Implementera ExpressRoute för Office 365

Viktigt!: Den här artikeln är maskinöversatt, se ansvarsfriskrivningen. Den engelska versionen av den här artikeln finns här för din referens.

ExpressRoute för Office 365 innehåller en alternativ routningssökväg till många Internetuppkopplade Office 365-tjänster. Arkitekturen i ExpressRoute för Office 365 baseras på att offentliga IP-prefix för Office 365-tjänster som redan finns tillgängliga via Internet annonseras för dina etablerade ExpressRoute-kretsar. Sedan omfördelas dessa IP-prefix på nätverket. Med ExpressRoute aktiverar du på ett effektivt sätt flera olika routningssökvägar via Internet och via ExpressRoute, för många Office 365-tjänster. Den här sortens routning på nätverket kan innebära en stor förändring jämfört med hur din interna nätverkstopologi är utformad.

Status: Fullständig Guide v2

Du måste planera din Office 365-implementering av ExpressRoute noga för att ta hänsyn till nätverkskomplexitet som orsakas av att ha både en särskild krets med routes som matas in i ditt kärnnätverk och Internet. Om du och ditt team inte går igenom den detaljerade planeringen och de olika testerna i den här vägledningen är risken stor att du kommer få upprepade problem med eller en total förlust av anslutningen till Office 365-tjänster när ExpressRoute-kretsen är aktiverad.

Om du vill göra en lyckad implementering behöver du analysera dina krav på infrastrukturen, gå igenom detaljerade nätverksbedömningar och -utformningar, noggrant planera lanseringen på ett stegvist och kontrollerat sätt och skapa en detaljerad validerings- och testningsplan. För en stor, distribuerad miljö är det inte ovanligt med implementeringar som spänner över flera månader. Den här vägledningen har utformats för att hjälpa dig planera.

Stora och lyckade distributioner kan ta sex månader att planera och omfattar ofta teammedlemmar från många områden inom organisationen inklusive nätverk, brandväggs- och proxyserveradministratörer, Office 365-administratörer, säkerhet, support för slutanvändare, projektledning och finansiering från ledningen. Investering i planeringsprocessen kommer att minska risken för att du stöter på problem under distributionen som orsakar driftstopp eller komplex och dyr felsökning.

Vi räknar med att följande grundförutsättningar har uppfyllts innan den här implementeringsvägledningen påbörjas.

  1. Du har genomfört en nätverksbedömning för att fastslå om ExpressRoute rekommenderas och godkänns.

  2. Du har valt en ExpressRoute-nätverkstjänstleverantör. Hitta information om ExpressRoute-partner och -peeringplatser.

  3. Du har redan läsa och förstå ExpressRoute dokumentation och det interna nätverket är inte uppfyller ExpressRoute bestämmelser slutpunkt till slutpunkt.

  4. Teamet har läst alla offentliga vägledning och dokumentationen på https://aka.ms/expressrouteoffice365, https://aka.ms/ertoch bevakas Azure ExpressRoute för Office 365-utbildning serie på kanal 9 för att få en överblick av kritiska teknisk information, inklusive:

    • Beroendet av Internet för SaaS-tjänster.

    • Hur du undviker asymmetriska routes och hanterar komplex routning.

    • Så här införliva perimetersäkerhet, tillgänglighet och programmet nivå kontroller.

Börja med att samla in krav

Börja med att avgöra vilka funktioner och tjänster som du planerar att använda inom din organisation. Du måste bestämma vilka funktioner som ska användas i de olika Office 365-tjänsterna och vilka platser på nätverket som ska vara värd för användare som använder funktionerna. När uppsättningen med scenarier är klar behöver du lägga till nätverksattribut som vart och ett av dessa scenarier kräver. Exempel: flöden för inkommande och utgående nätverkstrafik och om Office 365-slutpunkterna är tillgängliga via ExpressRoute eller inte.

Så här samlar du in organisationens krav:

  • Kartlägg inkommande och utgående nätverkstrafik för Office 365-tjänsterna som din organisation använder. Titta på sidan med URL: er och IP-adressintervall för Office 365 för att få en beskrivning av de flöden som olika Office 365-scenarier kräver.

  • Samla in dokumentationen för den befintliga nätverkstopologin som visar information om stommen och topologin i ditt interna WAN, anslutning av satellitwebbplatser, sista biten-anslutning för användare, routning till nätverkets utgående perimeterpunkter och proxytjänster.

    • Identifiera slutpunkter för inkommande tjänster i nätverksdiagrammen som Office 365 och andra Microsoft-tjänster ska ansluta till, där både Internetanslutningssökvägar och föreslagna ExpressRoute-anslutningssökvägar visas.

    • Identifiera alla geografiska användarplatser och WAN-anslutningar mellan platser samt vilka platser som för närvarande har en utgång till Internet och vilka platser som föreslås ha en utgång till en ExpressRoute-peeringplats.

    • Identifiera alla gränsenheter, till exempel proxyservrar och brandväggar, samt kartlägg deras relation till flöden via Internet och ExpressRoute.

    • Dokumentera om slutanvändare ska komma åt Office 365-tjänster via direktroutning eller indirekt programproxy för både Internet- och ExpressRoute-flöden.

  • Lägg till din klientorganisations plats och mötesplatser för ditt nätverksdiagram.

  • Uppskatta förväntade och observerade nätverksprestanda och svarstidsegenskaper från större användarplatser till Office 365. Tänk på att Office 365 är en global och fördelad uppsättning tjänster och att användare ska kunna ansluta till andra platser än klientorganisationens. Därför rekommenderar vi att du mäter och optimerar för fördröjning mellan användaren och den närmaste gränsen för Microsofts globala nätverk via ExpressRoute- och Internetanslutningar. Du kan använda resultaten från nätverksbedömningen för den här uppgiften.

  • Lista krav för företagets nätverkssäkerhet och hög tillgänglighet som måste uppfyllas med den nya ExpressRoute-anslutningen. Till exempel hur användare fortsatt får åtkomst till Office 365 vid ett fel på en Internetutgång eller ExpressRoute-krets.

