Office 365 的 Implementing ExpressRoute

重要:  本文係由機器翻譯而成,請參閱免責聲明。本文的英文版本請見這裡,以供參考。

ExpressRoute for Office 365 為許多網際網路對應 Office 365 服務提供替代路由路徑。ExpressRoute for Office 365 的架構是依據向您佈建的 ExpressRoute 迴路公告已可透過網際網路存取的 Office 365 服務之公用 IP 首碼,以供後續將這些 IP 首碼重新分配到您的網路中。有了 ExpressRoute,您可透過網際網路和透過 ExpressRoute 為許多 Office 365 服務有效啟用多個不同的路由路徑。您網路上的這種路由狀態可能代表您的內部網路拓撲設計方式之重大變更。

狀態:完成指南 v2

您必須仔細規劃 ExpressRoute for Office 365 實作,以因應提供路由方式的網路複雜情況,包括透過將路由導入核心網路的專用迴路和透過網際網路。如果您與您的小組未執行本指南中的詳細規劃和測試,當啟用 ExpressRoute 迴路時,您有很高的風險會遇到暫時或完全無法連線到 Office 365 服務。

若要讓實作成功,您將須分析您的基礎結構需求、完成詳細的網路評估與設計、以分段式且控管的方式仔細規劃推行策略,並且建立詳細的驗證和測試計劃。對於大型分散的環境,橫跨好幾個月的實作是滿常見的。本指南旨在協助您事先規劃。

大型的成功部署可能需要六個月的規劃時間,而且通常囊括來自組織內眾多領域的小組成員,包括網路、防火牆和 Proxy 伺服器系統管理員、Office 365 系統管理員、安全性、一般使用者支援、專案管理,以及執行贊助權。您在規劃流程中的投資會降低您遇到部署失敗的可能性,部署失敗會造成服務中斷或複雜且費用高昂的疑難排解。

我們期望您先完成下列先決條件,再開始進行此實作指南。

  1. 您已完成網路評估,判斷是否建議並核准使用 ExpressRoute。

  2. 您已選擇 ExpressRoute 網路服務提供者。請參閱有關 ExpressRoute 合作夥伴和對等位置的詳細資訊。

  3. 您已閱讀並瞭解ExpressRoute 文件 ,且您的內部網路可以符合 ExpressRoute 必要條件端對端。

  4. 您的小組讀取所有公開指南和https://aka.ms/expressrouteoffice365https://aka.ms/ert,文件,並且監看之Office 365 訓練課程的 Azure ExpressRoute上數列頻道 9 若要瞭解的要徑技術的詳細資訊,包括:

    • SaaS 服務的網際網路相依性。

    • 如何避免非對稱路由及處理複雜路由。

    • 如何將外圍安全性、 可用性和應用程式層級的控制項。

從收集需求著手進行

第一步先從判斷您計劃在組織內採用哪些功能和服務開始。您須判斷將會使用各種 Office 365 服務的哪些功能,以及您網路上的哪些位置將託管使用這些功能的人員。透過案例目錄,您須新增這些各個案例所需要的網路屬性;例如輸入和輸出網路流量,以及 Office 365 端點是否可透過 ExpressRoute 使用。

若要收集貴組織的需求:

  • 將貴組織使用的 Office 365 服務之輸入和輸出網路流量編入目錄。參閱 Office 365 URL 和 IP 位址範圍頁面,找出各種 Office 365 案例需要的流量之描述。

  • 收集現有網路拓撲的文件,顯示您內部 WAN 骨幹和拓撲、衛星網站的連線能力、最終使用者連線能力、網路周邊出口點的路由,以及 Proxy 服務等詳細資料。

    • 找出 Office 365 及其他 Microsoft 服務將連線到的網路圖上之輸入服務端點,顯示網際網路和建議的 ExpressRoute 連線路徑。

    • 找出所有使用者的地理位置和位置之間的 WAN 連線能力,以及哪些位置目前有網際網路的輸出,且建議哪些位置要有 ExpressRoute 對等位置的出口。

    • 找出所有邊緣裝置,例如 Proxy、防火牆等,並將它們與行經網際網路和行經 ExpressRoute 的流量之關聯性編入目錄。

    • 記載一般使用者是否會透過網際網路和 ExpressRoute 流量的直接路由或間接應用程式 Proxy,來存取 Office 365 服務。

  • 將您的租用戶位置和 Meet-Me 位置新增到網路圖。

  • 預估從主要使用者位置到 Office 365 之預期和觀察的網路效能和延遲特性。請記住,Office 365 是一組全域且散佈式的服務,使用者會連線到可能與他們的租用戶不同之位置。基於此原因,建議您測量並最佳化使用者與透過 ExpressRoute 和網際網路連線的最近 Microsoft 全域網路邊緣之間的延遲。您可使用您的網路評估調查結果,以利執行這項工作。

  • 列出新 ExpressRoute 連線所須符合的公司網路安全性和高可用性需求。例如,萬一網際網路出口或 ExpressRoute 迴路失敗,使用者如何繼續存取 Office 365。

  • 文件的傳入和傳出的 Office 365 網路接續會使用網際網路路徑,其中會使用 ExpressRoute。您的使用者的地理位置和您的內部部署網路拓撲的詳細資料的細節可能會要求一位使用者位置到另一個不同的方案。

