为媒体优化设计网络
Microsoft Teams 通过网络发送和接收其呼叫和会议、功能的实时流量,并且依赖于良好的网络连接。 您可以在网络架构中进行一些配置,以优化团队的性能。 本单元涵盖 Internet 突破策略、VPN 拆分隧道以及使用媒体比特率配置限制团队带宽使用。
为客户媒体优化设计本地站点互联网突破策略
大多数大型组织将通过私有广域网 (WAN) 连接其站点网络,使用多协议标签交换 (MPLS) 或软件定义的 WAN (SD-WAN) 等技术。
然后,他们可能在其全球专用网络上拥有特定的互联网入口和出口点;例如,将欧洲的所有互联网连接路由进出一个连接。这样做是为了通过单个位置的专用防火墙和代理集中互联网流量。
虽然这种配置可以使网络管理更容易,但对于像团队这样的实时网络流量来说,它不是最理想的,因为它必须通过 WAN 路由,然后通过区域 Internet 连接进入 Internet。这增加了延迟,并且流量可能会受到 WAN 链接的影响。大多数 Teams 流量(包括所有会议流量以及通话计划和 Operator Connect 通话)都需要连接到 Internet。
微软在世界各地都有其网络的本地入口点:一个所谓的“分布式服务前门基础设施”,旨在缩短客户和云服务之间的路径。如果 Internet 是集中式的,则客户端流量需要更长的路由才能到达 Office 365。
Office 365 流量的最佳选择是允许从每个站点进行本地 Internet 突破。这也称为本地出口直接互联网网络架构。
在这张图片中,您可以看到每个站点都可以直接连接到互联网,而无需通过 WAN 或远程用户的任何 VPN。
这优化了网络路由; 最终用户连接由分布式服务前门基础结构动态路由到最近的 Microsoft 365 入口点。 它还减少了组织 WAN 上的负载。 客户端和 Office 365 之间的所有连接均已加密。 由于 WAN 上的流量路由减少,QoS 等技术变得不那么重要,因为大多数流量将直接从站点流向 Microsoft。
使用 Microsoft 365 连接测试验证本地站点 Internet 突破
如果您已配置本地站点 Internet 突破并想要验证它是否正常工作或不确定站点是否具有最佳 Internet 路由,您可以使用 Microsoft 365 连接测试对其进行验证。
Microsoft 365 连接测试是一种针对 Microsoft 365 租户运行基本连接测试并提出最佳 Microsoft 365 性能建议的工具。
在其他测试中,该工具检测到您的位置,或者您可以手动指定您的位置; 然后它将检查到最近的 Microsoft 365 服务前门的网络路径。
要运行测试,请执行以下步骤:
- 在 https://connectivity.office.com/ 导航到 Microsoft 365 网络连接测试
- 使用您的 Office 365 帐户登录以获得最佳测试体验。
- 自动检测位置或手动添加您的位置。
提示
如果您让该工具自动检测您的连接,请确保它在地图上正确,以使测试有效。
- 测试完成后,您将看到结果。
此图显示了网络连接测试的结果。 可以看到正在使用的 Azure 前门离工地位置很近,很好。
- 选择详细信息以获取详细结果。 然后,您可以检查您的 Exchange Online 和 SharePoint Online 前门位置,并为您的位置匹配最佳选项。 团队没有特定的前门测试。
下图详细结果显示,正在使用的 Exchange 和 SharePoint 前门位置是最佳前门位置之一,这很好:
Microsoft 365 连接测试工具还将执行一些基本的 Teams 网络性能测试。 您可以在下图中看到该站点通过了连接、丢包、延迟和抖动测试。
执行上述步骤后,您已了解如何测试您是否选择连接到 Office 365。建议在每个企业站点以及任何网络更改后执行此测试,以确保您的网络和 ISP 以最佳方式路由流量。
设计 VPN 拆分隧道
客户端虚拟专用网络 (VPN) 允许来自客户端或用户的流量;例如,远程笔记本电脑用户要与远程服务器建立虚拟点对点加密隧道连接,通常会将他们连接到组织的网络。这允许访问组织网络上的资源。
VPN 隧道是所有远程客户端在路由到 Internet 之前通过加密隧道将其流量路由回组织网络的地方。当大多数组织在本地服务器上拥有所需的大部分资源用户并且一些流量流向 Internet 时,设计了此模型。
