Citrix SD-WAN

Office 365 优化

Office 365 优化 功能遵循 微软 Office 365 网络连接原则,以优化 Office 365。Office 365 通过位于全球的多个服务终端节点(前门)作为服务提供。为了获得 Office 365 流量的最佳用户体验,Microsoft 建议将 Office365 流量从分支机构环境直接重定向到互联网。避免回传到中央代理等做法。Outlook、Word 等 Office 365 流量对延迟敏感,回传流量会导致延迟更长,从而导致用户体验差。Citrix SD-WAN 允许您配置策略以将 Office 365 流量分解到 Internet。

Office 365 流量被定向到最近的 Office 365 服务终端节点,该终端节点位于全球微软 Office 365 基础结构的边缘。一旦流量到达前门,它就会通过 Microsoft 的网络并到达实际目的地。随着从客户网络到 Office 365 终端节点的往返时间缩短,它可以最大限度地减少延迟。

Office 365 端点

Office 365 终结点是一组网络地址和子网。Office 365 终端节点分为 “ 化”、“ 允许” 和 “默认”类别。Citrix SD-WAN 11.4.0 提供了优化允许 类别的更精细的分类,从而支持选择性引导以提高对网络敏感的 Office 365 流量的性能。将网络敏感流量定向到云中的 SD-WAN(Cloud Direct 或 Azure 上的 SD-WAN VPX),或者从家中 SD-WAN 设备到附近位置的具有更可靠互联网连接的 SD-WAN,与简单地将流量引导至最近的位置相比,可实现 QoS 和卓越的连接恢复能力Office 365 前门,代价是延迟的增加。带 QoS 的书籍 SD-WAN 解决方案可减少 VoIP 丢失和断开连接、减少抖动并提高 Microsoft Teams 的媒体质量平均意见得分:

  • 优化 -这些终端节点提供与每个 Office 365 服务和功能的连接,并对可用性、性能和延迟敏感。它代表了 Office 365 带宽、连接和数据量的 75% 以上。所有优化终结点都托管在 Microsoft 数据中心中。对这些端点的服务请求必须从分支机构分离到 Internet,并且不得通过数据中心。

优化 ” 类别分为以下子类别:

- Teams Realtime
- Exchange Online 
- SharePoint Optimize

有关升级注意事项的信息,请参阅 升级重要注意事项

  • 允许 -这些终端节点仅提供与特定 Office 365 服务和功能的连接,对网络性能和延迟不太敏感。Office 365 带宽和连接计数的表示也较低。这些端点托管在 Microsoft 数据中心中。对这些端点的服务请求可能会从分支机构分解到 Internet,或者可能会经过数据中心。

允许 类别分为以下子类别:

- Teams TCP Fallback
- Exchange Mail
- SharePoint Allow
- Office365 Common

有关升级注意事项的信息,请参阅 升级重要注意事项

注意

队实时 子类别使用 UDP 实时传输协议来管理 Microsoft Teams 流量,而 Teams TCP 回退 子类别使用 TCP 传输层协议。由于媒体流量对延迟敏感性很高,因此您可能希望此流量尽可能采取最直接的路径,并使用 UDP 而不是 TCP 作为传输层协议(就质量而言,交互式实时媒体的最首选传输)。尽管 UDP 是 Teams 媒体流量的首选协议,但它要求在防火墙中允许某些端口。如果不允许使用端口,Teams 流量将使用 TCP 作为回退,并且为 Teams TCP 回退启用优化可确保在这种情况下更好地交付 Teams 应用程序。有关详细信息,请参阅 Microsoft Teams 呼叫流程

  • 默认值 -这些终端节点提供不需要任何优化的 Office 365 服务,并且可以被视为正常的 Internet 流量。其中一些终端节点可能不会托管在 Microsoft 数据中心中。此类别中的流量不容易受到延迟变化的影响。因此,与 Internet 突破相比,直接脱离这种类型的流量不会导致任何性能改进。此外,此类别中的流量可能并不总是 Office 365 流量。因此,建议在网络中启用 Office 365 突破时禁用此选项。

Office 365 优化的工作原理

Microsoft 终端节点签名每天最多更新一次。设备上的代理每天轮询 Citrix 服务(SDWAN 应用程序路程 .citrixnetworkapi.net),以获取最新的一组终点签名。SD-WAN 设备每天在设备打开时轮询 Citrix 服务(sdwan-app-路由.citrixnetworkapi.net)。如果有可用的新签名,设备会下载该签名并将其存储在数据库中。签名本质上是用于检测 Office 365 流量的 URL 和 IP 列表,可根据这些 URL 和 IP 配置流量指导策略。

