PALMisLIFE 討論區

標題: 兩岸網路連線的規劃 [列印本頁]

作者: adamchang 時間: 2006-5-3 13:41
標題: 兩岸網路連線的規劃
這個問題應該有很多朋友都會遇到,
公司的mail server是在台灣,提供pop3,smtp的service給大陸的使用者使用
但是常常會發生收信收不下來的情況,過了一些時間就正常了.
兩岸的使用者及服務都是利用當地的ISP走internet出去.
後來在網路上找了一些其它人的經驗,發現可以規納出以下的結論

大陸ISP 做的事很多,
很多是很好, 但是該系統不是很令人能接受, 我猜它是用 tunnel 的技術,
IP <-> IP 會在它程式認為該斷線時, 完全終止掉雙方的所有TCP連線,
斷掉就算了, 但還會停止工作一段時間.
情況總結有:
1. 大陸以遠端 SMTP 來寄信時不能寄件人和收件人相同, 否則得到 500 error 的錯誤.
2. 大陸收遠端 POP 的信時, 該信的檔頭要正確,此外, 要注意的一點最恐佈, 收的信不能有以下情況
a. From: , To: 的信箱不能為一樣, 所以收到 pchome 的電子報就會被斷線(很多都是寄件人收件人都是 edm@mx.epaper.com.tw).
b. 會過濾內容, 目前發現的被濾的From: 關鍵字有 udnpaper , 也就是 udn 的電子報不行.

以上的測試方法,我試過之後發現的確會發生相同的情況.
當然,如果不在兩岸之間的連線做一些手腳,這些情況只會越來越多(例如vpn,voip慢慢被封鎖)

不知道有沒有人有兩岸網路建置的經驗,可以提供小弟做參考,第三地ISP(如第一線)應該有提供解決方案,
不過小弟想知道有沒有更節省成本的方法可以解決這類的問題?

謝謝

作者: tzchang 時間: 2006-5-3 16:55
標題: Re: 兩岸網路連線的規劃
1. 租兩岸ISP業者的MPLS-based or ATM-based VPN服務, or, 本錢粗的, 租衛星線路或是海底光纜.
2. 自己建點對點IPSec VPN或是總部建SSLVPN請遠端user透過SSLVPN連回來.

最便宜的應該是自建IPSec, 一般的firewall或是Cisco router都可以做; 如果要對使用者權限跟資源做更有效的控管的話, SSLVPN則是個不錯的選擇, 不過SSLVPN建議買領導廠牌的出問題的機會比較少(Aventail, Juniper, F5等).

[ 本文章最後由 tzchang 於 2006-5-3 17:08 編輯 ]

作者: adamchang 時間: 2006-5-3 17:02
標題: Re: 兩岸網路連線的規劃

原文章由 tzchang 於 2006-5-3 16:55 發表
2. 自己建點對點IPSec VPN或是總部建SSLVPN請遠端user透過SSLVPN連回來.

這樣的規劃會不會也面臨到未來中國ISP封鎖的情況呢?
目前看起來的情況是,大陸方面對於這樣的政策並沒有一定的做法,
朝令夕改是經常的是,請當地ISP協助也是什麼都不肯講.

作者: tzchang 時間: 2006-5-3 17:15
標題: Re: 兩岸網路連線的規劃
我個人是覺得不致於啦... 因為不管IPSec或是SSL都是國際標準的protocol了... 除非中國大陸規定以後除了80 port以外其他不開放... 擋IPSec還比較有可能, 擋SSL的443 port的話, 除非中國大陸內部都不玩e-commerce或資安了.... 不然應該是百分百不可能擋的......

致於如果要做filtering的話, 不管要filter IPSec或是SSL都需要相當高的計算能力, 除非中國大陸當局願意砸個幾十億在每家ISP都設置過濾設備, 不然我相信應該短時間內還不致於能做到... (更不用說還要用戶自己交SSL Certificate出來或是做SSL Proxy)

作者: 小酒蟲 時間: 2006-5-3 17:22
標題: Re: 兩岸網路連線的規劃

原文章由 tzchang 於 2006-5-3 02:15 發表
除非中國大陸當局願意砸個幾十億在每家ISP都設置過濾設備, 不然我相信應該短時間內還不致於能做到

我以為「當局」出一張嘴下令就可以了。

作者: chouwu 時間: 2006-5-4 02:49
標題: Re: 兩岸網路連線的規劃

原文章由 tzchang 於 2006-5-3 17:15 發表

致於如果要做filtering的話, 不管要filter IPSec或是SSL都需要相當高的計算能力, 除非中國大陸當局願意砸個幾十億在每家ISP都設置過濾設備, 不然我相信應該短時間內還不致於能做到... (更不用說還要用戶自己交SSL Certificate出來或是做SSL Proxy)

去年在深圳工作時,連回台灣雅虎首頁就等死吧;msn也不例外(有關台灣的首頁都進不了)
不過收信(美國)的就還好,我想當局會在某個程度上的限制(我網路不熟,只能說說那裡的經驗)
謝謝

作者: fish0225 時間: 2006-5-4 08:10
標題: Re: 兩岸網路連線的規劃

原文章由 wufs 於 2006-5-3 14:06 發表
小弟是採用中華電信的 IPVPN，把公司三個點: 台北新竹東莞連接起來
在對岸的部份是中華電信向中國電信聯繫，頻寬為 512k，
可再加大，目前已使用超過一年多，效果感覺還不錯，
目前此 IPVPN 在我公司中的應用為網路電話視訊會議 ERP 主機連線以及 mail

除了中華電信的IPVPN之外

還可以承租第三地的的線路

某些港商在中、港、臺三地有經營ISP業務

兩岸都使用他們的線路的情況之下

就很少發生被大陸封鎖的情形

大陸那邊的線路還可以選擇香港或台灣出來

就不會有無法瀏覽台灣網站的情形發生

作者: smart 時間: 2006-5-4 23:47
標題: Re: 兩岸網路連線的規劃
公司當初是用香港商的isp_mpls_vpn的業務

也是很少被封鎖，只是付出的線路費用比較多一點。

最近因為大陸業務變的比較繁重，正準備將台灣的mail　server拆成兩地，不然光收信就得收很久

歡迎光臨 PALMisLIFE 討論區 (http://f.pil.tw/)