Como implementar o ExpressRoute para o Office 365

Importante :  Este artigo foi traduzido por um sistema de tradução automática, leia o aviso de isenção de responsabilidade. Para sua referência, veja a versão em inglês deste artigo aqui.

O ExpressRoute para Office 365 fornece um caminho de roteamento alternativo para muitos serviços voltados para a Internet do Office 365. A arquitetura do ExpressRoute para Office 365 se baseia em prefixos IP públicos de publicidade de serviços do Office 365 que já estão acessíveis pela Internet em sua pasta Circuitos do ExpressRoute provisionados para redistribuição subsequente dos prefixos IP na rede. Com o ExpressRoute, você efetivamente habilita vários caminhos de roteamento diferentes, por meio da internet e do ExpressRoute, para muitos serviços do Office 365. Esse estado de roteamento na rede pode representar uma alteração significativa na forma como a topologia de rede interna é criada.

Status: Guia completo v2

Você deve planejar cuidadosamente a implementação do ExpressRoute para Office 365 para acomodar as complexidades de rede ao ter o roteamento disponível por meio de um circuito dedicado com rotas incluídas na rede principal e na Internet. Se você e sua equipe não executarem o planejamento detalhado e os testes neste guia, haverá um alto risco de ocorrer perda intermitente ou total de conectividade para os serviços do Office 365 quando o circuito do ExpressRoute for habilitado.

Para que uma implementação seja bem-sucedida, você precisará analisar os requisitos de infraestrutura, realizar uma avaliação e design de rede detalhados, planejar cuidadosamente a distribuição de maneira controlada e em estágios e criar um plano detalhado de teste e validação. Para um ambiente distribuído grande, não é incomum que as implementações abranjam vários meses. Este guia foi projetado para ajudá-lo a planejar com antecedência.

Implantações bem-sucedidas grandes podem exigir seis meses de planejamento e, geralmente, incluem membros da equipe de várias áreas da organização, incluindo rede, administradores de servidor Proxy e Firewall, administradores do Office 365, segurança, suporte ao usuário final, gerenciamento de projetos e patrocínio executivo. Seu investimento no processo de planejamento reduzirá a probabilidade de falhas de implantação que resultem em tempo de inatividade ou solução de problemas complexa e cara.

Esperamos que os seguintes pré-requisitos sejam concluídos antes que o guia de implementação seja iniciado.

  1. Você concluiu uma avaliação de rede para determinar se o ExpressRoute é recomendado e aprovado.

  2. Você selecionou um provedor de serviços de rede ExpressRoute. Obtenha detalhes sobre parceiros e locais de pares do ExpressRoute.

  3. Você já leu e compreender a rota expressa documentação e sua rede interna é capaz de atender a rota expressa pré-requisitos ponta a ponta.

  4. Sua equipe tem ler todas as diretrizes públicas e a documentação em https://aka.ms/expressrouteoffice365, https://aka.ms/erte observadas a série de Rota expressa do Azure para treinamento do Office 365 no canal 9 para obter uma compreensão de detalhes técnicos críticos incluindo:

    • As dependências de Internet de serviços SaaS.

    • Como evitar rotas assimétricas e lidar com roteamento complexo.

    • Como incorporar segurança de perímetro, a disponibilidade e os controles de nível de aplicativo.

Comece reunindo os requisitos

Comece determinando quais recursos e serviços você planeja adotar em sua organização. Você precisa determinar quais recursos dos diferentes serviços do Office 365 serão usados e quais locais na rede hospedarão as pessoas que usam esses recursos. Com o catálogo de cenários, você precisa adicionar os atributos de rede que cada um desses cenários exige, como fluxos de tráfego de rede de entrada e saída e se os pontos de extremidade do Office 365 estão disponíveis no ExpressRoute ou não.

Para coletar os requisitos da organização:

  • Catalogue o tráfego de rede de entrada e saída para os serviços do Office 365 que a organização está usando. Confira a página de intervalos de endereços IP e URLs do Office 365 para obter a descrição dos fluxos que diferentes cenários do Office 365 exigem.

  • Reúna a documentação da topologia de rede existente, mostrando detalhes de backbone de WAN interna e a topologia, a conectividade de sites de satélite, a conectividade ao usuário de última milha, o roteamento para pontos de saída de perímetro de rede e os serviços de proxy.

    • Nos diagramas de rede, identifique os pontos de extremidade de serviço de entrada aos quais o Office 365 e outros serviços da Microsoft se conectarão, mostrando caminhos da Internet e de conexão do ExpressRoute propostos.

    • Identifique todos os locais geográficos de usuário e a conectividade WAN entre locais, além de quais locais têm atualmente uma saída com a Internet e quais locais são propostos para ter uma saída em um local de emparelhamento do ExpressRoute.

    • Identifique todos os dispositivos de borda, como proxies, firewalls e assim por diante e catalogue suas relações com fluxos que vão para a Internet e o ExpressRoute.

    • Documente se os usuários finais acessarão os serviços do Office 365 por meio de roteamento direto ou proxy de aplicativo indireto para fluxos da Internet e do ExpressRoute.

  • Adicione o local do locatário e localizações ao diagrama de rede.

  • Estime as características esperadas e observadas de desempenho e latência de rede dos principais locais de usuários para o Office 365. Lembre-se de que o Office 365 é um conjunto global e de distribuição de serviços, e os usuários se conectarão a locais que podem ser diferentes do local de seu locatário. Por esse motivo, é recomendável medir e otimizar a latência entre o usuário e a borda mais próxima da rede global Microsoft em conexões do ExpressRoute e da Internet. Você pode utilizar suas descobertas da avaliação de rede para ajudar nessa tarefa.

  • Liste os requisitos de alta disponibilidade e segurança de rede da empresa que precisam ser atendidos com a nova conexão do ExpressRoute. Por exemplo, como os usuários continuarão a obter acesso ao Office 365 no caso de saída de Internet ou falha de circuito do ExpressRoute.

