在普通人看來,Cloudflare 的 IP 地址範圍似乎是固定的——104.16.0.0/12 就是 104.16.0.0/12。但網絡工程師深知其中奧妙。這些地址是動態的,同時存在於 330 多個城市中,不斷變化,實時響應互聯網的“天氣”變化。對於任何認真對待網絡架構的人來說,理解這種動態性至關重要。
Anycast 是一種技術:通過 BGP(邊界網關協議)——互聯網路由的“粘合劑”——從多個位置發佈同一個 IP 地址。當您查詢一個受 Cloudflare 保護的域名時,DNS 會返回一個 Anycast 地址。您的 ISP 的路由器會通過 BGP 路徑選擇,將您的數據包定向到“最近”的 Cloudflare 數據中心——這裡的“最近”是指 AS-path 長度上的最近,而非地理位置上的最近。
這並非抽象概念。這是實體基礎設施,會對延遲、可靠性和安全性產生可量化的影響。
BGP:互聯網的“氣象系統”
BGP 通過路徑通告進行工作。Cloudflare 的路由器會向上遊提供商廣播:“我可以訪問 104.16.0.0/12。”每個提供商都會將此信息傳播給其對等方。您的 ISP 會收到多個通告,選擇最短的 AS 路徑,並建立路由。
但“最短”是相對的。BGP 無法感知光纖延遲、海底光纜中斷或網絡擁塞。它只關注自治系統(AS)之間的跳數。一條經過 3 個自治系統的路徑可能穿越 10,000 公里的光纖;而一條僅經過 2 個自治系統的路徑,卻可能途經擁塞的對等互聯點。從 BGP 的角度來看“最近”的 Cloudflare 數據中心,其實際延遲可能高達 100 毫秒。
流量工程:Cloudflare 的控制
Cloudflare 通過操縱 BGP 來優化流量流向。相關技術包括:
AS路徑前綴擴展:人為延長特定上游服務商的AS路徑,以抑制對其的使用。如果Level3的路徑出現擁塞,Cloudflare會將其AS號多次添加到路徑前,從而使替代路徑在BGP看來顯得更短。
社區字符串:BGP 社區——即附加在路由上的數字標籤——用於指示上游提供商調整本地優先級或應用特定策略。Cloudflare 會通過社區標記路由,以指示其首選處理方式。
DNS 負載均衡:在 BGP 啟動之前,Cloudflare 的 DNS 就會根據解析器的地理位置返回不同的 IP 地址,從而將流量引導至特定的數據中心,而無論 BGP 選擇何種路徑。
RDP(速率限制與拒絕服務防護):在遭受攻擊時,Cloudflare 會從受影響的數據中心撤回 BGP 通告,將攻擊流量分散到其全球網絡中,從而抵禦流量型攻擊。
2026年Anycast行業格局
Cloudflare 的 Anycast 部署已發生巨大變化。2026 網絡包括:
標準任播:傳統的任播模式,所有數據中心都會宣佈所有 IP 地址範圍。流量將流向 BGP 距離最近的位置。
Geo-Anycast:專用於特定地區的IP地址範圍。歐洲用戶將獲得歐洲IP地址,亞洲用戶將獲得亞洲IP地址,即使BGP可能更傾向於選擇跨大西洋路徑。這確保了數據駐留合規性及可預測的性能。
Elastic Anycast:故障期間的動態資源重新分配。當倫敦數據中心遭遇洪水(無論是字面意義上的還是比喻意義上的),其 IP 地址範圍會在幾秒內切換至曼徹斯特和阿姆斯特丹,整個過程對用戶完全透明。
Spectrum Anycast:對於非HTTP協議(如SSH、遊戲、自定義TCP),Cloudflare會使用獨立的IP地址段,並採用針對面向連接型流量(而非請求-響應型流量)進行優化的路由策略。
《Anycast 測量:網絡工程師工具包》
要了解流量的實際路徑,需要進行主動測量:
BGP 監控
bash
# Query BGP looking glasses for path visibility# Hurricane Electriccurl-s"https://bgp.he.net/net/104.16.0.0/12#_bgp"# RouteViews
telnet route-views.routeviews.org
show ip bgp 104.16.0.0/12
# RIPE RIS
whois -h riswhois.ripe.net 104.16.0.0/12這些數據揭示了從不同觀察點出發,哪些AS路徑承載著Cloudflare的流量。
延遲映射
Python
# Measure actual latency to anycast IPs from diverse locationsimport subprocess
import json
cloudflare_ips =["104.16.0.1","172.64.0.1","162.158.0.1"]for ip in cloudflare_ips:
result = subprocess.run(["ping","-c","10", ip],
