Office 365 优化
Office 365 优化 功能遵循 微软 Office 365 网络连接原则,以优化 Office 365。Office 365 通过位于全球的多个服务终端节点(前门)作为服务提供。
为了获得 Office 365 流量的最佳用户体验,Microsoft 建议将 Office365 流量从分支机构环境直接重定向到Internet 。避免回传到中央代理等做法。Outlook、Word 等 Office 365 流量对延迟敏感,回传流量会导致延迟更长,从而导致用户体验差。Citrix SD-WAN 允许您配置策略以将 Office 365 流量分解到 Internet。
Office 365 流量被定向到最近的 Office 365 服务终端节点,该终端节点位于全球微软 Office 365 基础结构的边缘。一旦流量到达前门,它就会通过 Microsoft 网络到达实际目的地。随着从客户网络到 Office 365 终端节点的往返时间缩短,它可以最大限度地减少延迟。
Office 365 优化的工作原理
Microsoft 终端节点签名每天最多更新一次。设备上的代理每天轮询 Citrix 服务(SDWAN 应用程序路程 .citrixnetworkapi.net),以获取最新的一组终点签名。SD-WAN 设备每天在设备打开时轮询 Citrix 服务(sdwan-app-路由.citrixnetworkapi.net)。
如果有可用的新签名,设备会下载该签名并将其存储在数据库中。签名本质上是用于检测 Office 365 流量的 URL 和 IP 列表,可根据这些 URL 和 IP 配置流量指导策略。
注意:
除了 Office 365 默认类别之外,无论 Office 365 分组分组功能是否启用,默认情况下都会执行 Office 365 流量的第一个数据包检测和分类。
当 Office 365 应用程序的请求到达时,应用程序分类器将执行第一个数据包分类器数据库查找、识别和标记 Office 365 流量。对 Office 365 流量进行分类后,自动创建的应用程序路由和防火墙策略将生效,并将流量直接分解到 Internet。Office 365 DNS 请求将转发到特定的 DNS 服务,如 Quad9。
签名是从云服务(SDWAN 应用程序程序 .Citrixnetworkapi.net)下载的。
配置 Office 365 分组
Office 365 分组策略允许您指定可以直接从分支中分出的 Office 365 流量的类别。启用 Office 365 分组并编译配置后,将自动创建 DNS 对象、应用程序对象、应用程序路由和防火墙策略模板,并将其应用于具有 Internet 服务的分支站点。
必备条件
请确保您具有以下对象:
-
要执行 Office 365 分组讨论,必须在设备上配置互联网服务。
-
确保管理界面具有互联网连接。
-
确保已配置管理 DNS。
在 Citrix SD-WAN Orchestrator 服务中,默认情况下,每个网络在 应用程序组下都有 Office 365 规则。要导航,请转到网络配置 > 路由 > 路由策略 > 应用程序路由。
您无法删除规则,但可以根据需要配置设置。
单击 Office 365 规则查看默认设置 匹配类型、应用程序组、交付服务 等。您无法修改这些默认设置。
Office 365 终结点是一组网络地址和子网。从 Citrix SD-WAN 11.4.0 开始,Office 365 终端节点分为 优化、 允许和 默认 类别。Citrix SD-WAN 对优化和允许类别进行了更精细的分类,使选择性预订可以提高对网络敏感的 Office 365 流量的性能。将网络敏感流量定向到云中的 SD-WAN(Cloud Direct 或 Azure 上的 SD-WAN VPX),或者从家中 SD-WAN 设备到附近位置的具有更可靠Internet 连接的 SD-WAN,与简单地将流量引导至最近的位置相比,可实现 QoS 和卓越的连接恢复能力Office 365 前门,代价是延迟的增加。具有 QoS 的预定 SD-WAN 解决方案可减少 VoIP 丢失和断开连接,减少抖动,并提高 Microsoft Teams 的媒体质量平均意见得分。终端分为以下三类:
