组建一个 IXP 的小记

Pysio2025/5/5...大约 3 分钟

ASN 拿到手已经三个月了，前阵子也没怎么折腾。最近纯粹是心血来潮，突然想试试能不能自己搭个 IXP。

为什么要折腾IXP？

说实话，最初的动力很简单，就是想玩。BGP、RPKI 这些词看着高大上，实际动手才发现，原来自己也能搞起来。顺便还能帮朋友们的网络互联省点事，何乐而不为？

想深入理解 BGP 和 RPKI，光看文档不过瘾，必须实操
让小网络也能低门槛互联，体验"互联网的互联网"
顺便试试远程虚拟接入，看看能不能让地球另一端的朋友也能轻松接入

技术选型和踩坑

一开始就没打算搞得多复杂，能跑起来、能互联、能安全就行。

路由软件选了 Bird，轻量好用，配置也不难
交换用 VXLAN，省得折腾物理交换机，远程接入也方便
RPKI 自己搭了个 RTR 服务器，安全感 up
服务器放在法兰克福，欧洲网络资源丰富，延迟也不错

最头疼的其实是远程虚拟接入，毕竟不是每个人都能去机房插根网线。VXLAN 帮了大忙，大家只要有公网 VPS 就能拉隧道进来。

动手搭建的流水账

1. 服务器和网络

先搞了一台支持 BGP 的 VPS，申请了 IPv6 段2a14:67c1:a080::/48。IPv4 太贵，IPv6 用起来真香。

# 创建IXP VXLAN接口
ip link add vxlan0 type vxlan id 10 dstport 4789 local 2a05:f480:1800:2e75:5400:05ff:fe65:88f3
ip addr add 2a14:67c1:a080::1/64 dev vxlan0
ip link set vxlan0 up

2. Bird 配置

Bird 是核心，负责 BGP 路由交换。配置其实没想象中复杂，主要就是 ASN 过滤、RPKI 校验、模板化加对等体。

router id 1.1.1.1;

# 定义BOGON ASN过滤
define BOGON_ASNS = [
    0, 23456, 64496..64511, # ... 其他BOGON ASN
];

define IX_PEERS = [
    213605, 213891, 151194, 198025, 210352
];

function ix_import() {
    if bgp_path.last ~ BOGON_ASNS then return false;
    if !check_roa_v6() then return false;
    return true;
}

模板化配置，后续加成员很方便：

template bgp ix_rs {
    local as 210440;
    multihop 2;
    ipv6 {
        import where ix_import();
        export where ix_export();
        next hop self;
        graceful restart on;
    };
}

3. RPKI验证

安全这块不能省，自己搭了 RPKI 验证器，Cloudflare 也拉了个备份。

protocol rpki rpki_akae {
    roa4 { table roa_table_v4; };
    roa6 { table roa_table_v6; };
    remote "rpki.akae.re" port 8282;
    retry keep 90;
    refresh keep 43200;
    expire keep 86400;
}

protocol rpki rpki_cloudflare {
    roa4 { table roa_table_v4; };
    roa6 { table roa_table_v6; };
    remote "rtr.rpki.cloudflare.com" port 8282;
    retry keep 90;
    refresh keep 43200;
    expire keep 86400;
}

function check_roa_v6() {
    case roa_check(roa_table_v6, net, bgp_path.last) {
        ROA_VALID: return true;
        ROA_UNKNOWN: return true;
        ROA_INVALID: return false;
    }
}