十多年前,我向SD-WAN专家、MPLS专家发起了一个到中国的项目。当时,在另一个国家,更不用说在另一个大陆,发现电信服务似乎是不可能的。中国是最困难的国家之一。
我们的行业发生了很大变化。MPLS已经让位给了SD-WAN,但有些事情还是一样的。我们仍然需要全球互联互通,而中国仍然是个谜。我的中国屏蔽VPN流量的故事–而且潜在的SD-WAN流量–在业界引起了相当大的轰动,很大程度上是因为,像许多与中国打交道的事情一样,具体信息仍然稀缺(特别是对非母语人士而言)。
总结一下:根据中国电信发给我的一位客户的通知,中国政府将要求中国的商业ISP在2018年1月11日之前封锁TCP端口80、8080和443。端口80当然是通常用于承载HTTP流量的TCP端口;8080和443用于承载HTTPS流量。
“我也在社交媒体上看到过中国电信发出的类似通知,”袁洋,驻北京记者金融时报,在电子邮件中给我写信。对维护这些端口的访问感兴趣的商业ISP客户必须注册或通过其本地ISP申请重新打开端口。
现在,我们知道中国的政策阻碍了一些交通。这不是什么新鲜事。2017年6月,多个消息来源报道称,中国将封锁消费者VPN流量。除此之外,还将严厉打击访问互联网的行为防火墙——世界上最先进的国家审查机构,雇佣了至少200万名在线审查员。
这里有新的细节。中国电信将封锁商业用户启动今天. 什么是商业用户?规定的范围是什么?
对“商业用户”的关注尤为重要。有人建议,该通知只针对外部使用——销售基于互联网的服务的公司。这个中文规则(感谢Google Translate)讨论互联网信息服务提供商(与互联网服务提供商不同)必须如何注册,否则将被其ISP阻止。
这个通知我发现有效期是2018年1月1日。接近,但不完全是2月1日的最后期限。(我不是一名中国电信律师,也是第一个承认我对这一规定的理解可能是错误的。)
杨同样怀疑。“你转发给我的上海电信通知也暗示了这一点,因为它要求公司提供他们的ICP许可证——只有互联网公司会通常考虑申请国际比较项目许可证。但目前还不能确定这封信是写给谁的。
如果真的只有“互联网公司”成为目标——我们指的是向在线客户销售商品和服务的公司——那么IT经理们或许可以松一口气。我仍然不确定有多少公司不在网上销售任何东西,但如果描述准确,至少就SD-WAN系统而言,在大多数情况下,IT运营应该不会受到影响。
SD-WAN设备通常在公司内部使用,这会使它们超出监管范围。这很好,因为它们在某种程度上依赖于Internet访问,阻塞443(当然还有端口80和8080)很可能会破坏许多SD-WAN解决方案。
即使是混合了MPLS和Internet的混合广域网也可能受到影响,至少是间接的。对于那些运行在私有数据服务上的应用程序,它们可以正常工作,但是当故障转移到Internet或通过加密的Internet隧道作为主要流量驱动程序发送流量时,它们将被中断。不过,如果法规没有针对内部使用,那么由公司运行的SD广域网站点到站点vpn应该不会面临问题。
听起来不错,对吧?但问题是:我的客户不是一家“互联网”公司。它也不是唯一的在接收这样的通知。“我也听说一些非互联网公司受到了影响,”杨写道。
事实证明是“非互联网”公司注册其VPN的情况。在我写完这篇博客时,杨写道:
“我采访了一家在北京的西方跨国公司(一家专业服务公司,而不是一家互联网/技术相关公司),几年前,当VPN的法规首次出台时,该公司已经成功地向当局注册了内部VPN。登记程序与国际比较项目许可程序不同。因此,可以注册贵公司的内部VPN。”
有点迷路?你并不孤单。“我和北京的科技律师谈过,他们也说他们的客户很困惑,”老实说,我也是。
还有更多。该条例是否只对中国境内的这些港口实施封锁,或者这些港口的出境交通是否也要遵守该条例?很难说。解决这个问题的一种方法似乎是使用私有数据服务,如租用线路或MPLS电路。中国电信(不足为奇)提供了这样的服务。
但这很难解决。MPLS服务价格昂贵,部署繁琐,中国政府仍有权检查您的流量。SD-WAN的重点是摆脱私有数据服务,而不是采用它们。除此之外,部署MPLS电路所需的时间可能要比找出规则的范围所需的时间长。
在我的上一篇文章中,我建议您向您的提供商咨询. 我仍然认为这是个好建议。在为一个可能会限制你前进的技术决定而奔走之前,先坐好。
谜团很快就会解开。