  • Dokument som inkommande och utgående Office 365-nätverk flödar kommer att använda Internet-sökväg och som kommer att använda ExpressRoute. Specifika geografiska platser av användarna och information om din lokala nätverkstopologi kräva plan för att skilja sig från en plats till en annan.

Om du vill minimera Routning och andra nätverk komplexitet rekommenderar vi att du endast använder ExpressRoute för Office 365 för nätverk trafikflödet som krävs för att gå igenom en särskild anslutning på grund av bestämmelser eller som resultatet av utvärderingen nätverk. Dessutom rekommenderar vi att Fasegenskaper omfattningen av ExpressRoute Routning och metoden utgående och inkommande nätverk trafikflödet som olika faser av implementeringsprojekt. Distribuera ExpressRoute för Office 365 för bara användarskapade utgående nätverk trafikflödet och lämna inkommande nätverk trafikflödet på Internet kan hjälpa dig för att styra ökningen i topologisk komplexiteten och riskerna med att införa ytterligare asymmetrisk routning möjligheter.

Nätverk trafik katalogen ska innehålla listor över alla inkommande och utgående nätverksanslutningar som du har mellan din lokala nätverket och Microsoft.

  • Utgående nätverkstrafikflöden är alla scenarier där en anslutning initieras från din lokala miljö, till exempel från interna klienter eller servrar, med Microsoft-tjänster som mål. De här anslutningarna kan vara direkta till Office 365 eller indirekta, till exempel när anslutningen går genom proxyservrar, brandväggar eller andra nätverksenheter på vägen till Office 365.

  • Inkommande nätverkstrafikflöden är alla scenarier där en anslutning initieras från Microsoft-molnet till en lokal värd. De här anslutningarna behöver vanligtvis gå genom brandväggen och annan säkerhetsinfrastruktur som kundens säkerhetspolicy kräver för flöden med externt ursprung.

Läs avsnittet Säkerställ routningssymmetri i artikeln Routning med ExpressRoute för Office 365 för att fastslå vilka tjänster som kommer skicka inkommande trafik och leta efter kolumnen ExpressRoute för Office 365 i referensartikeln Office 365-slutpunkter för att fastslå resterande anslutningsinformation.

Vi rekommenderar att du beskriver den planerade anslutningen till tjänsten inklusive nätverksroutning, proxykonfiguration, paketkontroll och bandbreddsbehov för varje tjänst som kräver en utgående anslutning.

För varje tjänst som kräver en inkommande anslutning behöver du ytterligare information. Servrar i Microsoft-molnet skapar anslutningar till ditt lokala nätverk. För att säkerställa att anslutningarna görs på ett korrekt sätt rekommenderar vi att du beskriver den här anslutningens alla aspekter. Bland dem finns de offentliga DNS-posterna för tjänsterna som ska ta emot de här inkommande anslutningarna, de CIDR-formaterade IPv4 IP-adresserna, vilken ISP-utrustning som omfattas och hur inkommande NAT eller käll-NAT hanteras för de här anslutningarna.

Inkommande anslutningar bör granskas oavsett om de ansluter via Internet eller ExpressRoute för att säkerställa att asymmetrisk routning inte har använts. I vissa fall kan lokala slutpunkter som Office 365-tjänster initierar inkommande anslutningar till även behöva kommas åt av andra tjänster från Microsoft och andra leverantörer. Det är mycket viktigt att aktiveringen av ExpressRoute-routning till de här tjänsterna för Office 365-syften inte stör andra scenarier. I många fall kan kunder behöva implementera specifika ändringar på sina interna nätverk, till exempel källbaserad NAT, för att säkerställa att inkommande flöden från Microsoft förblir symmetriska när ExpressRoute har aktiverats.

Här följer ett exempel som visar detaljnivån som krävs. I det här fallet skulle Exchange-hybriden routa till det lokala systemet via ExpressRoute.

Anslutningsegenskap

Värde

Nätverkstrafikriktning

Inkommande

Tjänst

Exchange-hybrid

Offentlig Office 365-slutpunkt (källa)

Exchange Online (IP-adresser)

Offentlig lokal slutpunkt (mål)

5.5.5.5

Offentlig DNS-post (Internet)

Autodiscover.contoso.com

Kommer den här lokala slutpunkten användas för andra Microsoft-tjänster (förutom Office 365)

Nej

Kommer den här lokala slutpunkten användas av användare/system på Internet

Ja

Interna system som publiceras via offentliga slutpunkter

Exchange Server-klientåtkomstroll (lokal) 192.168.101, 192.168.102, 192.168.103

IP-annonsering för den offentliga slutpunkten

Till Internet: 5.5.0.0/16

Till ExpressRoute: 5.5.5.0/24

Säkerhets-/perimeterkontroller

Internetsökväg: DeviceID_002

ExpressRoute sökväg: DeviceID_003

Hög tillgänglighet

Aktiv/Aktiv på 2 geo-redundanta

ExpressRoute-kretsar – Chicago och Dallas

Symmetrikontroll för sökväg

Metod: datakällan NAT

Webbadress: källa NAT inkommande anslutningar till 192.168.5.5

ExpressRoute sökväg: källa NAT anslutningar till 192.168.1.0 (Chicago) och 192.168.2.0 (Dallas)

Här följer exempel för en tjänst som endast är utgående:

Anslutningsegenskap

Värde

Nätverkstrafikriktning

Utgående

Tjänst

SharePoint Online

Lokal slutpunkt (källa)

Användarens arbetsstation

Offentlig Office 365-slutpunkt (mål)

SharePoint Online (IP-adresser)

Offentlig DNS-post (Internet)

*.sharepoint.com (och ytterligare FQDN)

CDN-hänvisningar

cdn.sharepointonline.com (och ytterligare FQDNs) – IP-adresser som underhålls av CDN-leverantörer)

IP-annonsering och NAT används

Internetsökväg/käll-NAT: 1.1.1.0/24

ExpressRoute sökväg/Source NAT: 1.1.2.0/24 (Chicago) och 1.1.3.0/24 (Dallas)

Anslutningsmetod

Internet: via lager 7-proxy (PAC-fil)