  • Documento quais Office 365 de rede de entrada e saída flui usará o caminho da Internet e que usará rota expressa. As especificações de detalhes de sua topologia de rede local e locais geográficos seus usuários podem exigir o plano para ser diferente do local de um usuário para outro.

Para minimizar o roteamento e outras complexidades de rede, recomendamos que você só use rota expressa para Office 365 para os fluxos de tráfego de rede que são necessárias para ir ao longo de uma conexão dedicada devido a requisitos regulatórios ou como resultado da avaliação de rede. Além disso, é recomendável que você do estágio o escopo dos fluxos de tráfego de rede de entrada e saída de roteamento e abordagem de rota expressa como estágios diferentes e distintos do projeto de implementação. Implante rota expressa para Office 365 para fluxos de tráfego de rede de saída do usuário apenas iniciado e deixar que os fluxos de tráfego de rede de entrada através da Internet podem ajudar a controlar o aumento em complexidade topológica e riscos de apresentando possibilidades de roteamento assimétricas adicionais.

Seu catálogo de tráfego de rede deve conter listagens de todas as conexões de rede de entrada e saída que você terá entre sua rede local e a Microsoft.

  • Os fluxos de tráfego de rede de saída são qualquer cenário em que uma conexão é iniciada do ambiente local, como clientes internos ou servidores, tendo como destino os serviços da Microsoft. Essas conexões podem ser diretas ao Office 365 ou indiretas, como quando a conexão percorre os servidores proxy, firewalls ou outros dispositivos de rede no caminho para o Office 365.

  • Os fluxos de tráfego de rede de entrada são qualquer cenário em que uma conexão é iniciada da nuvem da Microsoft para um host local. Essas conexões normalmente precisam passar pelo firewall e outra infraestrutura de segurança que a política de segurança do cliente requer para fluxos originados externamente.

Leia a seção Garantir a simetria de rota do artigo Roteamento com o ExpressRoute para Office 365 para determinar quais serviços enviarão tráfego de entrada e procure na coluna marcada como ExpressRoute para Office 365 no artigo de referência Pontos de extremidade do Office 365 para determinar o restante das informações de conectividade.

Para cada serviço que requer uma conexão de saída, convém descrever a conectividade planejada para o serviço, incluindo roteamento de rede, configuração de proxy, inspeção de pacotes e necessidades de largura de banda.

Para cada serviço que requer uma conexão de entrada, você precisará de algumas informações adicionais. Os servidores na nuvem da Microsoft estabelecem conexões com a rede local. Para garantir que as conexões sejam feitas corretamente, convém descrever todos os aspectos da conectividade, incluindo as entradas DNS públicas dos serviços que aceitarão essas conexões de entrada, os endereços IPv4 formatados como CIDR, qual equipamento de ISP está envolvido e como NAT de entrada ou NAT de origem é tratado para essas conexões.

As conexões de entrada devem ser analisadas independentemente de estarem se conectando pela Internet ou pelo ExpressRoute, para garantir que o roteamento assimétrico ainda não tenha sido introduzido. Em alguns casos, os pontos de extremidade locais para os quais os serviços do Office 365 iniciam conexões de entrada também podem precisar ser acessados pela Microsoft e por outros serviços que não sejam da Microsoft. É fundamental que a habilitação do roteamento do ExpressRoute para esses serviços para fins do Office 365 não prejudique outros cenários. Em muitos casos, os clientes talvez precisem implementar alterações específicas em sua rede interna, como NAT baseado em origem, para garantir que os fluxos de entrada da Microsoft permaneçam simétricos após a habilitação do ExpressRoute.

Aqui está um exemplo do nível de detalhes necessários. Nesse caso, o Exchange Híbrido encaminharia para o sistema local pelo ExpressRoute.

Propriedade de conexão

Valor

Direção do tráfego de rede

Entrada

Serviço

Exchange Híbrido

Ponto de extremidade público do Office 365 (origem)

Exchange Online (endereços IP)

Ponto de extremidade público local (destino)

5.5.5.5

Entrada DNS (Internet) pública

Autodiscover.contoso.com

Este ponto de extremidade local usará para outros serviços da Microsoft (não Office 365)

Não

Este ponto de extremidade local será usado por usuários/sistemas na Internet

Sim

Sistemas internos publicados por meio de pontos de extremidade públicos

Função de acesso de cliente do Exchange Server (local) 192.168.101, 192.168.102, 192.168.103

Anúncio de IP do ponto de extremidade público

Para Internet: 5.5.0.0/16

A rota expressa: 5.5.5.0/24

Controles de segurança/perímetro

Caminho da Internet: DeviceID_002

Rota expressa caminho: DeviceID_003

Alta Disponibilidade

Ativo/Ativo entre dois com redundância geográfica

Circuitos do ExpressRoute – Chicago e Dallas

Controle de simetria de caminho

Método: NAT de origem

Caminho de Internet: NAT de origem as conexões 192.168.5.5 de entrada

Rota expressa caminho: conexões de NAT de origem para 192.168.1.0 (Chicago) e 192.168.2.0 (Dallas)

Aqui está um exemplo de um serviço que é só de saída:

Propriedade de conexão

Valor

Direção do tráfego de rede

Saída

Serviço

SharePoint Online

Ponto de extremidade local (origem)

Estação de trabalho do usuário

Ponto de extremidade público do Office 365 (destino)

SharePoint Online (endereços IP)

Entrada DNS (Internet) pública

*.sharepoint.com (e FQDNs adicionais)

Referências de CDN

cdn.sharepointonline.com (e FQDNs adicionais) – endereços IP mantidos por provedores de CDN)

Anúncio de IP e NAT em uso

Caminho da Internet/NAT de Origem: 1.1.1.0/24

Rota expressa caminho/origem NAT: 1.1.2.0/24 (Chicago) e 1.1.3.0/24 (Dallas)

Método de conectividade

Internet: via proxy de camada 7 (arquivo .pac)

Rota expressa: direcionar circulação (sem proxy)

