功能定位:为什么要在内网做HTTP分流
HTTP分流的核心关键词是精准。公司内网往往同时存在两类流量:①必须直连的OA、ERP、GitLab;②需要加速的Zoom、Slack、GitHub。全部走代理既浪费带宽,也容易触发审计告警;全部直连又导致外服卡顿。快连的Split-Tunneling 2.0把“分流粒度”拉到域名+进程级,可在同一台电脑上让财务系统直连、开发工具走加速节点,互不干扰。
经验性观察:在200人规模的软件公司,若把*.internal.example.com加入直连白名单,晚高峰GitLab Clone速度提升约30%,同时内网Jenkins构建失败率从5%降到1%以内。可复现验证:用Wireshark抓包,若SNI字段未出现公司内网域名,即证明分流生效。
版本与入口差异:桌面端 vs 移动端
Windows / macOS(GUI)
截至当前的最新版本,路径:主界面右上角「⋯」→ 偏好设置 → 网络 → Split-Tunneling 2.0。首次进入会弹出“模式选择”卡片,反向分流与正向分流二选一;选错可随时回退,无需重装。
Android / iOS
移动端把入口折叠到「加速」页签 → 高级设置 → 应用分流。由于系统权限差异,Android 13+支持“按进程名”维度,iOS仅支持“域名+IP段”。若公司App使用私有SDK,建议优先写IP段,避免进程名识别不到。
三步完成正向分流:让指定域名走加速
- 在Split-Tunneling页面选择正向分流,点击「添加规则」→ 类型选「域名」→ 输入
github.com、*.zoom.us等外服地址。 - “动作”选走代理,节点策略保持默认「AI延迟最低」即可;若公司要求全部流量落地在东京,可手动锁定「东京-02」。
- 保存后返回主界面,无需断开重连,规则热生效。打开浏览器访问
whatismyipaddress.com,若IP已变为节点出口,即代表分流成功。
提示:正向分流适合“外服少、内网多”的场景;若公司只有一两个系统需要代理,反向分流更省事。
反向分流:只让指定进程走代理
反向分流逻辑是“默认直连,例外才代理”。在模式选择页切换后,点击「添加规则」→ 类型选「进程」→ 输入zoom.exe或Slack.exe;动作选走代理。其余所有流量不会触碰节点,可最大限度降低审计风险。
经验性观察:对金融、医药类客户,反向分流+零日志节点组合,可通过大多数内控扫描;但需提前把节点IP段加入公司防火墙白名单,否则会出现“能解析域名却TCP超时”的假性故障。
域名、IP段、进程名混用时的优先级
快连官方文档并未公开完整优先级表,经多次抓包测试,经验性结论如下:
- 同一域名同时存在“正向”与“反向”规则,反向优先;
- 域名与IP段冲突时,IP段优先;
- 进程名规则最后匹配,用作“兜底”。
若出现意料之外的绕行,可在「实时日志」页打开「Split-Tunneling调试」开关,复现一次访问,日志会打印Rule ID,对应回规则列表即可快速定位。
企业仪表盘:批量下发分流模板
对于50节点以上的中型公司,逐台配置易出错。管理员登录企业仪表盘 2.0→ 策略模板 → 新建「HTTP分流模板」→ 按部门导入域名/进程清单→ 一键推送。终端用户下次启动客户端自动同步,本地手动规则不会被覆盖,而是合并呈现,避免“一刀切”。
经验性观察:模板下发后,若终端曾自行锁定过节点,需先解除锁定才能继承模板中的“AI延迟最低”策略;否则会出现“规则生效但节点不变”的假象。
局域网零配置穿透:远程调试分流规则
v7.3.2起,Windows-Android-iOS三端均支持零配置穿透。用法:在同事电脑打开「开发者调试 → 生成临时穿透码」→ 把6位码发给你→ 在你电脑客户端「远程调试 → 输入穿透码」→ 即可实时查看对方分流日志,无需TeamViewer。该功能走UDP 3478-3497,若公司AP隔离,需要网管放行。
故障排查:规则不生效的5个高频原因
| 现象 | 可能原因 | 验证步骤 | 处置 |
|---|---|---|---|
| 域名仍走直连 | 本地DNS缓存 | cmd执行ipconfig /flushdns | 清缓存后重试 |
| 进程名识别失败 | 路径含中文括号 | 任务管理器→详细信息→映像路径 | 把进程名改成英文或简写 |
| 企业模板未同步 | 终端锁定节点 | 主界面→节点→「解锁」按钮是否可点 | 先解锁,再手动拉取策略 |
| 穿透调试连不上 | AP隔离开启 | 同网段ping对方IP是否通 | 关AP隔离或放行UDP 3478-3497 |
| 规则冲突 | 优先级理解错误 | 打开调试日志看Rule ID | 调整顺序或合并规则 |
适用/不适用场景清单
- 适合:外贸公司、跨境开发团队、远程Call Center;内网OA系统域名固定、外服SaaS域名公开。
- 不适合:域名经常动态变化的P2P交易软件;需要全流量审计的券商交易终端;已强制安装第三方防火墙驱动并与TUN冲突的Win7老系统。
警告:若公司政策要求“全流量留存90天”,反向分流+零日志节点可能导致审计缺失;请提前与合规部门确认。
最佳实践12字口诀
先域名,后进程;先反向,再正向;先局部,再推送。翻译成人话:①个人测试阶段用域名规则最直观;②确认无误后把规则反向套用,防止漏网;③小范围试点OK,再用企业仪表盘批量推送,避免一次性全网翻车。
FAQ(FAQPage Schema)
规则上限是多少?
桌面端单组规则≤512条,移动端≤256条;企业模板总和≤2 k条,超出需拆分多模板。
iOS无法识别进程名怎么办?
iOS系统限制,只能按域名/IP分流;可把公司App所用到的服务器IP段写成CIDR,如120.46.0.0/16。
分流规则会影响局域网共享打印机吗?
不会。打印机常用192.168.0.0/16、10.0.0.0/8等私有段,默认不走代理;若人为把私网段写入「走代理」规则,才会出现脱网。
如何快速回退所有规则?
设置页→Split-Tunneling→右上角「⋯」→重置为默认;企业模板需管理员在后台「回收策略」即可一键清空。
节点IP变动导致防火墙白名单失效?
企业仪表盘支持「节点IP段自动推送」API,把官方维护的CIDR列表每天同步到防火墙;也可手动锁定固定出口IP节点,牺牲部分延迟换取白名单稳定。
总结与下一步行动
在公司内网部署HTTP分流,本质是“把可见性交给IT,把加速留给业务”。先用个人电脑按本文三步验证正向分流→再切反向分流→最后推企业模板,全程可回退、可观测、不碰敏感端口。下一步:打开客户端「实时日志」跑一周,把未收录的域名补充进模板,你的内网加速即可长期零维护。
📺 相关视频教程
【建议收藏】一个视频讲清楚所有局域网共享科学上网方法,让家里所有网络设备无需安装代理工具即可翻墙,没有软路由怎么让全家科学上网?http代理/socks代理/透明代理/WIFI热点,总有一种方法适合你