-
优化 -这些终端节点提供与每个 Office 365 服务和功能的连接,并对可用性、性能和延迟敏感。它代表了 Office 365 带宽、连接和数据量的 75% 以上。所有优化终结点都托管在 Microsoft 数据中心中。对这些终端节点的服务请求必须从分支机构向 Internet 突破,且不得通过数据中心进行。
“优化”类别分为以下子类别:
- Microsoft Teams 实时
- Exchange Online
- SharePoint 优化
-
允许 -这些终端节点仅提供与特定 Office 365 服务和功能的连接,对网络性能和延迟不太敏感。Office 365 带宽和连接计数的表示也较低。这些端点托管在 Microsoft 数据中心中。向这些终端节点发出的服务请求可能是从分支机构向 Internet 的突破,也可能是通过数据中心进行的。
允许 类别分为以下子类别:
- 团队 TCP 后备
- 交换邮件
- SharePoint 允许
- O365 常用
注意
Teams Realtime 子类别使用 UDP 实时传输协议来管理 Microsoft Teams 的流量,而 Teams TCP Fallback 子类别使用 TCP 传输层协议。由于媒体流量对延迟敏感性很高,因此您可能希望此流量尽可能采取最直接的路径,并使用 UDP 而不是 TCP 作为传输层协议(就质量而言,交互式实时媒体的最首选传输)。尽管 UDP 是 Teams 媒体流量的首选协议,但它要求在防火墙中允许某些端口。如果不允许使用端口,Teams 流量将使用 TCP 作为回退,并且为 Teams TCP 回退启用优化可确保在这种情况下更好地交付 Teams 应用程序。有关详细信息,请参阅 Microsoft Teams 呼叫流程。
-
默认值 -这些终端节点提供不需要任何优化的 Office 365 服务,并且可以被视为正常的 Internet 流量。其中一些终端节点可能不会托管在 Microsoft 数据中心中。此类别中的流量不容易受到延迟变化的影响。因此,与 Internet 突破相比,直接脱离这种类型的流量不会导致任何性能改进。此外,此类别中的流量可能并不总是 Office 365 流量,因此建议在网络中启用 Office 365 突破时禁用此选项。
注意
默认情况下,“默认” 类别和 “优化” 和 “允许” 子类别的选项处于禁用状态。您无法删除这些设置,但可以根据需要启用。
-
启用信标服务 -Citrix SD-WAN 允许您执行信标探测并确定通过每个 WAN 链接到达 Office 365 端点的延迟。默认情况下,Office 365 信标服务处于启用状态。你可以通过清除此选项来禁用它。有关更多信息,请参阅 Office 365 信标服务。
-
启用 O365 智能路径选择 ——Citrix SD-WAN 允许你选择最佳的可用广域网链接来管理 Office 365 流量。例如,如果为 Internet 服务配置了 2 个 WAN 链接,其中一个 WAN 链路的延迟较高,另一个 WAN 链路的延迟较低,则启用智能路径选择将选择所提供延迟最低的 WAN 链接,则来自 WAN 链路的探测器不会丢失。
您可以查看有关延迟最低的 WAN 链接的详细信息以及在 O365 指标中做出的总体决策。
注意
如果探测器有损,Citrix SD-WAN 会使用默认的 Internet 负载平衡逻辑来选择最佳 WAN 链接,尽管已启用智能路径选择。
适用于 Office 365 的透明转发器
分支打破了 Office 365 开始的 DNS 请求。通过 Office 365 域的 DNS 请求必须在本地引导。如果启用 Office 365 Internet 中断,则确定内部 DNS 路由,并自动填充透明转发器列表。默认情况下,Office 365 DNS 请求转发到开源 DNS 服务四 9。四 9 DNS 服务是安全的,可扩展的,并具有多弹出的存在。如有必要,您可以更改 DNS 服务。
每个启用了Internet 服务和 Office 365 分组讨论的分支机构都会创建 Office 365 应用程序的透明转发器。
如果您正在使用其他 DNS 代理,或者如果 SD-WAN 配置为 DNS 代理,则将自动填充转发器列表的 Office 365 应用程序的转发器。
