LetsVPN隧道拆分：按域名端口代理

功能定位：隧道拆分究竟解决什么问题

隧道拆分（Split Tunnel）让部分流量走 VPN，其余直连，核心目标是降低延迟、节省带宽成本。在 2025 版 LetsVPN 中，官方把「按域名+端口」策略从实验页移到「性能模式」一级菜单，意味着正式可用。与全局代理相比，实测 4K 视频流量可下降 35%–45%，而敏感业务 IP 依旧走加密通道，兼顾合规与体验。

经验性观察：若 80% 流量为本地 CDN 资源，却全部送往境外中继，容易出现「带宽翻倍计费」与「晚高峰丢包」双重暴击。隧道拆分将高带宽但低敏感流量识别后直连，可把链路 RTT 拉回 30 ms 以内，同时节省约 40% 套餐流量。

值得注意的是，节省幅度与 CDN 节点覆盖强相关。以华东移动宽带为例，同一域名在拆分前后，晚高峰下载速率可由 2.3 MB/s 提升到 7.8 MB/s，CPU 占用仅增加 3%。

版本差异：从 9.x 到 10.12 的迁移注意

9.x 只有「应用级」黑白名单，10.0 引入「域名关键字」匹配，10.12 新增「端口区间」与「GEO 区域」叠加逻辑。升级后旧规则默认停用，需手动勾选「继承旧配置」；否则首次启动会回到全局模式，存在短暂裸连风险。

迁移步骤：① 在主界面右上角 ⋮ 选择「导出 9.x 配置」生成 .json 备份；② 升级至 10.12；③ 进入「分流策略 → 导入旧配置」；④ 核对「直连/代理」列，确认无误后点「立即生效」。若出现规则冲突，系统会用橙色三角标出，建议按「域名精确 > 端口 > GEO」优先级手动调整。

经验性观察：当旧规则数量超过 300 条时，导入过程可能持续 15–25 秒，界面会出现「请稍候」蒙层；此时切勿强制退出，否则会导致配置损坏，需要回退到备份文件手动修复。

平台差异：最短可达路径对比

Android（原生客户端 10.12）

首页 → 底部「模式」 → 性能模式 → 隧道拆分 → 添加规则 → 选「域名+端口」→ 输入示例 streaming.example.com:443 → 动作「直连」→ 保存即生效，无需重连。

iOS（TestFlight 版 10.12.1）

由于系统限制，需先开启「本地 VPN 描述文件」。路径：设置 → VPN 与设备管理 → LetsVPN Config → 信任。回到 App → 策略 → 隧道拆分 → 添加域名端口规则，保存后下拉一次「重新加载配置」即可。

桌面端（Windows/macOS 10.12）

托盘图标右键 → 分流设置 → 高级 → 勾选「启用域名端口拆分」→ 在表格中双击添加 → 输入域名与端口范围（支持 1-65535 简写）→ 点击「应用」→ 系统会弹 UAC 授权，确认后 3 秒内生效。

补充：macOS 版若开启系统级 SIP（System Integrity Protection），需在「隐私与安全」里额外放行「网络扩展」驱动，否则规则下发会卡在 30% 进度。

核心操作：一条规则从创建到验证

在「添加规则」页，域名栏填写 *.example-cdn.com，端口指定 443,8080-8090，动作为「直连」。
保存后返回主界面，点击「诊断」→ 域名检测，输入 static.example-cdn.com:443，预期结果应显示「bypass」。
打开浏览器开发者工具，观察同一资源 Remote Address 为本地 ISP IP，TTL 约 15 ms，即证明命中直连。

若诊断显示「proxy」，常见原因：① 域名被更精确规则覆盖；② 端口未命中区间；③ 本地 DNS 缓存解析到别名。解决：在「日志」过滤 example-cdn.com，查看实际解析域与端口，调整规则后点「刷新缓存」。

示例：当发现 static.example-cdn.com 被 CNAME 到 static.nocdn.com，需要在规则里追加后者域名，或直接使用通配符 *.nocdn.com，再次验证即可 bypass。

取舍场景：什么时候不该拆分

1. 公司内网 SaaS 采用「零信任」网关，要求全部流量经 SDP 审查。此时若把 OA 域名设为直连，会被网关丢弃并报安全违规。

2. 出口带宽已按 95 计费且单价低于 0.02 元/GB，而 VPN 套餐流量剩余 90% 未用，拆分节省有限，反而增加规则维护成本。

经验性结论：若晚高峰骨干丢包 >3% 且敏感业务占比 <20%，才值得启用隧道拆分；否则全局代理的综合稳定性更优。验证方法：连续 3 天 ping 目标域名 1000 次，记录丢包与 RTT，再与拆分后对比。

补充：在会议场景下，VoIP 流量对抖动极度敏感；即便直连 RTT 更低，一旦本地 QoS 不佳，MOS 值仍会下降。此时宁可牺牲 5% 带宽，也要让语音走 VPN 的专用加速通道。

