Citrix SD-WAN

Office 365 优化

Office 365 优化 功能遵循 微软 Office 365 网络连接原则,以优化 Office 365。Office 365 通过位于全球的多个服务终端节点(前门)作为服务提供。为了获得 Office 365 流量的最佳用户体验,Microsoft 建议将 Office365 流量从分支机构环境直接重定向到互联网。避免回传到中央代理等做法。Outlook、Word 等 Office 365 流量对延迟敏感,回传流量会导致延迟更长,从而导致用户体验差。Citrix SD-WAN 允许您配置策略以将 Office 365 流量分解到 Internet。

Office 365 流量被定向到最近的 Office 365 服务终端节点,该终端节点位于全球微软 Office 365 基础结构的边缘。一旦流量到达前门,它就会通过微软的网络到达实际目的地。随着从客户网络到 Office 365 终端节点的往返时间缩短,它可以最大限度地减少延迟。

Office 365 端点

Office 365 终结点是一组网络地址和子网。终端分为以下三类:

  • 优化 -这些终端节点提供与每个 Office 365 服务和功能的连接,并对可用性、性能和延迟敏感。它代表了 Office 365 带宽、连接和数据量的 75% 以上。所有优化终结点都托管在 Microsoft 数据中心中。对这些端点的服务请求必须从分支机构分离到 Internet,并且不得通过数据中心。

  • 允许 -这些终端节点仅提供与特定 Office 365 服务和功能的连接,对网络性能和延迟不太敏感。Office 365 带宽和连接计数的表示也较低。这些端点托管在 Microsoft 数据中心中。对这些端点的服务请求可能会从分支机构分解到 Internet,或者可能会经过数据中心。

  • 默认值 -这些终端节点提供不需要任何优化的 Office 365 服务,并且可以被视为正常的 Internet 流量。其中一些终端节点可能不会托管在 Microsoft 数据中心中。此类别中的流量不容易受到延迟变化的影响。因此,与 Internet 突破相比,直接脱离这种类型的流量不会导致任何性能改进。此外,此类别中的流量可能并不总是 Office 365 流量。因此,建议在网络中启用 Office 365 突破时禁用此选项。

Office 365 优化的工作原理

Microsoft 终端节点签名每天最多更新一次。设备上的代理每天轮询 Citrix 服务(SDWAN 应用程序路程 .citrixnetworkapi.net),以获取最新的一组终点签名。SD-WAN 设备每天在设备打开时轮询 Citrix 服务(sdwan-app-路由.citrixnetworkapi.net)。如果有可用的新签名,设备会下载该签名并将其存储在数据库中。签名本质上是用于检测 Office 365 流量的 URL 和 IP 列表,可根据这些 URL 和 IP 配置流量指导策略。

注意:

无论 Office 365 分组分组功能是否启用,默认情况下都会执行 Office 365 流量的首次数据包检测和分类。

当 Office 365 应用程序的请求到达时,应用程序分类器将执行第一个数据包分类器数据库查找、识别和标记 Office 365 流量。对 Office 365 流量进行分类后,自动创建的应用程序路由和防火墙策略将生效,并将流量直接分解到 Internet。Office 365 DNS 请求将转发到特定的 DNS 服务,如 Quad9。有关详细信息,请参阅 域名系统

O365-working

签名是从云服务(SDWAN 应用程序程序 .Citrixnetworkapi.net)下载的。

配置 Office 365 分组

Office 365 分组策略允许您指定可以直接从分支中分出的 Office 365 流量的类别。启用 Office 365 分组并编译配置后,将自动创建 DNS 对象、应用程序对象、应用程序路由和防火墙策略模板,并将其应用于具有 Internet 服务的分支站点。

必备条件

请确保您具有以下对象:

  1. 要执行 Office 365 分组讨论,必须在设备上配置互联网服务。有关配置互联网服务的详细信息,请参阅 互联网访问

  2. 确保管理界面具有互联网连接。

    可以使用 Citrix SD-WAN Web 界面配置管理界面设置。

  3. 确保已配置管理 DNS。要配置管理界面 DNS,请导航到 配置 > 设备设置 > 网络适配器。在 DNS 设置 部分下,提供主 DNS 和辅助 DNS 服务器详细信息,然后单击 更改设置

    DNS 设置

Office 365 分组讨论策略 设置在全局设置下可用。选择互联网分组讨论所需的 Office 365 类别,然后单击 应用

启用 O365

配置 Office 365 打破策略设置并编译配置后。以下设置将自动填充。

  • DNS 对象 -DNS 对象指定要转发到用户配置的 DNS 服务的流量类型。在所有受信任的接口上都会听到 DNS 请求,并且 DNS 转发器将 Office 365 DNS 请求引导到 Quad9 服务。此转发器规则采用最高优先级。有关详细信息,请参阅 域名服务 部分。

