Conectividad confiable a China

7

He estado luchando por lograr una conectividad confiable a China (AS4837 China Unicom Backbone, AS4134 China Telecom Backbone, AS4538 China Education and Research Network Center)

En la mayoría de los enlaces que he usado, veo 300 ms + RTT con alto jitter y la pérdida de paquetes del 50% no es rara en absoluto. Algunos enlaces incluso tienen RTT de más de 1000 ms durante las horas ocupadas.

Los ISP chinos tienden a enviar tráfico no premium a enlaces con exceso de suscripción.

Estoy tratando de solucionarlo teniendo múltiples servidores en EE. UU. Y China, y espero que cada servidor de EE. UU. Tenga una conectividad aceptable con al menos un servidor en China (por ejemplo, AS6939 Hurricane Electric con AS4134 China Telecom Backbone). Para un cliente de EE. UU. Que desea acceder a recursos en China, se conectan a mis servidores en EE. UU. Y mis servidores toman la "decisión de enrutamiento" a qué servidor en China conectarse. Estoy corriendo el transporte en algún sentido.

¿Es esto factible? En este punto, no puedo comprar enlaces premium en China debido a restricciones monetarias y de licencias (incluso a las CDN les resulta difícil obtener un ancho de banda a un precio razonable, sin mencionar la dificultad de obtener una licencia de operador de telecomunicaciones en China).

¿Qué tipo de opciones de enrutamiento tengo para tomar decisiones de enrutamiento en mi red de transporte? ¿Cómo se puede escalar si conecto redes VPN de sitio a sitio?

¿Algún cifrado que pueda usar? AFAIK OpenVPN no funciona en AS4837 China Unicom Backbone porque el apretón de manos TLS se está cayendo por el GFW de China. La doble encapsulación con cosas como stunnel funciona por ahora pero realmente perjudica el rendimiento (tráfico encapsulado con tcp dentro de tcp).

BGP con pares en sentido ascendente con buena conectividad a China y algunas ingenierías de tráfico de BGP suenan como el enfoque correcto, pero eso está muy por encima de mi presupuesto por ahora.

Mi objetivo es optimizar la experiencia de los usuarios residenciales para acceder a contenido desde lejos. ¿Estoy mirando en la dirección correcta para resolver el problema?

Este es el desafío ... RTT entre las conexiones residenciales de EE. UU. Y China

Gracias.

No soy el contenido, solo quiero proporcionar transporte.

Edit1: AS4538 China Education and Research Network Center está habilitado para IPv6 y el rendimiento de IPv6 suele ser mejor que IPv4. La conectividad entre esos 3 ISP chinos puede ser muy pobre a veces (300 ms + RTT con alta pérdida de paquetes a otro ISP en la misma ciudad, más lenta que China ISP1-US-China ISP2). Y mis usuarios pueden estar en cualquiera de estos 3 ISP.

sdaffa23fdsf
fuente
¿Por qué no obtienes un servidor de China que usa conectividad BGP?
lamp_scaler
Me gustaría mirar directamente con esos tres ISP en China.
jwbensley
Tienen una política de pares muy restrictiva y los precios son escandalosos.
sdaffa23fdsf
¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar su propia respuesta y aceptarla.
Ron Maupin

Respuestas:

6

Parece un tema potencialmente amplio. Pero lo interpreto como dos preguntas:

  1. Cómo usar jitter / pérdida de paquetes / retraso como mejores selectores de ruta
  2. Soluciones prácticas para encriptar este tráfico

Para la primera pregunta, existen soluciones comerciales externas que monitorean los enlaces y optimizan su BGP, el beneficio de ellos es que son en su mayoría proveedores neutrales, siempre que lo haga, deberían funcionar. No puedo recomendar ninguna, ya que no he usado esa solución personalmente.
Espero que alguien más dé un resumen de lo que está disponible en el mercado y cuál es un producto recomendable.

Luego está el PfR de Cisco (antes era un REA), que utilizará el enlace que satisfaga más estrechamente sus requisitos de rendimiento. Es bastante agradable, aunque completamente propietario y no está disponible en toda su cartera de enrutamiento.

Para la pregunta de cifrado, no estoy seguro de qué decir, creo que los enlaces IPSEC que tenemos allí para conectar algunas fábricas remotas a la VPN L3 MPLS del cliente simplemente funcionan, sin interferir GFW.

Puede ser útil incluir en su publicación un límite aproximado de pps / bps qué necesita ser soportado, qué equipo está usando actualmente y cuánto CAPEX tiene que gastar en la nueva solución.

ytti
fuente
Retórica : ¿Cómo puede el GFW permitir túneles encriptados? Eso lo haría gFW.
generalnetworkerror
'G' como en genial. No estoy seguro de qué significaría 'g' en su contexto. Pero tal vez la razón por la que no nos afectamos es porque es el enlace de transmisión (L2) (a través de Rusia), no el L3 INET global. Pero una pregunta realmente interesante, creo que merecería su propia publicación, dónde / cómo interfiere GFW.
ytti
La pequeña 'g' no es tan buena si Great FireWall permite que los túneles encriptados eviten su filtrado. Y publicar sobre GFW (o PRISM) seguramente traerá a alguien a su puerta digital.
generalnetworkerror