WAN. Cela permet aux administrateurs réseau d’afficher le rapport de latence du service de balises et de choisir manuellement le meilleur lien Internet pour la distribution directe d’Office 365. Le sondage de balise est activé uniquement via Citrix SD-WAN Orchestrator. Par défaut, le sondage de balise est activé sur toutes les liaisons WAN activées par Internet lorsque la sortie d’Office 365 est activée via Citrix SD-WAN Orchestrator.

Remarque

L’exploration de balises Office 365 n’est pas activée sur les liens mesurés.

Pour désactiver le service de balise Office 365, dans SD-WAN Orchestrator, au niveau du réseau, accédez à Configuration > Routage > Stratégies de routage > Paramètres d’optimisation réseau O365 et désactivez Activer le service Beacon.

Activer le service de balises

Pour afficher les rapports de disponibilité et de latence de sondage des indicateurs, dans Citrix SD-WAN Orchestrator, au niveau du réseau, accédez à Rapports > Metrics O365.

Rapport de service de balises de niveau réseau

Pour afficher un rapport détaillé au niveau du site sur le service de balise, dans SD-WAN Orchestrator, accédez au niveau du site à Rapports > Metrics O365.

Rapport de service de balises au niveau du site

Optimisation d’Office 365