深度解析

IXP Route Server 的盲区:为什么接入交换中心不等于路由更安全

结合 IXP route server 的过滤机制,解释 IRR、RPKI、AS-SET 和错误前缀为什么会影响交换中心互联质量。

2026/5/19 #IX#BGP#Routing#Peering

Route Server 解决了什么

IXP 的 route server 可以让成员少建很多双边 BGP session。一个新成员接入交换中心后,只要和 route server 建立会话,就能和大量成员交换路由。

这对中小网络很友好,但它也把过滤策略集中到了 route server 身上。过滤做得好,交换中心会更干净;过滤做得粗糙,错误路由也可能被放大。

盲区从哪里来

常见 route server 过滤依赖 IRR、AS-SET、RPKI 和本地策略。问题在于这些数据源并不总是同步:

  • IRR 对象过期,老前缀仍然存在。
  • AS-SET 维护不严,包含不再属于该网络的成员。
  • ROA 最大长度设置过宽,给异常更细前缀留下空间。
  • 多个 IRR 数据库存在冲突,route server 选择了较宽松的数据源。

最终表现是:某个前缀看起来“有对象”,但对象和真实运营关系已经脱节。

VPS 用户能观察到什么

如果你买的是接入多个 IXP 的 VPS,route server 盲区可能表现为:

  1. 某些方向走了奇怪的短路径,但吞吐很差。
  2. 同一个目标白天和晚高峰 AS Path 差异极大。
  3. 部分网络通过 IXP 可达,部分网络却回退到昂贵 transit。
  4. Looking Glass 看到的路径和本机实际 traceroute 不一致。

这不一定是商家“偷线路”,也可能是 peering policy、route server 过滤或对端偏好变化。

国外社区怎么讨论 IXP

在 LowEndTalk 这类 VPS 社区里,商家经常会宣传“接入多个 IX”或“多地 peering”。这些信息有价值,但需要拆开看。接入 IXP 只说明商家有机会和其他网络交换流量,不说明它和目标网络一定有有效 peering,也不说明对方愿意接收所有前缀。

PeeringDB 上能看到网络、设施和交换点信息,但它是一个目录,不是实时质量证明。一个网络在 PeeringDB 写了某个 IXP,不代表你的业务流量就会从那里走。真实路径还取决于 BGP local-pref、MED、community、route server 策略和对端过滤。

APNIC 关于 route server 盲区的文章提醒了一个容易被忽视的问题:过滤依赖的数据源可能过时,尤其是 IRR 和 AS-SET。对于 VPS 用户,这会造成一种错觉:路径看起来是通过正规 IXP 传播的,但背后的授权关系并不牢靠。

如何读 PeeringDB

查看商家或上游网络时,重点看:

  • ASN 是否和商家宣称一致。
  • Facility 是否在目标城市。
  • IX LAN speed 是否足够。
  • Policy 是 Open、Selective 还是 Restrictive。
  • 是否列出 Looking Glass、NOC 联系方式和 route server 信息。

Open policy 不等于一定好,Selective 也不等于不好。大网络为了控制质量经常选择 selective peering。对用户来说,关键是它是否覆盖你的目标方向。

对“多 IX 商家”的判断

如果一个 VPS 商家宣传接入很多 IXP,可以问几个更具体的问题:

  1. 中国方向主要走哪个上游。
  2. 日本本地流量是否通过 JPNAP、BBIX、JPIX 等交换。
  3. 是否接受 BGP community 调整出站。
  4. 是否有流量工程策略,还是全靠默认 BGP。
  5. 故障时是否能临时关闭某个 peering。

能回答这些问题的商家,通常比只贴一张 PeeringDB 截图的商家更可靠。

测评检查清单

birdc show route for <目标IP>
bgpq4 -S RIPE,APNIC,ARIN AS-EXAMPLE
nexttrace <目标IP>
mtr -rwzc 100 <目标IP>

如果无法登录路由器,可以用公开 Looking Glass:

  • 目标网络的 LG。
  • IXP route server looking glass。
  • bgp.tools / RIPE RIS / RouteViews。

重点看三件事:

  1. 前缀是否有 RPKI Invalid。
  2. AS Path 是否绕到异常国家或异常上游。
  3. 同一前缀在多个 collector 上是否出现多个 origin。

对选购的实际意义

IXP 多不等于线路一定好。对 VPS 来说,更重要的是商家是否有清楚的路由策略:哪些流量走 peering,哪些走 transit,是否有能力处理 route leak,是否能在故障时快速调整 local-pref。

一个成熟商家通常会公开测试 IP、Looking Glass、上游列表或至少愿意解释路由策略。只给“多 IX 接入”但没有数据支撑的宣传,参考价值有限。

参考来源