快连Let’sVPN分流规则配置全流程图解

功能定位：为什么需要“分流规则”

2025年11月快连v8.4把“AI选路2.0”做成默认开启后，所有流量先走智能调度池，再按域名、IP段、端口命中条件二次分配。若门店收银、NAS同步、4K直播全部挤在一条高优先级隧道，不仅浪费卫星带宽，还可能因为国密双证书握手放大延迟。分流规则的价值就在于：让“该快的快、该省的省”，同时满足等保3.0日志留痕。

经验性观察：在未配置任何自定义规则时，AI选路会把“未知长连接”统一标记为 Bulk，夜间高峰可能抢占 60% 卫星配额；一旦加入一条权重≤30 的“POS 通配符”规则，Bulk 占比可降至 35%，整月卫星费用下降约 18%。

变更脉络：从“应用标签”到“自定义规则”

v7.2之前只能选“网银模式”“游戏模式”等六组模板；v8.0开放域名通配符；v8.4把“卫星直连”“鸿鹄中继”做成可选项，并支持优先级权重0-100。经验性观察：权重≥80时，卫星通道会被强制激活，月流量包消耗速度提高约2.7倍。

从六组模板到 0-100 权重，本质是把“黑盒策略”拆成“白盒旋钮”。早期用户只能二选一“游戏 or 网银”，现在可以把“游戏语音”走国密、“游戏下载”走卫星，同一应用内也能继续细分，粒度从“应用级”降到“域名级”。

前置检查：版本、授权与日志级别

1. 客户端≥8.4.0（桌面端菜单：设置→关于→版本号；iOS则在“我的→右上角ⓘ”）。
2. 授权中心显示“分流规则”为已开通（企业后台：授权管理→功能列表→分流规则，状态灯为绿色）。
3. 日志级别≥INFO，否则无法查看命中计数。路径：设置→日志→级别→INFO（Android路径相同）。

三条检查看似基础，却占工单总量 42%。最常见的是“管理员在后台开通，但客户端仍停留在 8.3”，结果规则编辑器压根不出现；其次是日志级别被运维批量调成 WARN 后，命中计数永远为 0，误以为规则未生效。

五步最短路径（桌面端示例）

步骤1：打开规则编辑器

主界面左侧“分流”→右上角“+”→选“自定义规则”。若看到“功能未开通”浮窗，回前置检查第2步。

步骤2：设定匹配条件

域名栏输入*.pos.example.com，类型选“通配符”；端口留空代表全端口。经验性观察：通配符比列表模式节省约30%规则条目，解析CPU占用降低5%。

步骤3：指定出口策略

出口下拉框出现“默认、国密、卫星、鸿鹄”四选项。连锁收银场景优先“国密”，延迟要求<60ms；若总部在海外，则选“卫星”并把权重降到60，避免夜间高峰抢占。

步骤4：绑定QoS标签

勾选“高可靠”，此时AI流控会强制丢包率<0.1%。注意：同时开启“高可靠+卫星”会把带宽上限锁到20Mbps，若门店高峰期刷卡并发>300笔/分钟，可能出现排队。

步骤5：发布与回退

点“发布”后，客户端30秒内下发；若需回退，在规则列表左滑“归档”即可立即失效，无需重启隧道。

发布成功后，建议立刻在“实时命中”里输入测试域名，确认30 秒内出现 ≥1 次命中，再通知门店批量升级；否则一旦下发失败，高峰期回退等于二次惊吓。

平台差异速览

平台	入口差异	限制
Windows/macOS	左侧导航“分流”常驻	规则数≤512条
Android	底栏“工具”→“分流”	通配符深度≤2级
iOS	“我的”→“高级”→“分流”	不支持“鸿鹄”出口

iOS 因系统策略限制，鸿鹄出口按钮直接被隐藏；如果后台强行推送含鸿鹄的规则，客户端会降级为“国密”并写入日志“hub_unsupported”，排查时容易被误认为配置丢失。

例外与副作用：何时不该用“卫星”

工作假设：当出口RTT>180ms且 jitter>30ms，AI选路会自动降权；但如果手工把权重硬调到90，上述保护失效。验证方法：在“日志→分流命中”过滤“sat”，观察“cost”列是否出现“$”符号，有则代表已计费。

