Konfiguration von Netzkomponenten für Zoom

Für Unternehmensnetzwerkumgebungen ist es entscheidend, Netzwerkkomponenten so zu konfigurieren, dass medien für die Echtzeit-Zusammenarbeit, einschließlich Zoom-Audio- und Videodaten, priorisiert werden. Die folgenden Beispiele bieten allgemeine Hinweise und Best Practices zur Konfiguration gängiger Netzwerkgeräte für Zoom-Datenverkehr.

Firewall

Eine ordnungsgemäße Konfiguration der externen Firewall und des externen Routers ist entscheidend für eine konsistente Konnektivität und Medienqualität der Zoom-Produkte in Ihrem Netzwerk

Eine effiziente Weiterleitung von Daten durch externe Router und Firewalls, die so konfiguriert sind, dass Paketinspektionsverzögerungen minimiert werden, und genaue Firewallregeln für Zoom-IP-Adressen, -Ports und -Protokolle besitzen, trägt dazu bei, Zooms Echtzeitmedien und Konnektivitätssignalisierung effektiv zu übermitteln.

Die Implementierung aller von Zoom bereitgestellten Firewallregeln ermöglicht eine konsistente Zoom-Audio- und Videokollaboration

Für konsistente Konnektivität und die bestmögliche Medienqualität müssen alle in den Zoom-Netzwerk-Firewall- oder Proxyservereinstellungen angegebenen Zoom-IP-Adressen, Ports und Protokolle auf Ihre ausgehenden Firewallregeln angewendet werden. Zoom wird mit dem Zielport kommunizieren, der empfangen wird, wenn eine Zoom-Anwendung oder ein Zoom-fähiges Gerät in Ihrem Netzwerk die anfängliche Verbindung herstellt. Konfigurieren Sie die Firewall so, dass die Rückverbindungen von Zoom zugelassen werden.

Verwenden Sie DNS-basierte Paketinspektion auf Ihrer Firewall und Ihren Routern für nahtlose globale Zusammenarbeit und Skalierbarkeit beim Einführen neuer Zoom-Plattformfunktionen

Zoom empfiehlt, in Netzwerkfirewalls und Routing-Infrastrukturen die DNS-basierte Inspektion zu aktivieren, um sicheren und konsistenten Zugriff auf Zoom-Dienste zu gewährleisten. Dies trägt dazu bei, ein nahtloses Collaboration-Erlebnis sowohl innerhalb als auch außerhalb Ihrer Organisation über Zooms globales Netzwerk hinweg zu ermöglichen.

Durch die Verwendung der DNS-basierten Inspektion sollten beim Einführen neuer Plattformfunktionen durch Ihre Organisation oder bei Änderungen an Zooms Infrastruktur keine zusätzlichen IP-Bereichsaktualisierungen und Firewall-Policy-Anpassungen erforderlich sein, um diese neuen Cloud-Dienste mit Ihrer Infrastruktur einzubinden. Zoom stellt eine umfassende Reihe von Sicherheitskontrollen bereit, einschließlich Auswahl des Rechenzentrums-Transit und Datenresidenz-Kontrollen im Zoom-Kontoeinstellungsportal.

Das Einfügen benutzerdefinierter Header in Next-Generation-Firewalls ermöglicht Administratoren, die von Zoom-Produkten verbrauchte Bandbreite zu beschränken

Zoom hat mit Palo Alto Networks zusammengearbeitet, um das Einfügen benutzerdefinierter Header in Zoom-Verkehr zu ermöglichen, um bestimmte Zoom-Anwendungseinstellungen durchzusetzen, einschließlich der Beschränkung der Bandbreitennutzung der App.

Durch den SSL-Entschlüsselungsprozess können Next-Generation-Firewalls möglicherweise einen benutzerdefinierten Header für Zoom-Verkehr über TCP-Port 443 einfügen, der kundenspezifische Richtlinien innerhalb der Zoom-Webdienste auslösen kann und Anwendungseinstellungen anwendet. Dadurch können Administratoren Zoom-Anwendungseinstellungen für ihre Benutzer durchsetzen, wenn diese an externen Meetings teilnehmen, sowie für nicht authentifizierte Zoom-Benutzer.