ExpressRoute: direkt routning (ingen proxy)

Säkerhets-/perimeterkontroller

Internetsökväg: DeviceID_002

ExpressRoute sökväg: DeviceID_003

Hög tillgänglighet

Webbadress: överflödiga internet utgående

ExpressRoute sökväg: aktiva ”korv ljus” Routning över 2 geo överflödiga ExpressRoute-kretsar – Chicago och Dallas

Symmetrikontroll för sökväg

Metod: källa NAT för alla anslutningar

När du förstår tjänsterna och deras kopplade nätverkstrafikflöden kan du skapa ett nätverksdiagram där de här nya anslutningskraven ingår och som beskriver ändringarna du kommer att göra för att använda ExpressRoute för Office 365. Ditt diagram ska omfatta:

  1. Alla användarplatser som Office 365 och andra tjänster används på.

  2. Alla utgående punkter för Internet och ExpressRoute.

  3. Alla utgående och inkommande enheter som hanterar anslutning in till och ut från nätverket, inklusive routrar, brandväggar, programproxyservrar och intrångsidentifiering/-skydd.

  4. Interna mål för all inkommande trafik, till exempel interna ADFS-servrar som accepterar anslutningar från ADFS-webbprogramproxyservrarna.

  5. Katalog över alla IP-undernät som ska annonseras

  6. Identifiera varje plats som personer ska använda Office 365 från och listan på mötesplatser som ska användas för ExpressRoute.

  7. Platser och delar av din interna nätverkstopologi där Microsoft-IP-prefix som lärts från ExpressRoute accepteras, filtreras samt sprids till.

  8. Nätverkstopologin ska illustrera varje nätverkssegments geografiska plats och hur det ansluter till Microsoft-nätverket via ExpressRoute och/eller Internet.

Diagrammet nedan visar varje plats där personer använder Office 365 samt inkommande och utgående routningsannonseringar i Office 365.

Regionala geografiska mötesplatser för ExpressRoute

För utgående trafik använder personer Office 365 på ett av tre sätt:

  1. Via en mötesplats i Nordamerika för personer i Kalifornien.

  2. Via en mötesplats i Hongkong för personer i Hongkong.

  3. Via internet i Bangladesh där det finns färre personer och ingen ExpressRoute-krets har etablerats.

Utgående anslutningar för regionalt diagram

På liknande sätt kommer inkommande nätverkstrafik från Office 365 tillbaka på ett av tre sätt:

  1. Via en mötesplats i Nordamerika för personer i Kalifornien.

  2. Via en mötesplats i Hongkong för personer i Hongkong.

  3. Via internet i Bangladesh där det finns färre personer och ingen ExpressRoute-krets har etablerats.

Inkommande anslutningar för regionalt diagram

Valet av mötesplatser (den fysiska plats där din ExpressRoute-krets ansluter nätverket till Microsoft-nätverket) påverkas av platserna där personer kommer att använda Office 365. Eftersom Office 365 är en SaaS-tjänst så erbjuds den inte enligt samma regionala IaaS- eller PaaS-modell som Azure. Office 365 är i stället en fördelad uppsättning samarbetstjänster, där användare kan behöva ansluta till slutpunkter på flera datacenter och i flera regioner som inte nödvändigtvis finns på samma plats eller i samma region som användarens klientorganisation.

Det innebär att den viktigaste bedömningen du behöver göra när du väljer mötesplatser för ExpressRoute för Office 365 är från vilka platser personerna i din organisation ansluter. Den allmänna rekommendationen för optimal Office 365-anslutning är att implementera routning. Då går användarförfrågningar för Office 365-tjänster vidare till Microsoft-nätverket via den kortaste sökvägen, något som ofta kallas ”het potatis”-routning. Om de flesta Office 365-användare till exempel finns på en eller två platser skapas en optimal utformning genom att du väljer mötesplatser som finns så nära användarna som möjligt. Om ditt företag har stora användargrupper i flera olika regioner kanske du vill överväga att ha flera ExpressRoute-kretsar och mötesplatser. För vissa av dina användarplatser kanske inte den kortaste/mest optimala sökvägen till Microsoft-nätverket och Office 365 går via ditt interna WAN och ExpressRoute-mötespunkter, utan via Internet.

Ofta går det att välja flera mötesplatser i ett område som ligger relativt nära dina användare. Fyll i följande tabell för att underlätta dina beslut.

Planerade ExpressRoute-mötesplatser i Kalifornien och New York

Plats

Antal personer

Förväntad fördröjning till Microsoft-nätverket via utgående Internet-punkt

Förväntad fördröjning till Microsoft-nätverket via ExpressRoute

Los Angeles

10 000

~15ms

~10ms (via Silicon Valley)

Washington DC

15 000

~20ms

~10ms (via New York)

Dallas

5 000

~15ms

~40ms (via New York)

När den globala nätverksarkitekturen som visar Office 365-region, mötesplatser för ExpressRoute-nätverkstjänstleverantören och antalet personer per plats har utvecklats kan den användas för att identifiera om några optimeringar kan göras. Den kan även visa globala hårnålsnätverksanslutningar där trafik dirigeras till en fjärrplats för att komma till mötesplatsen. Om en hårnålsanslutning upptäcks i det globala nätverket bör den åtgärdas innan du fortsätter. Sök antingen efter en annan mötesplats eller använd selektiva utgående punkter för Internet för att undvika hårnålsanslutningen.

I det första diagrammet visas ett exempel på en kund med två fysiska platser i Nordamerika. Du kan se information om kontorsplatser, Office 365-klientorganisationsplatser och flera alternativ för ExpressRoute-mötesplatser. I det här exemplet har kunden valt mötesplats utifrån två principer i följande ordning:

  1. Så nära personer i organisationen som möjligt.

  2. Närmaste i närheten till ett Microsoft-datacenter där Office 365 ligger.

Geografiska mötesplatser för ExpressRoute i USA

För att förtydliga ytterligare visar det andra diagrammet ett exempel på en kund som är baserad i flera länder och har liknande information och behöver fatta liknande beslut. Den här kunden har ett litet kontor i Bangladesh med en arbetsgrupp på tio personer som fokuserar på företagets växande närvaro i regionen. Det finns en mötesplats i Chennai och ett Microsoft-datacenter med Office 365 i Chennai, så baserat på detta vore det bra att använda en mötesplats. För tio personer är dock kostnaden för en ytterligare krets betungande. När du tittar på ditt nätverk måste du avgöra om fördröjningen som det innebär att skicka din nätverkstrafik via ditt nätverk är mer effektivt än att lägga pengar på att skaffa en ExpressRoute-krets till.

