快连Lets快连隧道分流配置全流程详解

功能定位与变更脉络

隧道分流（Policy Routing）在快连 8.4 版被正式放进「企业多租户后台」的一级菜单，用于把不同业务流映射到指定链路，并在日志中留下可审计的「五元组+QoS 标签」。它解决的核心问题是：在连锁门店、远程运维、NAS 同步等多任务并发场景下，既不让高敏数据库流量走出国链路，也不让 4K 直播挤占 PostgreSQL 的带宽。相较 8.3 版仅支持「应用白名单」的粗暴分流，8.4 引入 AI 流控引擎 3.0，可基于实时 QoE 评分动态重路由，同时把策略命中结果写进可导出的 JSON 日志，满足等保 3.0 对「策略可追溯」的要求。

与「AI 智能选路 2.0」相比，隧道分流更强调「人工可干预、可留痕」；前者重调度，后者重合规。简言之，AI 选路是「黑盒自动」，隧道分流是「白盒手动+记录」。如果你所在组织需要把策略文件随审计报告一并上交，那么只有隧道分流能输出带数字签名的策略快照。

操作路径（分平台）

Windows 11 24H2 桌面端

主界面右上角「⚙」→「企业模块」→「隧道分流」→「新建策略」。在弹出的抽屉页中，先选「业务类型」——远程桌面、NAS 同步、数据库、直播、其他；再选「链路池」——系统已按延迟把 4 条运营商线路标为 L1-L4。保存后策略立即下发，本地 WinTun 驱动会生成一条对应的路由表项，优先级高于 AI 选路。

若需回退，可在同一页面点「历史版本」→「对比」→「还原至 x 月 x 日」，系统会弹出差异清单，确认后 3 秒内生效；还原操作本身也被写进审计日志，不可删除。

Android 15

首页下拉→「工作空间」→「策略中心」→右上角「+」。移动端不提供链路池的手动排序，但可以打开「自动测速」开关，让客户端在策略生效前先做 5 秒 RRT 探测；若探测失败，策略会被标记为「未绑定」并上报后台，防止门店因误配置掉线。

iOS 18

由于系统沙箱限制，iOS 版只能在「企业后台」预配，然后以 MDM 描述文件推送。路径：管理员控制台→「终端管理」→「iOS 策略模板」→「隧道分流」→「下发」。终端用户无需点击，策略在下次唤醒时静默生效。若用户卸载 App，描述文件会一并移除，后台日志记录「策略失效原因：profileRemoved」。

例外与取舍

并非所有流量都应被分流。以下三类场景建议保持「默认走 AI 选路」：

临时热点：例如双十一期间临时拉来的 5G-A 上网本，IP 段每天都在变，维护策略成本高于收益。
高并发短连接：如网页埋点、广告 SDK，每分钟上千次 TCP 挥手，策略匹配会徒增 3-5 ms 延迟。
已做应用层分流的 SaaS：Teams、Slack 已在其客户端内启用 UDP 冗余，再叠加隧道分流反而造成双通道竞争。

若强行对上述流量建策略，「经验性观察」显示：CPU 占用会抬高 8-12%，而带宽节省不足 1%；验证方法：在「性能监控」标签内勾选「策略命中率」与「CPU 曲线」，对比 24 小时前后的均值即可。

与第三方系统的协同

很多连锁门店同时部署了 Splunk 或 ELK 做日志归集。快连提供两种外送模式：①Syslog RFC5424，②HTTPS JSON POST。推荐后者，因为每条日志都带 Ed25519 签名，可防止审计员质疑「日志被篡改」。权限最小化原则：在控制台新建「日志只读」角色，只开「日志导出」一个权限，避免把「策略编辑」误送出去。

故障排查

现象	可能原因	验证步骤	处置
策略未命中	掩码冲突	在「诊断」→「策略模拟」输入源 IP+端口，看是否被更靠前的规则抢占	上调目标策略优先级或缩小掩码
日志出现「UNKNOWN_QOS」	业务类型选「其他」且未自定义标签	搜索日志字段 qos_tag	回后台补录「自定义标签」并强制刷新
延迟突增 30 ms	卫星通道被强制选中	查看「链路详情」→「starlink_sn」字段是否非空	在策略里把「卫星」移至备选池，仅当 4G/5G 全掉线才启用

