Express Way statt Express Route

Nachdem ich nun einige Informationen und Erfahrungen zu ExpressRoute mit Office 365 und Azure sammeln durfte und die Verbindung vom Client zur Cloud (LAN, Proxy, NAT, Provider, Backend) weiterhin ein wichtiger Faktor ist, habe ich überlegt, wie das alles einfacher sein könne. Zumal das Microsoft Global Netzwerk, auf dem Azure und Office 365 aufsetzen, immer besser mit Peerings zu Providern verbunden werden und der meiste Office 365 -Verkehr nur sehr kurze Wege hat:

Wie ich einige Monate später erfahren habe, nutzt auch Cisco den Namen "Expressway" für ein Gateway. Das hat nichts mit den Informationen auf dieser Seite zu tun. Aber auch "Express Path" ist z.B. von Juniper schon genutzt. Expressway heißen aber auch Straßen in Indien oder eine Hotelkette. Ich belasse es dann bei Express Way.

Mittlerweile sind einige Jahre vergangen und und ich habe bei den meisten Kunden und Anschlüssen festgestellt, dass der weg fast immer nur über einen Provider mit einem direkten Peering zum MGN - Microsoft Global Network möglich ist. Wer heute noch Probleme bei der Bandbreite mit Microsoft 365 hat, hat meist ein lokales Problem, sei es Router, DNS, Firewall o.ä. Es wird Zeit für ein O365 Network Assessment

Bandbreite, Latenz und SLA

Wenn Sie über eine Anbindung ihres Netzwerks an Microsoft Cloud-Dienste über "ExpressRoute" nachdenken, dann haben Sie vier Kriterien auf ihrer Liste:

  1. Garantierte Bandbreite
    Für die Nutzung von Office 365 und anderen Diensten lassen sich erforderliche Bandbreiten errechnen. So rechne ich allein für ein Outlook mit ca. 6-8kBit/Sek/User, was erst mal wenig klingt aber bei 1000 Anwender dann auch bei 6.8 Megabit als Dauerlast bereitzustellen sind. Das ist auch bei 32MBit-Links zum Internet durchaus relevanten Volumen die auf ihrer Internetanbindung aber auch auf dem Übertragungsweg durch das Internet problemtisch sein können.
  2. Garantiertes Latenz/Laufzeit
    Bandbreite ist nicht alles, Speziell für interaktive Daten und Audio muss die Übertragung auch schnell sein. Sicher ist Entfernung ein Thema aber auch die effektiv verfügbaren Slots zur Übertragung.
  3. Service Level Agreement (SLA)
    Das Internet ist eigentlich schon gut verfügbar und mit ihrem Provider haben die meisten Firmen natürlich auch definierte Entstörzeiten. Aber dort, wo die Daten über andere Wege gehen, haben Sie keinen direkten Einfluss. Bei ExpressRoute sind solche Vorgaben möglich
  4. Sicherheit
    Eventuell argumentieren Sie auch damit, dass eine eigene Leitung auch "sicherer" ist. Das stimm in soweit, dass der Weg eben nicht über ihren Internet-Anschluss gehen muss und damit gegen DoS-Attacken vielleicht besser abgeschirmt ist. Aber verschlüsselt sind bei Office 365 eigentlich alle Protokolle per SSL.

All diese Forderungen können Sie mit ExpressRoute natürlich abdecken. Aber ich sehen dennoch nun nicht die Zeit gekommen, dass nun alle Office 365 Kunden auch gleich ExpressRoute implementieren.

Internet und "nicht Internet"

Denn auch ohne ExpressRoute ist die Verbindung zum Internet und Office 365 gar nicht mal so schlecht. Anders als viele andere Hosting-Provider,  von denen es sehr viele gibt, spielen Microsoft aber eben auch Amazon, Facebook, Google u.a. auch beim Thema Netzwerk kräftig mit und legen eigene Kabel und Anbindungen, so dass das Internet sich dauernd umstellt. Früher konnte das Internet vielleicht wie folgt dargestellt werden:

Es gab ein paar große Carrier wie Level3, AT&T und vielleicht die Telekom. Dann gab es viele "Provider", die sich über einen der Carrier mit Internet versorgt haben und die Leistung an ihre Kunden weiter verkauft haben. Webserver wurden dann bei Hostern betrieben, die ihrerseits in den Anfängen des Internets damit geworben haben, wie gut sie an den oder die verschiedenen Carrier angebunden waren. Und damit es keine weißen Flecken gibt, haben die Carrier sich miteinander über private Peerings oder eben öffentlichen Austauschpunkte wie das DeCIX verbunden. Die Telekom hat sehr lange auch direkte Partnerschaften gesetzt und ist erst spät am DeCIX angebunden wurden. Und selbst diese Anbindung ist mit 20 GBit (Stand Jan 2017, siehe www.peeringsdb.com) eher dünn. Bei einer direkten Verbindung zu einem anderen Carrier kann man halt schon über die Kostenaufteilung seine Marktmacht ausspielen. Damals war bei einem "TraceRoute" aber durchaus interessant zu sehen, welche Wege, oder Umwege die Pakete gelaufen sind und wie lange diese unterwegs waren.

Microsoft Edge Sites

In der Anfangszeit war auch Microsoft erst mal nur ein Kunde einiger Provider in Seattle aber hat dann doch sehr schnell weitere Server in der Welt verteilt und sehr bald dann auch ihr eigenes Netzwerk aufgebaut. Google, Facebook u.a. machen das ebenso, so dass heute die Welt schon etwas anders aussieht. Microsoft betreibt ein eigenes WAN mit Anbindungen an die öffentlichen Austauchpunkte aber noch viel mehr direkten Anbindung an die verschiedenen "relevanten" Provider:

Das hat zur Folge, dass die meisten Verbindungen den Zugangsprovider, der dem Kunden den Internet-Zugang bereit stellt, gar nicht mehr verlassen. Ein TraceRoute zeigt ihnen, welchen Weg und wie viele Stationen ein IP-Paket z.B. zu outlook.office365.com nimmt. Hier eine Momentaufnahme (29.1 Jan 2017) über IPv4 mit.

Microsoft betreibe ein großes WAN mit 60+ "Edge-Sites", die Verbindungen zu Providern herstellen, die über PeeringDB (https://www.peeringdb.com/net/694 ) einfach zu ermitteln sind.

Die "Public Peering Exchange Points" sind quasi die Zugänge zu "SaaS und PaaS Services" (Also Office 365, Azure etc.)  Die "Private Peering Facilities" sind die ExpressRoute Sites

Traceroute Tests

Achtung
Dies ist nur ein Test mit ICMP und die Anzahl der Hop allein ist kein Qualitätsmerkmal, da damit weder Aussagen zu nutzbaren Bandbreite (was ist frei auf den Teilstecken) oder Latenzzeiten (Wie schnell ist eine Teilstrecke) gemacht werden können. Selbst der Weg ist nur ein Schnappschuss und zeigt nicht, wenn es mehrere parallele Pfade gibt.

Die Messung funktioniert nicht, wenn sie HTTPS zwingend über einen Proxy leiten müssen und direkte Verbindungen per ICMP mit NAT gesperrt sind.

tracert -4 outlook.office365.com

Der Traceroute ist immer nur eine Momentaufnahme und kann sie immer wieder ändern.

Zugangsprovider Ziel Total Hops bis MGN Transferprovider und MGN Zugang

Telekom DSL (Hövelhof)

outlook-emeaeast2.office365.com [132.245.61.226]

12

6

Tracing route to outlook-emeaeast2.office365.com [132.245.61.226]

  1    <1 ms    <1 ms    <1 ms  fritz.box [192.168.178.1]
  2    15 ms    12 ms    12 ms  87.186.225.45
  3    11 ms    10 ms     9 ms  217.0.92.86
  4    20 ms    14 ms    22 ms  217.239.52.150
  5    33 ms    35 ms    28 ms  87.128.238.186
  6    26 ms    26 ms    29 ms  ae10-0.vie-96cbe-1a.ntwk.msn.net [198.206.164.1]
  7    43 ms    38 ms    39 ms  ae8-0.vie-96cbe-1b.ntwk.msn.net [104.44.227.29]
  8     *        *        *     Request timed out.
  9     *        *        *     Request timed out.
 10     *        *        *     Request timed out.
 11     *        *        *     Request timed out.
 12    29 ms    28 ms    29 ms  132.245.61.226

