Office 365 优化

Office 365 优化功能遵守 Microsoft Office 365 网络连接原则 以优化 Office 365。Office 365 通过位于全球的多个服务终端节点(前门)作为服务提供。为了实现 Office 365 流量的最佳用户体验,Microsoft 建议将 Office365 流量从分支环境直接重定向到 Internet,并避免采用诸如备份到中央代理等做法。这是因为 Outlook、Word 等 Office 365 流量对延迟敏感,并且备份流量引入了额外的延迟,导致用户体验不佳。Citrix SD-WAN 允许您配置策略以将 Office 365 流量分解到 Internet。

Office 365 流量被定向到最近的 Office 365 服务终端节点,该终端节点位于全球微软 Office 365 基础结构的边缘。一旦流量到达前门,它就会通过 Microsoft 的网络并到达实际目的地。随着从客户网络到 Office 365 终端节点的往返时间的减少,这将延迟降至最低。

Office 365 端点

Office 365 终结点是一组网络地址和子网。终端分为以下三类:

  • 优化 -这些终端节点为每个 Office 365 服务和功能提供连接,并且对可用性、性能和延迟非常敏感。它代表了 Office 365 带宽、连接和数据量的 75% 以上。所有优化终结点都托管在 Microsoft 数据中心中。对这些终端的服务请求应从分支机构突破到 Internet,并且不应通过数据中心。

  • 允许 -这些终端节点仅提供与特定 Office 365 服务和功能的连接,对网络性能和延迟不太敏感。Office 365 带宽和连接计数的表示也显著降低。这些端点托管在 Microsoft 数据中心中。对这些终端的服务请求可能会从分支机构突破到 Internet,也可能会通过数据中心。

  • 默认值 -这些终端节点提供不需要任何优化的 Office 365 服务,并且可以被视为正常的 Internet 流量。其中一些终端节点可能不托管在 Microsoft 数据中心。此类别中的流量不容易受到延迟变化的影响。因此,与 Internet 突破相比,直接脱离这种类型的流量不会导致任何性能改进。此外,此类别中的流量可能并不总是 Office 365 流量,因此建议在您的网络中启用 Office 365 突破时禁用此选项。

Office 365 优化的工作原理

Microsoft 终端节点签名每天最多更新一次。设备上的 Citrix 服务代理每天轮询 Citrix 服务以获取最新的一组终端签名。当设备打开并启用 Office 365 优化时,SD-WAN 设备每天轮询 Citrix 服务一次。如果有可用的新签名,设备会下载该签名并将其存储在数据库中。签名本质上是用于检测 Office 365 流量的 URL 和 IP 列表,可根据这些 URL 和 IP 配置流量指导策略。

注意

第一个数据包检测和 Office 365 流量的分类仅当启用 Office 365 突破功能时才会执行。

当 Office 365 应用程序的请求到达时,应用程序分类器将执行第一个数据包分类器数据库查找、识别和标记 Office 365 流量。对 Office 365 流量进行分类后,自动创建的应用程序路由和防火墙策略将生效,并将流量直接分解到 Internet。Office 365 DNS 请求将转发到特定的 DNS 服务,如 Quad9。有关更多信息,请参阅 域名系统

本地化后的图片

配置 Office 365 分组

Office 365 分组策略允许您指定可以直接从分支中分出的 Office 365 流量的类别。启用 Office 365 分组和编译配置时,系统会自动创建 DNS 对象、应用程序对象、应用程序路由和防火墙策略模板,并将其应用于具有 Internet 服务的分支站点。

必备条件

请确保您具备以下条件:

  1. 为了执行 Office 365 分组,必须在设备上配置 Internet 服务。有关配置 Internet 服务的更多信息,请参阅Internet 访问权限

  2. 确保管理界面具有互联网连接。

    可以使用 Citrix SD-WAN Web 界面配置管理界面设置。

  3. 确保已配置管理 DNS。要配置管理接口 DNS,请导航到 配置 > 设备设置 > 网络适配器。在 DNS 设置 部分下,提供主 DNS 和辅助 DNS 服务器详细信息,然后单击 更改设置

    本地化后的图片

Office 365 分组策略设置在 全局设置下可用,为 Internet 分组选择所需的 Office 365 类别,然后单击 应用

本地化后的图片

配置 Office 365 打破策略设置并编译配置后。以下设置将自动填充。

  • DNS 对象 -DNS 对象指定要转发到用户配置的 DNS 服务的流量类型。在所有受信任的接口上都会听到 DNS 请求,并且 DNS 转发器将 Office 365 DNS 请求引导到 Quad9 服务。此转发器规则采用最高优先级。有关详细信息,请参阅 域名服务 部分。

  • 应用程序对象 -创建具有由用户选择的 Office 365 类别的应用程序对象。如果您选择了优化、允许和默认类别,则创建应用程序对象 O365Optimize_InternetBreakout, O365Allow_InternetBreakoutO365Default_InternetBreakout

    本地化后的图片

  • 应用程序路由:为具有 Internet 服务类型的 Office 365 应用程序对象创建应用程序路由。 本地化后的图片

  • 防火墙预设备策略模板:为每个配置的 Office 365 类别创建全局预设策略模板。此模板应用于具有 Internet 服务的所有分支站点。设备前策略优先于本地策略和后置设备策略模板。

    本地化后的图片

适用于 Office 365 的透明转发器

分支打破了 Office 365 开始的 DNS 请求。通过 Office 365 域的 DNS 请求必须在本地引导。如果启用 Office 365 Internet 中断,则确定内部 DNS 路由,并自动填充透明转发器列表。默认情况下,Office 365 DNS 请求转发到开源 DNS 服务四 9。四 9 DNS 服务是安全的,可扩展的,并具有多弹出的存在。如有必要,您可以更改 DNS 服务。

将在启用 Internet 服务和 Office 365 分组的每个分支上创建 Office 365 应用程序的透明转发器。

如果您正在使用其他 DNS 代理,或者如果 SD-WAN 配置为 DNS 代理,则将自动填充转发器列表的 Office 365 应用程序的转发器。

本地化后的图片

监视

您可以在以下 SD-WAN 统计报告中监视 Office 365 应用程序统计信息:

  • 防火墙统计信息

    本地化后的图片

  • 流动

    本地化后的图片

  • DNS 统计

    本地化后的图片

  • 应用程序路径统计

    本地化后的图片

还可以在 SD-WAN Center 应用程序报告中查看 Office 365 应用程序统计信息。

本地化后的图片

故障排除

您可以在 SD-WAN 设备的 事件 部分查看服务错误。

要检查错误,请导航到 配置 > 系统维护 > 诊断,单击 事件选项卡。

本地化后的图片

如果连接到 Citrix 服务时出现问题,则在 查看事件 表下显示错误消息。

本地化后的图片

连接错误也会记录到 SDWAN_dpi.log中。要查看日志,请导航至 配置 > 设备设置 > 记录/监视 > 日志选项。从下拉列表中选择 SDWAN_dpi.log ,然后单击查看日志

您也可以下载日志文件。要下载日志文件,请从 下载日志文件 部分 下的下拉列表中选择所需的日志文件 ,然后单击 下载日志

本地化后的图片

限制

  • 如果配置了 Office 365 突破策略,则不会对指定到已配置的 IP 地址类别的连接执行深度数据包检查。
  • 自动创建的防火墙策略和应用程序路由不可编辑。
  • 自动创建的防火墙策略的优先级最低且不可编辑。
  • 自动创建的应用程序路由的路由成本为 5。您可以使用较低的成本路径覆盖它。