适用/不适用场景清单

适用：①总部 ERP 访问分店 PostgreSQL，需固定走国密证书链路；②家庭 NAS 在外地以千兆速度做 ZFS 同步；③工业 PLC 回传 Modbus-TCP，要求丢包率＜0.1%。不适用：①临时路演展台，终端每天换；②个人用户仅刷网页；③已自带多链路冗余的 SaaS。

最佳实践清单（可打勾）

决策规则

先梳理「业务类型→合规等级→链路属性」三维表，再建策略，避免「先建后补」。
任何策略都把「审计日志」开关默认打开，磁盘占用经测算 1000 条/秒 ≈ 1.2 GB/天，可接受。
策略优先级数字越小越靠前，建议预留 10 个空位给紧急插队。
每季度跑一次「策略模拟」批量回归，防止 IP 段漂移导致漏匹配。
链路池里至少留一条「兜底 AI 选路」，否则人工配置全错时终端会彻底断网。

版本差异与迁移建议

8.3→8.4 迁移时，旧版「应用白名单」会被自动转换成「业务类型=其他」的策略，优先级排在最末。若你曾用正则匹配端口范围，请手动检查，因为 8.4 改用「服务别名」概念，部分正则会被截断导致策略失效。验证方法：在「策略模拟」里输入旧端口段，看是否命中；若未命中，需新建「服务别名」并关联到策略。

验证与观测方法

客户端侧：在「诊断」→「实时流」开启后，对目标 IP 做一次 ping，随后查看「policy_id」「qos_tag」「exit_link」三字段是否复合预期。后台侧：用「日志检索」→「策略命中」→输入 policy_id，可拉出 CSV，包含命中次数、平均延迟、95 分位延迟，方便做季度汇报。经验性结论：若 95 分位延迟比基线高 15% 以上，说明链路池选择过窄，应适当放宽。

案例研究

案例 1：200 家便利店 POS 双链路

背景：某连锁便利店总部要求 POS 交易流量必须走 MPLS 专线，而门店监控摄像头可共用 5G 共享带宽。做法：在「业务类型」新建「POS」并绑定国密专线池；摄像头归类到「直播」走 5G 池；策略优先级 POS=10、摄像头=50。结果：高峰期 2 万笔/小时交易无丢包，摄像头带宽占用下降 38%。复盘：最初漏把「DNS 查询」也分流到 5G，导致 POS 首包偶尔 200 ms，补加一条「UDP 53」策略后恢复。

案例 2：远程运维外包团队

背景：30 人外包团队需远程维护工厂 PLC，但工厂防火墙仅允许固定公网 IP 入站。做法：把「远程桌面」业务绑定到「静态 EIP 池」，并开启「会话保持 30 min」。结果：运维通道 IP 固定，工厂安全组无需频繁变更；故障工单量下降 22%。复盘：曾误将「文件传输」也绑定该池，导致更新固件时带宽跑满，后将文件传输降级到「AI 选路」解决。

监控与回滚 Runbook

异常信号：①「策略命中率」突降 20% 以上；②「CPU 占用」> 60% 且持续 5 min；③「链路详情」出现大量「starlink_sn」。定位步骤：先在「策略模拟」输入异常源 IP，看是否被高优先级规则覆盖；再查「链路健康」确认是否某条线路丢包>5%；最后核对「审计日志」有无近期策略变更。回退指令：进入「历史版本」→选最近稳定版本→「还原」→「导出差异」→邮件抄送审计组。演练清单：每季度挑 1% 终端做「策略回滚演练」，记录还原耗时与业务中断秒数，目标<30 s。