最小化路由及其他網路複雜性,我們建議您只使用 ExpressRoute for Office 365 的網路流量到透過專用的連線,因為法規要求或網路評估的結果所需的。此外,建議您為不同,不同階段實作專案階段的 ExpressRoute 路由及方法輸出及輸入網路流量流向範圍。部署 Office 365 的 ExpressRoute 只使用者發起的租用戶輸出網路流量流向和保留在網際網路上的連入的網路流量流向協助控制增加拓撲複雜度和介紹非對稱式路由了解其他的風險。

您的網路流量目錄應該包含有您內部部署網路與 Microsoft 之間的所有傳入和傳出的網路連線的清單。

  • 輸出網路流量指的是,連線是從您內部部署環境初始化的任何案例,例如從內部用戶端或伺服器,而目的地是 Microsoft 服務。這些連線可能會直接連到 Office 365,或透過間接的方式 (例如當連線是透過 Proxy 伺服器、防火牆或 Office 365 路徑上的其他網路裝置)。

  • 輸入網路流量指的是,連線是從 Microsoft 雲端初始化到內部部署主機的任何案例。這些連線通常必須經過客戶安全性原則針對源自外部流量所要求之防火牆和其他安全性基礎結構。

請參閱使用 ExpressRoute for Office 365 進行路由文章的「確保路由對稱」一節,以判斷哪些服務會傳送輸入流量,並找到 Office 365 端點參考文章中標示為 ExpressRoute for Office 365 的欄,以判斷其餘的連線能力資訊。

對於要求輸出連線的每項服務,您會想要描述針對服務規劃的連線能力,包括網路路由、Proxy 設定、封包檢查及頻寬需求。

對於要求輸入連線的每項服務,您會需要一些額外的資訊。Microsoft 雲端中的伺服器將建立您的內部部署網路的連線。為了確保正常建立連線,您會需要描述此連線能力的所有層面,包括:將接受這些輸入連線的服務之公用 DNS 項目、CIDR 格式化的 IPv4 IP 位址 (與 ISP 設備相關),以及輸入 NAT 或來源 NAT 針對這些連線的處理方式。

不論輸入連線是否透過網際網路或 ExpressRoute 連線,都應予以檢查,以確保未引入非對稱路由。在某些情況下,Office 365 服務初始化輸入連線的內部部署端點可能也需要由其他 Microsoft 和非 Microsoft 服務存取。在針對 Office 365 用途啟用這些服務的 ExpressRoute 路由時,最重要的是不可破壞其他案例。在許多情況下,客戶可能需要實作他們內部網路的特定變更 (例如以來源為基礎的 NAT),以確保來自 Microsoft 的輸入流量在啟用 ExpressRoute 後仍保持對稱。

以下是所需的細節程度之範例。在此情況下,Exchange 混合式會透過 ExpressRoute 路由到內部部署系統。

連線屬性

網路流量方向

輸入

服務

Exchange 混合式

公用 Office 365 端點 (來源)

Exchange Online (IP 位址)

公用內部部署端點 (目的地)

5.5.5.5

公用 (網際網路) DNS 項目

Autodiscover.contoso.com

其他 (非 Office 365) Microsoft 服務會使用此內部部署端點嗎

網際網路上的使用者/系統會使用此內部部署端點嗎

透過公用端點發佈的內部系統

Exchange Server 用戶端存取角色 (內部部署) 192.168.101、192.168.102、192.168.103

公用端點的 IP 公告

到網際網路:5.5.0.0/16

若要 ExpressRoute: 5.5.5.0/24

安全性/周邊控制

網際網路路徑:DeviceID_002

ExpressRoute 路徑: DeviceID_003

高可用性

使用中/使用中透過 2 異地備援

ExpressRoute 迴路 – 芝加哥和達拉斯

路徑對稱控制

方法: 來源 NAT

網際網路路徑: 來源 NAT 連入連線 192.168.5.5

ExpressRoute 路徑: 來源 NAT 連線 192.168.1.0 (芝加哥) 以及 192.168.2.0 (達拉斯)

以下是僅限輸出的服務之範例:

連線屬性

網路流量方向

輸出

服務

SharePoint Online

內部部署端點 (來源)

使用者工作站

公用 Office 365 端點 (目的地)

SharePoint Online (IP 位址)

公用 (網際網路) DNS 項目

*.sharepoint.com (和額外的 FQDN)

CDN 轉介

cdn.sharepointonline.com (和額外的 FQDN) – 由 CDN 提供者維護的 IP 位址

使用中的 IP 公告和 NAT

網際網路路徑/來源 NAT:1.1.1.0/24

ExpressRoute 路徑/來源 NAT: 1.1.2.0/24 (芝加哥) 和 1.1.3.0/24 (達拉斯)

連線方式

網際網路:透過第 7 層 Proxy (.pac 檔案)

ExpressRoute: 直接路由 (沒有 proxy)

