Contoso Corporation 的網路
為了採用雲端式基礎結構,Contoso 設計出雲端服務的網路流量如何移動的基本轉變。 他們不是將網路連線能力和流量放在下一層辦公室階層的內部中樞和輪輻模型,而是將使用者位置對應到本機網際網路輸出,並將本機連線對應到網際網路上最接近的 Microsoft 365 網路位置。
網路功能基礎結構
這些是連結全球 Contoso 辦公室的網路元素:
多重通訊協定標籤切換 (MPLS) WAN 網路
MPLS WAN 網路會將巴黎總部連線到區域辦公室和區域辦公室,並以輪輻和中樞組態連線到衛星辦公室。 網路可讓使用者存取組成巴黎總部企業營運應用程式的內部部署伺服器。 它也會將任何一般網際網路流量路由傳送至巴黎辦公室,其中的網路安全性裝置會清除要求。 在每個辦公室內,路由器會將流量傳遞至子網上使用私人 IP 位址空間的有線主機或無線存取點。
Microsoft 365 流量的本機直接網際網路存取
每個辦公室都有軟體定義的 WAN (SD-WAN) 裝置,其具有一或多個本機網際網路 ISP 網路線路,並透過 Proxy 伺服器進行自己的網際網路連線。 這通常會實作為本機 ISP 的 WAN 連結,同時提供公用 IP 位址和本機 DNS 伺服器。
網際網路呈現方式
Contoso 擁有 contoso.com 公用功能變數名稱。 訂購產品的 Contoso 公用網站是巴黎校區中連線到網際網路的資料中心內的一組伺服器。 Contoso 會在網際網路上使用 /24 公用 IP 位址範圍。
圖 1 顯示 Contoso 網路基礎結構及其對網際網路的連線。
圖 1:Contoso 網路
使用 SD-WAN 以取得與 Microsoft 的最佳化網路連線
Contoso 遵循 Microsoft 365 網路連線原則 (部分機器翻譯),以便:
- 識別並區分 Microsoft 365 網路流量
- 在當地輸出網路連線
- 避免網路 hairpin
- 略過重複的網路安全性裝置
Microsoft 365 的網路流量有三種類別: 優化、 允許和 預設。 [優化] 和 [允許流量] 是受信任的網路流量,會在端點加密並受到保護,並以 Microsoft 365 網路為目標。
Contoso 決定:
針對優化和允許類別流量使用直接網際網路輸出,並將所有預設類別流量轉送至以巴黎為基礎的中央網際網路連線。
在每個辦公室部署 SD-WAN 裝置,以簡單的方式遵循這些原則,並為 Microsoft 365 雲端式服務達到最佳的網路效能。
SD-WAN 裝置有一個給當地辦公室網路使用的 LAN 連接埠,和多個 WAN 連接埠。 一個 WAN 埠會連線到其 MPLS 網路。 另一個會連線到本機 ISP 線路。 SD-WAN 裝置會透過 ISP 連結路由 [最佳化] 和 [允許] 類別的網路流量。
Contoso 企業營運應用程式基礎結構
Contoso 已針對下列專案架構其企業營運應用程式和伺服器內部網路基礎結構:
- 衛星辦公室使用當地快取伺服器以儲存經常存取的文件和內部網站。
- 區域中樞會針對區域和衛星辦公室使用區域應用程式伺服器。 這些伺服器會與巴黎總部的伺服器同步處理。
- 巴黎校區資料中心包含為整個組織提供服務的集中式應用程式伺服器。
圖 2 顯示跨 Contoso 內部網路存取伺服器時所使用的網路流量容量百分比。
圖 2:內部應用程式的 Contoso 基礎結構
針對衛星或區域中樞辦公室,員工所需的 60% 資源可由衛星和區域中樞辦公室伺服器提供服務。 另外 40% 的資源要求必須經過前往巴黎校區的 WAN 連結。
Microsoft 365 企業版的網路分析和準備
Contoso 使用者成功採用 Microsoft 365 企業版服務,取決於高度可用且高效能的網際網路連線能力,或直接連線到 Microsoft 雲端服務。 Contoso 已採取下列步驟來規劃和實作 Microsoft 365 企業版雲端服務的優化連線:
建立公司 WAN 網狀圖以協助規劃
為了開始網路規劃,Contoso 建立了一個圖表,其中顯示其辦公室位置、現有的網路連線能力、現有的網路周邊裝置,以及網路上管理的服務類別。 他們針對規劃和實作網路連線的每個後續步驟使用此圖表。
建立適用于商業網路連線的 Microsoft 365 方案
Contoso 使用 Microsoft 365 網路連線原則 和範例參考網路架構,將 SD-WAN 識別為其慣用的 Microsoft 365 連線拓撲。
分析每個辦公室的網際網路連線使用率和 MPLS-WAN 頻寬,並視需要增加頻寬
已分析每個辦公室目前的使用量,並增加線路,因此預測的 Microsoft 365 雲端式流量會以平均 20% 的未使用容量運作。
將 Microsoft 網路服務的效能優化
Contoso 決定一組Office 365、Intune和 Azure 端點,並在網際網路路徑中設定防火牆、安全性裝置和其他系統,以獲得最佳效能。 Office 365優化和允許類別流量的端點已設定為透過 ISP 線路路由傳送至 SD-WAN 裝置。
設定內部 DNS
DNS 必須能夠運作,並且可以在本機針對 Microsoft 365 流量進行查閱。
驗證網路端點和埠連線能力
Contoso 已執行 Microsoft 網路連線能力測試控管,以驗證適用于企業雲端服務的 Microsoft 365 連線能力。
優化員工電腦的網路連線能力
已檢查個別電腦,以確保已安裝最新的作業系統更新,而且所有用戶端上都已啟用端點安全性監視。
下一步
瞭解 Contoso 如何在雲端中運用其內部部署的 Active Directory網域服務,以供員工使用,並為客戶和商務合作夥伴提供同盟驗證。