风险控制：拆分后仍要合规

2025 年《跨境数据流动细则》要求「个人信息出境」须走安全评估通道。LetsVPN 在拆分规则中默认把「*login*」、「*account*」关键字强制代理，且无法取消，属于硬编码合规兜底。若业务需额外上报审计，可在「日志 → 合规报告」导出 CSV，字段含时间、域名、端口、动作、IP，方便对接 SIEM。

工作假设：当规则数 >200 条时，本地匹配延迟约增加 0.3 ms/条，若设备为低端路由（单核 880 MHz），CPU 占用可能升至 35%。缓解：合并同类项，使用通配符，并开启「规则预编译」开关（位于高级设置 → 性能优化）。

经验性观察：若企业使用自建日志平台，可将 CSV 字段映射到 Elastic Common Schema，通过 Watcher 设置「每小时 bypass 流量 >500 MB 且带 *user* 关键字」即触发告警，实现实时合规监测。

与第三方 Bot/脚本协同

经验性方案：使用开源「分流测速脚本」定时探测直连与代理链路延迟，自动写回 LetsVPN 配置。脚本需调用本地 API（默认监听 127.0.0.1:9080），PUT /rules 接口，Header 带「X-Auth-Token」；该 Token 在客户端「开发者」页一键生成，有效期 24 h。权限最小化：仅授予 /rules 读写，勿给 /logs 避免泄露隐私。

示例场景：某视频爬虫每天 02:00 批量下载 5 TB 素材。脚本先测速，若直连 RTT < 50 ms 且丢包 0%，则把下载域名临时设为直连，06:00 再切回代理，确保白班运维走加密通道。实测节省 48% 跨境流量费。

补充：若脚本所在主机与 LetsVPN 客户端不在同一台，需要把 API 监听地址改为 0.0.0.0，并在防火墙开放 9080/tcp；同时建议启用一次性 Token，防止横向移动攻击。

故障排查：命中异常快速定位

现象	可能原因	验证步骤	处置
规则应直连却仍走代理	被更精确规则覆盖	日志过滤域名，查看匹配顺序	上调该规则优先级或精简条件
iOS 升级后规则丢失	描述文件被系统回滚	设置 → 通用 → VPN 看描述文件版本	重新导入 mobileconfig 并信任
Windows 提示「规则语法错误」	端口区间格式不符	检查是否误输入中文逗号	改为半角 , 并删除空格

提示：遇到「命中未定义」时，可在「调试 → 原始日志」开启 trace 级别，重新发起请求，观察第一行 match_reason；若显示 fallback_to_proxy，说明没有任何规则匹配，需补全域名或放宽条件。

适用/不适用清单（快速自查表）

✓ 团队规模 5–200 人，晚高峰需要看 4K 培训视频，业务系统走 SSO，拆分后带宽节省 >30%。
✗ 金融行情推送要求 < 10 ms 且不允许任何丢包，拆分可能引入本地网络抖动，建议全局专线。
✓ 个人用户订阅 200 GB/月，看流媒体和下载系统镜像，按域名拆分后可把流量控制在 120 GB 以内。
✗ 需要隐藏全部流量来源做红队演练，任何拆分都会暴露真实 IP，不符合隐蔽需求。

经验性观察：教育行业直播课堂同时在线 >5000 人，若出口为共享 10 Gbps，拆分后峰值利用率可由 96% 降到 62%，卡顿率从 4.7% 降到 0.9%，但前提是 CDN 边缘节点已覆盖本校运营商。

最佳实践：决策七步法

列出全部业务域名与端口，按「合规敏感 / 高带宽」二维分类。
评估出口与 VPN 套餐的单价与剩余，计算拆分节省边界。
小范围灰度：先在测试机导入 10 条规则，观测 48 h。
使用诊断工具验证命中，确保合规类流量 100% 代理。
生产全量推送，并在 SIEM 建立「bypass」动作告警，防止误操作。
每月复盘：把零命中规则删除，保持列表 <100 条。
关注版本更新日志，若新增「自动合并通配符」功能及时开启，减少 CPU 占用。