安全性/周邊控制

網際網路路徑:DeviceID_002

ExpressRoute 路徑: DeviceID_003

高可用性

網際網路路徑: 重複的網際網路出口

ExpressRoute 路徑: 主動/主動 '作用馬鈴薯' 路由跨 2 地理多餘的 ExpressRoute 電路 – 芝加哥及達拉斯

路徑對稱控制

方法: 來源的所有連線的 NAT

一旦您了解服務及與它們關聯的網路流量,您就可以建立網路圖,在其中整合這些新的連線能力需求,並說明為使用 ExpressRoute for Office 365 所要進行的變更。您的圖表應包含:

  1. 將存取 Office 365 及其他服務的所有使用者位置。

  2. 所有網際網路和 ExpressRoute 出口點。

  3. 管理網路內外連線能力的所有輸出和輸入裝置,包括路由器、防火牆、應用程式 Proxy 伺服器及入侵偵測/預防。

  4. 所有輸入流量的內部目的地,例如接受來自 ADFS Web 應用程式 Proxy 伺服器的連線之內部 ADFS 伺服器。

  5. 將公告的所有 IP 子網路目錄

  6. 識別人員將存取 Office 365 的每個位置,並列出將用於 ExpressRoute 的 Meet-Me 位置。

  7. 您內部網路拓撲的位置和部分,其中會接受、篩選並傳播從 ExpressRoute 得知的 Microsoft IP 首碼。

  8. 網路拓撲應說明每個網路區段的地理位置,以及它如何透過 ExpressRoute 和/或網際網路連線到 Microsoft 網路。

下圖顯示人員將使用 Office 365 的每個位置,以及 Office 365 的輸入和輸出路由公告。

ExpressRoute 地理區域 Meet-Me

對於輸出流量,人員會以下列三種方式的其中之一存取 Office 365:

  1. 若是加州的人員,則透過北美的 Meet-Me 位置。

  2. 若是香港的人員,則透過香港的 Meet-Me 位置。

  3. 若是人員較少且未佈建 ExpressRoute 迴路之處,則透過孟加拉的網際網路。

區域圖表輸出連線

同樣地,來自 Office 365 的輸入網路流量會以下列三種方式的其中之一傳回:

  1. 若是加州的人員,則透過北美的 Meet-Me 位置。

  2. 若是香港的人員,則透過香港的 Meet-Me 位置。

  3. 若是人員較少且未佈建 ExpressRoute 迴路之處,則透過孟加拉的網際網路。

區域圖表輸入連線

Meet-Me 位置 (這是您的 ExpressRoute 迴路將您的網路連線到 Microsoft 網路之實體位置) 的選擇會受到人員將存取 Office 365 的位置影響。做為 SaaS 提供,Office 365 不會在 IaaS 或 PaaS 區域模型下運作 (與 Azure 的方式不同)。相反地,Office 365 是一組散佈式的共同作業服務,使用者可能需要透過多個資料中心和區域連線到端點,這可能未必是與託管使用者的租用戶之處相同的位置或區域。

也就是說,您在選擇 ExpressRoute for Office 365 的 Meet-Me 位置時,最重要的考量應為貴組織中的人員會從哪個位置進行連線。最佳化 Office 365 連線能力的一般建議是實作路由功能,這樣使用者會要求透過最短的網路路徑將 Office 365 服務交給 Microsoft 網路,這通常也稱為「熱馬鈴薯」(hot potato) 路由選擇。例如,如果大部分的 Office 365 使用者位於一或兩個位置,請選擇與將建立最佳化設計的使用者之位置最接近的 Meet-Me 位置。如果貴公司的使用者人數眾多且遍佈多個不同區域,您可能會想要考慮使用多個 ExpressRoute 迴路和 Meet-Me 位置。對某些使用者位置而言,Microsoft 網路和 Office 365 的最短/最佳化路徑可能不是透過您的內部 WAN 和 ExpressRoute Meet-Me 點,而是透過網際網路。

在相對鄰近使用者的區域內,往往會有多個 Meet-Me 位置可供選擇。請填寫下列表格以引導您做出決策。

在加州和紐約規劃的 ExpressRoute Meet-Me 位置

位置

人員數目

透過網際網路出口的 Microsoft 網路之預期延遲

透過 ExpressRoute 的 Microsoft 網路之預期延遲

洛杉磯

10,000

~15ms

~10ms (透過矽谷)

華盛頓特區

15,000

~20ms

~10ms (透過紐約)

達拉斯

5,000

~15ms

~40ms (透過紐約)

一旦已開發顯示 Office 365 區域、ExpressRoute 網路服務提供者 Meet-Me 位置及按位置劃分的人員數目之全域網路架構,就可以用它來識別是否可進行任何最佳化。它也會顯示全域 U 型線路 (Hairpin) 網路連線,其中流量會路由到遠距位置以取得 Meet-Me 位置。如果在全域網路上發現了 U 型線路 (Hairpin),應先將它修復再繼續進行。找到另一個 Meet-Me 位置,或使用選擇的網際網路中斷出口點以防止 U 型線路 (Hairpin)。

第一個圖表顯示在北美有兩個實體位置的客戶之範例。您可以看到有關辦公室位置、Office 365 租用戶位置及 ExpressRoute Meet-Me 位置的數個選項之資訊。在此範例中,客戶已依序根據下列兩項原則選擇 Meet-Me 位置:

  1. 最接近組織中的人員。

  2. 最接近靠近裝載 Office 365 的 Microsoft 資料中心。

ExpressRoute 美國地理區域 Meet-Me

第二個圖表進一步擴展此概念,顯示面臨同樣資訊與決策的多國客戶之範例。此客戶在孟加拉有一間小型辦公室,只有一個十名人員的小組,致力於擴展該地區的業務。在清奈有一個 Meet-Me 位置,以及一個在清奈託管 Office 365 的 Microsoft 資料中心,所以 Meet-Me 位置是有意義的,不過就十名人員而言,額外迴路的費用是沉重的負擔。當您查看您的網路時,您將須判斷透過您的網路傳送網路流量所發生的延遲情形,是否比投入資本取得另一個 ExpressRoute 迴路更有效率。

或者,孟加拉的十名人員可能會遇到的情況是,比起在他們的內部網路路由 (如我們在簡介圖表中的示範與以下的重現),透過網際網路將網路流量傳送到 Microsoft 的網路效能會更好。

區域圖表輸出連線

建立 ExpressRoute for Office 365 實作規劃

實作規劃應包含設定 ExpressRoute 的技術詳細資訊,以及設定網路上的所有其他基礎結構之詳細資訊,例如下列項目。

  • 規劃哪些服務應分散在 ExpressRoute 和網際網路。

  • 規劃頻寬、安全性、高可用性及容錯移轉。

  • 設計輸入和輸出路由,包括不同位置的正確路由路徑最佳化

  • 決定 ExpressRoute 路由將在您的網路中公告到多遠,以及讓用戶端選擇網際網路或 ExpressRoute 路徑的機制為何;例如直接路由或應用程式 Proxy。

  • 規劃 DNS 記錄變更,包括寄件者原則架構項目。

  • 規劃 NAT 策略包括輸出及輸入來源 nat。

  • 對於您的初始部署,建議所有輸入服務 (例如內送電子郵件或混合式連線) 都使用網際網路。

  • 規劃使用者用戶端 LAN 路由,例如設定 PAC/WPAD 檔案、 預設路由、 proxy 伺服器,以及 BGP 傳送通知。

  • 規劃周邊路由,包括 Proxy 伺服器、防火牆及雲端 Proxy。

建立每個主要 Office 365 工作負載所需頻寬的規劃。分開預估 Exchange Online、SharePoint Online 及商務用 Skype Online 頻寬需求。您可以從使用我們針對 Exchange Online 和商務用 Skype 所提供的預估計算器著手進行,不過必須執行含有使用者設定檔和位置的典型範例之前導測試,才能完全了解貴組織的頻寬需求。

在您的規劃中加入每個網際網路和 ExpressRoute 出口位置的安全性處理方式,記得 Office 365 的所有 ExpressRoute 連線都使用公用對等,而且仍然必須遵照貴公司連線到外部網路的安全性原則並受到保護。

在您的規劃中加入有關哪些人員會受到哪種類型的中斷影響,而這些人員要如何才能以最簡單的方式全力執行工作等詳細資料。

規劃頻寬需求,包括有關商務用 Skype 的時基誤差 (Jitter)、延遲、壅塞及空餘空間之需求

商務用 Skype Online 也有特定額外的網路需求,詳情請參閱商務用 Skype Online 中的媒體品質和網路連線效能一文。

請參閱 ExpressRoute for Office 365 的網路規劃中的「Azure ExpressRoute 的頻寬規劃」一節。

與您的前導測試使用者執行頻寬評估時,您可以使用我們的指南:使用基準和效能歷程記錄調整 Office 365 效能

規劃高可用性需求

建立符合您的需求之高可用性的規劃,並將它整合到您更新的網路拓撲圖表中。請參閱 ExpressRoute for Office 365 的網路規劃中的「Azure ExpressRoute 的高可用性和容錯移轉」一節。

規劃網路的安全性需求

建立符合您網路安全性需求的規劃,並將它整合到您更新的網路拓撲圖表中。請參閱 ExpressRoute for Office 365 的網路規劃中的「將安全性控制套用到 Azure ExpressRoute for Office 365 案例」一節。

ExpressRoute for Office 365 具有您可能不熟悉的輸出網路需求。具體來說,代表您的 Office 365 使用者和網路的 IP 位址以及當做 Microsoft 的輸出網路連線之來源端點,必須遵循以下所述的特定需求。

  1. 端點必須是註冊到貴公司或電信業者提供您 ExpressRoute 連線能力之公用 IP 位址。

  2. 端點必須公告到 Microsoft 並經過 ExpressRoute 驗證/接受。

  3. 端點不可使用相同或更慣用的路由衡量標準公告到網際網路。

  4. 端點不可用於未透過 ExpressRoute 設定的 Microsoft 服務之連線。

如果您的網路設計不符合這些需求,您的使用者有很高的風險會因為路由黑洞或非對稱路由,而遇到 Office 365 和其他 Microsoft 服務的連線失敗問題。當 Microsoft 服務的要求是透過 ExpressRoute 路由,但回應是透過網際網路路由回來時 (反之亦然),而回應遭到具狀態的網路裝置 (例如防火牆) 捨棄時,就會發生此問題。

