Skip to main content

 

Cisco Meraki Documentation

Meraki 中国用户信息

To view this article in English, click here

概述  

为了更好地服务于中国大陆或在中国大陆部署设备的客户,Cisco Meraki 团队正在投入大量资源推出面向中国地区的服务。面向中国地区的 Meraki 服务已于 2018 年初完成部署,此服务将仅由位于中国大陆的数据中心提供支持(以下简称“中国服务”)。我们强烈建议在中国大陆部署 Meraki 设备的客户采取相关行动,确保将这些设备迁移到中国服务。

在控制面板中创建新组织时,客户现在可以选择中国地区。为了遵守中国法律并应对特定的技术挑战,中国的控制面板与常规控制面板会有一些不同之处。

跨境服务的可用性 

在中国服务于 2018 年初推出之前,当时部署在中国大陆的 Meraki 设备会通过原有 Meraki 服务提供的跨境连接进行通信。此类通信本质上属于跨境连接,因为这些位于中国大陆的 Meraki 设备会将数据发送至位于北美、南美、欧洲和/或亚洲其他国家/地区的 Meraki 服务(具体取决于注册时选择的地区)。

  • 由于一些 Meraki 团队控制能力之外的原因,这种跨境数据连接有时会出现不稳定的情况。因此,一些位于中国大陆,但是连接北美、南美、欧洲和/或亚洲其他国家/地区的 Meraki 服务的设备可能会在连接到 Meraki 服务时遇到问题,而且/或者可能会失去与 Meraki 服务的连接。
  • 跨境数据连接受中国法律限制,可能随时有所变化。

为了避免在使用跨境连接的 Meraki 服务时存在的各种问题,我们强烈建议 Meraki 用户采取相关行动,确保对部署在中国大陆的 Meraki 设备使用 Meraki 中国服务和中国控制面板。

客户建立的跨境数据连接  

  • Meraki 可以为用户提供各种用于创建 VPN 隧道的工具。由于中国禁止将 VPN 用于某些用途,所以我们建议客户通过独立的渠道,就自己创建或使用 VPN 网络的目的是否合法寻求法律建议。任何涉及跨境连接的 VPN 均受中国法规制约,并会按照中国的网络流量控制措施处理。
  • 另外需要注意的是,Cisco Meraki 可能无法成功解决因中国的网络状况、预料之外的中国法律更改,以及中国监管机构的行动而造成的问题和服务中断。

在中国服务下创建组织  

中国服务控制面板现已上线,网址为:dashboard.meraki.cn 。用户可以在该页面上创建新的中国组织。

将现有组织、网络或设备迁移至中国服务  

中国服务下创建组织,然后手动将所有设备迁移至该新建组织。选择此迁移选项时,所有配置设置都需要以手动方式重新创建。用户可以提交支持案例,请求 Meraki 支持部门协助在新旧组织之间迁移许可证。

:以下产品和服务在中国服务中不支持:
●    SM
●    MV
●    MI

 

 

中国境内不受支持的功能   

使用中国服务配置的设备不支持以下功能: 

  • 使用 HTTP 代理进行云通信
  • 使用 HTTP 获取配置(设备必须使用 HTTPS 来获取配置)
  • MX高级安全版许可证:中国版控制面板暂不支持AMP功能。内容过滤功能在中国大陆支持”top sites”和”full list”两种模式。详见内容过滤的文档。但是在”full list”模式下,MX会查询位于中国境外的内容过滤服务器以提供服务,这将产生稍许延迟。

请注意,这些服务可能随时变更。

 

中国最低产品固件版本要求  

:此处列出的最低版本为受支持的最低版本,建议将所有节点升级到最新的稳定测试版固件。使用固件升级管理器可执行此操作。

要使某些功能按预期工作,中国服务所托管的节点应运行以下最低产品固件版本:
●    MR:版本 25-9
●    MX:版本 13-29
●    MS:版本 9-36