Telekom D1

outlook-emeaeast2.office365.com [40.101.46.34]

25

16

Routenverfolgung zu outlook-emeaeast2.office365.com [40.101.46.34]

  1    <1 ms    <1 ms    <1 ms  172.20.10.1
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3     *        *        *     Zeitüberschreitung der Anforderung.
  4     *        *        *     Zeitüberschreitung der Anforderung.
  5     *        *        *     Zeitüberschreitung der Anforderung.
  6     *        *        *     Zeitüberschreitung der Anforderung.
  7     *        *        *     Zeitüberschreitung der Anforderung.
  8     *        *        *     Zeitüberschreitung der Anforderung.
  9     *        *        *     Zeitüberschreitung der Anforderung.
 10     *        *        *     Zeitüberschreitung der Anforderung.
 11     *        *        *     Zeitüberschreitung der Anforderung.
 12    86 ms    46 ms    51 ms  217.5.104.13
 13    94 ms    55 ms    63 ms  217.239.52.142
 14    79 ms    59 ms    57 ms  87.128.238.186
 15   110 ms    78 ms    80 ms  104.44.10.0
 16    91 ms    79 ms    79 ms  ae3-0.fra-96cbe-1b.ntwk.msn.net [104.44.5.17]
 17   132 ms    67 ms    87 ms  be-1-0.ibr01.ams.ntwk.msn.net [104.44.4.215]
 18   123 ms    70 ms    79 ms  be-6-0.ibr01.dub30.ntwk.msn.net [104.44.4.142]
 19   122 ms    71 ms    80 ms  ae11-0.db5-96cbe-1a.ntwk.msn.net [104.44.9.7]
 20   105 ms    78 ms    79 ms  ae0-0.db5-96cbe-1b.ntwk.msn.net [104.44.227.121]
 21     *        *        *     Zeitüberschreitung der Anforderung.
 22     *        *        *     Zeitüberschreitung der Anforderung.
 23     *        *        *     Zeitüberschreitung der Anforderung.
 24     *        *        *     Zeitüberschreitung der Anforderung.
 25   113 ms    78 ms    79 ms  40.101.46.34

O2

outlook-emeaeast3.office365.com [40.101.11.178]

und

outlook-emeaeast.office365.com [40.101.46.34]

18

8

Routenverfolgung zu outlook-emeaeast.office365.com [40.101.46.34]

  1    <1 ms    <1 ms    <1 ms  fritz.box [192.168.178.1]
  2    12 ms    11 ms    11 ms  loopback1.93.brun.0001-01.dus.de.net.telefonica.de [62.52.200.187]
  3    11 ms    11 ms    11 ms  ae17-0.0002.dbrx.02.dus.de.net.telefonica.de [62.53.9.62]
  4    23 ms    22 ms    23 ms  ae3-0.0001.corx.01.dus.de.net.telefonica.de [62.53.0.12]
  5    21 ms    21 ms    21 ms  ae6-0.0001.corx.01.ber.de.net.telefonica.de [62.53.0.2]
  6    22 ms    22 ms    22 ms  bundle-ether11.0002.dbrx.01.ber.de.net.telefonica.de [62.53.25.240]
  7    21 ms    21 ms    21 ms  ae2-0.0001.prrx.01.ber.de.net.telefonica.de [62.53.11.127]
  8    21 ms    21 ms    21 ms  microsoft.bcix.de [193.178.185.84]
  9    24 ms    24 ms    24 ms  ae22-0.amb-96cbe-1b.ntwk.msn.net [104.44.224.99]
 10    46 ms    44 ms    44 ms  be-62-0.ibr01.amb.ntwk.msn.net [104.44.9.134]
 11    45 ms    46 ms    54 ms  be-7-0.ibr01.ams.ntwk.msn.net [104.44.5.33]
 12    45 ms    45 ms    44 ms  be-6-0.ibr01.dub30.ntwk.msn.net [104.44.4.142]
 13    43 ms    43 ms    43 ms  104.44.5.95
 14     *        *        *     Zeitüberschreitung der Anforderung.
 15     *        *        *     Zeitüberschreitung der Anforderung.
 16     *        *        *     Zeitüberschreitung der Anforderung.
 17     *        *        *     Zeitüberschreitung der Anforderung.
 18    43 ms    43 ms    52 ms  40.101.46.34