為了符合上述需求,您可以採用的最常見方法是使用來源 NAT,無論是在您的網路當中實作或由您的 ExpressRoute 電信業者提供。來源 NAT 可讓您從 ExpressRoute 摘錄詳細資料和您的網際網路的網路之私人 IP 位址;搭配正確的 IP 路由公告,提供一種確保路徑對稱的簡易機制。如果您使用 ExpressRoute 對等位置專用之具狀態的網路裝置,您必須實作每個 ExpressRoute 對等體的個別 NAT 集區,以確保路徑對稱。

請參閱更多有關 ExpressRoute NAT 需求的資訊。

將輸出連線的變更加入網路拓撲圖表中。

大多數的企業 Office 365 部署假設從 Office 365 到內部部署服務之某種形式的輸入連線,例如 Exchange、SharePoint 及商務用 Skype 混合式案例、信箱移轉,以及使用 ADFS 基礎結構進行驗證。當您透過 ExpressRoute 為輸出連線在您的內部部署網路和 Microsoft 之間啟用額外路由路徑時,這些輸入連線可能會不小心受到非對稱路由的影響,即使您預計讓這些流量繼續使用網際網路。下述是一些建議的注意事項,以確保對以網際網路為基礎的輸入流量 (從 Office 365 到內部部署系統) 不會造成影響。

為了將輸入網路流量的非對稱路由風險降到最低,所有輸入連線都應先使用來源 NAT,再路由到擁有 ExpressRoute 路由可見度的網路區段。如果具有 ExpressRoute 路由可見度的網路區段上允許傳入連線 (而不需要來源 NAT),從 Office 365 起始的需求將從網際網路進入,但回到 Office 365 的回應將慣用返回 Microsoft 網路的 ExpressRoute 網路路徑,而導致非對稱路由。

您可考慮下列其中一種實作模式,以滿足此需求:

  1. 先執行來源 NAT,再於從網際網路到您內部部署系統的路徑上使用網路設備 (例如防火牆或負載平衡器),將要求路由到您的內部網路。

  2. 確保 ExpressRoute 路由未傳播到處理網際網路連線的輸入服務 (例如前端伺服器或反向 Proxy 系統) 所在的網路區段。

明確說明您網路中的這些案例,並且將所有輸入網路流量保持為透過網際網路,這樣會有助於將非對稱路由的部署和操作風險降到最低。

可能會有一些情況是您可選擇將一些輸入流量導向透過 ExpressRoute 連線。對於這些案例,請額外考量下列事項。

  1. Office 365 只能將目標鎖定在使用公用 IP 的內部部署端點。也就是說,即使內部部署輸入端點是透過 ExpressRoute 只向 Office 365 公開,它仍須有與它關聯的公用 IP。

  2. Office 365 服務為解決內部部署端點而執行的所有 DNS 名稱解析都是使用公用 DNS 產生。也就是說,您必須將輸入服務端點的 FQDN 註冊到網際網路上的 IP 對應。

  3. 為了透過 ExpressRoute 接收輸入網路連線,這些端點的公用 IP 子網路必須透過 ExpressRoute 公告到 Microsoft。

  4. 仔細評估這些輸入網路流量,以確保遵照貴公司的安全性和網路原則,套用了適當的安全性與網路控制。

  5. 一旦您的內部部署輸入端點已透過 ExpressRoute 公告到 Microsoft,ExpressRoute 就會有效地變成所有 Microsoft 服務 (包括 Office 365) 的這些端點之慣用路由路徑。也就是說,這些端點子網路必須只用於與 Office 365 服務的通訊,而且不可用於與 Microsoft 網路上之其他服務的通訊。否則,您的設計將會導致非對稱路由,當中來自其他 Microsoft 服務的輸入連線會慣用透過 ExpressRoute 路由輸入,而傳回路徑則會使用網際網路。

  6. 萬一 ExpressRoute 迴路或 Meet-Me 位置故障,您必須確保內部部署輸入端點仍可供使用,以透過另一個網路路徑接受要求。這可能表示透過多個 ExpressRoute 迴路公告這些端點的子網路。

  7. 對於透過 ExpressRoute 進入您的網路之所有輸入網路流量,建議套用來源 NAT,尤其是在這些流量越過具狀態的網路裝置 (例如防火牆) 時。

  8. 一些內部部署服務 (例如 ADFS Proxy 或 Exchange 自動探索),可能會接收來自 Office 365 服務和來自網際網路的使用者之輸入要求。對於這些要求,Office 365 會在使用者透過網際網路要求時,將目標鎖定在相同的 FQDN。允許從網際網路到這些內部部署端點的輸入使用者連線,並同時強制規定 Office 365 連線使用 ExpressRoute,這代表路由的複雜度會非常高。對於極大多數的客戶,基於運作考量,不建議透過 ExpressRoute 實作這些複雜的案例。這項額外負荷包括管理非對稱路由的風險,而且您必須多方仔細管理路由公告和原則。

您想要避免非對稱路由,以確保貴組織中的人員能夠順暢使用 Office 365 以及其他網際網路上的重要服務。客戶中有兩種會導致非對稱路由的常見設定。請把握此時機,檢閱您規劃使用的網路設定,並檢查下列其中一種非對稱路由案例是否可能存在。

為了開始進行,我們會檢查與下列網路圖關聯的一些不同情況。在此圖表中,接收輸入要求 (例如 ADFS 或內部部署混合式伺服器) 的所有伺服器都位於紐澤西州資料中心,而且已公告到網際網路。

