Configurazione dei componenti di rete per Zoom

Per gli ambienti di rete aziendali, è fondamentale configurare i componenti di rete per dare priorità ai media di collaborazione in tempo reale, inclusi i dati audio e video di Zoom. Gli esempi seguenti forniscono indicazioni generali e best practice per la configurazione dei dispositivi di rete comuni per il traffico dati di Zoom.

Firewall

Una corretta configurazione del firewall esterno e del router esterno è fondamentale per la connettività coerente e la qualità dei media dei prodotti Zoom sulla tua rete

Un instradamento efficiente dei dati attraverso router esterni e firewall configurati per ridurre al minimo i ritardi dovuti all'ispezione dei pacchetti, e con regole firewall accurate per gli indirizzi IP, le porte e i protocolli di Zoom aiuta a far passare efficacemente i segnali di connettività e i media in tempo reale di Zoom.

Implementare tutte le regole del firewall fornite da Zoom consente una collaborazione audio e video Zoom coerente

Per una connettività coerente e la migliore qualità dei media disponibile, tutti gli indirizzi IP, le porte e i protocolli di Zoom forniti nel impostazioni del firewall di rete o del server proxy di Zoom devono essere applicati alle regole del firewall per il traffico in uscita. Zoom comunicherà con la porta di destinazione ricevuta quando un'applicazione Zoom o un dispositivo abilitato Zoom sulla tua rete effettua la connessione iniziale. Configura il firewall per consentire le connessioni di ritorno da Zoom.

Utilizza l'ispezione dei pacchetti basata su DNS sul tuo firewall e sui router per una collaborazione globale senza interruzioni e scalabile quando adotti nuove funzionalità della piattaforma Zoom

Zoom raccomanda di abilitare l'ispezione basata su DNS nei firewall di rete e nell'infrastruttura di instradamento per accedere ai servizi Zoom in modo sicuro e coerente. Ciò contribuisce a offrire un'esperienza di collaborazione senza interruzioni sia all'interno che all'esterno della tua organizzazione nella presenza globale di Zoom.

Utilizzando l'ispezione basata su DNS mentre la tua organizzazione adotta nuove funzionalità della piattaforma o mentre l'infrastruttura di Zoom cambia, non dovrebbe essere necessario un ulteriore mantenimento degli intervalli IP né il supporto di nuove policy di firewall per integrare questi nuovi servizi cloud usando la tua infrastruttura. Zoom fornisce un set completo di controlli di sicurezza inclusi selezione del transito del data center e controlli sulla residenza dei dati nel portale delle impostazioni dell'account Zoom.

L'inserimento di header personalizzati sui firewall di nuova generazione consente agli amministratori di limitare la quantità di larghezza di banda consumata dai prodotti Zoom

Zoom ha collaborato con Palo Alto Networks per consentire l'inserimento di header personalizzati nel traffico Zoom per applicare impostazioni specifiche dell'app Zoom, incluso il limite dell'utilizzo della larghezza di banda dell'app.

Attraverso il processo di decrittazione SSL, i firewall di nuova generazione possono essere in grado di inserire un header personalizzato per il traffico Zoom su TCP porta 443 che può attivare policy specifiche del cliente all'interno dei servizi web di Zoom, applicando impostazioni dell'applicazione. Ciò consente agli amministratori di applicare impostazioni dell'app Zoom per i loro utenti che partecipano a riunioni esterne e per gli utenti Zoom non autenticati.

Per le organizzazioni che utilizzano la marcatura DSCP, marcare i pacchetti dati in ingresso di Zoom sul firewall e sul router esterno è una misura importante per mantenere una priorità paritaria dei media

Marcatura DSCP per le app Zoom Workplace è disponibile tramite le impostazioni nel portale web e tramite Group Policy/Plist. Entrambe le opzioni consentono la marcatura del traffico media e dei segnali di Zoom in uscita dalle app Zoom Workplace supportate. Il traffico Zoom in ingresso sarà per lo più privato dei suoi tag DSCP mentre attraversa Internet, lasciando i pacchetti dati di Zoom non marcati al ritorno sulla tua rete.

Come best practice, il firewall esterno della tua rete (e il router esterno) dovrebbe marcare il traffico Zoom in ingresso utilizzando gli indirizzi IP e le porte media fornite nel nostro articolo di supporto sul firewall per mantenere una priorità equivalente per i dati Zoom in ingresso e in uscita.

Evitare l'ingresso e l'uscita centralizzati per i router esterni può migliorare la trasmissione del traffico Zoom

Sebbene l'ingresso e l'uscita centralizzati possano fornire un unico punto di controllo e sicurezza, possono anche essere un punto di congestione nella tua rete che può ritardare la trasmissione dei media Zoom.