然而,随着越来越多的资源“在云中”或互联网上,在突破到互联网之前将所有客户端流量从客户端发送到组织网络并不是最理想的。因此,如果您使用客户端 VPN,Microsoft 建议让 Teams 和 Office 365 流量绕过 VPN 并从客户端计算机直接进入 Internet,通常称为拆分隧道 VPN。
Microsoft 强烈建议不要通过 VPN 发送 Teams 流量,原因如下:
- VPN 通常未设计或配置为支持实时媒体,有些不支持 UDP,这是媒体流量的最佳传输协议。
- VPN 将导致团队流量在进入互联网之前采用次优路由进入组织的网络。
- VPN 还在已经加密的媒体流量之上引入了额外的加密层。
- 节省 VPN 的负载,避免它成为网络流量的瓶颈。对于团队产生的大量音频和视频流量来说,这可能是一个真正的挑战。
在拆分隧道配置中,只有一部分流量通过 VPN 路由。您可以明确指定要从 VPN 中排除的路由,也可以明确包含要通过 VPN 的路由。如果 VPN 用于连接到组织网络中的特定服务器/服务,则可以更轻松地将 VPN 配置为仅路由那些特定 IP 地址或子网的流量。
如果您的组织通常希望在进入 Internet 之前将 Internet 流量路由到组织网络并通过组织代理和防火墙,则您可能只想从 VPN 路由中排除特定的 Office 365 地址。 Microsoft 提供了应从 VPN 中排除的所有 Office 365 IP 地址的列表(请参阅本模块中的资源以获取链接)。
注意:服务和IP地址不断发展; 因此,如果选择从您的 VPN 中明确排除 Office 365 服务,您将需要定期检查和更新此配置。
在这张图片中,我们看到了一个拆分隧道 VPN。 Office 365 的流量直接从用户到服务器的 VPN 隧道中排除。
您如何配置 VPN 将取决于您或您的组织要求您使用哪种 VPN 客户端软件,但拆分隧道是所有常见的第 3 方供应商都提供的功能。
重要提示
一些组织的策略要求每个用户通过防火墙设备发送所有传入和传出的流量,而拆分隧道可能会违反这些策略。 检查您的组织政策是什么,并确保您已获得此配置的政策批准。
验证 VPN 拆分隧道
配置拆分隧道后,您可以通过几种不同的方式验证配置。
在远程 VPN 连接的客户端计算机上的 PowerShell 中的简单跟踪器到配置为直接访问 Internet 的端点/地址,而不是通过 VPN,应该显示所采用的路径是直接通过客户端 ISP,而不是 VPN。
tracert worldaz.tr.teams.microsoft.com
结果显示了数据包到达目的地所需的不同跃点:
Tracing route to b-tr-teasc-euno-13.northeurope.cloudapp.azure.com [52.114.251.234]
over a maximum of 30 hops:
1 1 ms 1 ms 1 ms localrouter.box [192.168.10.1]
2 8 ms 53 ms 7 ms vt1.cor2.lond2.ptn.zen.net.uk [51.148.72.24]
3 8 ms 7 ms 8 ms lag-8.p1.ixn-lon.zen.net.uk [51.148.73.188]
4 8 ms 7 ms 7 ms lag-2.p1.thn-lon.zen.net.uk [51.148.73.132]
5 8 ms 7 ms 7 ms lag-1.br1.thn-lon.zen.net.uk [51.148.73.153]
6 9 ms * * 104.44.6.57
7 9 ms 22 ms 22 ms ae29-0.icr01.lon24.ntwk.msn.net [104.44.41.162]
8 18 ms 144 ms 18 ms be-100-0.ibr01.lon24.ntwk.msn.net [104.44.21.107]
9 18 ms 18 ms 18 ms be-3-0.ibr01.dub08.ntwk.msn.net [104.44.30.47]
10 18 ms 39 ms 17 ms ae102-0.icr02.dub08.ntwk.msn.net [104.44.11.66]
11 * * * Request timed out.
