Zuverlässige Anbindung an China

7

Ich habe Probleme damit, eine zuverlässige Verbindung nach China herzustellen (AS4837 China Unicom Backbone, AS4134 China Telecom Backbone, AS4538 China Education and Research Network Center).

Bei den meisten Links, die ich verwendet habe, sehe ich 300 ms + RTT mit hohem Jitter und 50% Paketverlust sind keine Seltenheit. Einige Links haben sogar RTT über 1000 ms während der Stoßzeiten.

Chinesische ISPs neigen dazu, Nicht-Premium-Verkehr an überzeichnete Links zu senden.

Ich versuche, dies zu umgehen, indem ich mehrere Server in den USA und in China habe, und hoffe, dass jeder US-Server eine akzeptable Konnektivität zu mindestens einem Server in China hat (z. B. AS6939 Hurricane Electric mit AS4134 China Telecom Backbone). Für einen US-Kunden, der auf Ressourcen in China zugreifen möchte, stellt er eine Verbindung zu meinen Servern in den USA her, und meine Server treffen die "Routing-Entscheidung", zu welchem ​​Server in China eine Verbindung hergestellt werden soll. Ich leite den Transport in gewissem Sinne.

Ist das machbar? Derzeit kann ich aus finanziellen und lizenzrechtlichen Gründen keine Premium-Links in China kaufen (selbst CDNs fällt es schwer, eine Bandbreite zu angemessenen Preisen zu erhalten, ganz zu schweigen von der Schwierigkeit, eine Telekommunikationsbetreiberlizenz in China zu erhalten).

Welche Routing-Optionen muss ich für Routing-Entscheidungen in meinem Transportnetzwerk verwenden? Wie kann es skaliert werden, wenn ich Site-to-Site-VPNs vernetze?

Kann ich eine Verschlüsselung verwenden? AFAIK OpenVPN funktioniert nicht mit AS4837 China Unicom Backbone, da TLS-Handshakes von Chinas GFW fallen gelassen werden. Die doppelte Kapselung mit Dingen wie Stunnel funktioniert derzeit, beeinträchtigt jedoch die Leistung (mit TCP in TCP gekapselter Datenverkehr).

BGP-Peer mit Upstreams mit guter Anbindung an China und einigen BGP-Verkehrstechniken klingt nach dem richtigen Ansatz, aber das liegt vorerst weit über meinem Budget.

Mein Ziel ist es, die Erfahrung von Privatanwendern beim Zugriff auf weit entfernte Inhalte zu optimieren. Schaue ich in die richtige Richtung, um das Problem zu lösen?

Dies ist die Herausforderung ... RTT zwischen Wohnverbindungen zwischen den USA und China

Vielen Dank.

Ich bin nicht der Inhalt, ich möchte nur Transport bieten.

Edit1: Das AS4538 China Education and Research Network Center ist IPv6-fähig und die IPv6-Leistung dort ist normalerweise besser als bei IPv4. Die Konnektivität zwischen diesen drei chinesischen ISPs kann manchmal sehr schlecht sein (300 ms + RTT mit hohem Paketverlust zu einem anderen ISP in derselben Stadt, langsamer als der chinesische ISP1-US-China ISP2). Und meine Benutzer können auf jedem dieser 3 ISPs sein.

routing  vpn 
sdaffa23fdsf
quelle
Warum bekommen Sie nicht einfach einen China-Server, der BGP-Konnektivität verwendet?
lamp_scaler
Ich würde versuchen, direkt mit diesen drei ISPs in China zu sprechen.
Jwbensley
Sie haben eine sehr restriktive Peering-Politik und die Preise sind unverschämt.
sdaffa23fdsf
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort geben und diese akzeptieren.
Ron Maupin

Antworten:

6

Scheint potenziell breites Thema. Aber ich interpretiere es als zwei Fragen:

  1. Verwendung von Jitter / Paketverlust / Verzögerung als beste Pfadauswahl
  2. Praktische Lösungen zur Verschlüsselung dieses Datenverkehrs

Für die erste Frage gibt es externe kommerzielle Lösungen, die Links überwachen und Ihren BGP optimieren. Der Vorteil davon ist, dass sie größtenteils herstellerneutral sind, solange Sie BGP ausführen, sollten sie funktionieren. Ich kann keine empfehlen, da ich eine solche Lösung nicht persönlich verwendet habe.
Ich hoffe, jemand anderes gibt einen Überblick darüber, was auf dem Markt erhältlich ist und welches Produkt empfehlenswert ist.

Dann gibt es noch den PfR von Cisco (der zuvor von OER zusammengestellt wurde), der einen Link verwendet, der Ihren Leistungsanforderungen am besten entspricht. Es ist sehr schön, obwohl es vollständig proprietär ist und nicht im gesamten Routing-Portfolio verfügbar ist.

Bei Fragen zur Verschlüsselung bin ich mir nicht sicher, was ich sagen soll. Ich denke, IPSEC-Links, die wir dort haben, um einige Remote-Fabriken mit dem L3 MPLS-VPN des Kunden zu verbinden, funktionieren einfach, ohne dass GFW eingreift.

Es kann nützlich sein, in Ihren Beitrag grobe pps / bps-Grenzwerte aufzunehmen, um zu begrenzen, was unterstützt werden muss, welche Geräte Sie heute verwenden und wie viel CAPEX Sie für die neue Lösung ausgeben müssen.

ytti
quelle
Rhetorisch : Wie kann die GFW verschlüsselte Tunnel zulassen? Das würde es gFW machen.
Generalnetworkerror
'G' wie in großartig. Ich bin mir nicht sicher, was "g" in Ihrem Kontext bedeuten würde. Aber vielleicht liegt der Grund, warum wir nicht betroffen sind, darin, dass es sich um eine Übertragungsverbindung (L2) (über Russland) handelt, nicht um eine globale L3-INET. Aber wirklich interessante Frage, ich denke, es würde einen eigenen Beitrag verdienen, wo / wie greift GFW ein.
Ytti
Kleines 'g' ist nicht so toll, wenn die Great FireWall es verschlüsselten Tunneln ermöglicht, ihre Filterung zu umgehen. Und wenn Sie über GFW (oder PRISM) posten, wird sicherlich jemand vor Ihre digitale Haustür gelangen.
Generalnetworkerror
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.