Vodafone D2 (1und1 Karte)

outlook-emeaeast.office365.com
[132.245.240.178]

17

7

Routenverfolgung zu outlook-emeaeast.office365.com [132.245.240.178]

  1     *        *        *     Zeitüberschreitung der Anforderung.
  2    81 ms    89 ms    67 ms  10.216.1.60
  3    67 ms    59 ms    58 ms  10.216.3.137
  4    82 ms    59 ms    69 ms  10.216.2.26
  5    80 ms    69 ms    69 ms  188.111.128.137
  6    78 ms    78 ms    79 ms  145.254.2.233
  7    97 ms    78 ms    78 ms  ams-ix-1.microsoft.com [80.249.209.20]
  8    98 ms    99 ms    99 ms  be-72-0.ibr02.ams.ntwk.msn.net [104.44.9.146]
  9   116 ms    99 ms    99 ms  be-5-0.ibr02.fra30.ntwk.msn.net [104.44.5.16]
 10    85 ms    89 ms    88 ms  ae72-0.fra-96cbe-1b.ntwk.msn.net [104.44.10.1]
 11   115 ms    99 ms   118 ms  ae10-0.vie-96cbe-1a.ntwk.msn.net [198.206.164.1]
 12   115 ms    99 ms    99 ms  ae8-0.vie-96cbe-1b.ntwk.msn.net [104.44.227.29]
 13     *        *        *     Zeitüberschreitung der Anforderung.
 14     *        *        *     Zeitüberschreitung der Anforderung.
 15     *        *        *     Zeitüberschreitung der Anforderung.
 16     *        *        *     Zeitüberschreitung der Anforderung.
 17    98 ms    99 ms    99 ms  132.245.240.178

Kabel Deutschland Bellheim

outlook-emeaeast2.office365.com [132.245.51.50]

18

8

Routenverfolgung zu outlook-emeaeast2.office365.com [132.245.51.50]

  1     3 ms     2 ms     1 ms  fritz.box [192.168.178.1]
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3    16 ms    14 ms    10 ms  ip5886d9ae.static.kabel-deutschland.de [88.134.217.174]
  4    17 ms    10 ms    11 ms  ip5886bb52.dynamic.kabel-deutschland.de [88.134.187.82]
  5    14 ms    10 ms    13 ms  ip5886c0b0.static.kabel-deutschland.de [88.134.192.176]
  6    13 ms    14 ms    33 ms  ip5886eb14.static.kabel-deutschland.de [88.134.235.20]
  7    13 ms    16 ms    20 ms  ip5886ca9b.static.kabel-deutschland.de [88.134.202.155]
  8    25 ms    25 ms    26 ms  msft-decix-01-fra.ntwk.msn.net [80.81.194.52]
  9    49 ms    54 ms    50 ms  104.44.9.254
 10    50 ms    50 ms    47 ms  ae3-0.fra-96cbe-1b.ntwk.msn.net [104.44.5.17]
 11    58 ms    52 ms    50 ms  be-1-0.ibr01.ams.ntwk.msn.net [104.44.4.215]
 12    47 ms    51 ms    49 ms  be-6-0.ibr01.dub30.ntwk.msn.net [104.44.4.142]
 13    49 ms    52 ms    46 ms  ae11-0.db5-96cbe-1a.ntwk.msn.net [104.44.9.7]
 14     *        *        *     Zeitüberschreitung der Anforderung.
 15     *        *        *     Zeitüberschreitung der Anforderung.
 16     *        *        *     Zeitüberschreitung der Anforderung.
 17     *        *        *     Zeitüberschreitung der Anforderung.
 18    45 ms    45 ms    45 ms  132.245.51.50

Kabel Deutschland Hannover

outlook-emeaeast3.office365.com [40.101.44.178]

18

8

Routenverfolgung zu outlook-emeaeast3.office365.com [40.101.44.178]