De tio personerna i Bangladesh kanske kan få bättre prestanda om deras nätverkstrafik skickas via Internet till Microsoft-nätverket än de skulle få via routning på deras interna nätverk som vi visade i de inledande diagrammen och nedan.

Utgående anslutningar för regionalt diagram

Skapa din implementeringsplan för ExpressRoute för Office 365

Din implementeringsplan bör omfatta både teknisk information om konfiguration av ExpressRoute samt information om konfiguration av all annan infrastruktur på nätverket, såsom nedan.

  • Planera vilka tjänster som delas upp mellan ExpressRoute och Internet.

  • Planera för bandbredd, säkerhet, hög tillgänglighet och redundans.

  • Utforma inkommande och utgående routning, inklusive korrekt optimering av routningssökvägar för olika platser

  • Bestäm hur långt ExpressRoute-routes ska annonseras på ditt nätverk och vilken mekanism som ska finnas för klienter för att välja Internet- eller ExpressRoute-sökväg – till exempel direktroutning eller programproxy.

  • Planera DNS-poständringar, till exempel SPF-poster (Sender Policy Framework).

  • NAT strategi inklusive utgående och inkommande källa NAT

  • För din första distribution rekommenderar vi att alla inkommande tjänster, till exempel inkommande e-post eller hybridanslutning, använder Internet.

  • Planera slutanvändare klienten LAN-routning, till exempel Konfigurera en PAC/WPAD filstandardväg, proxyservrar och BGP dirigera annonser.

  • Planera perimeterroutning, inklusive proxyservrar, brandväggar och molnproxyservrar.

Skapa en plan för bandbredden som krävs för varje större arbetsbelastning i Office 365. Gör separata uppskattningar av kraven på bandbredd för Exchange Online, SharePoint Online och Skype för företag – Online. Du kan använda de uppskattningsverktyg som vi ger för Exchange Online och Skype för företag som en utgångspunkt. Dock krävs ett pilottest med ett representativt urval av användarprofiler och platser för att helt förstå din organisations bandbreddsbehov.

Lägg till hur säkerhet hanteras på varje utgångspunkt för Internet och ExpressRoute i planen. Kom ihåg att alla ExpressRoute-anslutningar till Office 365 använder offentlig peering och fortfarande måste skyddas enligt ditt företags säkerhetsprinciper för anslutningar till externa nätverk.

Lägg till information i din plan om vilka personer som kommer att påverkas av olika typer av avbrott och hur de så enkelt som möjligt kan utföra sitt arbete med full kapacitet.

Planera bandbreddskrav inklusive krav för Skype för företag på standardavvikelse för bildtid, fördröjning, överbelastning och utrymme

Skype för företag – Online har också specifika ytterligare nätverkskrav som presenteras i artikeln Mediekvalitet och nätverksanslutningsprestanda i Skype för företag – Online.

Läs avsnittet Planering av bandbredd för Azure ExpressRoute i Nätverksplanering med ExpressRoute för Office 365.

När du utför en bandbreddsbedömning med dina pilotanvändare kan du använda vår vägledning Prestandajustering för Office 365 med baslinjer och prestandahistorik.

Planera för krav på hög tillgänglighet

Skapa en plan för hög tillgänglighet för att tillgodose dina behov och använd den i ditt uppdaterade nätverkstopologidiagram. Läs avsnittet Hög tillgänglighet och redundans med Azure ExpressRoute i Nätverksplanering med ExpressRoute för Office 365.

Planera för nätverk säkerhetskraven

Skapa en plan för att tillgodose dina nätverksäkerhetskrav och använd den i ditt uppdaterade nätverkstopologidiagram. Läs avsnittet Använda säkerhetskontroller för Azure ExpressRoute för Office 365-scenarier i Nätverksplanering med ExpressRoute för Office 365.

ExpressRoute för Office 365 har utgående nätverkskrav som kan vara obekanta. Specifikt måste IP-adresserna som representerar dina användare och nätverk till Office 365 och som fungerar som källslutpunkter för utgående nätverksanslutningar till Microsoft följa särskilda krav som anges nedan.

  1. Slutpunkterna måste vara offentliga IP-adresser som har registrerats för ditt företag eller för leverantören som tillhandahåller din ExpressRoute-anslutning.

  2. Slutpunkterna måste annonseras till Microsoft och valideras/godkännas av ExpressRoute.

  3. Slutpunkterna får inte annonseras på Internet med samma eller fler önskade routningsmått.

  4. Slutpunkterna får inte användas för anslutning till Microsoft-tjänster som inte konfigureras via ExpressRoute.

Om din nätverksdesign inte uppfyller de här kraven finns det en hög risk för att användarna kan stöta på anslutningsproblem för Office 365 och andra Microsoft-tjänster på grund av svarta hål i routningen eller asymmetrisk routning. Detta inträffar när förfrågningar för Microsoft-tjänster skickas via ExpressRoute, men svar routas tillbaka via Internet, eller tvärtom, och svaren ignoreras av tillståndsnätverksenheter såsom brandväggar.

Den vanligaste metoden som du kan använda för att uppfylla kraven ovan är att använda käll-NAT, antingen som en del av ditt nätverk eller från din ExpressRoute-leverantör. Med käll-NAT kan du sammanfatta information och privata IP-adresser för Internetnätverket från ExpressRoute och, vid kombination med korrekt annonserade IP-routes, få ett enkelt sätt för att säkerställa sökvägssymmetri. Om du använder tillståndsnätverksenheter som är specifika för ExpressRoute-peeringplatser behöver du implementera separata NAT-pooler för respektive ExpressRoute-peering för att säkerställa sökvägssymmetri.