Für Organisationen, die DSCP-Markierung verwenden, ist das Markieren eingehender Zoom-Datenpakete an Ihrer externen Firewall und Ihrem Router eine wichtige Maßnahme, um eine gleichwertige Medienpriorisierung zu gewährleisten

DSCP-Markierung für Zoom Workplace-Apps ist über Einstellungen im Webportal und über Gruppenrichtlinien/Plist verfügbar. Beide Optionen ermöglichen die Markierung von Zoom-Medien- und Signalisierungsverkehr, der von unterstützten Zoom Workplace-Apps ausgehend ist. Eingehender Zoom-Verkehr wird beim Durchlaufen des Internets größtenteils von seinen DSCP-Tags befreit, sodass Zoom-Datenpakete beim Zurückkehren in Ihr Netzwerk unmarkiert sein können.

Als Best Practice sollte Ihre externe Firewall (und Ihr externer Router) den eingehenden Zoom-Verkehr mithilfe der in unserem bereitgestellten Medien-IP-Adressen und Ports markieren, Artikel zur Firewall-Unterstützung um eine gleichwertige Priorisierung für eingehende und ausgehende Zoom-Daten beizubehalten.

Das Vermeiden zentralisierter Eingangs- und Ausgangspunkte für externe Router kann die Übertragung von Zoom-Verkehr verbessern

Während zentralisierte Ein- und Ausgänge einen einzigen Kontroll- und Sicherheitspunkt bieten können, können sie auch einen Engpass in Ihrem Netzwerk darstellen, der die Übertragung von Zoom-Medien verzögern kann.

Wenn verteiltes Routing implementiert ist, kann Zoom-Verkehr direktere Pfade zwischen Quelle und Ziel nehmen, ohne durch einen zentralen Router geleitet werden zu müssen. Dies verringert das Risiko von Engpässen und Überlastungen an einem einzelnen Punkt im Netzwerk. Verteiltes Routing kann dazu beitragen, die Latenz zu senken und die Anwendungsleistung zu verbessern, insbesondere für Echtzeitanwendungen wie Sprach- und Videokonferenzen.

Paketinspektion

Richtige Konfigurationen für Paketinspektion und Whitelisting tragen dazu bei, hochwertige Audio- und Videoqualität bei Zoom Meetings und Webinaren zu erhalten

Paketinspektion ist ein wichtiger Bestandteil der Netzwerksicherheit. Wenn jedoch Paketinspektion auf Echtzeit-Zoom-Audio- und -Videodaten durchgeführt wird, kann eine erhebliche Verzögerung entstehen, die die Qualität der zwischen Zoom Workplace-Apps übermittelten Medien beeinträchtigt. Durch die Konfiguration von Netzwerkkomponenten, die Paketinspektion oder Whitelisting unterstützen (z. B. externe Firewalls, Router, Proxy-Server usw.), können Sie dazu beitragen, dass Zoom-Audio- und Videodaten mit geringeren Verzögerungen zu und von Zoom-Produkten gelangen.

Richtlinien zur Vermeidung von Deep Packet Inspection für Zoom-Daten müssen möglicherweise implementiert werden

Es kann notwendig sein, Richtlinien auf Geräten, die Paketinspektion durchführen, zu implementieren, damit diese die in unserem Artikel zur Firewall-Unterstützung.

Netzwerkkomponenten, die Sicherheitsinspektionen oder Filterungen durchführen, müssen möglicherweise Zoom-IP-Adressen, -Ports und -Domains in eine Allow-Liste aufnehmen

Für Firewalls, Proxy-Server, softwaredefinierte Netzwerkcontroller und andere Netzwerkkomponenten, die mit Allow-Listen arbeiten, kann es ratsam sein, dass Netzwerkadministratoren eine Allow-Liste erstellen, die die mit Zoom-Diensten verbundenen IP-Adressen, Domains oder Netzwerkports angibt (bereitgestellt in unserem Artikel zur Firewall-Unterstützung), damit Zoom-Audio-, Video- und Signalisierungsdaten erkannt und ohne Inspektion oder Blockierung durchgelassen werden.

Verwenden Sie Secure Real Time Protocol (SRTP) und vermeiden Sie SSL/TLS-Inspektion für Zoom-Verkehr

Proxy-Server sind im Allgemeinen nicht für den Transport von Echtzeit-Audio- und -Videodaten ausgelegt, und SSL/TLS-Paketinspektionen, die auf Proxy-Servern oder Next-Generation-Firewalls durchgeführt werden, können eine erhebliche Verzögerung verursachen und die Qualität der Zoom-Audio- und -Videosignalisierung beeinträchtigen.