capture_output=True,
text=True)# Parse latency statistics# Correlate with BGP path data要全面繪製全球延遲分佈圖,分佈式測量基礎設施至關重要。IPFLY 的家庭代理網絡覆蓋 190 多個國家,提供真實的測量節點,從而揭示 Anycast 路由在實際用戶中的表現——而不僅僅是網絡運營中心的數據。
路由追蹤分析
bash
# Trace the actual pathtraceroute-I104.16.0.1
# TCP traceroute for path MTU discoverytraceroute-T-p443104.16.0.1
# Paris traceroute for load-balanced path detection
paris-traceroute 104.16.0.1Traceroute 揭示了物理基礎設施:您的流量經過哪些 IXP(互聯網交換點),通過哪些海底光纜,以及在何處接入 Cloudflare 的網絡。
源服務器的影響
Anycast 會以微妙的方式影響源服務器的通信:
非對稱路由:您的請求可能經由倫敦進入,但Cloudflare的響應會經由新加坡發出,這取決於每個時刻的BGP狀態。這會增加狀態防火牆規則的複雜性,並使故障排除變得更加困難。
源 IP 多樣性:即使對於單個客戶端的會話,隨著流量在數據中心之間轉移,Cloudflare 也可能為不同的請求使用不同的源 IP。源服務器的基於 IP 的速率限制必須考慮到這一點。
地理位置不確定性:您的源服務器會將 Cloudflare 的連接視為來自某個特定數據中心的 IP 地址,但實際用戶可能遠在另一個大洲。基於 Cloudflare IP 地址的地理定位並不可靠;請改用 CF-IPCountry 標頭。
高級:BYOIP 和自定義任播
Cloudflare 企業版計劃支持“自帶 IP”(BYOIP)功能——通過 Cloudflare 的任播網絡展示您組織的 IP 地址範圍。
技術實現
- IP地址分配:客戶需提供 /24 或更大的 IPv4 地址塊,或 /48 或更大的 IPv6 地址塊。該地址空間必須為運營商獨立(PI)地址,或由區域互聯網註冊管理機構(RIR)分配且具有轉讓權限。
- 代理授權書:授權 Cloudflare 通過 BGP 發佈 IP 地址範圍的法律文件。
- BGP公告:Cloudflare在其全球BGP配置中添加了路由,這些路由已傳播至10,000多個對等網絡。
- 流量流向:用戶查詢返回客戶擁有的 IP 地址。流量先路由至 Cloudflare 的網絡,然後通過 GRE、IPsec 或私有骨幹網隧道傳輸至客戶的源服務器。
BYOIP 用例
- 聲譽管理:具備良好發件人聲譽的IP地址,可確保電子郵件送達率
- 合規:針對特定地址所有權的監管要求
- 遷移:無需更改 IP 地址,即可從自託管無縫過渡到 Cloudflare
- 多CDN:使用相同IP地址,通過多家服務商實現冗餘
未來:SRv6 與可編程路由
新興技術有望實現更復雜的任播功能。SRv6(IPv6分段路由)支持通過 Cloudflare 網絡建立源路由路徑——這相當於在數據包層級進行流量工程。P4 可編程交換機允許針對每位客戶、每項應用以及每種數據包類型定製路由邏輯。
這些進展將使 Cloudflare 的 IP 地址範圍變得更加動態——相同的地址,無限靈活的路徑。
生命網絡
Cloudflare 的 IP 範圍並非靜態配置——它們是動態的、充滿活力的實體,由 BGP 策略、網絡狀況和流量工程共同塑造。理解這種動態特性對於調試、優化和安全至關重要。
將 104.16.0.0/12 視為“僅僅是一個 IP 地址段”的網絡工程師,未能理解正是這種複雜性造就了現代互聯網基礎設施的韌性。而那些通曉任播(Anycast)、BGP 和流量工程的工程師,則能夠診斷神秘故障、優化網絡延遲並加固安全漏洞。
要理解 Cloudflare 的 Anycast 動態,必須從全球多個角度進行測量——BGP 路徑、延遲和路由行為會因觀察點不同而存在顯著差異。當您需要繪製流量實際流向圖、在模擬中斷期間測試故障轉移行為,或驗證地理路由策略時,IPFLY 的基礎設施可為您提供所需的測量能力。我們的住宅代理網絡覆蓋 190 多個國家/地區,擁有 9000 多萬個真實 IP 地址,可進行真實的 Anycast 性能分析。 使用靜態住宅代理實現特定區域的持續監控,利用動態輪詢進行大規模路徑多樣性分析,並藉助我們的數據中心代理開展高吞吐量測量活動。憑藉毫秒級精準計時、99.9% 的運行時間保障持續監控,以及針對複雜網絡調查提供的 24/7 技術支持,IPFLY 助您實現理解任播技術所需的全球可視性。 不要再猜測您的流量如何路由——立即註冊 IPFLY,以用戶實際體驗的方式測量互聯網。