  1. 雖然周邊網路是安全的,沒有「來源 NAT」可供連入要求使用。

  2. 紐澤西州資料中心的伺服器能夠看到網際網路和 ExpressRoute 路由。

ExpressRoute 連線能力概觀

我們也有關於如何進行修正的建議。

問題 1:透過網際網路的雲端到內部部署連線

下圖說明在您的網路設定未提供 NAT 給從 Microsoft 雲端透過網際網路的輸入要求時,採用的非對稱網路路徑。

  1. 來自 Office 365 的輸入要求會從公用 DNS 擷取內部部署端點的 IP 位址,並將要求傳送到您的周邊網路。

  2. 在此錯誤設定中,傳送流量的周邊網路未設定或提供「來源 NAT」,導致實際來源 IP 位址被當做傳回目的地使用。

    • 您網路上的伺服器透過任何可用的 ExpressRoute 網路連線,將傳回流量路由到 Office 365。

    • 結果變成 Office 365 該流量的「非對稱」路徑,導致連線中斷。

ExpressRoute Asymetric 路由問題 1

解決方案 1a:來源 NAT

只要將來源 NAT 新增到輸入要求,就能解決此設定錯誤的網路問題。在此圖表中:

  1. 連入要求繼續透過紐澤西州資料中心的周邊網路進入。此時有「來源 NAT」可供使用。

  2. 來自伺服器的回應會路由回到與「來源 NAT」關聯的 IP,而不是原始 IP 位址,使回應沿著相同網路路徑傳回。

ExpressRoute Asymetric 路由解決方案 1

解決方案 1b:路由範圍

或者,您可以選擇不要允許公告 ExpressRoute BGP 首碼,移除這些電腦的替代網路路徑。在此圖表中:

  1. 連入要求繼續透過紐澤西州資料中心的周邊網路進入。此時從 Microsoft 透過 ExpressRoute 迴路公告的首碼,無法供紐澤西州資料中心使用。

  2. 來自伺服器的回應會透過唯一的可用路由來路由回到與原始 IP 位址關聯的 IP,使回應沿著相同的網路路徑傳回。

ExpressRoute Asymetric 路由解決方案 2

問題 2:透過 ExpressRoute 的雲端到內部部署連線

下圖說明在您的網路設定未提供 NAT 給從 Microsoft 雲端透過 ExpressRoute 的輸入要求時,採用的非對稱網路路徑。

  1. 來自 Office 365 的輸入要求會從 DNS 擷取 IP 位址,並將要求傳送到您的周邊網路。

  2. 在此錯誤設定中,傳送流量的周邊網路未設定或提供「來源 NAT」,導致實際來源 IP 位址被當做傳回目的地使用。

    • 您網路上的電腦透過任何可用的 ExpressRoute 網路連線,將傳回流量路由到 Office 365。

    • 結果變成 Office 365 的「非對稱」連線。

ExpressRoute Asymetric 路由問題 2

解決方案 2:來源 NAT

只要將來源 NAT 新增到輸入要求,就能解決此設定錯誤的網路問題。在此圖表中:

  1. 連入要求繼續透過紐約資料中心的周邊網路進入。此時有「來源 NAT」可供使用。

  2. 來自伺服器的回應會路由回到與「來源 NAT」關聯的 IP,而不是原始 IP 位址,使回應沿著相同網路路徑傳回。

ExpressRoute Asymetric 路由解決方案 3

以書面方式驗證網路設計具有路徑對稱

此時,您需要以書面方式驗證,您的實作規劃針對您將使用 Office 365 的各種不同案例提供路由對稱。您將識別當人員使用服務的不同功能時,預期採用的特定網路路由。從內部部署網路和 WAN 路由、到周邊裝置、到連線路徑;ExpressRoute 或網際網路,以及到線上端點的連線。

針對先前識別為貴組織將採用的服務之所有 Office 365 網路服務,您都須執行此操作。

與第二位人員一起,會有助於進行此路由的書面逐步引導。向人員解說每個網路躍點預期取得它下一個路由的位置,並確保您熟悉路由路徑。請切記,比起網際網路預設的路由,ExpressRoute 一律會提供 Microsoft 伺服器 IP 位址之更限定範圍的路由,以降低路由成本。

設計用戶端連線能力設定

搭配 ExpressRoute 使用 PAC 檔案

如果您使用 proxy 伺服器的繫結的網際網路流量,然後您需要調整任何 PAC,或用戶端設定檔,以確保正確設定您的網路上的用戶端電腦傳送到 Office 365 的 ExpressRoute 流量您想要而不 transiting proxy 伺服器,以及剩餘資料流量,包括部分 Office 365 流量,會傳送至相關的 proxy。閱讀我們的輔助線管理 Office 365 端點 ,例如 PAC 檔案。

附註: 端點經常每週變更。您只應根據貴組織採用的服務和功能進行變更,以降低為了保持最新狀態所需執行的變更數目。請密切注意 RSS 摘要中的「生效日期」,其中會宣佈變更以及保留所有過去變更的記錄、宣佈的 IP 位址可能不會公告,或已從公告中移除,直到到達生效日期為止。

