Управление на ExpressRoute за свързване с Office 365

ExpressRoute за Office 365 предлага алтернативен път за маршрутизиране, за да стигнете до много от услугите на Office 365, без да се налага целият трафик да минава през интернет. Въпреки че интернет връзката към Office 365 е все още необходима, определени маршрути, които Microsoft рекламира през BGP във вашата мрежа, правят директния път през веригата на ExpressRoute предпочитан, освен когато има други конфигурации във вашата мрежа. Трите общи области, които можете да конфигурирате, за да управлявате това маршрутизиране, включват филтриране на префикс, защита и съответствие.

Забележка: Microsoft промени начина на преглеждане на маршрутизиращия домейн за равноправно свързване на Microsoft за Azure ExpressRoute. От 31 юли 2017 г. всички клиенти на Azure ExpressRoute могат да разрешават равноправното свързване на Microsoft директно от конзолата за администриране на Azure или чрез PowerShell. След активиране на равноправното свързване на Microsoft всеки клиент може да създава филтри за маршрутизиране, за да получава реклами за маршрути от BGP за приложенията за ангажираност към клиентите на Dynamics 365 (известен преди като CRM Online). Клиентите, които се нуждаят от Azure ExpressRoute за Office 365, трябва да преминат преглед от Microsoft, преди да могат да създават филтри за маршрутизиране за Office 365. Свържете се с екипа за акаунти в Microsoft, за да научите как да поискате преглед за разрешаване на ExpressRoute за Office 365. Неупълномощените абонаменти, които се опитват да създават филтри за маршрутизиране за Office 365, ще получават съобщение за грешка.

Филтриране на префикс

Microsoft препоръчва клиентите да приемат всички BGP маршрути, както се рекламират от Microsoft, като предоставените маршрути преминават през подробен преглед и процес на проверка, което премахва всички предимства за допълнителен контрол. ExpressRoute по начало предлага препоръчителни контроли, например собственост на IP префикс, цялост и мащабиране – няма филтриране на входящ маршрут на страната на клиента.

Ако имате нужда от допълнителна проверка на собствеността на маршрута през публичния пиъринг на ExpressRoute, можете да проверите рекламираните маршрути по отношение на списъка с всички IPv4 и IPv6 IP префикси, които представляват публичните диапазони от IP адреси на Microsoft. Тези диапазони покриват цялото адресно пространство на Microsoft и рядко се променят, като предоставят надежден набор от диапазони за филтриране, което също така предоставя допълнителна защита за клиентите, които са загрижени за маршрутите, влизащи в тяхната среда, които не са собственост на Microsoft. В случай че има промяна, тя ще се прави на 1-во число всеки месец и номерът на версията в секцията с подробни данни на страницата ще се променя всеки път, когато файлът се актуализира.

Има редица причини да избягвате използването на Диапазони от URL и IP адреси за Office 365 за генериране на списъците за филтриране на префикс. Включително следните:

  • IP префиксите на Office 365 претърпяват много промени на чести интервали.

  • Диапазоните от URL и IP адреси на Office 365 са предназначени за управление на списъците за пропускане през защитната стена и инфраструктурата на прокси сървъра, а не за маршрутизиране.

  • Диапазоните от URL и IP адреси на Office 365 не засягат други услуги на Microsoft, които може да са в обхвата за вашите връзки на ExpressRoute.

Опция

Сложност

Контрола за промяна

Приемане на всички маршрути на Microsoft

Ниска: Клиентът разчита на контролите на Microsoft, за да се гарантира, че всички маршрути са с правилно притежание.

Няма

Филтриране на супермрежи, които са собственост на Microsoft

Средна: Клиентът реализира обобщени списъци за филтриране на префикс, за да позволи само маршрути, собственост на Microsoft.

Потребителите трябва да гарантират, че редките актуализации се отразяват във филтрите за маршрутизиране.

Филтриране на диапазони от IP адреси на Office 365

Предупреждение: Не се препоръчва

Висока: Клиентът филтрира маршрутите въз основа на определени IP префикси на Office 365.

Потребителите трябва да реализират стабилен процес на управление на промените за месечните актуализации.

Внимание: Това решение изисква значителни непрекъснати промени. Промени, които не се реализират навреме, вероятно ще доведат до прекъсване на услугата.