Quando viene implementato l'instradamento distribuito, il traffico Zoom può seguire percorsi più diretti tra sorgente e destinazione senza dover passare attraverso un router centralizzato. Questo riduce il rischio di colli di bottiglia e congestione in un singolo punto della rete. L'instradamento distribuito può contribuire a ridurre la latenza e migliorare le prestazioni dell'applicazione, in particolare per applicazioni in tempo reale come voce e videoconferenza.

Ispezione dei pacchetti

Configurazioni adeguate per l'ispezione dei pacchetti e le liste di consentiti aiutano a mantenere audio e video di alta qualità per Zoom Meetings e Webinar

L'ispezione dei pacchetti è una parte chiave della sicurezza di rete. Tuttavia, se l'ispezione dei pacchetti viene eseguita sui dati audio e video in tempo reale di Zoom, può essere introdotto un ritardo significativo, degradando la qualità dei media trasmessi tra le app Zoom Workplace. Configurando componenti di rete in grado di effettuare ispezione dei pacchetti o di applicare liste di consentiti (ad es., firewall esterni, router, server proxy, ecc.), puoi aiutare i dati audio e video di Zoom a passare da e verso i prodotti Zoom con minori ritardi.

Potrebbe essere necessario implementare policy per evitare l'ispezione profonda dei pacchetti per i dati Zoom

Potrebbe essere necessario implementare policy sui dispositivi che eseguono l'ispezione dei pacchetti in modo che non filtrino i domini Zoom elencati nel nostro articolo di supporto sul firewall.

I componenti di rete che eseguono ispezioni o filtraggio della sicurezza potrebbero avere bisogno di aggiungere gli indirizzi IP, le porte e i domini di Zoom a una lista di consentiti

Per firewall, server proxy, controller di rete software-defined e altri componenti di rete che operano con liste di consentiti, potrebbe essere consigliabile per gli amministratori di rete creare una lista di consentiti che specifichi gli indirizzi IP, i domini o le porte di rete associati ai servizi Zoom (forniti nel nostro articolo di supporto sul firewall) in modo che i dati audio, video e di segnalazione di Zoom siano identificati e consentiti a passare senza ispezione o blocco.

Usa Secure Real Time Protocol (SRTP) ed evita l'ispezione SSL/TLS per il traffico Zoom

I server proxy in generale non sono progettati per il trasporto di dati audio e video in tempo reale, e l'ispezione dei pacchetti SSL/TLS che può essere eseguita sui server proxy o sui firewall di nuova generazione può introdurre un ritardo significativo, degradando la qualità dell'audio e del segnale video di Zoom.

Instradamento intra-rete

Ottimizza l'instradamento di rete per ridurre il “hairpinning” e diminuire la latenza per il traffico Zoom interno

Quando il traffico tra due app Zoom Workplace nella stessa rete locale viene instradato verso un server proxy esterno anziché direttamente tra le app, possono verificarsi latenza, perdita di pacchetti e un consumo aggiuntivo di larghezza di banda. Inoltre, il traffico Zoom che passa attraverso il server proxy esterno può annullare le policy QoS per il traffico interno, causando degrado audio e video o ritardi nella connettività delle riunioni. Ottimizzare la tua rete per ridurre l'hairpinning del traffico Zoom aiuterà a mantenere media Zoom di alta qualità e a ridurre il consumo di larghezza di banda sulla tua rete.

Windows supporta l'implementazione di QoS tramite Group Policy e macOS/iOS lo supportano tramite MDM e Cisco Fastlane

I computer Windows e macOS sono un punto per la configurazione QoS e la priorizzazione del traffico Zoom. Windows gli amministratori possono utilizzare Group Policy per distribuire QoS basato su policy con marcatura DSCP e controlli di limitazione della larghezza di banda per prioritizzare i dati Zoom per applicazioni, utenti e computer specifici. Apple computer e dispositivi mobili lavorano in tandem con una soluzione di Mobile Device Management per consentire la prioritizzazione dei dati delle applicazioni. Cisco Fastlane può fornire controlli più dettagliati per prioritizzare il traffico di specifiche applicazioni come Zoom per dispositivi macOS e iOS.

Utilizza packet shaper o dispositivi di gestione della larghezza di banda per dare priorità al traffico Zoom e allocare larghezza di banda alle applicazioni Zoom

La maggior parte dei dispositivi di shaping del traffico è in grado di identificare applicazioni o protocolli utilizzati per la collaborazione audio e video in tempo reale e di assegnare a questi dati code con priorità; permettendo ai pacchetti media di essere trasmessi con ritardi minimi. Molti di questi dispositivi monitorano anche metriche delle prestazioni di rete come latenza, jitter e perdita di pacchetti per regolare dinamicamente e allocare la larghezza di banda di rete alle applicazioni Zoom durante i picchi di utilizzo della rete. Strumenti di prevenzione della perdita di pacchetti come il Forward Error Correction (FEC) possono essere disponibili per recuperare pacchetti media persi senza ritrasmissione.