  • 应用程序对象 -创建用户选择的 Office 365 类别的应用程序对象。如果您选择了优化、允许和默认类别,则创建应用程序对象 O365Optimize_InternetBreakout, O365Allow_InternetBreakoutO365Default_InternetBreakout

    应用程序对象

  • 应用程序路由:为具有 Internet 服务类型的 Office 365 应用程序对象创建应用程序路由。 应用程序路由

  • 防火墙预设备策略模板:为每个配置的 Office 365 类别创建全局预设策略模板。此模板应用于具有 Internet 服务的所有分支站点。设备前策略优先于本地策略和后置设备策略模板。

    防火墙应用策略模板

适用于 Office 365 的透明转发器

分支打破了 Office 365 开始的 DNS 请求。通过 Office 365 域的 DNS 请求必须在本地引导。如果启用 Office 365 Internet 中断,则确定内部 DNS 路由,并自动填充透明转发器列表。默认情况下,Office 365 DNS 请求转发到开源 DNS 服务四 9。四 9 DNS 服务是安全的,可扩展的,并具有多弹出的存在。如有必要,您可以更改 DNS 服务。

每个启用了互联网服务和 Office 365 分组讨论的分支机构都会创建 Office 365 应用程序的透明转发器。

如果您正在使用其他 DNS 代理,或者如果 SD-WAN 配置为 DNS 代理,则将自动填充转发器列表的 Office 365 应用程序的转发器。

透明转发器

监视

您可以在以下 SD-WAN 统计报告中监视 Office 365 应用程序统计信息:

  • 防火墙统计信息

    防火墙统计信息

  • 流

  • DNS 统计

    DNS 统计

  • 应用程序路径统计信息

    应用程序路由统计信息

您还可以在 SD-WAN 中心应用程序报告中查看 Office 365 应用程序统计信息。

应用程序报告

故障排除

您可以在 SD-WAN 设备的 “ 事件 ” 部分查看服务错误。

要检查错误,请导航到 配置 > 系统维护 > 诊断,单击 事件选项卡。

事件

如果连接到 Citrix 服务(sdwan-app-路由.citrixnetworkapi.net)时出现问题,则错误消息将反映在 “ 查看事件 ” 表中。

查看事件

连接错误也会记录到 SDWAN_dpi.log中。要查看日志,请导航到 配置 > 装置设置 > 日志记录/监控 > 日志选项。从下拉列表中选择 SDWAN_dpi.log ,然后单击查看 日志

您也可以下载日志文件。要下载日志文件,请从 下载日志文件 部分 下的下拉列表中选择所需的日志文件 ,然后单击 下载日志

下载日志

限制

  • 如果配置了 Office 365 分组策略,则不会对指向已配置的 IP 地址类别的连接执行深度数据包检查。
  • 自动创建的防火墙策略和应用程序路由不可编辑。
  • 自动创建的防火墙策略的优先级最低且不可编辑。
  • 自动创建的应用程序路由的路由成本为 5。您可以使用较低的成本路径覆盖它。

办公室 365 信标服务

微软提供 Office 365 信标服务来衡量 Office 365 通过 WAN 链接的可达性。信标服务基本上是一个 URL-SDWAN.测量.办公室/apC/转接.gif,它会定期进行探测。每台设备都会对每个启用互联网的 WAN 链路进行探测。对于每个探测器,HTTP 请求都会发送到信标服务,并且需要 HTTP 响应。HTTP 响应确认了 Office 365 服务的可用性和可访问性。

Citrix SD-WAN 不仅允许您执行信标探测,还可以确定通过每个 WAN 链接到达 Office 365 终端节点的延迟。延迟是通过 WAN 链路发送请求并从 Office 365 信标服务获取响应所花费的往返时间。这使网络管理员能够查看信标服务延迟报告,并手动选择最适合直接 Office 365 分组讨论的互联网链接。信标探测只能通过 Citrix SD-WAN Orchestrator 启用。默认情况下,当通过 Citrix SD-WAN Orchestrator 启用 Office 365 突破时,信标探测将在所有启用 Internet 的 WAN 链接上启用。

注意

未在按流量计费的链接上启用 Office 365 信标探测。

您可以选择禁用 Office 365 信标探测和查看 SD-WAN Orchestrator 上的延迟报告。有关详细信息,请参阅 Office 365 优化

要禁用 Office 365 信标服务,请在 SD-WAN Orchestrator 中,在网络级别导航到 配置 > 路由 > 路由策略>O365 网络优化设置,然后清除启用信标服务

启用信标服务

要查看信标探测可用性和延迟报告,请在 Citrix SD-WAN Orchestrator 中,在网络级别导航到 报告 > O365 指标

网络级别信标服务报告

要查看信标服务的详细站点级报告,请在 SD-WAN Orchestrator 中,在站点级导航到 报告 > O365 指标

站点级别信标服务报告

Office 365 优化