Läs mer om NAT-krav för ExpressRoute.

Lägg till ändringarna för den utgående anslutningen i nätverkstopologidiagrammet.

Majoriteten av Office 365-distributioner på företag använder någon form av inkommande anslutning från Office 365 till lokala tjänster, till exempel hybridscenarier för Exchange, SharePoint och Skype för företag, brevlådemigreringar och autentisering med ADFS-infrastruktur. Med ExpressRoute aktiverar du ytterligare en routningssökväg mellan ditt lokala nätverk och Microsoft för utgående anslutningar. De här inkommande anslutningarna kan oavsiktligt påverkas av asymmetrisk routning, även om du vill att de flödena ska fortsätta använda Internet. Vi rekommenderar några försiktighetsåtgärder som beskrivs nedan för att säkerställa att det inte finns någon påverkan på Internetbaserade inkommande flöden från Office 365 till lokala datorer.

Om du vill minimera riskerna för asymmetrisk routning för inkommande nätverkstrafikflöden bör alla inkommande anslutningar använda käll-NAT innan de routas till segment i nätverket som har routningsinsyn till ExpressRoute. Om de inkommande anslutningarna tillåts till ett nätverkssegment med routningsinsyn till ExpressRoute utan käll-NAT kommer förfrågningar från Office 365 in från Internet, men svaret som skickas tillbaka till Office 365 använder hellre ExpressRoute-nätverkssökvägen tillbaka till Microsoft-nätverket, och detta orsakar asymmetrisk routning.

Du kan överväga ett av följande implementeringsmönster för att uppfylla det här kravet:

  1. Använd käll-NAT innan förfrågningar routas in på ditt interna nätverk med nätverksutrustning såsom brandväggar eller belastningsutjämnare på vägen från Internet till dina lokala system.

  2. Se till att ExpressRoute-routes inte sprids till nätverkssegment där inkommande tjänster, till exempel frontend-servrar eller omvända proxysystem, som hanterar Internetanslutningar finns.

Räkna uttalat med de här scenarierna på nätverket och behåll alla inkommande nätverkstrafikflöden via Internet – det hjälper dig minimera distributions- och driftriskerna för asymmetrisk routning.

Det kan förekomma fall där du vill dirigera vissa inkommande flöden via ExpressRoute-anslutningar. Ta hänsyn till följande ytterligare överväganden för de här scenarierna.

  1. Office 365 kan endast ha lokala slutpunkter som använder offentliga IP-adresser som mål. Det innebär att även om den lokala inkommande slutpunkten endast visas för Office 365 via ExpressRoute så måste den fortfarande ha offentliga IP-adresser kopplade till sig.

  2. All DNS-namnmatchning som Office 365-tjänster utför för att omvandla lokala slutpunkter görs med offentlig DNS. Det innebär att du måste registrera inkommande tjänsteslutpunkters FQDN för IP-mappningar på Internet.

  3. De offentliga IP-undernäten för de här slutpunkterna måste annonseras till Microsoft via ExpressRoute för att de ska kunna ta emot inkommande nätverksanslutningar via ExpressRoute.

  4. Utvärdera noggrant dessa inkommande nätverkstrafikflöden för att säkerställa att korrekt säkerhets- och nätverkskontroller tillämpas för dem enligt ditt företags säkerhets- och nätverksprinciper.

  5. När dina lokala inkommande slutpunkter skickas till Microsoft via ExpressRoute innebär det att ExpressRoute blir den föredragna routningssökvägen till slutpunkterna för alla Microsoft-tjänster, inklusive Office 365. Det innebär att slutpunktsundernäten bara får användas för kommunikation med Office 365-tjänster och inte med några andra tjänster på Microsoft-nätverket. Annars orsakar din utformning asymmetrisk routning där inkommande anslutningar från andra Microsoft-tjänster föredrar att routa inkommande trafik via ExpressRoute, medan retursökvägen använder Internet.

  6. Om en ExpressRoute-krets eller mötesplats ligger nere måste du se till att de lokala inkommande slutpunkterna fortfarande är tillgängliga för att acceptera förfrågningar via en separat nätverkssökväg. Det kan innebära att undernät för de här slutpunkterna annonseras via flera ExpressRoute-kretsar.

  7. Vi rekommenderar att du använder käll-NAT för alla inkommande nätverkstrafikflöden som ankommer till ditt nätverk via ExpressRoute – särskilt när flödena går igenom tillståndsnätverksenheter såsom brandväggar.

  8. Vissa lokala tjänster, till exempel ADFS-proxy eller automatisk upptäckt i Exchange, kan ta emot inkommande förfrågningar från både Office 365-tjänster och användare på Internet. För de här förfrågningarna riktas Office 365 mot samma FQDN som användarförfrågningar via Internet. Om du tillåter inkommande användaranslutningar från Internet till de lokala slutpunkterna, medan du tvingar Office 365-anslutningar att använda ExpressRoute, introducerar du betydande routningskomplexitet. För majoriteten av kunder rekommenderar vi inte att sådana komplexa scenarier implementeras via ExpressRoute på grund av driftöverväganden. Den ökade komplexiteten omfattar hantering av risker för asymmetrisk routning och kräver att du noggrant hanterar routningsannonsering och -principer i flera dimensioner.

Du vill undvika asymmetrisk routning för att säkerställa att personer i organisationen smidigt kan använda Office 365 samt andra viktiga tjänster på Internet. Det finns två vanliga konfigurationer som kunder har som kan orsaka asymmetrisk routning. Det här är ett bra tillfälle för att granska nätverkskonfigurationen som du planerar att använda och kontrollera om något av följande scenarier för asymmetrisk routning kan finnas.

Till att börja med undersöker vi några olika situationer som kopplas till följande nätverksdiagram. I det här diagrammet finns alla servrar som tar emot inkommande förfrågningar, till exempel ADFS eller lokala hybridservrar, på datacentret i New Jersey och annonseras till Internet.