Controles de segurança/perímetro

Caminho da Internet: DeviceID_002

Rota expressa caminho: DeviceID_003

Alta Disponibilidade

Caminho de Internet: egresso de internet redundantes

Rota expressa caminho: ativo/ativo 'quente Batata' roteamento entre 2 circuitos rota expressa geográfica redundantes – Chicago e Dallas

Controle de simetria de caminho

Método: origem NAT para todas as conexões

Quando você compreende os serviços e seus fluxos de tráfego de rede associados, pode criar um diagrama de rede que incorpora esses novos requisitos de conectividade e ilustra as alterações que serão feitas para usar o ExpressRoute para Office 365. O diagrama deve incluir:

  1. Todos os locais de usuários em que o Office 365 e outros serviços serão acessados.

  2. Todos os pontos de saída do ExpressRoute e da Internet.

  3. Todos os dispositivos de entrada e saída que gerenciam a conectividade dentro e fora da rede, incluindo roteadores, firewalls, servidores proxy de aplicativo e detecção/prevenção de invasão.

  4. Os destinos internos para todo o tráfego de entrada, como servidores ADFS internos que aceitam conexões dos servidores de proxy de aplicativo Web ADFS.

  5. Catálogo de todas as sub-redes IP que serão anunciadas

  6. Identifique cada local em que pessoas poderão acessar o Office 365 e liste as localizações que serão usadas para o ExpressRoute.

  7. Os locais e as partes de sua topologia de rede interna, em que os prefixos de IP da Microsoft obtidos do ExpressRoute serão aceitas, filtrados e propagados.

  8. A topologia da rede deve ilustrar a localização geográfica de cada segmento de rede e como ele se conecta à rede da Microsoft pelo ExpressRoute e/ou a Internet.

O diagrama a seguir mostra cada local em que as pessoas usarão o Office 365, juntamente com os anúncios de roteamento de entrada e saída para o Office 365.

Localização geográfica regional do ExpressRoute

Para o tráfego de saída, as pessoas acessam o Office 365 de uma destas três maneiras:

  1. Com uma localização na América do Norte para as pessoas na Califórnia.

  2. Com uma localização em Hong Kong para as pessoas em Hong Kong.

  3. Pela internet em Bangladesh onde há menos pessoas e nenhum circuito de ExpressRoute provisionado.

Conexões de saída para diagrama regional

Da mesma forma, o tráfego de rede de entrada do Office 365 retorna de uma destas três maneiras:

  1. Com uma localização na América do Norte para as pessoas na Califórnia.

  2. Com uma localização em Hong Kong para as pessoas em Hong Kong.

  3. Pela internet em Bangladesh onde há menos pessoas e nenhum circuito de ExpressRoute provisionado.

Conexões de entrada para diagrama regional

A seleção de localizações, que são o local físico em que o circuito do ExpressRoute conecta sua rede à rede da Microsoft, é influenciada pelos locais em que as pessoas acessarão o Office 365. Como uma oferta de SaaS, o Office 365 não funciona sob o modelo regional de IaaS ou PaaS da mesma maneira como o Azure faz. Em vez disso, o Office 365 é um conjunto distribuído de serviços de colaboração, em que os usuários podem precisar se conectar a pontos de extremidade em vários data centers e regiões, que podem não necessariamente estar no mesmo local ou região em que o locatário do usuário está hospedado.

Isso significa que a consideração mais importante ao selecionar localizações para o ExpressRoute para Office 365 é de onde as pessoas em sua organização se conectarão. A recomendação geral para a conectividade ideal do Office 365 é implementar o roteamento, para que as solicitações de usuário para serviços do Office 365 sejam entregues na rede da Microsoft pelo caminho de rede mais curto. Isso também é conhecido como roteamento 'hot potato'. Por exemplo, se a maioria dos usuários do Office 365 estiver em um ou dois locais, a seleção das localizações mais próximas do local desses usuários criará o design ideal. Se sua empresa tem grandes populações de usuários em muitas regiões diferentes, convém considerar a opção de ter vários circuitos de ExpressRoute e localizações. Para alguns dos seus locais de usuário, o caminho mais curto/ideal para a rede da Microsoft e o Office 365 talvez não seja por meio da WAN interna e dos pontos do ExpressRoute, mas pela Internet.

Muitas vezes, há várias localizações que podem ser selecionadas em uma região com proximidade relativa aos usuários. Preencha a tabela a seguir para orientar suas decisões.

Localizações do ExpressRoute planejadas na Califórnia e em Nova York

Local

Número de pessoas

Latência esperada para a rede da Microsoft na saída da Internet

Latência esperada para a rede da Microsoft no ExpressRoute

Los Angeles

10.000

~15ms

~10 ms (via Silicon Valley)

Washington DC

15.000

~20ms

~10 ms (via Nova York)

Dallas

5.000

~15ms

~40ms (via Nova York)

Depois que a arquitetura de rede global mostrando a região do Office 365, as localizações de provedor de serviços de rede do ExpressRoute e a quantidade de pessoas por local for desenvolvida, ela poderá ser usada para identificar se podem ser feitas otimizações. Ela também pode mostrar conexões de rede global de interseção em que o tráfego é encaminhado para um local distante para obter a localização. Se uma interseção na rede global for descoberta, deverá ser remediada antes de continuar. Encontre outra localização ou use pontos de saída de interrupção seletiva da Internet para evitar a interseção.

O primeiro diagrama mostra um exemplo de um cliente com dois locais físicos na América do Norte. Você pode ver as informações sobre locais de escritórios, locais de locatários do Office 365 e diversas opções para localizações do ExpressRoute. Neste exemplo, o cliente selecionou a localização com base em dois princípios, em ordem:

  1. Mais próximo das pessoas na organização.

  2. Mais próxima próximos de um data center de Microsoft onde o Office 365 está hospedado.

Localização geográfica dos EUA do ExpressRoute

Expandindo ligeiramente esse conceito, o segundo diagrama mostra um cliente de multinacional de exemplo lidando com informações semelhantes e tomando uma decisão. Esse cliente tem um pequeno escritório em Bangladesh com apenas uma pequena equipe de dez pessoas, com foco na expansão do seu espaço na região. Há um local em Chennai e um data center da Microsoft com o Office 365 hospedado em Chennai, então, um local faz sentido. No entanto, para dez pessoas, a despesa do circuito adicional é onerosa. Ao observar a rede, você precisará determinar se a latência envolvida no envio do tráfego de rede pela rede é mais eficaz do que gastar dinheiro para adquirir outro circuito de ExpressRoute.

