深度学习 · VPN 与代理生态全解

01 / WHAT

什么是 VPN？

VPN（Virtual Private Network，虚拟专用网络）在你的设备和远程服务器之间架起一条加密隧道。开启后，你的全部网络流量先被加密送到 VPN 服务器，再由它代替你访问目标网站。拨动下面的开关，观察数据路径和「运营商（ISP）能看到什么」的实时变化。

VPN 已关闭 — 直连模式

👁 运营商（ISP）视角

关键认知：VPN 并不是「隐身衣」。它只是把信任从运营商转移给了 VPN 服务商——服务商理论上能看到你的出口流量。所以「用谁的服务器、它记不记日志」永远是核心问题。免费 VPN 往往靠卖你的数据赚钱。

02 / HOW

VPN 工作原理：四步拆解

VPN 的核心魔法是「加密 + 封装」。把它想象成寄快递：你把信（数据）装进一个上了密码锁的箱子（加密），再套上一个只写着中转站地址的新快递单（封装）。沿途的快递员只看得到外层单子。点击下面的步骤逐步观察。

外层IP头 → VPN服务器

IP头 → 目标网站

TCP

数据

🤝

对称 vs 非对称

握手时用非对称加密（公私钥）安全地交换一把临时密钥，之后用更快的对称加密（AES）传数据。两全其美。

🔄

完美前向保密

每次会话生成全新临时密钥（PFS）。就算某天密钥泄露，也无法解密过去录下的流量。

🛡

完整性校验

每个包都带 HMAC 校验码。中途被人篡改一个比特，接收端立刻发现并丢弃，防止注入攻击。

03 / CRYPTO

加密长什么样？亲手试试

在左边输入任何文字，右边实时显示加密后的密文（演示用简化 XOR，真实 VPN 用 AES-256、ChaCha20）。点击中间钥匙更换密钥——同样的明文，不同的钥匙，密文天差地别。这就是为什么没有钥匙的人只能看到乱码。

📤 明文（你的真实数据）

→ 🔒 🔑 key: a7f3 点击换钥匙

📥 密文（ISP / 中间人看到的）

暴力破解有多难？AES-256 的密钥空间是 2²⁵⁶，约等于 10⁷⁷。即使用全世界所有计算机一起跑，穷举所有钥匙所需的时间也远超宇宙年龄。这就是「数学保证的安全」。

04 / PROTOCOLS

协议大全：VPN 协议 vs 代理协议

「协议」就是客户端和服务器之间约定的通信语言和加密规则。它分两大阵营：传统 VPN 协议（重在安全和全局），和为穿透审查而生的 加密代理协议（重在伪装和不被识别）。下面的进度条表示各协议的相对特性。

🔐 传统 VPN 协议

🕵️ 加密代理协议（机场常用）

为什么机场不用传统 VPN 协议？因为 OpenVPN、WireGuard 这些协议特征太明显，深度包检测（DPI）一眼就能认出来并封锁。而 VLESS+Reality、Trojan 这类协议刻意把流量伪装成普通的 HTTPS 网页浏览，混在正常流量里难以识别，这就是「翻墙」和「VPN」在技术上分道扬镳的根本原因。