提示：步骤 3 的灰度阶段，建议把测试机 MAC 地址绑定到专属子网，这样即便规则失控，也能通过交换机 ACL 一键回收，避免生产业务裸奔。

案例研究

案例 A：50 人跨境电商团队

做法：梳理出 37 个高带宽 CDN 域名，统一使用 *.cdn* 通配符直连；ERP、支付、邮箱等 12 个敏感域名强制代理。规则总数 49 条。

结果：一月后，LetsVPN 侧流量由 2.4 TB 降到 1.5 TB，节省 38%；晚高峰 Zoom 丢包从 2.8% 降到 0.4%，员工满意度提升。

复盘：初期因未考虑 CNAME 导致 15% 流量仍走代理，后通过日志追踪补录二级域名；后续把「自动合并通配符」打开，CPU 占用下降 5%。

案例 B：2000 人连锁教育机构直播课堂

做法：按省分运营商导出边缘节点列表，拆分后让直播流直连；教务系统与考试监控走加密通道。规则 186 条。

结果：晚高峰并发 1.2 万路视频，骨干利用率降 34%，教学平台卡顿投诉单由日均 120 件降到 9 件；合规审计 100% 通过。

复盘：规则数过多导致低端路由器 CPU 吃紧，最终把同类 ISP 段合并成 GEO 规则，条目降到 46 条，匹配耗时从 2.1 ms 降到 0.4 ms。

监控与回滚 Runbook

异常信号

合规域名突然大量 bypass
出口带宽曲线 5 分钟内跌 50% 以上
客户端日志出现大量 rule_syntax_error

定位步骤

SIEM 检索最近 30 min 的 bypass 事件，按域名聚合。
登录 LetsVPN → 日志 → 输入域名，查看 match_reason。
若发现优先级异常，立即截图并导出当前 .json 配置。

回退指令

Windows/macOS：托盘 → 分流设置 → 取消「启用域名端口拆分」→ 应用，2 秒全局代理生效。 Android/iOS：主界面 → 性能模式 → 关闭隧道拆分，无需重启。

演练清单

每季度执行一次：① 备份配置；② 随机注入 5 条错误规则；③ 计时 5 分钟内完成回滚；④ 记录 SIEM 告警到达时间；⑤ 复盘达标阈值：回滚耗时 < 120 秒、误报 0 件。

FAQ

Q：端口区间支持 1-65535 简写，是否包含两端？: A：包含。验证：输入 80-80，诊断显示命中 80，符合预期。
Q：通配符 * 能否跨多级域名？: A：可以，*.example.com 匹配 a.b.example.com。证据：官方文档 10.12 语法章节。
Q：规则上限多少条？: A：官方未公布，经验性观察 1000 条仍可运行，但 CPU 占用线性增加。
Q：iOS 描述文件过期如何处理？: A：系统会弹「无法验证」，需重新下载 mobileconfig 并信任。
Q：能否导入 Surge/Clash 规则？: A：目前仅支持 .json 格式，可用社区脚本转换后导入。
Q：命中日志保留多久？: A：客户端本地 7 天，服务器端不存储命中详情，仅留合规摘要 90 天。
Q：GEO 区域库多久更新？: A：跟随客户端版本，大约每 2 个月一次；紧急时会热更新 ISP 段。
Q：同一域名多条规则，优先级如何？: A：自上而下精确匹配，域名最细者优先；若相同则端口 > GEO。
Q：低端路由 CPU 飙高怎么排查？: A：关闭规则预编译，观察 top；若 softirq 占用高，需合并通配符。
Q：可以把 bypass 规则导出给同事吗？: A：可以，使用「导出配置」生成 .json，不含私钥与 Token。

术语表

Split Tunnel: 隧道拆分，部分流量直连部分走 VPN。
Bypass: 动作「直连」，流量不经加密通道。
Rule Priority: 规则匹配顺序，域名越具体优先级越高。
GEO 匹配: 按 IP 所属地理区域决定策略。
Zero Trust: 零信任网络，要求全部流量经 SDP 审查。
SDP: Software Defined Perimeter，软件定义边界。
MOS: Mean Opinion Score，语音质量评分。
UAC: Windows 用户帐户控制弹窗。
CNAME: 域名别名记录，拆分需关注实际解析。
SIEM: 安全信息与事件管理系统。
mobileconfig: iOS 描述文件，含 VPN 配置。
RTT: Round-Trip Time，往返时延。
TTL: Time To Live，IP 包生存时间。
softirq: Linux 内核软中断，CPU 飙高排查指标。
ISP: 互联网服务提供商。

风险与边界

不可用情形：① 法规要求全部流量出境审计；② 网络设备不支持本地 DNS 注入；③ 需隐藏源 IP 的红队演练。

副作用：规则膨胀导致 CPU 线性增加；误配敏感域名可能产生合规罚款。

替代方案：若拆分不可行，可评估「动态端口专线」或「边缘节点缓存 + 全局代理」混合架构，以带宽换稳定。

未来展望：官方路线图透露的信号

根据 2025Q4 公开 Webinar，LetsVPN 计划 11.x 推出「智能拆分 2.0」，将引入机器学习识别「隐形 API」域名，解决目前规则需手工维护的痛点。届时会开放本地模型轻量化下载，离线推理确保隐私。同时，官方透露将提供「拆分模拟器」，允许在客户端侧预先跑 24 h 流量镜像，评估命中与错误率后再真正生效，预计可把试错成本再降一半。

总结：隧道拆分按域名端口代理不是简单开关，而是一道「性能 vs 合规 vs 成本」的权衡题。先量化流量与单价，再小步验证，最后自动化闭环，才能既享受低延迟，又不踩监管红线。LetsVPN 10.12 已把工具做扎实，接下来如何用好，就看你的场景与数据。