  1     6 ms     2 ms     1 ms  192.168.178.43
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3    20 ms     9 ms    10 ms  ip53a99f3e.static.kabel-deutschland.de [83.169.159.62]
  4    13 ms    11 ms    10 ms  ip5886c021.static.kabel-deutschland.de [88.134.192.33]
  5    20 ms    15 ms    15 ms  ip5886eb26.static.kabel-deutschland.de [88.134.235.38]
  6    18 ms    18 ms    15 ms  ip5886eb49.static.kabel-deutschland.de [88.134.235.73]
  7    17 ms    16 ms    15 ms  microsoft.bcix.de [193.178.185.84]
  8    31 ms    30 ms   141 ms  ae22-0.amb-96cbe-1b.ntwk.msn.net [104.44.224.99]
  9    49 ms   122 ms    48 ms  be-62-0.ibr01.amb.ntwk.msn.net [104.44.9.134]
 10   130 ms    47 ms    47 ms  be-7-0.ibr01.ams.ntwk.msn.net [104.44.5.33]
 11    72 ms    49 ms   166 ms  be-6-0.ibr01.dub30.ntwk.msn.net [104.44.4.142]
 12   155 ms    50 ms    49 ms  ae11-0.db5-96cbe-1a.ntwk.msn.net [104.44.9.7]
 13    47 ms    45 ms    46 ms  ae0-0.db5-96cbe-1b.ntwk.msn.net [104.44.227.121]
 14     *        *        *     Zeitüberschreitung der Anforderung.
 15     *        *        *     Zeitüberschreitung der Anforderung.
 16     *        *        *     Zeitüberschreitung der Anforderung.
 17     *        *        *     Zeitüberschreitung der Anforderung.
 18    48 ms    49 ms    49 ms  outlook-emeaeast3.office365.com [40.101.44.178]

CeBIT 2017 MS Skype for Business Partnerstand

outlook-emeaeast2.office365.com [40.101.126.114]

15

?

Routenverfolgung zu outlook-emeaeast2.office365.com [40.101.126.114]

  1    <1 ms    <1 ms    <1 ms  192.168.2.1
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3     *        *        *     Zeitüberschreitung der Anforderung.
  4     *        *        *     Zeitüberschreitung der Anforderung.
  5     *        *        *     Zeitüberschreitung der Anforderung.
  6     *        *        *     Zeitüberschreitung der Anforderung.
  7     *        *        *     Zeitüberschreitung der Anforderung.
  8     *        *        *     Zeitüberschreitung der Anforderung.
  9     *        *        *     Zeitüberschreitung der Anforderung.
10     *        *        *     Zeitüberschreitung der Anforderung.
11     *        *        *     Zeitüberschreitung der Anforderung.
12     *        *        *     Zeitüberschreitung der Anforderung.
13     *        *        *     Zeitüberschreitung der Anforderung.
14     *        *        *     Zeitüberschreitung der Anforderung.
15    53 ms    52 ms    53 ms  40.101.126.114

Das blocken die Firewall oder die Zwischenstationen wohl ICMP. DNS-Server war dns.isp.t-ipnet.de

EWE-Internet Paderborn

outlook-emeaeast2.office365.com [40.101.11.178]

18

10

Tracing route to outlook-emeaeast2.office365.com [40.101.11.178]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  fw.netatwork.de [192.168.100.5]
  2     1 ms    <1 ms     4 ms  router.netatwork.de [80.66.20.17]
  3     5 ms     1 ms     1 ms  80.228.21.26
  4     1 ms     1 ms     1 ms  adsl-110-245.ewetel.net [212.6.110.245]
  5     5 ms     4 ms     5 ms  212.6.114.81
  6     4 ms     6 ms     4 ms  212.6.114.77
  7     5 ms     4 ms     4 ms  bbrt.owo-0-xe-1-0-0.ewe-ip-backbone.de [212.6.114.113]
  8    10 ms     8 ms    10 ms  bbrt.hb-2-xe-2-3-2.ewe-ip-backbone.de [212.6.114.197]
  9    25 ms    23 ms    26 ms  80.228.90.89
 10    24 ms    22 ms    25 ms  igblmdistc7504.uk.msft.net [195.66.224.140]
 11    26 ms    24 ms    26 ms  be-62-0.ibr01.lts.ntwk.msn.net [104.44.9.150]
 12    24 ms    25 ms    26 ms  be-5-0.ibr01.amb.ntwk.msn.net [104.44.4.232]
 13    23 ms    23 ms    27 ms  ae65-0.ams04-96cbe-1a.ntwk.msn.net [104.44.9.235]
 14     *        *        *     Request timed out.
 15     *        *        *     Request timed out.
 16     *        *        *     Request timed out.
 17     *        *        *     Request timed out.
 18    27 ms    26 ms    24 ms  40.101.11.178

