Optimisation d’Office 365

Les fonctionnalités d’optimisation Office 365 adhèrent à laPrincipes de connectivité réseau Microsoft Office 365, pour optimiser Office 365. Office 365 est fourni en tant que service via plusieurs points de terminaison de service (portes d’entrée) situés dans le monde entier. Pour obtenir une expérience utilisateur optimale pour le trafic Office 365, Microsoft recommande de rediriger le trafic Office365 directement vers Internet à partir d’environnements de succursales et d’éviter les pratiques telles que la rétroacheminement vers un proxy central. En effet, le trafic Office 365 tel qu’Outlook, Word et ainsi de suite sont sensibles à la latence et le trafic de backhauling introduit une latence supplémentaire entraînant une mauvaise expérience utilisateur. Citrix SD-WAN vous permet de configurer des stratégies pour décomposer le trafic Office 365 vers Internet.

Le trafic Office 365 est dirigé vers le point de terminaison de service Office 365 le plus proche, qui existe sur les bords de l’infrastructure Microsoft Office 365 dans le monde entier. Une fois que le trafic atteint une porte d’entrée, il passe par le réseau de Microsoft et atteint la destination réelle. Cela réduit la latence à mesure que le temps aller-retour entre le réseau client et le point de terminaison Office 365 diminue.

Points de terminaison Office 365

Les points de terminaison Office 365 sont un ensemble d’adresses réseau et de sous-réseaux. Les points de terminaison sont répartis dans les trois catégories suivantes :

  • Optimiser : ces points de terminaison fournissent une connectivité à tous les services et fonctionnalités Office 365 et sont très sensibles à la disponibilité, aux performances et à la latence. Il représente plus de 75 % de la bande passante, des connexions et du volume de données Office 365. Tous les points de terminaison Optimize sont hébergés dans des centres de données Microsoft. Les demandes de service adressées à ces points de terminaison doivent se détacher de la succursale vers Internet et ne doivent pas passer par le centre de données.

  • Autoriser : ces points de terminaison fournissent uniquement la connectivité aux services et fonctionnalités Office 365 spécifiques, et ne sont pas sensibles aux performances du réseau et à la latence. La représentation de la bande passante et du nombre de connexions Office 365 est également significativement plus faible. Ces points de terminaison sont hébergés dans des centres de données Microsoft. Les demandes de service adressées à ces points de terminaison peuvent se détacher de la succursale vers Internet ou passer par le centre de données.

  • Par défaut : ces points de terminaison fournissent des services Office 365 qui ne nécessitent aucune optimisation et peuvent être traités comme du trafic Internet normal. Certains de ces points de terminaison peuvent ne pas être hébergés dans des centres de données Microsoft. Le trafic de cette catégorie n’est pas sensible aux variations de latence. Par conséquent, la rupture directe de ce type de trafic ne provoque aucune amélioration des performances par rapport à la rupture Internet. En outre, le trafic de cette catégorie peut ne pas toujours être le trafic Office 365, il est donc recommandé de désactiver cette option lors de l’activation de la rupture Office 365 dans votre réseau.

Fonctionnement de l’optimisation Office 365

Les signatures des points de terminaison Microsoft sont mises à jour au plus une fois par jour. Un agent de service Citrix sur l’appliance interroge le service Citrix chaque jour pour obtenir le dernier ensemble de signatures de point de terminaison. L’appliance SD-WAN interroge le service Citrix, une fois par jour, lorsque l’appliance est activée et que l’optimisation Office 365 est activée. Si de nouvelles signatures sont disponibles, l’appliance les télécharge et les stocke dans la base de données. Les signatures sont essentiellement une liste d’URL et d’adresses IP utilisées pour détecter le trafic Office 365 en fonction de laquelle les stratégies de direction du trafic peuvent être configurées.

Remarque

La détection et la classification du premier paquet du trafic Office 365 sont effectuées uniquement si la fonctionnalité de découpement Office 365 est activée.

Lorsqu’une demande d’application Office 365 arrive, le classificateur d’application effectue une première recherche de base de données de classificateur de paquets, identifie et marque le trafic Office 365. Une fois que le trafic Office 365 est classé, les stratégies de routage et de pare-feu des applications créées automatiquement prennent effet et détache le trafic directement vers Internet. Les demandes DNS Office 365 sont transmises à des services DNS spécifiques comme Quad9. Pour plus d’informations, reportez-vous à la section Système de noms de domaine.

image localisée

Configurer le découpage Office 365

La stratégie de répartition Office 365 vous permet de spécifier la catégorie de trafic Office 365 que vous pouvez extraire directement de la succursale. Lors de l’activation de la création d’Office 365 et de la compilation de la configuration, un objet DNS, un objet application, une route d’application et un modèle de stratégie de pare-feu sont automatiquement créés et appliqués aux sites de succursale avec un service Internet.

Conditions préalables

Assurez-vous que vous disposez des éléments suivants :

  1. Pour effectuer la sortie d’Office 365, un service Internet doit être configuré sur l’appliance. Pour plus d’informations sur la configuration du service Internet, reportez-vous à la section Accès Internet.