建立您的部署和測試程序

您的實作規劃應包含測試和復原計劃。如果您的實作未如預期般運作,在發現問題之前,應將規劃設計成影響最少的人員。以下是一些您的規劃應考量的高層級之原則。

  1. 分階段執行網路區段和使用者服務上線,以將干擾降到最低。

  2. 從個別的網際網路連接之主機,使用路徑追蹤和 TCP 連線規劃測試路由。

  3. 最好傳入和傳出服務的測試應該測試 Office 365 租用戶的隔離的測試網路上。

    • 或者,如果客戶尚未使用 Office 365 或在前導測試期,也可以在生產環境網路執行測試。

    • 或者,也可以在僅限測試和監控之擱置生產中斷期間執行測試。

    • 或者,也可以透過檢查每個第 3 層路由器節點上之每項服務的路由來執行測試。由於缺乏實體測試會引入風險,只有在不可能進行其他測試時,才應退而採用此備案。

您的部署程序應分階段推行到幾個小型的人員群組,以在部署到更大型的人員群組之前進行測試。以下是分階段部署 ExpressRoute 的一些方式。

  1. 使用 Microsoft 對等設定 ExpressRoute,並將路由公告轉寄給單一主機 (僅限分階段的測試用途)。

  2. 一開始先將路由公告到 ExpressRoute 網路的單一網路區段,然後依據網路區段或區域來擴展路由公告。

  3. 如果是第一次部署 Office 365,請使用 ExpressRoute 網路部署做為少數人員的前導測試。

  4. 如果是使用 Proxy 伺服器,您也可以先設定測試 PAC 檔案,以將少數人員導向 ExpressRoute 進行測試和意見反應,然後再加入更多。

您的實作規劃應列出必須執行的每個部署程序,或須用來部署網路設定的命令。當網路中斷時間到達,所有進行的變更都應來自事先撰寫且經過同儕審查的書面部署規劃。請參閱我們有關 ExpressRoute 的技術設定之指導方針。

  • 更新您的 SPF TXT 記錄 (如果您已變更將繼續傳送電子郵件的任何內部部署伺服器之 IP 位址)。

  • 更新內部部署伺服器的任何 DNS 項目 (如果您已變更 IP 位址來因應新的 NAT 設定)。

  • 請確認您已訂閱 Office 365 端點通知的 RSS 摘要,以維護任何路由或 Proxy 設定。

您的 ExpressRoute 部署完成之後應執行測試計劃的程序。每個程序的結果應該記錄。您必須包含回復到原來的生產環境事件中測試方案結果表示實作不成功的程序。

您的測試程序應包含 Office 365 的每個輸出和輸入網路服務之測試 (同時包含將使用和將不使用 ExpressRoute 的 Office 365)。程序應包含從每個唯一的網路位置進行測試,包括非公司 LAN 中內部部署的使用者。

以下是測試活動的一些範例。

  1. 偵測 (ping) 從內部部署路由器至網路運算子路由器。

  2. 驗證您的內部部署路由器已收到 500+ Office 365 和 CRM Online IP 位址公告。

  3. 驗證您的輸入和輸出 NAT 在 ExpressRoute 和內部網路之間運作。

  4. 驗證您的 nat 路由等等從路由器。

  5. 驗證 ExpressRoute 已接受您的公告首碼。

    • 使用下列 cmdlet,以驗證對等的廣告:

    • Get-AzureRmExpressRouteCircuitRouteTable -DevicePath Primary -ExpressRouteCircuitName TestER -ResourceGroupName RG -PeeringType MicrosoftPeering
  6. 驗證您的公用 NAT IP 範圍未透過任何其他 ExpressRoute 或公用網際網路的網路迴路公告到 Microsoft,除非它與先前的範例一樣,是較大範圍的專用子集。

  7. ExpressRoute 迴路已配對,驗證兩個 BGP 工作階段都在執行中。

  8. 在 NAT 內部上設定單一主機,並使用 ping、tracert 及 tcpping 在新迴路上測試到主機 outlook.office365.com 的連線能力。或者,您可以在 MSEE 的鏡像連接埠上使用如 Wireshark 或 Microsoft 網路監視器 3.4 版等工具,以驗證您能夠連線到與 outlook.office365.com 關聯的 IP 位址。

  9. 測試 Exchange Online 的應用程式層級功能。

    • 測試 Outlook 能夠連線到 Exchange Online 並傳送/接收電子郵件。

    • 測試 Outlook 能夠使用線上模式。

    • 測試智慧型手機連線能力以及傳送/接收的能力。

  10. 測試 SharePoint Online 的應用程式層級功能。

    • 測試商務用 OneDrive 同步處理用戶端。

    • 測試 SharePoint Online 網頁存取。

  11. 測試商務用 Skype 通話案例的應用程式層級功能:

    • 以通過驗證的使用者身分 [由一般使用者啟動的邀請] 加入電話會議。

    • 邀請使用者進行電話會議 [從 MCU 送出邀請]。

    • 以匿名使用者身分使用商務用 Skype Web 應用程式加入會議。

    • 從您的有線電腦連接、IP 手機及行動裝置加入通話。

    • 打電話給同盟的使用者 o PSTN 驗證的來電至: 呼叫完成、 通話品質可接受,連接時可接受。

    • 檢查租用戶成員和同盟使用者成員的連絡人目前狀態都已更新。

非對稱路由是最常見的實作問題。以下是一些可尋找的常見來源:

  • 使用開放或扁平的網路路由拓撲,而沒有來源 NAT。

  • 未使用 SNAT 透過網際網路和 ExpressRoute 連線路由到輸入服務。

  • 未測試上 ExpressRoute 之前廣泛部署測試網路上的連入的服務。

部署您的網路的 ExpressRoute 連線能力

分階段執行您的部署 (一次一個網路區段),漸進式將連線推行到網路的不同部分,並備有每個新網路區段的復原之計劃。如果您的部署與 Office 365 部署一致,請先部署到您的 Office 365 前導測試使用者,然後再從這裡擴展。

請先在測試中執行,然後再於生產環境中執行:

  • 執行部署步驟以啟用 ExpressRoute。

  • 測試您看到的網路路由與預期的相同。

  • 在每個輸入和輸出服務上執行測試。

  • 如果您發現任何問題,請執行復原。

現在您已完成書面計劃,是時候可以進行小規模的測試了。在此測試中,您將使用「Microsoft 對等」建立單一 ExpressRoute 連線,以測試您內部部署網路上的子網路。您可以設定試用的 Office 365 租用戶在測試子網路的連線能力,並包含所有您將在測試子網路的生產環境中使用的輸出和輸入服務。設定測試網路區段的 DNS,並建立所有輸入和輸出服務。執行您的測試計劃,並確保您熟悉每項服務的路由及路由傳播。

當您完成上述項目時,請劃掉您已完成的部分,並確保您與您的小組已檢閱,然後再執行您的部署和測試計劃。

  • 網路變更中包含的輸出和輸入服務之清單。

  • 顯示網路網路出口和 ExpressRoute Meet-Me 位置的全域網路架構圖表。

  • 示範每項部署的服務使用之不同網路路徑的網路路由圖表。

  • 含有實作變更和復原 (如果需要的話) 之部署規劃。

  • 測試每個 Office 365 和網路服務的測試計劃。

  • 已完成的輸入和輸出服務之生產環境路由的書面驗證。

  • 測試網路區段上已完成的測試 (包括可用性測試)。

選擇時間長度足以執行整個部署規劃和測試計劃的中斷視窗,有一些可進行疑難排解的時間,以及可進行復原的時間 (如果需要的話)。

警告: 由於透過網際網路和 ExpressRoute 路由的複雜本質,建議在此視窗中加入額外的緩衝時間,以處理複雜路由的疑難排解。

必須有 QoS 才能獲得商務用 Skype Online 的語音和會議之優點。在確保 ExpressRoute 網路連線不會封鎖任何您其他的 Office 365 服務存取後,您就可以設定 QoS。有關 QoS 設定的描述,請參閱商務用 Skype Online 中的 ExpressRoute 和 QoS 一文。

疑難排解您的實作

本實作指南中的步驟是您第一個該查看的地方。是否遺漏了實作指南中的任何步驟呢?如果可能的話,請返回進一步執行小型網路測試,以複製錯誤並從其中除錯。

識別哪些輸入或輸出服務在測試期間已失敗。具體取得每項失敗服務的 IP 位址和子網路。請繼續進行並按照書面網路拓撲圖表的逐步引導,然後驗證路由。具體驗證 ExpressRoute 路由公告到哪個位置。如果可能的話,在中斷期間使用追蹤測試該路由。

透過網路追蹤來執行 PSPing 至每個客戶端點,評估驗證,這些是預期的來源與目的地 IP 位址。執行您公開連接埠 25,並確認 SNAT 隱藏的原始來源 IP 位址,是否這預期的任何郵件主機 telnet。

請記住,在使用 ExpressRoute 連線部署 Office 365 時,您將須確保 ExpressRoute 的網路設定是最佳化的設計,而且您也已最佳化網路上的其他元件 (例如用戶端電腦)。除了使用此規劃指南排解您可能遺漏的步驟以外,我們也提供 Office 365 的效能疑難排解規劃

您可以使用下列短連結返回這裡:https://aka.ms/implementexpressroute365

相關主題

網路連線至 Office 365
Office 365 的 Azure ExpressRoute
Office 365 連線管理 ExpressRoute
路由與 Office 365 的 ExpressRoute
網路規劃與 Office 365 的 ExpressRoute
ExpressRoute (預覽版本) 的 Office 365 案例中使用 BGP 社群
媒體品質及商務用 Skype Online 中的網路連線效能
最佳化您的商務用 Skype Online 的網路
ExpressRoute 和商務用 Skype Online 中的 QoS
呼叫流程使用 ExpressRoute
Office 365 效能調整使用比較基準和效能歷程記錄
效能疑難排解 Office 365 方案
Office 365 Url 與 IP 位址範圍
Office 365 網路和效能調整

附註: 機器翻譯免責聲明︰本文係以電腦系統翻譯而成,未經人為介入。Microsoft 提供此等機器翻譯旨在協助非英語系使用者輕鬆閱讀 Microsoft 產品、服務及技術相關內容。基於本文乃由機器翻譯而成,因此文中可能出現詞辭、語法、文法上之錯誤。

擴展您的技能
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×