  1. Perimeternätverket är säkert, men det finns ingen käll-NAT tillgänglig för inkommande förfrågningar.

  2. Servrarna på datacentret i New Jersey kan se både Internet- och ExpressRoute-routes.

Översikt över ExpressRoute-anslutningar

Vi har även förslag för hur det går att lösa dem.

Problem 1: Moln till lokal anslutning via Internet

I följande diagram visas den asymmetriska nätverkssökvägen som används när din nätverkskonfiguration inte tillhandahåller NAT för inkommande förfrågningar från Microsoft-molnet via Internet.

  1. Den inkommande förfrågan från Office 365 hämtar IP-adressen för den lokala slutpunkten från en offentlig DNS och skickar förfrågan till ditt perimeternätverk.

  2. I den här felaktiga konfigurationen finns ingen konfigurerad käll-NAT och ingen är heller tillgänglig på perimeternätverket dit trafiken skickas vilket resulterar i att den faktiska käll-IP-adressen används som returmål.

    • Servern på ditt nätverk routar returtrafiken till Office 365 via vilken tillgänglig ExpressRoute-nätverksanslutning som helst.

    • Resultatet är en asymmetrisk sökväg för flödet till Office 365, vilket innebär att anslutningen bryts.

Problem vid asymmetrisk dirigering i ExpressRoute 1

Lösning 1a: Käll-NAT

Det här felkonfigurerade nätverket fixas enkelt genom att en käll-NAT läggs till för den inkommande förfrågan. I det här diagrammet:

  1. Den inkommande förfrågan fortsätter att komma via perimeternätverket för datacentret i New Jersey. Den här gången är käll-NAT tillgänglig.

  2. Svaret från servern routar tillbaka mot IP-adressen som är kopplad till käll-NAT i stället för den ursprungliga IP-adressen, vilket resulterar i att svaret skickas tillbaka längs samma nätverkssökväg.

Lösning vid asymmetrisk dirigering i ExpressRoute 1

Lösning 1b: Routeomfattning

Alternativt kan du välja att inte tillåta att ExpressRoute BGP-prefix ska annonseras och ta bort den alternativa nätverkssökvägen för de datorerna. I det här diagrammet:

  1. Den inkommande förfrågan fortsätter att komma via perimeternätverket för datacentret i New Jersey. Den här gången är de prefix som annonseras från Microsoft via ExpressRoute-kretsen inte tillgängliga för datacentret i New Jersey.

  2. Svaret från servern routar tillbaka mot IP-adressen som är kopplad till den ursprungliga IP-adressen via den enda tillgängliga routen, vilket resulterar i att svaret skickas tillbaka längs samma nätverkssökväg.

Lösning vid asymmetrisk dirigering i ExpressRoute 2

Problem 2: Moln till lokal anslutning via ExpressRoute

I följande diagram visas den asymmetriska nätverkssökvägen som används när din nätverkskonfiguration inte tillhandahåller NAT för inkommande förfrågningar från Microsoft-molnet via ExpressRoute.

  1. Den inkommande förfrågan från Office 365 hämtar IP-adressen från en DNS och skickar förfrågan till ditt perimeternätverk.

  2. I den här felaktiga konfigurationen finns ingen konfigurerad käll-NAT och ingen är heller tillgänglig på perimeternätverket dit trafiken skickas vilket resulterar i att den faktiska käll-IP-adressen används som returmål.

    • Datorn på ditt nätverk routar returtrafiken till Office 365 via vilken tillgänglig ExpressRoute-nätverksanslutning som helst.

    • Resultatet är en asymmetrisk anslutning till Office 365.

Problem vid asymmetrisk dirigering i ExpressRoute 2

Lösning 2: Käll-NAT

Det här felkonfigurerade nätverket fixas enkelt genom att en käll-NAT läggs till för den inkommande förfrågan. I det här diagrammet:

  1. Den inkommande förfrågan fortsätter att komma via perimeternätverket för datacentret i New York. Den här gången är käll-NAT tillgänglig.

  2. Svaret från servern routar tillbaka mot IP-adressen som är kopplad till käll-NAT i stället för den ursprungliga IP-adressen, vilket resulterar i att svaret skickas tillbaka längs samma nätverkssökväg.

Lösning vid asymmetrisk dirigering i ExpressRoute 3

Verifiera skriftligt att nätverksutformningen har symmetriska sökvägar

Nu behöver du verifiera skriftligt att din implementeringsplan ger symmetriska routes för de olika scenarier som du ska använda Office 365 i. Identifiera den specifika nätverksroute som ska användas när en person använder olika funktioner i tjänsten. Från det lokala nätverket och WAN-routningen, till perimeterenheterna, till anslutningssökvägen – ExpressRoute eller Internet – och vidare till anslutningen till onlineslutpunkten.

Du behöver göra det här för alla Office 365-nätverkstjänster som tidigare identifierades som tjänster som din organisation ska använda.

Det underlättar att göra den här skriftliga genomgången tillsammans med en annan person. Förklara för honom/henne var varje nätverkshopp förväntas få nästa route från och kontrollera att du känner till routningssökvägarna. Kom ihåg att ExpressRoute alltid ger en mer begränsad route till Microsoft-servrars IP-adresser, vilket innebär en lägre routekostnad än för en standardroute via Internet.

Utforma konfiguration för klientanslutning

Använda PAC-filer med ExpressRoute

Om du använder en proxyserver för internet-bundna trafik sedan du behöver justera alla PAC eller klienten konfigurationsfiler för att kontrollera klientdatorer i ditt nätverk är korrekt konfigurerad för att skicka ExpressRoute trafiken som du vill ha i Office 365 utan transiterade proxyservern och återstående trafik, inklusive vissa Office 365-trafik skickas till relevanta proxyn. Läs vår guide på Hantera Office 365 slutpunkter exempelvis PAC filer.

Obs!: Slutpunkterna ändras ofta, ibland varje vecka. Du bör bara göra ändringar utifrån de tjänster och funktioner som din organisation använder för att minska antalet ändringar du behöver göra för att hålla dig uppdaterad. Var uppmärksam på startdatumet i RSS-flödet där ändringarna meddelas och där en förteckning finns för alla tidigare ändringar. IP-adresser som meddelas kanske inte annonseras eller tas bort från annonseringen tills startdatumet inträffar.