Como alternativa, as dez pessoas em Bangladesh podem ter um melhor desempenho com seu tráfego de rede enviado pela internet para a rede da Microsoft do que teriam roteando na rede interna, como mostramos nos diagramas de introdução e reproduzidos abaixo.

Conexões de saída para diagrama regional

Criar seu plano de implementação do ExpressRoute para Office 365

Seu plano de implementação deve abranger os detalhes técnicos sobre como configurar o ExpressRoute, assim como os detalhes de configuração de toda a outra infraestrutura em sua rede, como a seguir.

  • Planeje quais serviços dividir entre o ExpressRoute e a Internet.

  • Planeje a largura de banda, a segurança, a alta disponibilidade e o failover.

  • Projete o roteamento de entrada e saída, incluindo otimizações de caminho de roteamento adequadas para locais diferentes

  • Decida até que ponto as rotas do ExpressRoute serão anunciadas na rede e qual é o mecanismo para que os clientes selecionem o caminho da Internet ou do ExpressRoute; por exemplo, roteamento direto ou proxy de aplicativo.

  • Planeje alterações no registro DNS, incluindo entradas de Estrutura de Políticas de Remetente.

  • Planejar estratégia NAT incluindo origem de entrada e saída NAT.

  • Para sua implantação inicial, todos os serviços de entrada, como o email de entrada ou de conectividade híbrida, são recomendados para usar a Internet.

  • Planeje o usuário final cliente roteamento de LAN, como Configurar um arquivo de PAC/WPAD, rota padrão, servidores proxy e anúncios de rotas BGP.

  • Planeje o roteamento de perímetro, incluindo servidores proxy, firewalls e proxies de nuvem.

Crie um plano para largura de banda necessária para cada carga de trabalho principal do Office 365. Estime separadamente os requisitos de largura de banda do Exchange Online, do SharePoint Online e do Skype for Business Online. Você pode usar as calculadoras de estimativa que fornecemos para o Exchange Online e o Skype for Business como um ponto de partida. No entanto, um teste piloto com uma amostra representativa de perfis de usuário e locais é necessária para entender totalmente as necessidades de largura de banda da organização.

Adicione a seu plano como a segurança é tratada em cada local de saída da Internet e do ExpressRoute. Lembre-se de que todas as conexões do ExpressRoute para Office 365 usam emparelhamento público e ainda devem ser protegidas de acordo com as políticas de segurança da empresa para conexão a redes externas.

Adicione detalhes ao plano sobre quais pessoas serão afetadas por qual tipo de interrupção e como as pessoas poderão executar seu trabalho com capacidade total da maneira mais simples.

Planeje os requisitos de largura de banda, incluindo os requisitos do Skype for Business em termos de variação, latência, congestionamento e folga

O Skype for Business Online também tem requisitos de rede adicionais específicos que são detalhados no artigo Desempenho de conectividade de rede e qualidade da mídia no Skype for Business Online.

Leia a seção Planejamento de largura de banda do ExpressRoute para Azure em Planejamento de rede com ExpressRoute para Office 365.

Ao executar uma avaliação de largura de banda com seus usuários piloto, você pode usar nosso guia; Ajuste de desempenho do Office 365 usando as linhas de base e o histórico de desempenho.

Planeje os requisitos de alta disponibilidade

Crie um plano para alta disponibilidade para atender às suas necessidades e incorpore-o ao diagrama de topologia de rede atualizado. Leia a seção Alta disponibilidade e failover com o ExpressRoute para Azure em Planejamento de rede com ExpressRoute para Office 365.

Plano para requisitos de segurança de rede

Crie um plano para atender às suas necessidades de segurança de rede e incorpore-o ao diagrama de topologia de rede atualizado. Leia a seção Aplicação de controles de segurança ao ExpressRoute para Azure para cenários do Office 365 em Planejamento de rede com ExpressRoute para Office 365.

O ExpressRoute para Office 365 tem requisitos de rede de saída que podem não ser familiares. Especificamente, os endereços IP que representam os usuários e redes para o Office 365 e atuam como os pontos de extremidade de origem para as conexões de rede de saída para a Microsoft devem seguir os requisitos específicos descritos abaixo.

  1. Os pontos de extremidade devem ser endereços IP públicos, que são registrados para sua empresa ou operadora, fornecendo conectividade do ExpressRoute a você.

  2. Os pontos de extremidade devem ser anunciado à Microsoft e validados/aceitos pelo ExpressRoute.

  3. Os pontos de extremidade não devem ser anunciados à Internet com a mesma métrica de roteamento ou com a preferencial.

  4. Os pontos de extremidade não devem ser usados para conectividade a serviços da Microsoft que não são configurados pelo ExpressRoute.

Se o design da rede não atender a esses requisitos, haverá um alto risco de que os usuários encontrem falhas de conectividade ao Office 365 e a outros serviços da Microsoft, devido a interrupções de rota ou roteamento assimétrico. Isso ocorre quando as solicitações a serviços da Microsoft são roteadas pelo ExpressRoute, mas as respostas são roteadas novamente pela Internet ou vice-versa, e as respostas são ignoradas por dispositivos com informações de estado de rede, como firewalls.