12 * * * Request timed out.
13 * * * Request timed out.
14 * *
在本次测试中,远程客户端 Internet 服务提供商称为“Zen”。我们可以看到我们直接跳过 zen.net.uk 网络上的地址到 Microsoft,而无需通过 VPN。您将需要查找与相关客户端 ISP 相关的名称。
如果您看到这条到 VPN 的 traceroute 路由(您可以通过查看您的 VPN FQDN 和 IP 地址来识别),则您没有为拆分隧道正确配置 VPN。
您在后面的跃点上看到“请求超时”是正常的。目的地的防火墙或其他安全设备正在阻止跟踪路由请求。即使防火墙阻止目的地的最终跃点出现在 traceroute 输出中,目的地也可能仍然可以到达,它刚刚被配置为不回复 traceroute。
另一种选择是运行 Microsoft 365 连接测试,它将为您运行连接测试,包括上述跟踪路由。对于不熟悉命令行工具的远程用户来说,这可能是一种更友好的方式来运行测试。
要运行 Microsoft 365 连接测试,请执行以下步骤:
- 在远程客户端计算机上,导航到 https://connectivity.office.com/ 上的 Microsoft 365 网络连接测试
- 使用您的 Office 365 帐户登录以获得最佳测试体验。
- 自动检测位置或手动添加您的位置。
提示
如果您让该工具自动检测您的连接,请确保它在地图上正确,以使测试有效。
测试完成后,选择详细信息以获取详细结果。 向下滚动到网络路径并展开并查找 Traceroute to worldaz.tr.teams.microsoft.com。
同样的逻辑也适用于解释上图中的结果。 远程客户端 Internet 服务提供商称为“Zen”。 我们可以看到我们将 zen.net.uk 网络上的地址直接跳转到 Microsoft,而无需通过 VPN。 您需要查找与相关客户端 ISP 相关的名称
如果您看到这条到 VPN 的 traceroute 路由(您可以通过查看您的 VPN FQDN 和 IP 地址来识别),则您没有为拆分隧道正确配置 VPN。
请注意,您在后面的跃点上看到“请求超时”是正常的。 目的地的防火墙或其他安全设备正在阻止跟踪路由请求。 即使防火墙阻止目的地的最后一跳出现在 traceroute 输出中,目的地也可能仍然可以到达; 它刚刚被配置为不回复跟踪路由。
注意:在某些情况下(通常与 Teams 客户端配置无关),即使客户端路由正确,媒体流量仍会通过 VPN 隧道。 如果遇到这种情况,您可以配置防火墙规则以阻止 Teams IP 子网或端口使用 VPN 路由。
通过配置媒体比特率 (MBR) 管理带宽
Microsoft Teams 将根据可用带宽动态优化它可以提供的最佳体验。 如果 Teams 客户端检测到数据包丢失或其他网络问题,它将降低音频和视频质量。 如果网络没有竞争,它将优化质量并使用更多带宽。
Microsoft Teams 确实可以选择限制通话和会议的平均比特率,这称为媒体比特率 (MBR)。 执行以下步骤来配置会议策略:
- 导航到位于 https://admin.teams.microsoft.com 的 Microsoft Teams 管理中心。
- 选择会议并选择会议策略。
- 导航到媒体比特率 (Kbs) 并根据您的需要进行更改。
此设置确定会议和点对点呼叫中音频、视频和基于视频的应用程序共享的平均组合媒体比特率。 媒体比特率适用于客户端和 Teams 服务,因此在两个方向上都强制执行。 因此,此限制适用于来自 Teams 客户端的入站和出站流量。
注意:
这是一个最大值。 如果客户端遇到网络问题,它仍然会降低视频和音频质量以尝试在可用带宽内提供最佳体验。
默认值为 50,000 Kbps,这基本上是无限的,因为它超出了单个 Teams 客户端可能使用的范围。 对于需要最高质量视频体验的会议,Microsoft 建议您将带宽设置为 10,000 Kbps 或 10 Mbps。 您可以降低到的最小值为 30 Kbps,但这将严重限制用户体验到通话和会议的基本音频。