Свързването към Office 365 с използване на Azure ExpressRoute се базира на BGP реклами от конкретни IP подмрежи, които представляват мрежите, в които са разположени крайните точки за Office 365. Поради глобалното естество на Office 365 и броя услуги, които съставляват Office 365, клиентите често трябва да управляват рекламите, които приемат в своята мрежа. Ако сте загрижени за многото префикси, рекламирани във вашата среда, функцията BGP общност ви позволява да филтрирате рекламите за определен набор от услуги на Office 365. Тази функция в момента е в предварителен преглед.

Независимо от начина, по който управлявате рекламите на BGP маршрутизиране, идващи от Microsoft, няма да получите никакъв специален риск за услугите на Office 365 в сравнение със свързването към Office 365 само през интернет верига. Microsoft поддържа едни и същи нива на защита, съответствие и производителност, независимо от типа на верига, който клиентът използва, за да се свърже с Office 365.

Защита

Microsoft препоръчва, да запазите своите собствени контроли на мрежа и периметър на защита за връзки, влизащи във и излизащи от публичен пиъринг на ExpressRoute и пиъринг на Microsoft, който включва връзки към и от услуги на Office 365. Трябва да се въведат контроли за защита за мрежови заявки, които излизат от вашата мрежа към мрежата на Microsoft, както и които влизат от мрежата на Microsoft във вашата мрежа.

Изходящи от клиента към Microsoft

Когато компютрите се свържат с Office 365, се свързват към един и същ набор от крайни точки, независимо дали връзката се осъществява по интернет верига, или по верига на ExpressRoute. Независимо от използваната схема, Microsoft препоръчва да третирате услугите на Office 365 като по-надеждни от общите местоназначения в интернет. Вашите контроли за защита за изходящи връзки трябва да се фокусират върху портове и протоколи за намаляване на риска и минимизиране на текущата поддръжка. Необходимата информация за портове е дадена в статията за справка Крайни точки за Office 365.

За допълнителна контроли можете да използвате филтриране на ниво FQDN в рамките на вашата инфраструктура за прокси сървър, за да ограничите или инспектирате някои или всички мрежови заявки, които са предназначени за интернет или Office 365. Поддържането на списък от FQDN при издаването на функции и развитието на предложенията за Office 365 изисква по-стабилна промяна в управлението и проследяването на промените в публикуваните крайни точки за Office 365.

Предупреждение: Microsoft препоръчва да не разчитате само на IP префикси за управлението на изходящата защита към Office 365

Опция

Сложност

Контрола за промяна

Без ограничения

Ниска: Клиентът позволява неограничен изходящ достъп към Microsoft.

Няма

Ограничения за портове

Ниска: Клиентът ограничава изходящия достъп към Microsoft чрез очакваните портове.

Рядка.

Ограничения в FQDN

Висока: Клиент ограничава изходящия достъп до Office 365 въз основа на публикуваните FQDN.

Ежемесечни промени.

Входящи от Microsoft към клиента

Има няколко незадължителни сценария, които изискват Microsoft да инициира връзките към вашата мрежа.

Microsoft препоръчва да приемете тези връзки по вашата интернет верига, а не по вашата ExpressRoute верига, за да се намали сложността. Ако вашите нужди за съответствие или производителност диктуват, тези входящи връзки трябва да бъдат предпочетени пред ExpressRoute веригата, се препоръчва използването на защитна стена или обратен прокси сървър за ограничаване на приеманите връзки. Можете да използвате крайни точки за Office 365, за да прецените правилните FQDN и IP префикси.

Съответствие

Ние не разчитаме на пътя на маршрутизиране, който използвате за която и да било от нашите контроли за съответствие. Независимо дали се свързвате към услугите на Office 365 по ExpressRoute, или по интернет верига, нашите контроли за съответствие няма да се променят. Трябва да прегледате различните нива на сертифициране за съответствие и защита, за да прецени Office 365 кой е най-добрият избор за нуждите на вашата организация.

Ето една кратка връзка, която можете да използвате, за да се върнете: https://aka.ms/manageexpressroute365

Сродни теми

Мрежи за доставяне на съдържание
Диапазони на URL и IP адреси за Office 365
Управление на крайни точки на Office 365
Обучение за Azure ExpressRoute за Office 365

Разширете уменията си в Office
Преглед на обучението
Получавайте първи новите функции
Присъединете се към участниците в Office Insider

Беше ли полезна тази информация?

Благодарим ви за обратната връзка!

Благодарим ви за вашата обратна връзка. Изглежда, че ще бъде полезно да ви свържем с един от нашите агенти по поддръжката на Office.

×