O método mais comum que você pode adotar para atender aos requisitos acima é usar NAT de origem, implementado como parte da rede ou fornecido pela operadora do ExpressRoute. O NAT de origem permite abstrair os detalhes e o endereçamento IP privado da rede da Internet do ExpressRoute e, juntamente com os anúncios de rota IP adequados, fornece um mecanismo fácil para garantir a simetria de caminho. Se você estiver usando dispositivos de rede com informações de estado que são específicas de locais de emparelhamento do ExpressRoute, implemente pools NAT separados para cada emparelhamento do ExpressRoute, para garantir a simetria de caminho.

Leia mais sobre os Requisitos de NAT do ExpressRoute.

Adicione as alterações de conectividade de saída ao diagrama de topologia de rede.

A maioria das implantações de sistemas corporativos Office 365 pressupõe algum tipo de conectividade de entrada do Office 365 para os serviços locais, como para cenários híbridos do Exchange, SharePoint e Skype for Business, migrações de caixa de correio e autenticação usando a infraestrutura do ADFS. Quando, com o ExpressRoute, você habilita um caminho de roteamento adicional entre a rede local e a Microsoft para conectividade de saída, essas conexões de entrada inadvertidamente podem ser afetados pelo roteamento assimétrico, mesmo que você queira que esses fluxos de continuem a usar a Internet. Algumas precauções, descritas a seguir, são recomendadas para garantir que não haja impacto nos fluxos de entrada com base na Internet do Office 365 para sistemas locais.

Para reduzir os riscos de roteamento assimétrico para fluxos de tráfego de rede de entrada, todas as conexões de entrada devem usar NAT de origem antes de serem roteadas em segmentos da rede que têm visibilidade de roteamento do ExpressRoute. Se as conexões de entrada forem permitidas em um segmento de rede com visibilidade de roteamento do ExpressRoute sem NAT de origem, as solicitações de origem do Office 365 virão da Internet, mas a resposta que voltará para o Office 365 preferirá o caminho de rede do ExpressRoute de volta para a rede da Microsoft, causando o roteamento assimétrico.

Você pode considerar um dos seguintes padrões de implementação para atender a esse requisito:

  1. Execute NAT de origem antes que as solicitações sejam roteadas para a rede interna usando equipamento de rede como firewalls ou balanceadores de carga no caminho da Internet para seus sistemas locais.

  2. Garanta que rotas do ExpressRoute não sejam propagadas para os segmentos de rede em que residem serviços de entrada, como servidores front-end ou sistemas de proxy reverso que lidam com conexões à Internet.

Levar em conta explicitamente esses cenários em sua rede e manter todos os fluxos de tráfego de rede de entrada pela Internet ajudará a minimizar o risco operacional e de implantação do roteamento assimétrico.

Pode haver casos em que você possa optar por direcionar alguns fluxos de entrada em conexões do ExpressRoute. Para essas situações, leve em conta as considerações adicionais a seguir.

  1. O Office 365 só pode direcionar pontos de extremidade locais que usam IPs públicos. Isso significa que, mesmo que o ponto de extremidade de entrada local só seja exposto para o Office 365 no ExpressRoute, ainda precisará ter um IP público associado a ele.

  2. Toda a resolução de nomes DNS que os serviços do Office 365 executam para resolver pontos de extremidade local acontece usando o DNS público. Isso significa que você deverá registrar o FQDN dos pontos de extremidade serviço de entrada para os mapeamentos de IP na Internet.

  3. Para receber conexões de rede de entrada pelo ExpressRoute, as sub-redes de IP público para esses pontos de extremidade devem ser anunciadas à Microsoft pelo ExpressRoute.

  4. Avalie com cuidado esses fluxos de tráfego de rede de entrada para garantir que a segurança e os controles de rede adequados sejam aplicados de acordo com as políticas de segurança e rede de sua empresa.

  5. Quando os pontos de extremidade de entrada locais forem anunciados à Microsoft pelo ExpressRoute, o ExpressRoute efetivamente se tornará o caminho de roteamento preferencial para esses pontos de extremidade para todos os serviços da Microsoft, incluindo o Office 365. Isso significa que essas sub-redes de ponto de extremidade só devem ser usadas para comunicação com os serviços do Office 365, e nenhum outro serviço da rede da Microsoft. Caso contrário, o design causará o roteamento assimétrico, em que as conexões de entrada de outros serviços da Microsoft preferem o roteamento de entrada pelo ExpressRoute, enquanto o caminho de retorno usará a Internet.

  6. Caso um circuito do ExpressRoute ou localização esteja desativado, será necessário garantir que os pontos de extremidade de entrada locais ainda estejam disponíveis para aceitar solicitações por meio de um caminho de rede separado. Isso pode significar anunciar sub-redes para esses pontos de extremidade por meio de vários circuitos do ExpressRoute.

  7. É recomendável aplicar NAT de origem a todos os fluxos de tráfego de rede de entrada que entram na rede pelo ExpressRoute, especialmente quando esses fluxos cruzam dispositivos com informações de estado de rede, como firewalls.

  8. Alguns serviços locais, como proxy do ADFS ou descoberta automática do Exchange, podem receber solicitações de entrada de serviços do Office 365 e de usuários da Internet. Para essas solicitações, o Office 365 direcionará o mesmo FQDN que as solicitações de usuários pela Internet. Permitir conexões do usuário de entrada da Internet para esses pontos de extremidade locais, forçando as conexões do Office 365 a usar o ExpressRoute, representa uma significativa complexidade de roteamento. Para a maioria dos clientes, implementar esses cenários complexos pelo ExpressRoute não é recomendável, devido a considerações operacionais. Essa sobrecarga adicional inclui o gerenciamento de riscos de roteamento assimétrico e exige que você gerencie cuidadosamente políticas e anúncios de roteamento em várias dimensões.

Convém evitar o roteamento assimétrico para garantir que as pessoas na organização possam usar o Office 365 sem problemas, bem como outros serviços importantes na Internet. Há duas configurações comuns de clientes que causam o roteamento assimétrico. Agora é um bom momento para examinar a configuração de rede que você planeja usar e verificar se um desses cenários de roteamento assimétrico pode existir.