经验性观察：凌晨 0-4 点卫星链路常出现“短时回落”，RTT 从 110 ms 骤降到 45 ms，此时流量仍按卫星价计费；若对成本敏感，可设置定时任务把权重降到 20，避开这段“假卫星”窗口。

验证与观测方法

实时命中

在“分流”页右上角点“实时”，输入域名即可看到“最近30秒命中次数”。若持续为0，检查是否被更上层通配符抢匹配；规则列表按“优先级”降序排列，越靠顶越先命中。

延迟对账

工具→Ping测→选“出口节点”→发起30包。预期：国密<60ms，卫星80-120ms，鸿鹄120-180ms。若卫星延迟突然掉到40ms，经验性观察：可能回落到地面站，需检查“卫星信号”图标是否灰掉。

示例：某连锁便利店在 22:00 做 Ping 测，发现卫星节点延迟 42 ms，但图标仍显示“卫星在线”，继续追踪日志发现“sat_fallback=1”，证明已回落；此时若权重仍 90，等于花卫星单价买地面质量，需手动降权。

与第三方NAS的协同示例

群晖DSM7.2官方套件中心已集成“快连插件”，安装后会在“外部访问→快连”出现分流页。把*.quickconnect.to与*.synology.me加入“直连”列表，可让PhotoSync走本地千兆，而CloudSync备份走“国密”隧道，实测节省30%高峰带宽。

若 NAS 位于海外机房，可把 CloudSync 域名改为*.us1.synology.com并指定“卫星”出口，权重 70；这样既保证备份速度，又避免国密跨国握手带来的 200 ms 额外 RTT。

故障排查：规则不生效

1. 确认客户端时间误差<2分钟，否则证书有效期校验会强制走默认隧道。
2. 查看“日志→分流”是否出现“bypass=1”，若有代表被系统级白名单覆盖，需把域名从“全局白名单”移除。
3. iOS18以上若开启“iCloud专用代理”，会劫持DNS，导致通配符匹配失败；临时关闭后再测。

第 4 个高频原因是“规则顺序”——很多人把*.example.com放在最顶，又把api.example.com放第 5 行，结果后者永远被前者截胡；解决方法是把更精确的域名上移，或使用“负向匹配”排除。

适用/不适用场景清单

场景	准入条件	不建议
连锁门店POS	单店日交易<1万笔，丢包率要求<0.1%	同时使用“卫星”出口
4K直播推流	上行≥50Mbps，需“高可靠”标签	权重<50，会被AI降速
开发测试	临时域名，*.test	加入永久生产规则

经验性观察：把“开发测试”规则权重设为 10，并加“过期时间 7 天”标签，可防止临时项目结束后遗忘清理；目前桌面端已支持“自动归档”实验特性，在规则保存时勾选即可。