注意:

除了 Office 365 默认类别之外,无论 Office 365 分组分组功能是否启用,默认情况下都会执行 Office 365 流量的第一个数据包检测和分类。

当 Office 365 应用程序的请求到达时,应用程序分类器将执行第一个数据包分类器数据库查找、识别和标记 Office 365 流量。对 Office 365 流量进行分类后,自动创建的应用程序路由和防火墙策略将生效,并将流量直接分解到 Internet。Office 365 DNS 请求将转发到特定的 DNS 服务,如 Quad9。有关详细信息,请参阅 域名系统

O365-working

签名是从云服务(SDWAN 应用程序程序 .Citrixnetworkapi.net)下载的。

配置 Office 365 分组

Office 365 分组策略允许您指定可以直接从分支中分出的 Office 365 流量的类别。启用 Office 365 分组并编译配置后,将自动创建 DNS 对象、应用程序对象、应用程序路由和防火墙策略模板,并将其应用于具有 Internet 服务的分支站点。

必备条件

请确保您具有以下对象:

  1. 要执行 Office 365 分组讨论,必须在设备上配置互联网服务。有关配置互联网服务的详细信息,请参阅 互联网访问

  2. 确保管理界面具有互联网连接。

    可以使用 Citrix SD-WAN Web 界面配置管理界面设置。

  3. 确保已配置管理 DNS。要配置管理界面 DNS,请导航到 配置 > 设备设置 > 网络适配器。在 DNS 设置 部分下,提供主 DNS 和辅助 DNS 服务器详细信息,然后单击 更改设置

    DNS 设置

Office 365 分组策略设置在 全局设置下可用,为 Internet 分组选择所需的 Office 365 类别,然后单击 应用

启用 O365

配置 Office 365 打破策略设置并编译配置后。以下设置将自动填充。

  • DNS 对象 -DNS 对象指定要转发到用户配置的 DNS 服务的流量类型。在所有受信任的接口上都会听到 DNS 请求,并且 DNS 转发器将 Office 365 DNS 请求引导到 Quad9 服务。此转发器规则采用最高优先级。有关详细信息,请参阅 域名服务 部分。

  • 应用程序对象 -将创建具有由用户选择的 Office 365 类别或子类别的应用程序对象。如果您选择了 “ 默认 ” 类别以及 “ 优化 ” 和 “ 允许” 的子类别,则会创建相应的应用程序对象,如以下屏幕截图所示:

    应用程序对象

  • 应用程序路由:为具有 Internet 服务类型的 Office 365 应用程序对象创建应用程序路由。有关升级注意事项的信息,请参阅 升级重要注意事项应用程序路由

  • 防火墙预设备策略模板:为每个配置的 Office 365 类别创建全局预设策略模板。此模板应用于具有 Internet 服务的所有分支站点。设备前策略优先于本地策略和后置设备策略模板。有关升级注意事项的信息,请参阅 升级重要注意事项

    防火墙应用策略模板

适用于 Office 365 的透明转发器

分支打破了 Office 365 开始的 DNS 请求。通过 Office 365 域的 DNS 请求必须在本地引导。如果启用 Office 365 Internet 中断,则确定内部 DNS 路由,并自动填充透明转发器列表。默认情况下,Office 365 DNS 请求转发到开源 DNS 服务四 9。四 9 DNS 服务是安全的,可扩展的,并具有多弹出的存在。如有必要,您可以更改 DNS 服务。

每个启用了互联网服务和 Office 365 分组讨论的分支机构都会创建 Office 365 应用程序的透明转发器。

如果您正在使用其他 DNS 代理,或者如果 SD-WAN 配置为 DNS 代理,则将自动填充转发器列表的 Office 365 应用程序的转发器。

透明转发器

升级的重要注意事项

优化和允许类别

如果您已为 优化允许 Office 365 类别启用了互联网分组策略,Citrix SD-WAN 会在 升级到 Citrix SD-WAN 11.4.0 时自动为相应子类别启用 Internet 突破策略。

降级到 Citrix SD-WAN 11.4.0 之前的软件版本时,无论是在 Citrix SD-WAN 11.4.0 版本中启用对应的子类别,都必须为优化允许 Office 365 类别手动启用 Internet 突破。

Office 365 应用程序对象

如果您已使用 O365 Optimize_InternetBreakout 和O365Allow_InternetBreakout** 自动生成的应用程序对象创建了规则/路由,请确保在升级到 Citrix SD-WAN 11.4.0 之前删除规则/路由。升级后,您可以使用相应的新应用程序对象创建规则/路由。