Para começar, examinaremos algumas situações diferentes associadas ao diagrama de rede a seguir. Nesse diagrama, todos os servidores que recebem solicitações de entrada, como servidores híbridos locais ou ADFS, estão no data center em Nova Jersey e são anunciados para a Internet.

  1. Embora a rede de perímetro esteja segura, não há NAT de origem disponível para solicitações de entrada.

  2. Os servidores no data center de Nova Jersey podem ver rotas da Internet e do ExpressRoute.

Visão geral da conectividade do ExpressRoute

Também temos sugestões sobre como corrigi-los.

Problema 1: A conexão de nuvem para o local pela Internet

O diagrama a seguir ilustra o caminho da rede assimétrica seguido quando a configuração de rede não fornece NAT para solicitações de entrada de nuvem da Microsoft pela Internet.

  1. A solicitação de entrada do Office 365 recupera o endereço IP do ponto de extremidade local do DNS público e envia a solicitação para sua rede de perímetro.

  2. Nessa configuração defeituosa, não há uma NAT de origem configurada ou disponível na rede de perímetro pela qual o tráfego é enviado, fazendo com que o IP de origem real seja usado como o destino do remetente.

    • O servidor na rede direciona o tráfego de retorno para o Office 365 por qualquer conexão de rede disponível do ExpressRoute.

    • O resultado é um caminho assimétrico para esse fluxo para o Office 365, resultando em uma conexão interrompida.

Problema de roteamento assimétrico do ExpressRoute 1

Solução 1a: NAT de Origem

Basta adicionar uma NAT de origem à solicitação de entrada para solucionar esta rede configurada incorretamente. Neste diagrama:

  1. A solicitação de entrada continua a entrar pela rede de perímetro do data center de Nova Jersey. Desta vez, a NAT de origem está disponível.

  2. A resposta do servidor volta para o IP associado à NAT de origem em vez de para o endereço IP original, fazendo com que a resposta retorne pelo mesmo caminho de rede.

Solução de roteamento assimétrico do ExpressRoute 1

Solução 1b: Encaminhar Escopo

Como alternativa, você pode optar por não permitir que prefixos de ExpressRoute BGP sejam anunciados, removendo o caminho de rede alternativo desses computadores. Neste diagrama:

  1. A solicitação de entrada continua a entrar pela rede de perímetro do data center de Nova Jersey. Desta vez, os prefixos anunciados da Microsoft pelo circuito do ExpressRoute não estão disponíveis para o data center de Nova Jersey.

  2. A resposta do servidor roteia de volta para o IP associado ao endereço IP original pela única rota disponível, fazendo com que a resposta volte pelo mesmo caminho de rede.

Solução de roteamento assimétrico do ExpressRoute 2

Problema 2: A conexão de nuvem para o local pelo ExpressRoute

O diagrama a seguir ilustra o caminho da rede assimétrica seguido quando a configuração de rede não fornece NAT para solicitações de entrada de nuvem da Microsoft pelo ExpressRoute.

  1. A solicitação de entrada do Office 365 recupera o endereço IP do DNS e envia a solicitação para sua rede de perímetro.

  2. Nessa configuração defeituosa, não há uma NAT de origem configurada ou disponível na rede de perímetro pela qual o tráfego é enviado, fazendo com que o IP de origem real seja usado como o destino do remetente.

    • O computador na rede direciona o tráfego de retorno para o Office 365 por qualquer conexão de rede disponível do ExpressRoute.

    • O resultado é uma conexão assimétrica para o Office 365.

Problema de roteamento assimétrico do ExpressRoute 2

Solução 2: NAT de Origem

Basta adicionar uma NAT de origem à solicitação de entrada para solucionar esta rede configurada incorretamente. Neste diagrama:

  1. A solicitação de entrada continua a entrar pela rede de perímetro do data center de Nova York. Desta vez, a NAT de origem está disponível.

  2. A resposta do servidor volta para o IP associado à NAT de origem em vez de para o endereço IP original, fazendo com que a resposta retorne pelo mesmo caminho de rede.

Solução de roteamento assimétrico do ExpressRoute 3

Verifique se o design de rede tem simetria de caminho

Neste ponto, você precisa verificar em papel que seu plano de implementação oferece simetria de rota para os diferentes cenários em que você vai usar o Office 365. Você identificará a rota de rede específica que deve ser seguida quando uma pessoa usa diferentes recursos do serviço. Da rede local e do roteamento WAN para os dispositivos do perímetro e o caminho de conectividade. ExpressRoute ou Internet e para a conexão com o ponto de extremidade online.

Você precisará fazer isso para todos os serviços de rede do Office 365 que anteriormente foram identificados como serviços que sua organização adotará.

É útil fazer esse passo a passo em papel das rotas com uma segunda pessoa. Explique a ela onde se espera que cada salto de rede obtenha sua próxima rota e familiarize-se com os caminhos de roteamento. Lembre-se de que o ExpressRoute sempre fornecerá uma rota mais supervisionada para endereços IP do servidor Microsoft, fornecendo um custo mais baixo de rota do que uma rota padrão de Internet.

Configuração de conectividade do cliente de design

Usar arquivos PAC com o ExpressRoute

Se você estiver usando um servidor proxy para internet acoplado tráfego e em seguida, você precisa ajustar qualquer PAC ou arquivos de configuração do cliente para garantir que computadores cliente na rede estão configurados corretamente para enviar o tráfego de rota expressa desejada para o Office 365 sem transiting seu servidor proxy e o tráfego restante, incluindo alguns tráfego do Office 365, é enviado para o proxy relevante. Leia nosso guia de gerenciamento de pontos de extremidade do Office 365 por exemplo arquivos PAC.

Observação : Os pontos de extremidade mudam com frequência, normalmente toda semana. Você só deve fazer alterações de acordo com os serviços e recursos de que sua organização adotou para reduzir o número de alterações que você precisará fazer para se manter atualizado. Preste muita atenção à Data em Vigor no feed RSS em que as alterações são comunicadas e é mantido um registro de todas as alterações anteriores, endereços IP anunciados podem não ser anunciados ou removidos do anúncio até a data em vigor.