Skapa dina distributions- och testmetoder

Din implementeringsplan bör innehålla planering för både testning och återställning. Om din implementering inte fungerar som förväntat bör planen vara utformad så att så få personer som möjligt påverkas innan problemen upptäcks. Nedan följer några högnivåprinciper som du bör överväga att ta med i din plan.

  1. Fasa in nätverkssegmentet och användare i tjänsten för att minimera störningar.

  2. Planera testning av routes med traceroute och TCP-anslutning från en separat Internetansluten värd.

  3. Testning av inkommande och utgående tjänster bör helst göras på ett testnätverk med isolerad med en test Office 365-innehavare.

    • Du kan även testa på ett produktionsnätverk om kunden ännu inte använder Office 365 eller befinner sig i pilotfasen.

    • Testning kan även utföras under ett produktionsavbrott som endast är avsett för testning och övervakning.

    • Testning kan också utföras genom att du kontrollerar routes för varje tjänst på varje lager 3-routernod. Den här återställningen bör endast användas om ingen annan testning är möjlig, eftersom en brist på fysisk testning innebär risker.

Dina distributionsprocedurer bör lanseras till små grupper med personer i faser för att testas innan du distribuerar till större grupper. Nedan finns flera sätt för att fasa in distributionen av ExpressRoute.

  1. Konfigurera ExpressRoute med Microsoft-peering och se till att routeannonseringen vidarebefordras till en enda värd för teständamål.

  2. Annonsera routes till ExpressRoute-nätverket till ett enda nätverkssegment först och expandera routeannonseringen per nätverkssegment eller region.

  3. Om du distribuerar Office 365 för första gången kan du använda ExpressRoute-nätverksdistributionen som ett pilottest för ett litet antal personer.

  4. Om du använder proxyservrar kan du annars konfigurera en test-PAC-fil för att dirigera ett litet antal personer till ExpressRoute för testning och feedback innan du lägger till fler.

Din implementeringsplan bör lista alla distributionsprocedurer som måste genomföras eller kommandon som ska användas för att distribuera nätverkskonfigurationen. När nätverkets avbrottstid kommer ska alla ändringar som görs komma från den skriftliga distributionsplan som skrevs i förväg och som har granskats av kollegor. Läs våra riktlinjer om teknisk konfiguration av ExpressRoute.

  • Uppdatera dina SPF TXT-poster om du har ändrat IP-adresser för några lokala servrar som ska fortsätta skicka e-post.

  • Uppdatera alla DNS-poster för lokala servrar om du har ändrat IP-adresser för att göra plats för en ny NAT-konfiguration.

  • Se till att du prenumererar på RSS-flödet för Office 365-slutpunktaviseringar för underhåll av alla routnings- eller proxykonfigurationer.

När distributionen ExpressRoute har slutförts ska procedurerna i testplanen köras. Resultat för varje procedur ska loggas. Du måste ta med procedurer för att återställa till den ursprungliga framställning miljön händelse plan testresultat indikera implementeringen inte lyckades.

Dina testningsprocedurer bör omfatta tester för alla utgående och inkommande nätverkstjänster för Office 365, både sådana som kommer att använda ExpressRoute och sådana som inte kommer att göra det. Procedurerna bör omfatta testning från varje unik nätverksplats, inklusive användare som inte befinner sig på plats i företagets LAN.

Några exempel på testaktiviteter följer nedan.

  1. Pinga från din lokala routern till routern nätverk operator.

  2. Verifiera att de drygt 500 annonseringarna av IP-adresser i Office 365 och CRM Online tas emot av din lokala router.

  3. Verifiera att din inkommande och utgående NAT arbetar mellan ExpressRoute och det interna nätverket.

  4. Verifiera att vägar till din NAT som visas från routern.

  5. Verifiera att ExpressRoute har accepterat dina annonserade prefix.

    • Använd följande cmdlet för att verifiera peering annonser:

    • Get-AzureRmExpressRouteCircuitRouteTable -DevicePath Primary -ExpressRouteCircuitName TestER -ResourceGroupName RG -PeeringType MicrosoftPeering
  6. Verifiera att ditt offentliga NAT IP-intervall inte annonseras till Microsoft via någon annan ExpressRoute- eller offentlig Internetnätverkskrets såvida det inte är en specifik delmängd av ett större intervall som i föregående exempel.

  7. ExpressRoute-kretsar är parade – verifiera att båda BGP-sessionerna körs.

  8. Konfigurera en enda värddator inuti din NAT och använd ping, tracert och tcpping för att testa den nya kretsens anslutning till värden outlook.office365.com. Alternativt kan du använda ett verktyg, till exempel Wireshark eller Microsoft Network Monitor 3.4, på en speglad port till MSEE för att verifiera att du kan ansluta till IP-adressen som är kopplad till outlook.office365.com.

  9. Testa programnivåfunktioner för Exchange Online.

    • Testa att Outlook kan ansluta till Exchange Online och skicka/ta emot e-post.

    • Testa att Outlook kan använda online-läge.

    • Testa anslutning med smartphone och att funktionen för att skicka/ta emot fungerar.

  10. Testa programnivåfunktioner för SharePoint Online

    • Testa synkroniseringsklienten för OneDrive för företag.

    • Testa SharePoint Online-webbåtkomst.

  11. Testa programnivåfunktioner för samtalsscenarier i Skype för företag:

    • Delta i konferenssamtal som autentiserad användare [inbjudan initierad av slutanvändare].

    • Bjud in användare till konferenssamtal [inbjudan skickas från MCU].

    • Anslut till konferenssamtal som anonym användare med webbprogrammet för Skype för företag.

    • Anslut till samtal från din kabelanslutna dator, IP-telefon och mobila enhet.

    • Ringa till externa användare o samtalet till PSTN verifiering: samtal, samtalskvaliteten är acceptabel, anslutningen upprättas accepteras.

    • Kontrollera att närvarostatusen för kontakter uppdateras för båda medlemmar i klientorganisationen och externa användare.