如果在不删除规则/路由的情况下继续 Citrix SD-WAN 11.4.0 升级,则会看到错误,因此升级失败。在以下示例中,用户配置了应用程序 QoE 配置文件,并在尝试在不删除规则/路由的情况下升级到 Citrix SD-WAN 11.4.0 时看到错误:

升级过程中错误示例

注意:

自动创建的规则/路线不需要此升级。它仅适用于您创建的规则/路线。

DNS

如果您已使用 Office 365 优化和 Office 365允许 应用程序创建了 DNS 代理规则或 DNS 透明转发器规则,请确保在升级到 Citrix SD-WAN 11.4.0 之前删除规则。升级后,您可以使用相应的新应用程序再次创建规则。

如果在不删除旧的 DNS 代理或透明转发器规则的情况下继续 Citrix SD-WAN 11.4.0 升级,则不会看到任何错误,升级也会成功。但是,DNS 代理规则和透明转发规则在 Citrix SD-WAN 11.4.0 中不生效。

注意:

本活动不适用于自动创建的 DNS 规则。它仅适用于您创建的 DNS 规则。

监视

您可以在以下 SD-WAN 统计报告中监视 Office 365 应用程序统计信息:

  • 防火墙统计信息

    防火墙统计

  • 流

  • DNS 统计

    DNS 统计

  • 应用程序路径统计

    应用程序路由统计

您还可以在 SD-WAN 中心应用程序报告中查看 Office 365 应用程序统计信息。

应用程序报告

故障排除

您可以在 SD-WAN 设备的 “ 事件 ” 部分查看服务错误。

要检查错误,请导航到 配置 > 系统维护 > 诊断,单击 事件选项卡。

事件

如果连接到 Citrix 服务(sdwan-app-路由.citrixnetworkapi.net)时出现问题,则错误消息将反映在 “ 查看事件 ” 表中。

查看事件

连接错误也会记录到 SDWAN_dpi.log中。要查看日志,请导航到 配置 > 装置设置 > 日志记录/监控 > 日志选项。从下拉列表中选择 SDWAN_dpi.log ,然后单击查看 日志

您也可以下载日志文件。要下载日志文件,请从 下载日志文件 部分 下的下拉列表中选择所需的日志文件 ,然后单击 下载日志

下载日志

限制

  • 如果配置了 Office 365 分组策略,则不会对指向已配置的 IP 地址类别的连接执行深度数据包检查。
  • 自动创建的防火墙策略和应用程序路由不可编辑。
  • 自动创建的防火墙策略的优先级最低且不可编辑。
  • 自动创建的应用程序路由的路由成本为 5。您可以使用较低的成本路径覆盖它。

办公室 365 信标服务

微软提供 Office 365 信标服务来衡量 Office 365 通过 WAN 链接的可达性。信标服务基本上是一个 URL-SDWAN.测量.办公室/apC/转接.gif,它会定期进行探测。每台设备都会对每个启用互联网的 WAN 链路进行探测。对于每个探测器,HTTP 请求都会发送到信标服务,并且需要 HTTP 响应。HTTP 响应确认了 Office 365 服务的可用性和可访问性。

Citrix SD-WAN 不仅允许您执行信标探测,还可以确定通过每个 WAN 链接到达 Office 365 终端节点的延迟。延迟是通过 WAN 链路发送请求并从 Office 365 信标服务获取响应所花费的往返时间。这使网络管理员能够查看信标服务延迟报告,并手动选择最适合直接 Office 365 分组讨论的互联网链接。信标探测只能通过 Citrix SD-WAN Orchestrator 启用。默认情况下,当通过 Citrix SD-WAN Orchestrator 启用 Office 365 突破时,信标探测将在所有启用 Internet 的 WAN 链接上启用。

注意

在按流量计量的链接上未启用 Office 365 信标探测。

您可以选择禁用 Office 365 信标探测和查看 SD-WAN Orchestrator 上的延迟报告。有关详细信息,请参阅 Office 365 优化

要禁用 Office 365 信标服务,请在 SD-WAN Orchestrator 中,在网络级别导航到 配置 > 路由 > 路由策略>O365 网络优化设置,然后清除启用信标服务

启用信标服务

要查看信标探测可用性和延迟报告,请在 Citrix SD-WAN Orchestrator 中,在网络级别导航到 报告 > O365 指标

网络级别信标服务报告

要查看信标服务的详细站点级报告,请在 SD-WAN Orchestrator 中,在站点级导航到 报告 > O365 指标

站点级别信标服务报告

Office 365 优化