WiFiOnICE
DB Internet (Relaix)

outlook-emeaeast.office365.com
[40.101.18.34]

14

6

Routenverfolgung zu outlook-emeaeast.office365.com [40.101.18.34]

 1    39 ms    32 ms     4 ms  172.16.0.1
 2    92 ms   118 ms   100 ms  10.255.255.1
 3    90 ms    71 ms    79 ms  192.168.178.3
 4    76 ms    72 ms    74 ms  bb1-euraix.relaix.net [46.183.103.1]
 5  2660 ms   337 ms   208 ms  bb2-fra1.relaix.net [93.159.250.110]
 6   186 ms   460 ms     *     msft-decix-01-fra.ntwk.msn.net [80.81.194.52]
 7    78 ms    80 ms    96 ms  104.44.9.254
 8   439 ms     *        *     ae3-0.fra-96cbe-1b.ntwk.msn.net [104.44.5.17]
 9     *      178 ms   154 ms  ae76-0.ams04-96cbe-1b.ntwk.msn.net [104.44.9.241]
10     *        *        *     Zeitüberschreitung der Anforderung.
11     *        *        *     Zeitüberschreitung der Anforderung.
12     *        *        *     Zeitüberschreitung der Anforderung.
13     *        *        *     Zeitüberschreitung der Anforderung.
14  1206 ms  2168 ms   464 ms  40.101.18.34

Colt DSL (FFm)

outlook-emeacenter2.office365.com [40.96.21.66]

5

13

Routenverfolgung zu outlook-emeacenter2.office365.com [40.96.21.66]

  1     3 ms     4 ms     5 ms  CDEPWC01.intern [172.18.0.1]
  2     5 ms     4 ms     5 ms  ad96eee91.dsl.de.colt.net [217.110.238.145]
  3    24 ms    53 ms    35 ms  h-62.96.36.173.host.de.colt.net [62.96.36.173]
  4    10 ms    10 ms    11 ms  xe1-0-0-pr1.FRA.router.colt.net [212.74.89.171]
  5     *        8 ms    10 ms  msft-decix-01-fra.ntwk.msn.net [80.81.194.52]
  6    16 ms     8 ms    24 ms  ae12-0.fra-96cbe-1b.ntwk.msn.net [104.44.228.1]
  7    34 ms    33 ms    47 ms  ae10-0.vie-96cbe-1a.ntwk.msn.net [198.206.164.1]
  8    24 ms    44 ms    20 ms  ae15-0.vie-96cbe-1b.ntwk.msn.net [104.44.227.111]
  9     *        *        *     Zeitüberschreitung der Anforderung.
 10     *        *        *     Zeitüberschreitung der Anforderung.
 11     *        *        *     Zeitüberschreitung der Anforderung.
 12     *        *        *     Zeitüberschreitung der Anforderung.
 13    71 ms     *       21 ms  40.96.21.66

Sie können zumindest sehen, dass je nach Provider und geografischem Standort andere Wege und Übergänge zu Office 365 genutzt werden.

Sie sie sehen, gibt allerdings auch noch Ausnahmen, die doch noch über das DeCIX müssen. Dennoch ist die Wahrscheinlichkeit groß, dass der Weg von ihrem privaten Internetzugang als auch von einem Firmenanschluss zur Office 365 Cloud eher kurz ist.

Priorisierung auf der Abkürzung

Wenn aber nun zwischen ihnen als Kunde und Office 365 als Service nur noch genau ein Provider steht, der sie direkt bedient und über ein direktes privates Peering mit Office 365 verbunden ist und sie sowohl an diesen einzigen Provider Geld für die Leistung bezahlen und Microsoft für Office 365 ebenfalls bezahlt wird, dann gibt es ja keinen "unmanaged Link" mehr.

