選擇代理協議時,很多人只關心「能不能用」,而忽視了協議在抗封鎖能力、傳輸效能、配置複雜度三個維度上的顯著差異。本文從原理出發,對目前 Clash/Mihomo 支援的主流協議進行深度橫向對比,幫助你在不同網路環境下做出最優選擇。
VMess:V2Ray 的標誌性協議
VMess 是 V2Ray 專案設計的加密傳輸協議,也是 Clash 支援最早、應用最廣的協議之一。VMess 使用 UUID 作為身份驗證憑據,內建時間戳校驗(服務端與客戶端時間差不超過 90 秒),有效防止了重放攻擊。
VMess 本身的資料包頭部經過混淆,裸協議已有一定的流量特徵隱藏能力。配合 ws + TLS(WebSocket over TLS)或 grpc + TLS 傳輸層,外觀上與普通 HTTPS 流量幾乎無法區分。其主要缺點是:頭部加密開銷略高,在高延遲線路上效能不如基於 QUIC 的協議;時間同步要求對伺服器運維造成輕微負擔。
proxies: - name: vmess-ws type: vmess server: example.com port: 443 uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx alterId: 0 # 0 表示启用 AEAD 加密(推荐) cipher: auto tls: true network: ws ws-opts: path: /api/v1/ws headers: Host: example.com
VLESS:輕量化的繼任者
VLESS 是 VMess 的精簡繼承者,去除了 VMess 的對稱加密層,將加密責任完全交給外層 TLS,換來了更低的 CPU 開銷和更高的吞吐量。VLESS 配合 XTLS Vision 流控時,可以將內層 TLS 資料直接透傳,進一步降低雙重 TLS 的效能損耗,在高速場景下優勢明顯。
需要注意的是,VLESS 不適合裸奔(不帶 TLS 的部署),必須依賴外層 TLS 保證安全性。它也不支援 alterId,認證完全依賴 UUID。
Trojan:以 TLS 本身為偽裝
Trojan 的設計哲學與 VMess/VLESS 截然不同——它不試圖讓流量「看起來像 HTTPS」,而是直接執行在真正的 TLS 之上,連線建立後首先發送密碼進行認證,錯誤密碼的請求會被轉發到一個真實的 Web 服務(如 Nginx),讓防火牆探測時看到的是真正的 HTTPS 響應。
Trojan 的抗主動探測能力是其最大亮點。即使防火牆嘗試連線 Trojan 伺服器,由於沒有正確密碼,探測流量會被正常的 Web 服務接收並返回 200 響應,防火牆無法判斷這是代理伺服器。劣勢是配置相對複雜(需要真實域名和有效證書),且單連線效能略低於 VLESS+XTLS。
proxies: - name: trojan-node type: trojan server: example.com port: 443 password: your-password sni: example.com skip-cert-verify: false # 生产环境请勿设为 true udp: true
Hysteria2:QUIC 時代的速度標杆
Hysteria2 基於 QUIC 協議(UDP 上的多路複用 + 可靠傳輸),引入了 BBR 擁塞控制和激進的頻寬利用策略,在高丟包、高延遲線路(如中美跨洋線路)上表現遠超所有基於 TCP 的協議。實測中,Hysteria2 在 30% 丟包率線路上仍能維持接近滿頻寬的速度,而 TCP 協議在同等丟包下速度會下降到不足 10%。
但 Hysteria2 的 UDP 流量特徵相對明顯,在激進限速 UDP 的網路環境(如部分校園網、企業網)中可能被限制。此外,Hysteria2 的擁塞演算法對上行頻寬的消耗較大,不適合在上行受限的 VPS 上部署。
up 和 down 欄位需要填寫實際頻寬(Mbps),填寫過大會導致擁塞演算法過於激進,反而降低速度。建議實測後再配置。proxies: - name: hy2-node type: hysteria2 server: example.com port: 443 password: your-password up: 50 Mbps down: 200 Mbps sni: example.com skip-cert-verify: false
協議選型參考表
| 協議 | 傳輸層 | 抗封鎖 | 高延遲效能 | 配置複雜度 | 推薦場景 |
|---|---|---|---|---|---|
| VMess+WS+TLS | TCP | ★★★★☆ | 中等 | 中等 | 通用,節點相容性好 |
| VLESS+XTLS | TCP | ★★★★★ | 中等 | 較高 | 高頻寬直連,效能優先 |
| Trojan | TCP | ★★★★★ | 中等 | 中等 | 抗主動探測,獨立部署 |
| Hysteria2 | UDP/QUIC | ★★★☆☆ | 最優 | 低 | 高丟包/高延遲線路 |
多協議混用策略
在 Clash 中,不同協議的節點可以放在同一個策略組中。一個實用的做法是:將 Hysteria2 節點與 TCP 協議節點同時加入 url-test 組,讓 Clash 自動測速選優。當網路環境適合 QUIC 時使用 Hysteria2,當 UDP 被限制時自動回落到 Trojan 或 VMess,兩全其美。