★ / HISTORY

一条时间线看懂协议进化史

代理与 VPN 协议这二十多年，本质是一场「识别 ↔ 伪装」的攻防军备竞赛。每一代新协议，几乎都是为了解决上一代「被识别、被封锁」的问题而生。

1996

VPN 概念诞生

PPTP 协议出现。VPN 最初是为「企业员工远程安全接入公司内网」设计的，和「翻墙」毫无关系。

2001

OpenVPN 开源

基于 TLS 的开源 VPN 诞生，安全又灵活，成为日后无数商业 VPN 服务的底层基石。

2012

Shadowsocks 出现

用「无明显特征」的加密代理绕过审查，开启了「加密代理」时代，从此与传统 VPN 分道扬镳。

2015–2017

V2Ray / VMess 崛起

更工程化的平台。VMess 支持多路复用、动态端口、混淆，用来应对日益强大的深度包检测（DPI）。

2019

Trojan 登场

放弃「无特征」思路，反其道而行——把流量做得和真实 HTTPS 一模一样，主打「像，就藏得住」。

2016 / 2022

WireGuard 与 QUIC 时代

WireGuard 让 VPN 重新变快变简；Hysteria、TUIC 等基于 QUIC/UDP 的协议主打弱网高速。

2023

VLESS + Reality

「借用」真实大站证书做伪装，无需自有域名即可抗封锁，成为当前最强隐蔽方案，攻防进入新阶段。

05 / CONCEPTS

VPN ≠ 代理 ≠ 机场

日常中文语境里这三个词常被混用，但它们其实是三个不同层面的东西。看懂这张图，你就超过 90% 的人了。

🛡

VPN

系统级 · 全流量隧道

在操作系统层建立虚拟网卡，所有应用的流量都进隧道。重点是「安全连接」。

全局接管，不挑应用
协议：OpenVPN / WireGuard / IPsec
常见于企业内网、商业 VPN 服务
特征明显，易被审查识别

🔀

代理 Proxy

应用级 · 按规则转发

程序把请求交给代理转发，可以按规则分流：哪些直连、哪些走代理、哪些拦截。重点是「灵活 + 伪装」。

SS / VMess / VLESS / Trojan 都是加密代理
流量伪装成普通 HTTPS，更隐蔽
Clash、V2Ray 玩的就是这个
可精细分流，国内外流量分开走

✈️

机场 Airport

服务商 · 卖节点订阅

提供一批加密代理节点订阅服务的商家。名字来自梯子圈「飞机场」梗——这里全是「起飞」的节点。

本质是代理节点的集合，不是 VPN
按月 / 按流量付费，给你订阅链接
多地区、多线路节点可选
质量参差，有跑路风险

一句话总结：机场卖的是「节点」，Clash / Shadowrocket 是「客户端」，客户端按「规则」把流量加密发给节点——这一整套是加密代理体系，和传统意义的 VPN 在技术路线上并不相同，只是大家口语里都叫「VPN」或「梯子」。

06 / ECOSYSTEM

机场生态链：从订阅到起飞

点击「播放完整流程」看一次完整链路动画；也可以直接点击图中任意角色，查看它的职责说明。

💡 也可点击图中角色看说明

点击「播放完整流程」开始 →

分工：机场主负责运营、面板和客服；节点服务商 / IDC 提供海外服务器和线路（BGP 中转、IPLC 专线）；客户端只是工具。机场跑路、节点被封、线路拥堵，对应的就是这条链上不同环节出了问题。很多小机场其实是「二道贩子」，转售上游大机场的节点。

07 / LINES

机场线路类型：为什么有的贵有的卡

同样是节点，速度和价格能差十倍，差别就在线路——数据从国内到海外节点走的是哪条「路」。下面从便宜到高端排列，价格越高通常越稳定、延迟越低。

🛣

直连 / 普通中转

Direct / Relay

流量直接走公网到海外节点。便宜，但高峰期容易拥堵、丢包，晚上看视频可能卡成 PPT。

成本
★☆☆☆☆

稳定性
★★☆☆☆

晚高峰
易炸

🚄

BGP 中转

BGP Relay

国内先用优质 BGP 机房中转，再出海。绕过拥堵的公网路由，延迟和稳定性明显提升，性价比之选。

成本
★★★☆☆

稳定性
★★★★☆

晚高峰
较稳

🛰

IEPL / IPLC 专线

Dedicated Line

国际以太网专线，不经过公网，流量在运营商内部专用通道传输。延迟极低、几乎不受墙影响、晚高峰也满速。贵。

成本
★★★★★

稳定性
★★★★★

晚高峰
满速

怎么选？轻度使用（查资料、刷推）普通中转够用；要稳定看 4K、打游戏、跑大流量，选 BGP 或专线机场。 记住：过于便宜的「无限流量」机场，要么超售严重卡顿，要么随时可能跑路。