下表描述了在不同呼叫情况下使用 Teams 所需的每位用户的最小带宽。 考虑您希望用户拥有的体验级别。 根据下表,您可以设置的最小值为 250 kbps,以使所有 Teams 体验不包括在一起模式。
| Modality | Minimum Up | Minimum Down | Recommended Up | Recommended Down | Best Performance Up | Best Performance Down |
|---|---|---|---|---|---|---|
| Audio | ||||||
| One-to-one | 10 | 10 | 58 | 58 | 76 | 76 |
| Meetings | 10 | 10 | 58 | 58 | 76 | 76 |
| Video | ||||||
| One-to-one | 150 | 150 | 1,500 | 1,500 | 4,000 | 4,000 |
| Meetings | 150 | 200 | 2,500 | 4,000 | 4,000 | 4,000 |
| Screen sharing | ||||||
| One-to-one | 200 | 200 | 1,500 | 1,500 | 4,000 | 4,000 |
| Meetings | 250 | 250 | 2,500 | 2,500 | 4,000 | 4,000 |
| Together Mode (Meetings Only) | 1,000 | 1,500 | 1,500 | 2,500 | 2,500 | 4,000 |
优化 WiFi
默认情况下,WiFi 网络未设计或配置为以最佳方式支持实时媒体。 每个供应商对部署其无线解决方案都有自己的建议,您应该查阅供应商文档以获取更多详细信息。 有一些一般性建议:
- 实施 QoS 或 WiFi 多媒体 (WMM) 以优先考虑实时媒体流量。
- 5-GHz 范围比 2.4Ghz 更适合实时媒体,因为其范围密集且干扰较低。 如果您使用双频 WiFi 网络,请考虑实施频段控制以推动客户端使用 5-GHz 范围。
- 当同一信道的接入点靠得太近时,会造成信号重叠和无意识的竞争,给用户带来不好的体验。 确保彼此相邻的接入点位于不重叠的通道上。
中国组织的绩效优化
中国用户的连接和性能可能会因中国电信互联网架构的独特因素而变得复杂。中国 ISP 已对通过容易出现高度跨境网络拥塞的外围设备连接到全球公共互联网的离岸连接进行监管。这种拥塞会为所有进出中国的互联网流量造成丢包和延迟。
本部分为位于中国的用户连接到中国以外的全球 Microsoft 365 租户的场景提供指导。
还可以选择在中国拥有一个由 21Vianet 运营的 Office 365 租户,在这种情况下,您不会越过外围设备,此建议不适用。
为中国用户优化流量推荐如下:
- 利用您现有的专用网络在中国办公网络和在中国以外的公共 Internet 上传出的离岸位置之间传输 Microsoft 365 网络流量。几乎中国以外的任何地方都会带来明显的好处。在与 Microsoft 全球网络(例如新加坡、日本和韩国)互连的低延迟区域出站是最佳选择。
- 将您的网络配置为通过您的私有离岸链接路由所有 Microsoft 365 流量。
- 将用户设备配置为通过 VPN 连接访问公司网络,以允许 Microsoft 365 流量通过公司网络的专用离岸链接。
- 确保 VPN 客户端未配置为使用拆分隧道,或者用户设备配置为忽略 Microsoft 365 流量的拆分隧道。
- 如果可能,请使用 UDP 而不是 TCP 进行实时媒体流式传输,例如 Teams。 UDP 提供比 TCP 更好的实时媒体流性能。
如果您的用户有 PSTN 音频会议功能,中国用户通过公共交换电话网络 (PSTN) 加入会议可能会有更好的会议体验。有关针对中国用户进行优化的更多信息,请参阅资源部分中的链接。
