互联网交换点（IXP）或网络接入点（NAP）设施是网络交汇的地方，参与所谓的对等，它将全球互联网的各个部分互连起来。在CloudFlare，我们致力于观察。以至于我们才加入了我们的第100个互联网交换点！图片由Martin Levy提供什么是窥视？根据维基百科：在计算机网络中，对等网络是指在管理上独立的因特网网络之间自愿互连，目的是在每个网络的用户之间交换通信量实际上，这通常意味着两个不同的网络（可以是主干网、cdn、移动网络或宽带isp）将各自的网络连接在一起以交换流量。在过去的15年里，网络互连有了很大的扩展，与全球互联网的巨大扩张并行。这一扩展包括正在开发新的数据中心设施，以容纳网络设备。其中一些数据中心吸引了大量的网络，这在很大程度上是由于在这些中心内运行的互联网交换点（包括新的和现有的）蓬勃发展。伦敦有LINX和LONAP交易所，阿姆斯特丹有AMS-IX和NL-IX交易所，法兰克福有DE-CIX和ECIX交易所，这些都是欧洲的好例子。在北美，有许多IXP由Equinix、TelX、Coresite和无数独立运营商运营。亚太地区、南美洲、大洋洲以及最近的非洲大陆也是如此。在过去的15年里，ixp已经部署在全球几乎每个角落。对等已成为全球互联网的核心需求。全球互联网由大约54000个独立的自治网络（ASN）组成，其中近6000个网络参与了对等生态系统；有的大，有的小。一个以志愿者为基础的组织运行PeeringDB，一个对等网络、对等点、对等位置等的数据库。它是100%用户驱动的数据，为网络提供一个ixp目录和愿意对等网络的联系信息。截至2016年1月，数据库中列出了大约5700个网络和630个IXP。保持PeeringDB信息的维护对于任何想要对等的人来说都是必须的；这里有一些提示。几乎没有什么可以阻止任何网络进行对等，特别是在物理上可以访问另一个网络的情况下。一旦在同一区域中有两个、三个（或更多）网络，那么启动一个IXP就非常有意义了。CloudFlare在全球运营75+个POP，几乎所有这些POP都位于靠近本地互联网交换机的位置。通过连接到本地IXP（或多个本地IXP），我们为客户提供了前所未有的web和DNS服务交付。IXPs的技术故障IXP的核心是大的第二层局域网。有时由一个以太网交换机构建，有时多个交换机通过一个或多个物理建筑物互连在一起。无论采用哪种配置，目标都是将网络物理连接在一起。IXP在基本概念上与家庭网络没有什么不同，唯一真正的区别是规模。IXP的范围从100兆位/秒到交换流量的许多兆比特/秒。与大小无关，它们的主要目标是确保许多网络的路由器干净高效地连接在一起。相比之下，在家里你通常只有一个路由器和许多计算机或移动设备。在IXP的本地网络中，这些不同的isp能够使用BGP协议创建一对一的连接。创建这个协议是为了允许不同的网络相互宣布他们自己的IP地址，以及他们已经为下游（即他们的客户）提供连接的IP地址。一旦两个网络建立了一个BGP会话，它们各自的路由就被交换，因此通信量可以直接在它们之间流动。任何先前的中间网络都将从等式中删除。BGP允许将多组IP地址作为单个实体（称为CIDR块）进行公告。IP地址是IPv4的32位数字和IPv6的128位数字。由于全球互联网由数十亿个IP地址组成，BGP协议将IP地址合并为CIDR网络地址。在IPv4互联网中，这些网络可以包含256个连续IP地址（称为a/24）到16777216个连续地址（a/8）。A/24表示2^（32-24）个地址。在IPv6中，最小的网络块要么是a/64（18446744073709551616个IP地址-或2^（128-64）地址）要么是a/48（惊人的12089258196146297706176个单独的地址）。最好把a/48看作是65536/64s——IPv6网络的基本组成部分。回到BGP和全球互联网上，它起作用的原因是合作网络向对等的邻居宣布它们的IP地址块（CIDR块）。