适用于云连接的防火墙白名单要求  

请注意,中国的标准防火墙白名单要求与其他国家/地区稍有不同,适用于云连接的要求可在中国防火墙信息页面找到。
对于中国的网络,我们不再需要将 Google DNS 服务器 8.8.8.8 作为 MX 连接监视器的目标(ICMP 和 UDP),而只需要使用 209.206.48.0/20 ,其中包含了用于监控 MX 设备连接状态的 ICMP 连接目标。因此,在中国,8.8.8.8 将不再是连接测试所必需的 ICMP 目的地址。
此外,对于中国,基于美国的备用云连接和传统 mtunnel 及 mtunnel-over-http 地址也已从防火墙白名单页面中删除。

中国境内跨国公司需要考虑的事项   

您可以查看我们的中国自动 VPN 文档,详细了解如何在中国与中国境外的企业之间部署自动 VPN 连接。

 

将中国组织合并到国际网络 

 

Image of a logical separation of two networks that are within and outside of the China region. The image depicts two different networks that are logically placed in two different organizations and are communicating using a VPN due to compliance reasons.

 

  • 中国大陆的 Meraki 设备必须属于中国控制面板中的独立组织(即托管于中国 Meraki 数据中心)。出于合规性方面的原因,中国控制面板完全独立于全球控制面板。
  • 中国组织的所有 MX 都必须使用企业许可证授予许可。
  • 必须至少有 1 个 MX 被指定为中国组织与非中国组织之间的网关。
  • 该 MX 实际上十分特殊,它是汇聚了所有分支 MX 流量的中枢 MX。该 MX 应是一个大容量的高端 MX,并且连接到高带宽线路或可靠的线路。
  • 此外,如果中国境内的分支 MX A 想要连接中国境内的分支 MX B,可以通过中国境内的中枢 MX 进行此连接。
  • 只需将中国组织的 MPLS 链路连接至两方的 MX 局域网接口即可。
  • 除此之外还有其他多种设计方式可以达到这个目的,但是通常都比这个方式更复杂。
  • 从本质上讲,我们需要的是一条连接两个数据中心的专用线路。
  • 该线路既可以使用静态路由,也可以使用动态路由。
  • 应使用静态路由通过 MPLS 指向中国组织和非中国组织。

跨境连接考虑事项  

企业要想建立跨境网络连接,可以考虑以下方案:

  • 方案 A:在中国境内,企业可以直接租赁 3 家中国电信运营商(中国电信、中国移动或中国联通)的国际专线,然后使用自己的设备或电信运营商的 VPN 服务来建立 VPN,用于连接公司网络。
  • 方案 B:企业可以直接委托在中国境内设有分支机构的境外电信运营商,租用 3 家中国电信运营商的国际专线(包括 VPN),然后连接公司专用网络和设备。

上述跨境连接方法(方案 A 或 B)必须仅用于内部数据交换和办公用途。
截至 2018 年 2 月 3 日有效,可能会根据法规变更随时修改

常见问题解答   

在中国可否享受免费产品试用? 

Cisco Meraki 产品目前在中国不提供免费使用。客户无法通过控制面板申请在 Cisco Meraki 中国服务中创建任何组织进行免费产品试用。

标准 Meraki 管理员账户能否与中国管理员账户共享信息?或者说,我能否使用同一个控制面板或同一个账户查看中国组织和非中国组织的信息?  

不可以。在中国控制面板中创建的账户与非中国账户完全独立,二者不能互通,也无法共享任何账户信息或组织成员信息。

中国大陆是否提供Meraki NOW服务? 

关于Meraki NOW服务,请联系您的思科服务销售代表做进一步地了解。

中国大陆RMA服务等级? 

Meraki在中国大陆提供的RMA服务等级为 8x5xNext Business Day

可参考思科RMA服务等级文档。

https://www.cisco.com/c/dam/en_us/ab...ly-service.pdf

  • Was this article helpful?