Intra-Netzwerk-Routing

Optimieren Sie das Routing im Netzwerk, um „Hairpinning“ zu minimieren und die Latenz für internen Zoom-Verkehr zu reduzieren

Wenn der Verkehr zwischen zwei Zoom Workplace-Apps im selben lokalen Netzwerk zu einem externen Proxyserver geleitet wird anstatt direkt zwischen den Apps, kann dies zu erhöhter Latenz, Paketverlust und zusätzlichem Bandbreitenverbrauch führen. Außerdem kann Zoom-Verkehr, der durch den externen Proxyserver geleitet wird, QoS-Richtlinien für internen Verkehr außer Kraft setzen, was zu Audio- und Videodegradierung oder verzögerter Meeting-Konnektivität führen kann. Die Optimierung Ihres Netzwerks zur Reduzierung von Hairpinning für Zoom-Verkehr hilft, hochwertige Zoom-Medien beizubehalten und den Bandbreitenverbrauch in Ihrem Netzwerk zu verringern.

Windows unterstützt die Implementierung von QoS über Gruppenrichtlinien und macOS/iOS unterstützen dies über MDMs und Cisco Fastlane

Windows- und macOS-Computer sind ein Ansatzpunkt für QoS-Konfiguration und Priorisierung von Zoom-Verkehr. Windows Administratoren können Gruppenrichtlinien verwenden, um richtlinienbasierte QoS mit DSCP-Markierung und Bandbreitenbegrenzungssteuerungen bereitzustellen, um Zoom-Daten für bestimmte Anwendungen, Benutzer und Computer zu priorisieren. Apple Computer und Mobilgeräte arbeiten in Zusammenarbeit mit einer Mobile Device Management-Lösung, um die Priorisierung von Anwendungsdaten zu ermöglichen. Cisco Fastlane kann detailliertere Steuerungen bereitstellen, um spezifischen Anwendungsverkehr wie Zoom für macOS- und iOS-Geräte zu priorisieren.

Verwenden Sie Packet Shaper oder Bandbreitenmanagementgeräte, um Zoom-Verkehr zu priorisieren und Bandbreite für Zoom-Anwendungen zuzuweisen

Die meisten Packet- oder Traffic-Shaping-Geräte sind in der Lage, Anwendungen oder Protokolle zu identifizieren, die für Echtzeit-Audio- und Videokollaboration verwendet werden, und diese Daten in priorisierten Warteschlangen zu behandeln; dadurch können Medienpakete mit minimaler Verzögerung übertragen werden. Viele dieser Geräte überwachen auch Netzwerkleistungskennzahlen wie Latenz, Jitter und Paketverlust, um die Netzwerkbandbreite während Spitzenlasten dynamisch anzupassen und Zoom-Anwendungen zuzuweisen. Werkzeuge zur Verhinderung von Paketverlusten wie Forward Error Correction (FEC) können ebenfalls verfügbar sein, um verlorene Mediendatenpakete ohne erneute Übertragung wiederherzustellen.

Verwenden Sie Netzwerkswitches, die in der Lage sind, Echtzeitmediendaten zu verarbeiten, und nutzen Sie alle verfügbaren Onboard-Tools, um Switches für Zoom-Datenverkehr zu optimieren

Der Einsatz von Netzwerkswitches mit hoher Bandbreite und hohem Durchsatz (z. B. Switches mit Gigabit- oder 10-Gigabit-Ethernet-Ports) sowie mit niedrigen Latenzzeiten beim Switching und Weiterleiten hilft, Audio- und Videodatenpakete mit minimalen Verzögerungen oder Engpässen zu übertragen.

Erforschen und nutzen Sie zusätzliche Onboard-Funktionen Ihrer Netzwerkswitches, die bei der effizienten Übertragung und Vermeidung von Paketverlusten für Zoom-Daten helfen können

Netzwerkswitches können einige der folgenden Funktionen besitzen, die verwendet werden können, um Zoom-Verkehr zu priorisieren und hochwertige Audio- und Videoqualität zu erhalten.

Quality of Service (QoS) und DSCP-Markierung

Netzwerkswitches können QoS-Richtlinien implementieren und DSCP-Tags erkennen, um Audio- und Videokollaborationsmedien zu priorisieren.

Jitter-Pufferung

Die Aktivierung der Jitter-Pufferung auf Netzwerkswitches kann die Auswirkungen von Paketverzögerungen abschwächen, indem aus der Reihenfolge geratene Datenpakete zwischengespeichert und neu geordnet werden, um Schwankungen bei den Paketankünften zu reduzieren.

Verhinderung von Paketverlusten und redundante Übertragungswege

Netzwerkswitches können Forward Error Correction (FEC) haben, die redundante Informationen zu Videopaketen hinzufügt, wodurch verlorene Pakete ohne erneute Übertragung wiederhergestellt werden können, und redundante Pfade bieten alternative Routen für die Paketzustellung im Falle von Netzwerkausfällen.