  2. Assurez-vous que l’interface de gestion dispose d’une connectivité Internet.

    Vous pouvez utiliser l’interface Web Citrix SD-WAN pour configurer les paramètres de l’interface de gestion.

  3. Assurez-vous que le DNS de gestion est configuré. Pour configurer l’interface de gestion DNS, accédez à Configuration > Paramètres de l’appliance > Carte réseau. Sous la section Paramètres DNS, fournissez les détails du serveur DNS principal et secondaire, puis cliquez sur Modifier les paramètres .

    image localisée

Le paramètre de stratégie de répartition Office 365 est disponible dans les paramètres globaux, sélectionnez la catégorie Office 365 requise pour la répartition Internet et cliquez sur Appliquer .

image localisée

Après avoir configuré les paramètres de stratégie Office 365, décomposer et compiler la configuration. Les paramètres suivants sont remplis automatiquement.

  • Objet DNS - L’objet DNS spécifie le type de trafic à transférer au service DNS configuré par l’utilisateur. Les demandes DNS sont entendues sur toutes les interfaces de confiance, et les redirecteurs DNS sont inclus pour diriger les demandes DNS Office 365 vers le service Quad9. Cette règle de transfert prend la priorité la plus élevée. Pour plus d’informations, consultez la section Service de noms de domaine .

  • Objet Application : un objet application dont la catégorie Office 365 est sélectionnée par l’utilisateur est créé. Si vous avez sélectionné les catégories Optimize, Autoriser et par défaut, les objets d’application O365Optimize_InternetBreakout, O365Allow_InternetBreakout et O365Default_InternetBreakout sont créés.

    image localisée

  • Route de l’application : un itinéraire d’application est créé pour chacun des objets d’application Office 365 avec le type de service Internet. image localisée

  • Modèle de stratégie de pré-appliance de pare-feu : un modèle de stratégie globale de pré-appliance est créé pour chaque catégorie Office 365 configurée. Ce modèle est appliqué à tous les sites de succursales qui disposent d’un service Internet. La stratégie de pré-appliance prend la priorité sur les modèles de stratégie locaux et postérieurs.

    image localisée

Transparent pour Office 365

La branche éclate pour Office 365 commence par une requête DNS. La demande DNS passant par les domaines Office 365 doit être orientée localement. Si Office 365 Internet break out est activé, les routes DNS internes sont déterminées et la liste des redirecteurs transparents est renseignée automatiquement. Les demandes DNS Office 365 sont transférées au service DNS open source Quad 9 par défaut. Le service DNS Quad 9 est sécurisé, évolutif et possède une présence multi-pop. Vous pouvez modifier le service DNS si nécessaire.

Des redirecteurs transparents pour les applications Office 365 seront créés dans toutes les succursales sur lesquelles le service Internet et le breakout Office 365 sont activés.

Si vous utilisez un autre proxy DNS ou si SD-WAN est configuré comme proxy DNS, la liste des redirecteurs est automatiquement renseignée avec les redirecteurs pour les applications Office 365.

image localisée

Surveillance

Vous pouvez surveiller les statistiques d’application Office 365 dans les rapports statistiques SD-WAN suivants :

  • Statistiques de pare-feu

    image localisée

  • Flux

    image localisée

  • Statistiques DNS

    image localisée

  • Statistiques de routage des applications

    image localisée

Vous pouvez également afficher les statistiques d’application Office 365 dans le rapport d’application SD-WAN Center.

image localisée

Résolution des problèmes

Vous pouvez afficher l’erreur de service dans la section Événements de l’appliance SD-WAN.

Pour vérifier les erreurs, accédez à Configuration > Maintenance du système > Diagnostics, cliquez sur l’onglet Événements.

image localisée

En cas de problème lors de la connexion au service Citrix, le message d’erreur s’affiche sous le tableau Afficher les événements .

image localisée

Les erreurs de connectivité sont également enregistrées dans SDWAN_DPI.log. Pour afficher le journal, accédez à Configuration > Paramètres de l’appliance > Logging/ Monitoring > Options du journal. Sélectionnez le fichier SDWAN_DPI.log dans la liste déroulante et cliquez sur Afficher le journal .

Vous pouvez également télécharger le fichier journal. Pour télécharger le fichier journal, sélectionnez le fichier journal requis dans la liste déroulante sous la section Télécharger le fichier journal, puis cliquez sur Télécharger le journal .

image localisée

Limitations

  • Si la stratégie de dépannage Office 365 est configurée, l’inspection approfondie des paquets n’est pas effectuée sur les connexions destinées à la catégorie configurée d’adresses IP.
  • La stratégie de pare-feu créée automatiquement et les routes d’application ne sont pas modifiables.
  • La stratégie de pare-feu créée automatiquement a la priorité la plus basse et n’est pas modifiable.
  • Le coût d’itinéraire pour la route d’application créée automatiquement est de cinq. Vous pouvez le remplacer par un itinéraire à moindre coût.