Ich weiß natürlich, dass ich damit die Büchse der Pandora ein bisschen öffne, da so ein Vorgehen die hochgelobte Netzneutralität natürlich aushebelt. Allerdings ist eine private ExpressRoute ja auch nicht viel anders, bei dem Datenverkehre priorisiert gegen Geld befördert werden. Allerdings sollte ExpressRoute natürlich separate Verbindungen nutzen, so dass "Internet Verkehr" dadurch nicht ausgebremst wird. Die gleiche Forderung kann ich natürlich auch an einen Provider stellen, dem ich Geld für eine garantierte Leistung (Bandbreite als auch Latenz und SLA) bezahle. Mit den Mehreinnahmen könnten ja auch die Provider ein gesteigertes Interesse daran haben, die Bandbreiten Richtung Office 365 weiter auszubauen. Und sie glauben doch wohl nicht, dass ihr VoIP-Traffic ihres "All-IP-Anschluss" unpriorisiert durch das Netzwerk geleitet wird?. Zum einen ist ihr DSL-Router hier schon mal aktiv und auch wenn ich es nicht "mitschneiden" kann, gehe ich sehr stark davon aus, dass RTP innerhalb des Providers zu anderen Kunden und dessen Übergabepunkte an andere Telefondienste entsprechend priorisiert sind. Eine schlechte Sprachqualität nachgesagt zu bekommen ist wohl das, was Anbieter am wenigsten gebrauchen können.

Es sollte für einen Provider wirklich kein Problem sein, die Office 365 Ziele von Microsoft zu erhalten (dazu gibt es eine XML-Quelle. Siehe Office 365 Netzwerkziele oder man nutzt BGP um das AS8075 zu ermitteln) und Pakete von seinem Kunden an dieses Ziel entsprechend zu klassifizieren und beschleunigt zu übertragen. Zusammen mit einem SLA, welches der Provider zumindest innerhalb seines Netzwerks bereitstellen kann, wäre dem Kunden schon viel geholfen.

Der Kunde könnte sich dafür aber die aufwändige und auch nicht ganz billige Einrichtungen von ExpressRoute sparen und das ganze Konstrukt wird deutlich einfacher.

Eigenlösung: Breakout am Peering

Es gibt noch einen Weg, wie Sie als Kunde den Pfad zu Office 365 verkürzen können. Sie legen einfach einen eigenen Breakout bis zu einem Punkt, der ganz nahe bei Microsoft ist. Sie könnte ja z.B. ein Rack in Frankfurt, Amsterdam o.ä. mieten und dieses als "Teil ihres Firmennetzwerks" durch ihren WAN-Provider (MPLS o.ä.) anbinden. Wenn Sie dort dann auch den HTTP-Proxy und das Routing zum Internet aufbauen, haben Sie eine durch SLA definierte und qualitätsgesicherte Leitung bis zum CIX liegen. Sie müssen sich natürlich einen Austauschpunkt suchen, an dem auch Microsoft vertreten ist.

Nebenbei tricksen Sie dann auch die Loadbalancer und DNS-Abfragen etwas aus, das der Zugriff ja nicht mehr aus ihrem Hauptstandort sondern von IP-Adressen nahe des Peeringpoints erfolgt.. So umgehen Sie einen bezüglich Office 365 schlechter angebundenen Internetprovider.

Hosted Breakout am Peering oder Express Route

Eine weitere Option wäre es, wenn Sie nicht eine Leitung zum DECIX oder anderen Peering-Punkt legen, sondern von einem Dienstleister die Kapazität einkaufen, die ihrerseits schon nahe an Microsoft stehen. Das ist zwar kein ExpressRoute im klassischen Sinn, aber sie kaufen sich auch eine Bandbreite und Verfügbarkeit ohne sich selbst um das "Public Peering" kümmern zu müssen. Florian Klaffenbach hat mir dazu Ende 2017 ein schönes Bild zukommen lassen.