Utilizza switch di rete in grado di gestire dati media in tempo reale e sfrutta gli eventuali strumenti a bordo disponibili per ottimizzare gli switch per il traffico dati di Zoom

L'utilizzo di switch di rete con elevata larghezza di banda e elevata capacità di throughput (ad es., switch con porte Ethernet Gigabit o 10 Gigabit), insieme a bassi tempi di commutazione e inoltro, aiuta a trasmettere i pacchetti dati audio e video con ritardi o colli di bottiglia minimi.

Esamina e sfrutta le funzionalità aggiuntive a bordo sui tuoi switch di rete che possono aiutare nella trasmissione efficiente e nella prevenzione della perdita di pacchetti per i dati Zoom

Gli switch di rete possono disporre di alcune delle seguenti funzionalità che possono essere utilizzate per prioritizzare il traffico Zoom e mantenere audio e video di alta qualità.

Qualità del servizio (QoS) e marcatura DSCP

Gli switch di rete potrebbero essere in grado di implementare policy QoS e riconoscere i tag DSCP per dare priorità ai media audio e video di collaborazione.

Buffering dello jitter

Abilitare il buffering dello jitter sugli switch di rete può mitigare gli effetti dei ritardi nei pacchetti memorizzando e riordinando i pacchetti dati fuori ordine per ridurre le variazioni negli arrivi dei pacchetti.

Prevenzione della perdita di pacchetti e percorsi di trasmissione ridondanti

Gli switch di rete possono disporre di Forward Error Correction (FEC) che aggiunge informazioni ridondanti ai pacchetti video, permettendo il recupero dei pacchetti persi senza ritrasmissione, e i percorsi ridondanti forniscono rotte alternative per la consegna dei pacchetti in caso di guasti di rete.

La configurazione di soluzioni SD-WAN per il traffico Zoom aiuta a trasmettere in modo efficiente audio e video Zoom sulla tua rete geografica

Le soluzioni SD-WAN offrono alle organizzazioni maggiore agilità, flessibilità e controllo sulle loro reti geografiche, permettendo ai gruppi di adattarsi alle esigenze aziendali in evoluzione, ridurre i costi e migliorare le prestazioni e l'affidabilità dell'infrastruttura di rete. Zoom è supportato da diverse piattaforme SD-WAN.

Le soluzioni SD-WAN possono riconoscere le applicazioni sensibili ai ritardi, inclusa Zoom, e applicare controlli della larghezza di banda basati su policy per i media Zoom che viaggiano sulla WAN di un'organizzazione. SD-WAN seleziona dinamicamente il percorso migliore per il traffico in base a fattori quali qualità del collegamento, latenza, perdita di pacchetti e larghezza di banda disponibile. Può instradare il traffico su più tecnologie di trasporto, inclusi MPLS, internet a banda larga, reti cellulari 4G/5G e persino collegamenti satellitari, per ottimizzare le prestazioni e l'affidabilità.

Affida i media Zoom a gateway SD-WAN o dispositivi edge SD-WAN per applicare policy e utilizzare percorsi di trasmissione dinamici

Le piattaforme SD-WAN forniscono gateway o dispositivi edge che possono essere hardware o virtuali. Questi gateway vengono implementati nelle sedi remote di un'organizzazione, ad es. abitazioni, filiali o uffici satellite. Instradando i dati audio e video di Zoom verso i gateway SD-WAN, verranno applicate la desiderata priorizzazione della rete basata sulle applicazioni, le policy QoS, l'allocazione della larghezza di banda e le selezioni dinamiche dei percorsi.

Utilizzare una connessione Internet doppia insieme a una soluzione SD-WAN consente una trasmissione più efficiente del traffico Zoom separandolo dal traffico Internet non critico per l'azienda

Una soluzione SD-WAN e connessioni Internet doppie potrebbero essere utilizzate per limitare determinati tipi di traffico a una quantità ridotta di larghezza di banda o forzare tutto il traffico non critico per l'azienda—come i social media o lo streaming—su una tubazione dati secondaria, o sotto un limite di larghezza di banda ridotto. Ciò consentirebbe una allocazione coerente della larghezza di banda per media sensibili al ritardo come le applicazioni di collaborazione audio e video di Zoom.

Utilizza le impostazioni QoS e di rete disponibili attraverso il tuo provider di servizi Internet, inclusi i server DNS forniti dall'ISP

Accordi di livello superiore con il provider di servizi Internet (ISP) per aziende o imprese possono fornirti opzioni QoS centralizzate che puoi controllare o richiedere al tuo ISP di configurare per tuo conto. Queste opzioni ti consentono di prioritizzare il traffico Zoom e altro traffico media in tempo reale per una trasmissione accelerata attraverso l'ISP.