Asymmetrisk routning är det vanligaste implementeringsproblemet. Här är några vanliga felkällor som du kan leta efter:

  • En öppen eller platt nätverkstopologi för routning används utan käll-NAT på plats.

  • SNAT används inte för att routa inkommande tjänster via både Internet- och ExpressRoute-anslutningar.

  • Testa inte inkommande tjänster på ExpressRoute i ett testnätverk innan du distribuerar brett.

Distribuera ExpressRoute-anslutningar i ditt nätverk

Fasa in distributionen på ett nätverkssegment i taget och lansera gradvis anslutningen till olika delar av nätverket med en plan för återställning för varje nytt nätverkssegment. Om din distribution justeras mot en Office 365-distribution distribuerar du till dina Office 365-pilotanvändare först och utökar sedan omfattningen.

Först för ditt test och sedan för produktion:

  • Kör distributionsstegen för att aktivera ExpressRoute.

  • Testa att dina nätverksroutes ser ut som förväntat.

  • Utför tester på varje inkommande och utgående tjänst.

  • Återställ om du upptäcker eventuella problem.

Nu när du har slutfört en skriftlig plan är det dags att testa i liten skala. I det här testet kommer du upprätta en enskild ExpressRoute-anslutning med Microsoft-peering till ett testundernät på ditt lokala nätverk. Du kan konfigurera en utvärderingsversion av en Office 365-klientorganisation med anslutning till och från testundernätet och omfatta alla utgående och inkommande tjänster i testundernätet som du vill använda under produktion. Konfigurera DNS för testnätverkssegmentet och upprätta alla ingående och utgående tjänster. Utför din testplan och kontrollera att du är bekant med varje tjänsts routning och route-spridningen.

När du har slutfört objekten som beskrivs ovan bockar du av områdena som du har slutfört och ser till att du och din grupp har granskat dem innan du utför dina distributions- och testplaner.

  • Lista med utgående och inkommande tjänster som omfattas av nätverksändringen.

  • Globalt nätverksarkitekturdiagram som visar både utgångspunkter för Internet och mötesplatser för ExpressRoute.

  • Nätverksroutningsdiagram som visar de olika nätverkssökvägar som används för respektive tjänst som distribueras.

  • En distributionsplan med steg för att implementera ändringar och återställning vid behov.

  • En testplan för testning av varje Office 365- och nätverkstjänst.

  • Slutförd skriftlig validering av produktionsroutes för inkommande och utgående tjänster.

  • Ett slutfört test på ett testnätverkssegment inklusive tillgänglighetstestning.

Välj ett avbrottsfönster som är tillräckligt stort för att du ska hinna gå igenom hela distributionsplanen och testplanen. Se även till att du har tid över för felsökning och distribution av återställning vid behov.

Varning: Eftersom det är komplicerat att routa via både Internet och ExpressRoute, rekommenderar vi att ytterligare bufferttid läggs till för fönstret så att du kan hantera felsökning av den komplicerade routningen.

QoS krävs för röstfunktioner och mötesfördelar i Skype för företag – Online. Du kan konfigurera QoS när du har kontrollerat att ExpressRoute-nätverksanslutningen inte blockerar all annan åtkomst till Office 365-tjänster. Konfiguration av QoS beskrivs i artikeln ExpressRoute och QoS i Skype för företag – Online .

Felsöka din implementering

Titta först på stegen i den här implementeringsvägledningen – har du missat något steg i din implementeringsplan? Gå tillbaka och kör ytterligare små nätverkstester om det går för att replikera felet och felsöka det där.

Identifiera vilka inkommande eller utgående tjänster som misslyckades under testningen. Ta specifikt fram IP-adresserna och undernäten för alla tjänster som misslyckades. Gå sedan igenom det skriftliga nätverkstopologidiagrammet och verifiera routningen. Validera vart ExpressRoute-routningen annonseras och testa den routningen med spårning under avbrottet om det går.

Kör PSPing med en nätverkskurva till varje kund slutpunkt och utvärderar käll- och IP-adresser för att verifiera att de är som förväntat. Kör telnet till alla värden för e-post som du visar på port 25 och kontrollera att SNAT dölja den ursprungliga källan IP-adressen om det är troligt.

Kom ihåg när du distribuerar Office 365 med en ExpressRoute-anslutning att du måste kontrollera både att nätverkskonfigurationen för ExpressRoute är optimalt utformad och att du även har optimerat andra komponenter på nätverket, till exempel klientdatorer. Förutom att använda den här planeringsvägledningen för att felsöka steg som du kan ha missat, har vi även skrivit en plan för prestandafelsökning i Office 365 .

Här är en kort länk som du kan använda för att komma tillbaka: https://aka.ms/implementexpressroute365

Närliggande avsnitt

Nätverksanslutningar till Office 365
Azure ExpressRoute för Office 365
Hantera ExpressRoute för Office 365 connectivity
Routning med ExpressRoute för Office 365
nätverksplanering med ExpressRoute för Office 365
med hjälp av BGP communities i ExpressRoute för Office 365-scenarier (förhandsversion)
Media kvalitet och nätverk Connectivity prestanda i Skype för företag – Online
Optimera nätverket för Skype för företag – Online
ExpressRoute och QoS i Skype för företag – Online
ringa flöde med hjälp av ExpressRoute
Office 365 prestandajustering med hjälp av baslinjer och prestanda historik
prestanda Felsökning av abonnemang för Office 365
Office 365 URL: er och IP-adressintervall
Office 365 nätverks- och prestandajustering

Obs!: Ansvarsfriskrivning för maskinöversättning: Den här artikeln har översatts av ett datorsystem utan mänsklig inblandning. Microsoft erbjuder dessa maskinöversättningar för att hjälpa icke engelskspråkiga användare att ta del av information om Microsofts produkter, tjänster och tekniker. Eftersom artikeln är maskinöversatt kan den innehålla fel i ordval, syntax och grammatik.

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Office Insiders

Hade du nytta av den här informationen?

Tack för din feedback!

Tack för din feedback! Det låter som att det kan vara bra att koppla dig till en av våra Office-supportrepresentanter.

×