Wenn Sie ihr MPLS-Netzwerk (o.ä. Verbundsystem) z.B. bei einem Provider rauskommen lassen, der nahe an Microsoft steht und entweder selbst schon ein ExpressRoute-Routing hat oder über ein Peering schnell bei Microsoft ist, dann können Sie so eine Verbesserung erreichen. Interessant wird das natürlich, wenn der gleiche Provider auch eine privilegierte Verbindung zu anderen Cloud-Diensten (Microsoft deutsche Cloud, Amazon AWD, Google Cloud, etc.) hat, bei denen Sie auch noch den ein oder anderen Service hosten. Einige Anbieter sind:

Natürlich bieten diese Firmen noch andere Dienste, z.B. Server Housing etc. an. Sie könnten dann also auch überlegen einige Dienste und Server ebenfalls verkehrsgünstig dort aufzubauen und nicht mehr im eigenen RZ zu betreiben, welches mehr und mehr seine "zentrale Funktion" einbüßt und eher zu einem "großen Blatt" im Netzwerkverbund wird. Achten Sie aber darauf, dass man ihnen kein ExpressRoute verkauft, wenn Sie keine ExpressRoute haben wollen.

Hosted Cloud Proxy

Viele Firmen verlagern mittlerweile aber auch schon Proxy- und Filter-Dienste an externe Dienstleister. Ein lokaler Proxy ist weiterhin interessant, wenn viele Personen noch im "Intranet" sitzen aber wenn die halbe Firma schon im Home-Office oder unterwegs ist, dann macht es einfach einen Sinn deren Zugriffe auf Office 365 per VPN durch die Filterlösung zu schleusen, die noch On-Prem steht. Und da gibt es eine Menge Anbieter wie eine kurze Recherche ergibt:

Es gibt noch viele mehr. Letztlich sollten Sie aber in Hinblick auf Office 365 sehr genau hinterfragen, wie die Verbindung dieser Anbieter zu Office 365 ist und wie optimiert abhängig vom Standort des Clients der Weg zum Cloudproxy gewählt und dann weiter gereicht wird. Wenn ich als Firma schon einen "Cloud Proxy" nutze und bis auf RTP (Audio/Video) alle anderen Datenverkehre auch schon HTTPS sind, dann kann ich vielleicht eine gute Anbindung zu meinem Proxy Anbieter aufbauen und kann damit "besser" mit Office 365 arbeiten also über die reguläre Internet-Verbindung.

Allerdings kostet eine Zwischenstation in der Regel auch Laufzeit und Durchsatz. Auch ein Cloud Proxy wird ein "Throttling" hinsichtlich der Clients durchsetzen, was bei Migrationen schon wieder zu Engpässen führen kann und auch Office 365 sieht dann sehr viele Zugriffe über vergleichsweise wenige IP-Adressen. Die Komplexität ist also keineswegs einfacher.

Ich würde es immer vorziehen, dass Office 365 Dienste möglich ohne viele Zwischenstationen und nur mit einem Minimalfilter genutzt werden sollten, um Performance zu maximieren und Fehleranfälligkeit zu reduzieren.

Angebote von Providern

Bislang habe ich noch nicht gehört, dass "normale Internet-Provider" die ein direktes Peering mit Microsoft haben, für ihre Kunden entsprechende Garantien bezüglich Verfügbarkeit, Latenz und Durchsatz anbieten oder als Produkt verkaufen.

Wenn Sie diesbezüglich schon etwas wissen oder sie ein Provider sind, der ohne Express Route einen "ExpressWay" zur Microsoft Cloud zusichern kann, dann lassen Sie mich dies bitte wissen.

Provider/Produktname Kosten Beschreibung/Umsetzung

Noch kein Eintrag

?

?

Wenn ihr Provider selbst noch kein Peering zu Microsoft hat, dann könnten Sie ihm ja mal einen Tipp geben. Unter : https://www.microsoft.com/Peering/PeeringForm kann er ein ein Peering einleiten. Er will Sie ja als Kunde behalten und da ihre Provider für die Verbindung zum Internet an den "Upstream-Provider" ebenfalls etwas zu bezahlen hat, könnte sich für ihn (und Sie) eine direkte Verbindung lohnen.

Weitere Links