Utilizzare un server DNS fornito dal tuo ISP, anziché un server DNS di terze parti o aggregato, può fornire una risoluzione DNS più veloce. I server DNS dell'ISP possono memorizzare nella cache domini comunemente usati e implementare instradamenti ottimizzati verso servizi popolari, incluso Zoom.

Conferma che le configurazioni QoS e di marcatura DSCP siano coerenti tra le reti MPLS che il tuo traffico Zoom attraversa

Le reti Multi-Protocol Label Switching (MPLS) forniscono una piattaforma solida per costruire reti geografiche (WAN) con controlli granulari centralizzati, la capacità di segregare il traffico e ottimizzarne l'instradamento, oltre a fornire controllo della sicurezza e QoS.

Quando il traffico Zoom attraversa una o più reti MPLS, conferma che le policy QoS e i meccanismi di preservazione dei tag DSCP siano configurati correttamente e che tali impostazioni siano coerenti tra più reti MPLS. Ciò aiuta il traffico Zoom a rimanere prioritizzato come dati di comunicazione in tempo reale e a mantenere intatti i tag DSCP mentre i dati attraversano la/le rete/i MPLS.

I punti di accesso wireless con standard Wi‑Fi aggiornati, una copertura forte dei punti di accesso e impostazioni di prioritizzazione del traffico aiutano a facilitare media Zoom di alta qualità

Per una rete wireless robusta, in grado di gestire molteplici flussi di collaborazione audio e video, la copertura dei punti di accesso (AP), il rapporto utenti-per-AP e l'hardware AP aggiornato sono fattori importanti, insieme al monitoraggio continuo e alla risoluzione dei colli di bottiglia della rete. Per una maggiore larghezza di banda e chiarezza del segnale, il canale wireless a 5 GHz è raccomandato per la collaborazione audio e video Zoom.

Usa le impostazioni QoS, di controllo della larghezza di banda o di prioritizzazione delle applicazioni disponibili per ottimizzare i tuoi punti di accesso wireless per Zoom

Gli AP moderni possono disporre di alcune delle seguenti configurazioni a bordo, che consentono la prioritizzazione del traffico audio e video di Zoom.

Qualità del servizio (QoS)

Molti punti di accesso wireless moderni supportano QoS, che consente agli amministratori di configurare il livello di priorità dei dati audio e video di Zoom.

Wi‑Fi Multimedia (WMM)

Parte dello standard IEEE 802.11e, Wi‑Fi Multimedia (WMM) è una funzionalità QoS che prioritizza diversi tipi di traffico Wi‑Fi in base alle loro esigenze (voce, video, best effort e background). Abilitare WMM su un punto di accesso può aiutare a dare priorità al traffico in tempo reale come Zoom.

Controllo della larghezza di banda

I limiti di larghezza di banda e le policy di rate‑shaping possono allocare una porzione dedicata della larghezza di banda totale specificamente per il traffico Zoom.

Visibilità e prioritizzazione delle applicazioni

Le funzionalità di prioritizzazione a livello di applicazione consentono agli amministratori di assegnare maggiore priorità a specifiche applicazioni o protocolli. Cerca opzioni per dare priorità a Zoom o ad applicazioni di videoconferenza nelle impostazioni dell'AP.

Liste di controllo accessi (ACL)

Per dare priorità al traffico Zoom, usa liste di controllo accessi (ACL) per limitare l'accesso del traffico non essenziale durante i periodi di picco sugli AP wireless.

Selezione e ottimizzazione dei canali

Ottimizza la selezione e la configurazione dei canali wireless per massimizzare la larghezza di banda per il traffico Zoom. Scegli canali meno congestionati e regola le larghezze di banda dei canali e i livelli di potenza di trasmissione secondo necessità per ottimizzare le prestazioni.

Reti private virtuali

Usa il VPN Split Tunneling per evitare il degrado dell'audio e del video di Zoom e il sovraccarico della tua infrastruttura VPN

I servizi di Virtual Private Network (VPN) sono importanti per la protezione dei dati accessibili dagli utenti che lavorano da sedi remote. Tuttavia, quando i media delle applicazioni di collaborazione multimediale in tempo reale come Zoom vengono trasmessi attraverso una VPN, si crea un carico elevato sull'infrastruttura VPN e può verificarsi un significativo degrado audio e video.

Collaborare con il tuo provider VPN per distribuire un modello per il VPN Split Tunneling ti consente di designare quali dati applicativi attraverseranno la VPN e quali la bypasseranno verso la tua rete locale.