Die Konfiguration von SD-WAN-Lösungen für Zoom-Verkehr hilft dabei, Zoom-Audio und -Video effizient über Ihr Weitverkehrsnetz zu übertragen

SD-WAN-Lösungen bieten Organisationen größere Agilität, Flexibilität und Kontrolle über ihre Weitverkehrsnetze, sodass Gruppen sich an veränderte Geschäftsanforderungen anpassen, Kosten reduzieren und die Leistung und Zuverlässigkeit ihrer Netzwerkinfrastruktur verbessern können. Zoom wird von mehreren SD-WAN-Plattformen unterstützt.

SD-WAN-Lösungen können verzögerungssensible Anwendungen, einschließlich Zoom, erkennen und richtlinienbasierte Bandbreitenkontrollen für Zoom-Medien anwenden, die über das WAN einer Organisation übertragen werden. SD-WAN wählt dynamisch den besten Pfad für den Verkehr basierend auf Faktoren wie Leitungsqualität, Latenz, Paketverlust und verfügbarer Bandbreite aus. Es kann Verkehr über mehrere Transporttechnologien routen, einschließlich MPLS, Breitband-Internet, 4G/5G-Mobilfunknetze und sogar Satellitenverbindungen, um Leistung und Zuverlässigkeit zu optimieren.

Übergeben Sie Zoom-Medien an SD-WAN-Gateways oder SD-WAN-Edge-Geräte, um Richtlinien anzuwenden und dynamische Übertragungspfade zu nutzen

SD-WAN-Plattformen stellen Gateways oder Edge-Geräte bereit, die Hardware- oder virtuelle Geräte sein können. Diese Gateways werden an entfernten Standorten einer Organisation implementiert, z. B. Wohnsitze, Niederlassungen oder Satellitenbüros. Durch das Weiterleiten von Zoom-Audio- und Videodaten an die SD-WAN-Gateways werden die gewünschte anwendungsbasierte Netzwerkpriorisierung, QoS-Richtlinien, Bandbreitenzuweisungen und dynamische Pfadauswahlen angewendet.

Die Nutzung einer dualen Internetverbindung in Kombination mit einer SD-WAN-Lösung ermöglicht eine effizientere Übertragung von Zoom-Verkehr, indem dieser vom nicht geschäftskritischen Internetverkehr getrennt wird

Eine SD-WAN-Lösung und duale Internetverbindungen könnten verwendet werden, um bestimmte Verkehrstypen auf einen reduzierten Bandbreitenanteil zu beschränken oder sämtlichen nicht geschäftskritischen Verkehr – wie Social Media oder Streaming – über eine sekundäre Datenleitung zu leiten oder unter eine beschränkte Bandbreitenobergrenze zu stellen. Dadurch kann eine konsistente Bandbreitenzuweisung für verzögerungssensible Medien wie Zoom-Audio- und Videokollaborationsanwendungen gewährleistet werden.

Verwenden Sie verfügbare QoS- und Netzwerkeinstellungen über Ihren Internetdienstanbieter, einschließlich vom ISP bereitgestellter DNS-Server

Höherstufige Vereinbarungen mit Internetdienstanbietern (ISPs) für Unternehmen oder Großkunden können Ihnen zentralisierte QoS-Optionen bieten, die Sie steuern können oder die Ihr ISP in Ihrem Auftrag konfigurieren kann. Diese Optionen ermöglichen es Ihnen, Zoom-Verkehr und andere Echtzeitmedien für eine beschleunigte Übertragung über den ISP zu priorisieren.

Die Nutzung eines vom ISP bereitgestellten DNS-Servers anstelle eines Dritt- oder aggregierten DNS-Servers kann schnellere DNS-Auflösungen bieten. DNS-Server des Internetdienstanbieters können häufig verwendete Domains zwischenspeichern und optimiertes Routing zu beliebten Diensten, einschließlich Zoom, implementieren.

Stellen Sie sicher, dass QoS- und DSCP-Markierungskonfigurationen bei den MPLS-Netzwerken, die Ihr Zoom-Verkehr durchquert, konsistent sind

Multi-Protocol Label Switching (MPLS)-Netzwerke bieten eine robuste Plattform zum Aufbau von Weitverkehrsnetzen (WAN) mit zentralisierten granularen Kontrollen, der Fähigkeit, Verkehr zu segmentieren und dessen Routing zu optimieren, sowie Sicherheits- und QoS-Steuerung.