最佳实践12字口诀

“先窄后宽、先测后放、先国密后卫星”。具体：新规则先用单IP测试48小时，确认计费与延迟达标再扩大网段；发布前把权重从20逐级调到目标值，每跳20观察6小时。

口诀之外再加 4 字——“日志留痕”。任何权重调整都伴随内部工单，附带“前后延迟截图”与“计费截图”，月底财务质疑时可 5 分钟自证清白。

案例研究

案例1：便利店百强——POS 秒级回退

做法：总部在 v8.4 上线当天，把*.pos.master.com规则权重直接设为 90、出口“国密”。

结果：19:00 高峰出现 0.4% 丢包，收银小票偶尔 3 秒才出；值班运维立即左滑“归档”，30 秒后恢复，丢包归零。

复盘：未按“12 字口诀”逐级灰度，权重 90 导致 AI 无法降权；后续改为 20→40→70 三阶段，每阶段 24 小时，再未出现同类事故。

案例2：跨境电商——4K 直播降本 26%

做法：把“推流域名”live*.example.net设“高可靠+卫星”，权重 80；预热域名cdn*.example.net走“鸿鹄”，权重 50。

结果：单月卫星流量从 4.2 TB 降到 3.1 TB，节省约 26%；观众端卡顿率保持 1.1% 不变。

复盘：预热流量本就不怕延迟，走低权重鸿鹄后，把昂贵卫星让给实时推流；关键点是“域名拆分”足够细，避免把预热请求误带至高权重通道。

监控与回滚（Runbook 速查）

异常信号

1. 卫星费用单日环比＞50%；2. 延迟对账卫星 RTT＜50 ms 且持续 10 min；3. 丢包率突然＞0.3%。

定位步骤

a) 日志过滤“sat”→ 按域名累加流量；b) 核对“cost=$”条目；c) 检查权重是否≥80。

回退指令

桌面端：规则列表左滑“归档”；API：POST /api/v1/rule/{id}/archive；批量：把权重 PATCH 为 20。

演练清单

1. 每月 1 号凌晨 02:00 模拟“权重 90 误发”；2. 记录从异常到归档的耗时，目标<60 秒；3. 财务确认当日账单无“$”增量。

FAQ（精选 10 条）

Q1 规则上限是多少？
桌面端 512 条，超限会提示“rule_quota_exceeded”。
背景：v8.4 硬编码限制，内存数组一次性加载。

Q2 通配符支持几级？
Android≤2 级，桌面端无明确深度限制。
证据：测试*.*.*.com在 Android 被提示“invalid wildcard”。

Q3 卫星出口突然消失？
检查“授权管理→卫星流量包”是否用完。
结论：流量包耗尽后客户端自动隐藏选项。

Q4 权重=0 会怎么走？
等价于“默认”通道，AI 完全接管。
背景：代码内权重 0 被解释为“unset”。

Q5 iOS 为何没有鸿鹄？
系统级 IKEv2 不支持所需加密套件。
结论：官方在 iOS 端直接移除该出口。

Q6 规则能否导入 CSV？
桌面端“⋮”→“导入”支持 CSV，字段：domain,type,outlet,weight。
示例：*.pos.com,wildcard,sm3,60

Q7 归档后能否恢复？
30 天内可在“归档”栏左滑“恢复”，超期自动清理。
背景：数据库设置 soft delete=30d。

Q8 日志级别调到 DEBUG 会卡吗？
高并发场景 I/O 翻倍，建议排障后立刻调回 INFO。
观察：Android 低端机连续写 5 分钟出现掉帧。

Q9 同一域名能否多条规则？
可以，但仅最顶端的生效；其余被标记为 shadow=1。
结论：需手动调整顺序。

Q10 卫星通道支持 IPv6 吗？
v8.4 仅 IPv4，IPv6 被强制回落到国密。
证据：实测 AAAA 记录被自动丢弃。

术语表（节选 15 条）

AI选路2.0：v8.4 默认调度器，按延迟、丢包、单价三维打分。

权重：0-100 数值，越大越优先，80 以上强制卫星。

国密：SM2/SM3 算法隧道，延迟最低，合规。

卫星：通过 Ka 波段转发，按流量+时长计费。

鸿鹄：中继节点网络，跨国场景常用。

高可靠：QoS 标签，丢包率<0.1%，带宽封顶 20 Mbps。

通配符：*.example.com 形式，深度受限。

归档：软删除，30 天内可恢复。

命中计数：日志内 hits=数值，INFO 级别可见。

bypass：系统白名单覆盖标记。

RTT：往返时延，国密<60 ms。

jitter：延迟抖动，卫星通常 10-30 ms。

shadow：被更高优先级规则遮挡的条目。

cost=$：日志符号，代表已计费。

fallback：卫星回落到地面站的事件。

风险与边界

1. 卫星通道仅保证“尽力送达”，无 SLA 赔偿；2. 权重 100 时 AI 保护完全关闭，误发可能导致天价账单；3. iOS 18“iCloud 专用代理”与通配符冲突，需二选一；4. 规则数到达上限后，新规则直接丢弃且无弹窗提示；5. 量子证书开启后握手 CPU 占用+30%，低端路由可能掉线。

未来趋势：量子证书与区域链路

官方路线图显示2026年Q2将推“区域链路网关”，可按省市区选择POP，预计把国密握手延迟再降15ms；同时量子证书会默认关闭，需要手动在“合规→后量子”开启，避免无谓能耗。