Criar sua implantação e procedimentos de teste

Seu plano de implementação deve incluir planejamento de testes e reversão. Se sua implementação não estiver funcionando conforme esperado, o plano deverá ser projetado para afetar o menor número de pessoas antes que os problemas sejam detectados. A seguir estão alguns princípios de alto nível que seu plano deve considerar.

  1. Teste o segmento de rede e a integração de serviço de usuário para minimizar a interrupção.

  2. Planeje as rotas de teste com traceroute e TCP connect de um host conectado de internet separado.

  3. Preferência, o teste dos serviços de entrada e saídos deve ser feito em uma rede de teste isolada com um locatário de teste Office 365.

    • Como alternativa, testes podem ser executados em uma rede de produção se o cliente ainda não estiver usando o Office 365 ou estiver em piloto.

    • Como alternativa, o teste pode ser realizado durante uma interrupção de produção que é separada apenas para teste e monitoramento.

    • Como alternativa, o teste pode ser feito marcando rotas para cada serviço em cada nó de roteador de camada 3. Esse fall back só deverá ser usado se nenhum outro teste for possível, já que, devido à falta de testes físicos, ele apresenta riscos.

Os procedimentos de implantação devem ser realizados em pequenos grupos em estágios para permitir o teste antes de implantar para grandes grupos de pessoas. A seguir estão várias maneiras de testar a implantação do ExpressRoute.

  1. Configure o ExpressRoute com emparelhamento da Microsoft e anúncios de rota encaminhados para um único host somente para fins de teste.

  2. Anunciar rotas à rede ExpressRoute para um único segmento de rede no começo e expandir anúncios de rota por região ou segmento de rede.

  3. Se estiver implantando o Office 365 pela primeira vez, use a implantação de rede do ExpressRoute como um piloto para um pequeno número de pessoas.

  4. Se estiver usando servidores proxy, você poderá, como alternativa, configurar um arquivo PAC de teste para direcionar um pequeno número de pessoas para o ExpressRoute com comentários e testes antes de adicionar mais.

Seu plano de implementação deve listar cada um dos procedimentos de implantação que devem ser seguidos ou comandos que devem ser usados para implantar a configuração de rede. Quando o momento de interrupção de rede chegar, todas as alterações feitas deverão estar no plano de implantação por escrito que foi elaborado com antecedência e examinado por colegas. Confira nossa orientação sobre a configuração técnica do ExpressRoute.

  • Atualize seus registros de SPF TXT caso tenha alterado endereços IP de quaisquer servidores locais que continuarão a enviar emails.

  • Atualize as entradas DNS para servidores locais se você tiver alterado os endereços IP para acomodar uma nova configuração NAT.

  • Certifique-se de assinar o feed RSS de notificações de ponto de extremidade do Office 365 para manter quaisquer configurações de roteamento ou de proxy.

Após a conclusão da sua implantação rota expressa os procedimentos no plano de teste devem ser executados. Resultados para cada procedimento devem estar conectados. Você deve incluir procedimentos para reverter para o ambiente de produção original no caso dos resultados do plano de teste indicarem que a implementação não foi bem-sucedido.

Seus procedimentos de teste devem incluir testes para cada serviço de rede de entrada e saída para o Office 365 que usará o ExpressRoute e aqueles que não usarão. Os procedimentos devem incluir o teste de cada local de rede exclusivo, incluindo os usuários que não estão no local da LAN corporativa.

Alguns exemplos de atividades de teste incluem os itens a seguir.

  1. Ping do roteador local ao seu roteador de operador de rede.

  2. Valide os mais de 500 anúncios de endereço IP do Office 365 e CRM Online recebidos pelo roteador local.

  3. Confira se sua NAT de entrada e saída está operacional entre o ExpressRoute e a rede interna.

  4. Valide que rotas para seu NAT estão sendo anunciadas do seu roteador.

  5. Confira se o ExpressRoute aceitou seu prefixos anunciados.

    • Use o cmdlet a seguir para verificar aos anúncios:

    • Get-AzureRmExpressRouteCircuitRouteTable -DevicePath Primary -ExpressRouteCircuitName TestER -ResourceGroupName RG -PeeringType MicrosoftPeering
  6. Verifique se seu intervalo IP NAT público não é anunciado à Microsoft por qualquer outro ExpressRoute ou circuito de rede de Internet pública, a não ser que seja um subconjunto específico de um intervalo maior, como no exemplo anterior.

  7. Os circuitos do ExpressRoute estão emparelhados; verifique se ambas as sessões BGP estão em execução.

  8. Configure um único host dentro de sua NAT e use o ping, tracert e tcpping para testar a conectividade entre o novo circuito para o host outlook.office365.com. Como alternativa, você pode usar uma ferramenta como o Wireshark ou o Microsoft Network Monitor 3.4 em uma porta espelhada para MSEE para validar que pode se conectar ao endereço IP associado ao outlook.office365.com.

  9. Teste a funcionalidade de nível de aplicativo para o Exchange Online.

    • Teste se o Outlook é capaz de se conectar ao Exchange Online e enviar/receber emails.

    • Teste se o Outlook é capaz de usar o modo online.

    • Teste a conectividade do smartphone e a capacidade de enviar/receber.

  10. Teste a funcionalidade de nível de aplicativo do SharePoint Online

    • Teste o cliente de sincronização do OneDrive for Business.

    • Teste o acesso da Web do SharePoint Online.

  11. Teste a funcionalidade de nível do aplicativo para os cenários de chamada do Skype for Business:

    • Ingresse em uma chamada em conferência como um usuário autenticado [convite iniciado pelo usuário final].

    • Convide usuários para a chamada em conferência [convite enviado pelo MCU].

    • Ingresse em conferências como usuário anônimo usando o aplicativo Web Skype for Business.

    • Ingresse em uma chamada para sua conexão de PC com fio, telefone IP e dispositivo móvel.