以下是BGP公告中的一个示例：8.8.8.0/24*[BGP/170]15:29:05，MED 0，localpref 200，从80.249.208.247起AS路径：15169 I，验证状态：未验证通过ae3.0至80.249.208.247>通过ae3.0至80.249.209.100CloudFlare可以在其网络中看到此路由，因为我们的网络直接与特定CIDR块的源对等。这里发生的是另一个ISP的路由器（又名我们的对等伙伴）告诉我们的路由器，我们的网络可以向8.8.8.0/24（包含谷歌8.8.8.8 DNS解析服务的网络块）发送流量到IXP结构。我们的路由器将流量发送到80.249.208.247或80.249.209.100的IP地址，作为交换结构上的下一跳。（Fabric是以太网交换机的一个别致的词）。AS路径显示它是到AS15169/Google的直接跳转，这意味着我们可以通过这个特定的互联网交换点直接连接到Google，而不需要中间网络。实际上，CloudFlare和Google通过每个大陆（全球近65个以上的位置）的对等点进行互连。这个例子在CloudFlare所有位置的1000个其他网络中反复出现。每个对等会话和对等点都致力于改进CloudFlare面向其客户的网络产品。为什么这一切都很重要？如果没有IXP，从一个ISP到另一个ISP的流量将依赖于中间主干ISP将流量从源传输到目标。在某些情况下，这样做是没有问题的：这是一个很大一部分的国际互联网流量如何流动，因为它是成本高昂的保持直接连接到世界上的每一个ISP。然而，依靠主干ISP承载本地流量可能会对性能产生不利影响，有时是因为主干载波连接到另一个主干上，而另一个主干网则是它在完全不同的城市将流量交给另一个主干网的。这种情况可能导致所谓的长号，即从一个城市到同一城市的另一个ISP的流量可以经过很远的距离进行交换，然后再返回。在许多发展中国家，这是非常普遍的。窥视IXP如何帮助解决这个问题？通过连接到本地Internet交换点并与其他本地ISP进行对等，通信量将得到微调，并在本地直接交换。这使我们的web和DNS服务在与我们对等的目标网络上具有最佳性能。帮助我们的网络保持90%以上的潜在流量。除了性能上的好处外，直接通过ixp交换流量可以提高冗余度。因为CloudFlare可以通过多个交换设置与其他isp的对等，这意味着两个网络都可能有不同的路径来交换流量。例如，如果一个ISP只连接到一个或两个主干网，而其中一个主干网出现故障，则在Internet交换机上发送给ISP的流量将不会受到影响，因为它是直接交换的。通过对等网络对抗DDoSCloudFlare运营着一个保护其客户免受DDoS攻击的网络，遗憾的是，DDoS流量（在全球互联网的某个地方创建）最终流向了CloudFlare的网络。正如我们之前在这里和这里所写的，我们已经建立了一个庞大的网络来处理DDoS流量，并在到达客户的web服务之前对其进行过滤。窥视在那个故事中起了很大的作用。正如我们希望优化通向最终用户的网络路径（在查看我们的网络提供的内容时提供最佳体验），我们还希望优化进入我们网络的恶意DDoS流量的路径。为什么？移除DDoS攻击路径中的中间网络实际上有助于保持互联网的干净运行。我们已经建立了一个能够处理DDoS攻击流量的网络，如果这些流量通过直接对等会话到达我们，那么经验表明我们有能力处理与之相关的流量级别（以及每秒数据包级别）。如果在该路径中有一个中间网络，我们有时会观察到该网络中的并行拥塞或数据包丢失。不是好事。直接路径（通过对等连接）意味着在恶意源和我们过滤和吸收DDoS流量之间有最短的路径。如果不进行对等，互联网就无法处理如今非常常见的DDoS攻击类型。谁操作IXPs？任何人都可以！全球有100多个IXP在运行。有些国家只有一个IXP，有些国家（如巴西）有近50个独立的IXP。遗憾的是，有相当多的国家根本不存在IXP。IXP有许多操作模型。CloudFlare通过各种模型连接到IXPs。会员模式（在欧洲更受欢迎）以一组网络为中心，这些网络是在一个或多个城市运营IXP的非盈利组织的成员。会员费和每次连接