通过

Contoso Corporation 网络

  • 项目

为了采用云包容的基础结构,Contoso 设计了网络流量到云服务的传输方式的根本转变。 他们不是将网络连接和流量集中在办公室层次结构的下一级别的内部中心辐射型模型,而是将用户位置映射到本地 Internet 出口,并将本地连接映射到 Internet 上最近的Microsoft 365 网络位置。

网络基础结构

以下是连接全球 Contoso 办事处的网络元素:

  • 多协议标签交换 (MPLS) WAN 网络

    MPLS WAN 网络以分支和中心配置将巴黎总部连接到区域办事处,将区域办事处连接到卫星办公室。 该网络使用户能够访问构成巴黎总部业务线应用程序的本地服务器。 它还将任何通用的互联网流量路由到巴黎办公室,在那里网络安全设备会清理请求。 在每个办公室内,路由器将流量传递到使用专用 IP 地址空间的子网上的有线主机或无线接入点。

  • Microsoft 365 流量的本地直接 Internet 访问

    每个办公室都有一个软件定义的 WAN (SD-WAN) 设备,该设备具有一个或多个本地 Internet ISP 网络线路,并通过代理服务器建立自己的 Internet 连接。 这通常实现为指向本地 ISP 的 WAN 链接,该 ISP 还提供公共 IP 地址和本地 DNS 服务器。

  • Internet 网站

    Contoso 拥有 contoso.com 公共域名。 用于订购产品的 Contoso 公共网站是巴黎校园内连接 Internet 的数据中心内的一组服务器。 Contoso 在 Internet 上使用 /24 公共 IP 地址范围。

图 1 显示了 Contoso 网络基础结构及其与 Internet 的连接。

Contoso 网络。

图 1:Contoso 网络

使用 SD-WAN 与 Microsoft 建立最佳网络连接

Contoso 遵循了 Microsoft 365 网络连接原则

  • 标识并区分 Microsoft 365 网络流量
  • 实现本地连接出口
  • 避免网络发卡
  • 绕过重复的网络安全设备

Microsoft 365 有三类网络流量: 优化允许默认。 “优化”和“允许流量”是受信任的网络流量,在终结点经过加密和保护,发往 Microsoft 365 网络。

Contoso 决定:

  • 使用直接 Internet 出口优化和允许类别流量,并将所有默认类别流量转发到基于巴黎的中央 Internet 连接。

  • 在每个办公室部署 SD-WAN 设备是遵循这些原则的简单方法,并为Microsoft 365 基于云的服务实现最佳网络性能。

    SD-WAN 设备具有一个用于本地办事处网络的 LAN 端口和多个 WAN 端口。 一个 WAN 端口连接到其 MPLS 网络。 另一个连接到本地 ISP 线路。 SD-WAN 设备通过 ISP 链接路由“优化”和“允许”类别的网络流量。

Contoso 业务线应用基础结构

Contoso 为以下方面构建了业务线应用程序和服务器 Intranet 基础结构:

  • 附属办事处使用本地缓存服务器来存储经常访问的文档和内部网站。
  • 区域中心将区域应用程序服务器用于区域办事处和分支办事处。 这些服务器与巴黎总部的服务器同步。
  • 巴黎校园数据中心包含为整个组织提供服务的集中式应用程序服务器。

图 2 显示了跨 Contoso Intranet 访问服务器时所使用的网络流量容量的百分比。

适用于内部应用程序的 Contoso 基础结构。

图 2:内部应用程序的 Contoso 基础结构

对于卫星或区域中心办公室,员工所需的 60% 的资源可由卫星和区域中心办公室服务器提供服务。 另外 40% 的资源请求必须通过 WAN 链接连接到巴黎校园。

Microsoft 365 企业版的网络分析和准备

Contoso 用户成功采用 Microsoft 365 企业服务取决于与 Internet 或直接Microsoft云服务的高可用性和高性能连接。 Contoso 采取了以下步骤来规划和实现与 Microsoft 365 企业云服务的优化连接:

  1. 创建公司 WAN 网络图以帮助进行规划

    为了开始网络规划,Contoso 创建了一个关系图,其中显示了其办公室位置、现有网络连接、现有网络外围设备,以及网络上托管的服务类别。 在规划和实现网络连接的每个后续步骤中,他们都使用此关系图。

  2. 为企业网络连接Microsoft 365 创建计划

    Contoso 使用 Microsoft 365 网络连接原则 和示例参考网络体系结构,将 SD-WAN 标识为Microsoft 365 连接的首选拓扑。

  3. 分析每个办公室的 Internet 连接利用率和 MPLS-WAN 带宽,并根据需要增加带宽

    分析了每个办公室的当前使用情况,并增加了线路,以便预测Microsoft 365 个基于云的流量将平均以 20% 的未使用容量运行。

  4. 优化性能以Microsoft网络服务

    Contoso 确定 Internet 路径中Office 365、Intune和 Azure 终结点的集合,并配置了防火墙、安全设备和其他系统,以获得最佳性能。 Office 365“优化”和“允许”类别流量的终结点已配置到 SD-WAN 设备中,以便通过 ISP 线路进行路由。

  5. 配置内部 DNS

    DNS 必须能正常运行,才能查找本地 Microsoft 365 流量。

  6. 验证网络终结点和端口连接

    Contoso 运行了Microsoft网络连接测试工具,以验证企业云服务Microsoft 365 的连接性。

  7. 优化员工计算机的网络连接

    检查了单个计算机,以确保已安装最新的操作系统更新,并且终结点安全监视在所有客户端上都处于活动状态。

后续步骤

了解 Contoso 如何利用其在云中为员工提供本地 Active Directory 域服务,以及为客户和业务合作伙伴联合身份验证。

另请参阅

Microsoft 365 的网络路线图

Microsoft 365 网络连接原则

Microsoft 365 企业版概述