FAQ

Q1 策略上限多少条？: A：控制台提示 5000 条，超出需拆分子租户。
背景：数据表采用 SQLite 单文件，5000 条后索引膨胀导致 UI 卡顿。
Q2 能否按域名分流？: A：暂不支持，仅支持五元组+业务类型。
背景：域名需先拆成 IP，快连暂未内置 DoH 拦截模块。
Q3 日志保留多久？: A：默认 90 天，可手动改 365 天。
证据：控制台「日志设置」→「存储周期」下拉框最大 365。
Q4 是否支持 IPv6？: A：8.4 仅支持 IPv4，官方路线图 2025 Q4 才引入 v6。
经验性观察：IPv6 需重写匹配引擎，目前测试版存在掩码计算 bug。
Q5 策略能否导入 CSV？: A：可以，模板在「新建策略」→「批量导入」下载，需含 policy_name、src_ip、dst_ip、ports、link_pool 五列。
注意：CSV 编码须为 UTF-8，否则中文业务类型会乱码。
Q6 移动端离线能否生效？: A：不能，策略下发依赖 MQTT 长连接；离线后走默认 AI 选路。
验证：开飞行模式后抓包，policy_id 字段消失。
Q7 签名算法能否改成 RSA？: A：不可，后台硬编码 Ed25519，替换需等 9.0 插件化架构。
背景：Ed25519 性能高，验签 1 万条/秒 CPU 占用<5%。
Q8 是否支持会话保持？: A：支持 TCP 会话保持 5 min~120 min 可选，UDP 无保持。
设置：策略高级选项→「会话保持时长」。
Q9 能否对策略打标签？: A：可以，最多 5 个自定义标签，用于过滤与报表。
示例：标签「财务部」「高优先级」方便快速检索。
Q10 策略冲突谁优先？: A：优先级数字小者优先；若相同，则最新创建者生效。
验证：用「策略模拟」输入相同五元组，看最终命中 policy_id。

术语表

五元组: 源 IP、源端口、目的 IP、目的端口、协议号，策略匹配的最小粒度。
QoS 标签: 策略命中后写入日志的标记，如「POS_HIGH」「VIDEO_LOW」。
链路池: 多条运营商线路的抽象集合，按延迟被标为 L1-L4。
AI 流控引擎 3.0: 8.4 版内置的实时重路由模块，基于 QoE 评分动态切换链路。
策略快照: 带数字签名的 JSON 文件，可随审计报告上交。
服务别名: 8.4 新引入的端口集合对象，替代旧版正则。
策略模拟: 调试工具，输入五元组即可预览命中结果。
会话保持: 保证同一 TCP 四元组在生命周期内走同一条链路。
历史版本: 策略变更的 Git-like 记录，可对比差异与一键还原。
审计日志: 记录策略增删改、还原、命中，带 Ed25519 签名。
qos_tag: 日志字段，标记策略给出的 QoS 类别。
exit_link: 日志字段，记录流量实际走出的链路名称。
starlink_sn: 日志字段，若流量走星链，则出现卫星序列号。
profileRemoved: iOS 描述文件被移除时写入的失效原因。
95 分位延迟: 统计术语，表示 95% 请求延迟低于该值。

风险与边界

不可用情形：①终端 Root 后篡改路由表，策略会被绕过；②卫星链路在暴雨时丢包>10%，但策略仍强制命中，导致交易超时；③iOS 描述文件与第三方 MDM 冲突时，系统可能随机丢弃配置。副作用：策略条数过多会拖慢控制台首屏加载；日志签名验证失败会被审计员视为「不可信」。替代方案：对 Root 终端可启用「内核级守护」插件（需 9.0）；对暴雨场景可设置「链路丢包阈值≥8% 自动降级到 AI 选路」；对 MDM 冲突可改用「用户级快连」模式，但会牺牲部分审计能力。

总结与展望

快连Lets快连隧道分流配置全流程详解至此完结。回顾核心：以合规留存为主线，把「业务类型—链路池—审计日志」串成可复查的闭环；在 Windows、Android、iOS 三端给出最短入口，并明确「何时不该用」。展望未来，官方路线图已透露 2026 Q2 将支持「策略灰度发布」与「量子证书一键回退」，届时可先在 10% 终端试运行，确认无异常再全量推送——既保业务连续，也保审计报告一路绿灯。