升级的重要注意事项
优化和允许类别
如果您已为 优化 和 允许 Office 365 类别启用了Internet 分组策略,Citrix SD-WAN 会在 升级到 Citrix SD-WAN 11.4.0 时自动为相应子类别启用 Internet 突破策略。
降级到 Citrix SD-WAN 11.4.0 之前的软件版本时,无论是在 Citrix SD-WAN 11.4.0 版本中启用对应的子类别,都必须为优化或允许 Office 365 类别手动启用 Internet 突破。
Office 365 应用程序对象
如果您已使用 O365Optimize_InternetBreakout 和 O365Allow_InternetBreakout 自动生成的应用程序对象创建了规则/路由,请确保在升级到 Citrix SD-WAN 11.4.0 之前删除规则/路由。升级后,您可以使用相应的新应用程序对象创建规则/路由。
如果在不删除规则/路由的情况下继续 Citrix SD-WAN 11.4.0 升级,则会看到错误,因此升级失败。在以下示例中,用户配置了应用程序 QoE 配置文件,并在尝试在不删除规则/路由的情况下升级到 Citrix SD-WAN 11.4.0 时看到错误:
注意:
自动创建的规则/路由不需要此升级。它仅适用于您创建的规则/路由。
DNS
如果您已使用 Office 365 优化和 Office 365允许 应用程序创建了 DNS 代理规则或 DNS 透明转发器规则,请确保在升级到 Citrix SD-WAN 11.4.0 之前删除规则。升级后,您可以使用相应的新应用程序再次创建规则。
如果在不删除旧的 DNS 代理或透明转发器规则的情况下继续 Citrix SD-WAN 11.4.0 升级,则不会看到任何错误,升级也会成功。但是,DNS 代理规则和透明转发规则在 Citrix SD-WAN 11.4.0 中不生效。
注意:
本活动不适用于自动创建的 DNS 规则。它仅适用于您创建的 DNS 规则。
限制
- 如果配置了 Office 365 分组策略,则不会对指向已配置的 IP 地址类别的连接执行深度数据包检查。
- 自动创建的防火墙策略和应用程序路由不可编辑。
- 自动创建的防火墙策略的优先级最低且不可编辑。
- 自动创建的应用程序路由的路由成本为 5。您可以使用较低的成本路径覆盖它。
办公室 365 信标服务
微软提供 Office 365 信标服务来衡量 Office 365 通过 WAN 链接的可达性。信标服务基本上是一个 URL-SDWAN.测量.办公室/apC/转接.gif,它会定期进行探测。每台设备都会对每个启用Internet 的 WAN 链路进行探测。对于每个探测器,HTTP 请求都会发送到信标服务,并且需要 HTTP 响应。HTTP 响应确认了 Office 365 服务的可用性和可访问性。
Citrix SD-WAN 不仅允许您执行信标探测,还可以确定通过每个 WAN 链接到达 Office 365 终端节点的延迟。延迟是通过 WAN 链路发送请求并从 Office 365 信标服务获取响应所花费的往返时间。这使网络管理员能够查看信标服务延迟报告,并手动选择最适合直接 Office 365 分组讨论的Internet 链接。信标探测只能通过 Citrix SD-WAN Orchestrator 启用。默认情况下,当通过 Citrix SD-WAN Orchestrator 启用 Office 365 突破时,信标探测将在所有启用 Internet 的 WAN 链接上启用。
注意
在按流量计量的链接上未启用 Office 365 信标探测。
要禁用 Office 365 信标服务,请在 SD-WAN Orchestrator 中,在网络级别导航到 配置 > 路由 > 路由策略>O365 网络优化设置,然后清除启用信标服务。
要查看信标探测可用性和延迟报告,请在 Citrix SD-WAN Orchestrator 中,在网络级别导航到 报告 > O365 指标。
要查看信标服务的详细站点级报告,请在 SD-WAN Orchestrator 中,在站点级导航到 报告 > O365 指标。