Wenn Zoom-Verkehr ein oder mehrere MPLS-Netzwerke durchquert, stellen Sie sicher, dass QoS-Richtlinien und Mechanismen zur Erhaltung von DSCP-Tags korrekt konfiguriert sind und dass diese Einstellungen zwischen mehreren MPLS-Netzwerken konsistent sind. Dies hilft, Zoom-Verkehr als Echtzeitkommunikationsdaten priorisiert zu halten und sicherzustellen, dass DSCP-Tags intakt bleiben, während Daten die(n) MPLS-Netzwerk(e) durchqueren.

Drahtlose Zugangspunkte mit aktuellen Wi‑Fi-Standards, starker AP-Abdeckung und Verkehrspriorisierungs-Einstellungen helfen, hochwertige Zoom-Medien zu ermöglichen

Für ein starkes drahtloses Netzwerk, das eine Vielzahl von Audio- und Videokollaborationsströmen verarbeiten kann, sind die Abdeckung durch Zugangspunkte (AP), das Verhältnis von Benutzern zu AP und aktualisierte AP-Hardware wichtige Faktoren sowie fortlaufende Überwachung und Fehlerbehebung von Netzwerkengpässen. Für höheren Durchsatz und bessere Signalqualität wird der 5-GHz-Funkkanal für Zoom-Audio- und Videokollaboration empfohlen.

Verwenden Sie verfügbare QoS-, Bandbreitensteuerungs- oder Anwendungspriorisierungs-Einstellungen, um Ihre drahtlosen Zugangspunkte für Zoom zu optimieren

Moderne APs können einige der folgenden Onboard-Konfigurationen aufweisen, die die Priorisierung von Zoom-Audio- und Videodaten ermöglichen.

Quality of Service (QoS)

Viele moderne drahtlose Zugangspunkte unterstützen QoS, mit dem Administratoren die Prioritätsstufe von Zoom-Audio- und Videodaten konfigurieren können.

Wi‑Fi Multimedia (WMM)

Als Teil des IEEE-802.11e-Standards ist Wi‑Fi Multimedia (WMM) eine QoS-Funktion, die verschiedene Arten von Wi‑Fi-Verkehr nach ihren Anforderungen priorisiert (Sprache, Video, Best Effort und Hintergrund). Das Aktivieren von WMM auf einem Zugangspunkt kann helfen, Echtzeitverkehr wie Zoom zu priorisieren.

Bandbreitenkontrolle

Bandbreitenlimits und Rate-Shaping-Richtlinien können einen dedizierten Anteil der Gesamtbandbreite speziell für Zoom-Verkehr zuweisen.

Anwendungssichtbarkeit und -priorisierung

Funktionen zur Priorisierung auf Anwendungsebene ermöglichen es Administratoren, bestimmten Anwendungen oder Protokollen eine höhere Priorität zuzuweisen. Suchen Sie nach Optionen, um Zoom oder Videokonferenz-Anwendungen in den Einstellungen des AP zu priorisieren.

Access Control Lists (ACLs)

Um Zoom-Verkehr zu priorisieren, verwenden Sie Access Control Lists (ACLs), um den Zugriff nicht wesentlicher Verkehre während Spitzenzeiten auf drahtlosen APs einzuschränken.

Kanalwahl und -optimierung

Optimieren Sie die Auswahl und Konfiguration drahtloser Kanäle, um den Durchsatz für Zoom-Verkehr zu maximieren. Wählen Sie weniger überlastete Kanäle und passen Sie Kanalbreiten und Sendeleistungsstufen nach Bedarf an, um die Leistung zu optimieren.

Virtuelle private Netzwerke

Verwenden Sie VPN-Split-Tunneling, um Zoom-Audio- und Videodegradation zu vermeiden und Ihre VPN-Infrastruktur nicht zu überlasten

Virtual Private Network (VPN)-Dienste sind wichtig, um Daten zu sichern, auf die von entfernten Standorten arbeitende Benutzer zugreifen. Wenn jedoch Medien von Echtzeit-Multimediakollaborationsanwendungen wie Zoom über ein VPN übertragen werden, entsteht eine hohe Last auf der VPN-Infrastruktur, und es kann zu erheblicher Audio- und Videodegradierung kommen.

Die Zusammenarbeit mit Ihrem VPN-Anbieter zur Bereitstellung einer Vorlage für VPN-Split-Tunneling ermöglicht es Ihnen, festzulegen, welche Anwendungsdaten über Ihr VPN geleitet werden und welche dieses umgehen und lokal ins Netzwerk gelangen.