08 / TOOLS

Shadowrocket · Clash · V2Ray 什么关系？

很多人分不清这三个名字。关键是区分两层：内核（实现加密协议的引擎）和客户端（带界面的 App，内置或调用内核）。下图三层结构一看就懂。

🚀

Shadowrocket

iOS 付费客户端 · 约 ¥18

苹果生态最流行的「小火箭」。自带内核，几乎支持所有主流协议，开箱即用。

平台：iOS / iPadOS / Apple Silicon Mac
需外区 Apple ID 购买
订阅链接一键导入
规则分流能力中等偏上

😼

Clash 系

规则引擎 · 开源生态

Clash 是个内核，强项是强大的规则分流和策略组。原作者删库后由 mihomo（Clash.Meta）延续。

平台：全平台各种 GUI 壳
YAML 配置 + 策略组 + 规则集
机场订阅基本都给 Clash 格式
桌面端事实标准

📦

V2Ray / Xray

协议起源 · 项目内核

V2Ray 创造了 VMess 协议；社区分叉 Xray 推出更强的 VLESS + Reality。它们既是内核，也是服务端。

平台：服务端 + 各平台内核
VMess / VLESS 协议的源头
自建节点的首选方案之一
直接用门槛高，多配 GUI 壳

对比项	Shadowrocket	Clash 系 (mihomo)	V2Ray / Xray
定位	iOS 客户端	规则引擎 + GUI	协议内核 / 服务端
平台	iOS · macOS	Win·Mac·Linux·安卓	全平台（内核）
价格	付费 (~$2.99)	免费开源	免费开源
SS/VMess/VLESS/Trojan	✓ 全支持	✓ 全支持	✓ 全支持
Hysteria2 / TUIC	✓	✓ (mihomo)	部分
规则分流	中等	最强	强但配置难
订阅支持	✓ 多格式	✓ 事实标准	依赖 GUI
上手难度	低	中	高

09 / PLAYGROUND

分流规则模拟器 🎮

「为什么国内网站直连、国外网站走代理、广告被拦截？」因为客户端会拿每个请求从上往下逐条匹配规则，命中即停。输入一个域名（或点快捷标签），看看它命中哪条规则、走哪条路。

baidu.comyoutube.comads.tracker.io github.combilibili.comnetflix.comtelegram.org

rules: # 从上往下逐条匹配，命中即停

⚠ / LEAK

进阶：为什么开了代理还可能暴露？

开了代理 ≠ 绝对安全。最常见的漏洞是 DNS 泄露——你的「网址 → IP」查询没走隧道，而是偷偷发给了本地运营商的 DNS。于是流量内容虽然加密了，但「你在查哪个网站」还是被看到了。点下面切换，看两种情况的区别。

怎么避免？用支持「DNS 走代理 / fake-ip / DoH（DNS over HTTPS）」的客户端（Clash 系默认就处理好了），让域名查询也进隧道。另外还有 WebRTC 泄露（浏览器暴露真实 IP），可装扩展或在客户端开启防护。

10 / SAFETY

选机场 & 安全避坑指南

技术之外，这些「软知识」能帮你少花冤枉钱、少踩雷。

✅

选机场看什么

运营时长（活得久 = 相对靠谱）
线路类型（中转 / BGP / 专线）
节点数量与地区覆盖
是否支持 Netflix / ChatGPT 等流媒体解锁
有无小流量套餐可先试水
口碑、客服响应、退款政策

⚠️

这些是危险信号

「永久套餐 / 终身会员」（多半要跑路圈钱）
价格离谱低 + 无限流量（超售必卡）
无任何运营历史的新机场
只收不可追溯的付款方式
要你装来路不明的客户端
夸张宣传「绝对匿名」「政府查不到」

🔒

保护好你的订阅

订阅链接 = 你的账号钥匙。泄露 = 别人能蹭你流量、甚至拿你的出口 IP 干坏事。不要发到群里、不要截图带链接、定期在面板重置。

⚖️

法律与道德边界

不同国家/地区对此类工具的法律规定差异很大。本站只讲技术原理。请务必了解并遵守你所在地的法律法规，不要用于任何违法用途。

11 / FAQ

常见问题 FAQ

点击展开。这些是新手最常问的问题。

还想深入？本站讲的是原理。真正动手时，建议从一个口碑好的机场的小流量套餐 + Clash 系客户端开始，按官方教程导入订阅即可。理解了上面的原理，你会发现一切都很顺理成章。