    • Ligar para o usuário federado chamada PSTN validação: chamada é concluída, qualidade da chamada for aceitável, tempo de conexão é aceitável.

    • Verifique se o status de presença de contatos é atualizado para membros do locatário e usuários federados.

O roteamento assimétrico é o problema mais comum de implementação. Aqui estão algumas origens comuns a buscar:

  • Usar uma topologia de roteamento de rede simples ou aberta sem NAT de origem estabelecido.

  • Não usar SNAT para direcionar para serviços de entrada pela internet e por conexões do ExpressRoute.

  • Não Testando serviços de entrada na rota expressa em uma rede de teste antes de implantar amplamente.

Implantar conectividade do ExpressRoute por sua rede

Teste sua implantação em um segmento da rede por vez, implantando progressivamente a conectividade em diferentes partes da rede com um plano para reverter para cada novo segmento de rede. Se sua implantação estiver alinhada a uma implantação do Office 365, implante em seu piloto do Office 365 primeiro e, depois, estenda-o.

Primeiro para seu teste e, em seguida, para produção:

  • Execute as etapas de implantação para habilitar o ExpressRoute.

  • Teste se você está vendo as rotas de rede conforme o esperado.

  • Execute os testes em cada serviço de entrada e de saída.

  • Reverta se perceber problemas.

Agora que você tem o plano completo em papel, é hora de testar em pequena escala. Neste teste, você vai estabelecer uma única conexão do ExpressRoute com o Microsoft Peering para uma sub-rede de teste em sua rede no local. Você pode configurar um locatário de teste do Office 365 com conectividade de e para a sub-rede de teste e incluir todos os serviços de entrada e saída que você usará em produção na sub-rede de teste. Configure o DNS para o segmento de rede de teste e estabeleça todos os serviços de entrada e de saída. Execute seu plano de teste e familiarize-se com o roteamento de cada serviço e a propagação da rota.

À medida que concluir os itens descritos acima, marque as áreas concluídas e assegure que você e sua equipe as analisaram antes de executar a implantação e os planos de testes.

  • Lista de serviços de entrada e saída que envolvem a alteração de rede.

  • Diagrama de arquitetura de rede global mostrando as saídas de internet e os locais do ExpressRoute.

  • Diagrama de roteamento de rede demonstrando os diferentes caminhos de rede usados para cada serviço implantado.

  • Um plano de implantação com as etapas para implementar as alterações e reverter se necessário.

  • Um plano de teste para testar cada serviço do Office 365 e da rede.

  • Concluir a validação em papel de rotas de produção para serviços de entrada e de saída.

  • Um teste concluído em um segmento de rede de teste, incluindo verificação de disponibilidade.

Escolha uma janela de interrupção que seja grande o suficiente para passar por todo o plano de implantação e o plano de teste, tenha algum tempo disponível para solução de problemas e para reversão, se necessário.

Aviso : Devido à natureza complexa de roteamento pela Internet e o ExpressRoute, é recomendável que o tempo de buffer adicional seja adicionado a essa janela para lidar com solução de problemas de roteamento complexo.

A QoS é necessário para obter os benefícios de voz e reuniões do Skype for Business Online. Você pode configurar a QoS depois de garantir que a conexão de rede do ExpressRoute não impeça nenhum outro acesso a serviços do Office 365. Configuração de QoS descrita no artigo ExpressRoute e QoS no Skype for Business Online .

Solução de problemas da sua implementação

O primeiro lugar a verificar é nas etapas neste guia de implementação; alguma foi perdida em seu plano de implementação? Volte e execute mais alguns pequenos testes de rede, se possível, para replicar o erro e depurá-lo.

Identifique quais serviços de entrada ou saída falharam durante o teste. Obtenha especificamente os endereços IP e as sub-redes para cada um dos serviços que falharam. Examine o diagrama de topologia de rede no papel e valide o roteamento. Valide especificamente onde o roteamento do ExpressRoute é anunciado; teste se o roteamento durante a inatividade é possível com rastreamentos.

Executar o PSPing com um rastreamento de rede para cada ponto de extremidade do cliente e avaliar endereços IP de origem e destino para validar que eles são conforme esperado. Execute o telnet para qualquer host de email que você expor na porta 25 e verificar que SNAT é ocultar o endereço IP de origem original se isso é esperado.

Tenha em mente que, durante a implantação do Office 365 com uma conexão do ExpressRoute, você precisará assegurar que a configuração de rede para o ExpressRoute seja projetada idealmente e que você também tenha otimizado os outros componentes na rede como computadores cliente. Além de usar este guia de planejamento para solucionar as etapas que pode ter perdido, também escrevemos um Plano de solução de problemas de desempenho do Office 365.

Aqui está um link curto que você pode usar para voltar: https://aka.ms/implementexpressroute365

Tópicos Relacionados

Conectividade com o Office 365 de rede
Rota expressa do Azure para Office 365
Gerenciando rota de expressa para Office 365 conectividade
roteamento com rota expressa para Office 365
planejamento de rede com rota expressa para Office 365
comunidades BGP usando rota expressa para Office 365 cenários (visualização)
qualidade de mídia e desempenho de conectividade de rede no Skype for Business Online
otimizar sua rede para o Skype for Business Online
rota expressa e QoS no Skype for Business Online
fluxo usando rota expressa de chamadas
ajuste de desempenho do Office 365 usando linhas de base e o histórico de desempenho
desempenho solução de problemas de plano do Office 365
URLs do Office 365 e intervalos de endereços IP
rede do Office 365 e ajuste de desempenho

Observação : Aviso de Isenção de Tradução Automática: Este artigo foi traduzido por computador, sem intervenção humana. A Microsoft oferece essas traduções automáticas para ajudar as pessoas que não falam inglês a aproveitar os textos escritos sobre produtos, serviços e tecnologias da Microsoft. Como este artigo foi traduzido automaticamente, é possível que contenha erros de vocabulário, sintaxe ou gramática.

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×