什么是VPN分流？

很多刚开始折腾 VPN 的朋友，一上来就把「全局模式」当成唯一答案：一按连接，所有流量一股脑儿翻到墙外。用一阵子你就会发现不对劲：打个王者延迟 200ms、看个 B 站还要绕地球半圈，连网银都提示你“境外登录有风险”。这时候，你大概率就该了解一下——VPN 分流。

简单说，分流就是给你的网络流量做「路线规划」：哪些走 VPN 翻墙，哪些走本地网络直连。常见的做法有几种：

按域名/关键字分流
比如把 google.com、youtube.com、twitter.com、github.com 这些典型「外网VPN」全部走代理，而淘宝、京东、知乎、B 站这类国内网站就直接走本地网络。好处是体感明显：外网能上，内网不拖累，还减少了被平台风控当成“海外异常登录”的概率。缺点是需要一份比较靠谱的规则列表（比如常见的 gfwlist、geosite），否则你自己一个个加域名会很痛苦。
按 IP/IP 段分流
这类一般会有「绕过局域网及中国大陆地址」的选项，本质上是把大陆 IP 段都划到直连，其他未识别 IP 默认走代理。优点是配置简单，一键搞定；缺点是遇到 CDN、海外节点、灰色地带服务（例如一些游戏服）时，偶尔会有「走哪条路都不太对」的情况，需要你手动调教。
按应用分流（App 级分流）
这点在手机上尤其实用。你可以设定：Chrome 走 VPN，微信、支付宝、网银客户端一律直连；或者让 Steam 客户端下载游戏走直连（用国内 CN 服务器），但社区、创意工坊页面走代理。用过的都知道：不让微信走 VPN，是对朋友圈加载速度的最大尊重 😂

那为什么强烈建议中国用户用「分流」而不是死板的「全局代理」？

体验更顺滑：国内服务本身就有很好的带宽和节点，你非要绕道国外，不但变慢，还可能抽风。
安全与合规风险更小：网银、支付、政务、公司内网这些东西，没必要也不应该走境外节点，减少不必要的风控记录。
节省带宽和流量：如果你用的是付费 VPN 或按流量计费的节点，把所有流量都丢给代理，无形中就是在「烧钱」。
降低被「一刀切」封锁的概率：全部流量都从一个境外 IP 出，特征太明显；而分流之后，只有访问外网才会走 VPN，看起来更自然。

具体怎么落地？主流工具像 Clash、Surge、Shadowrocket、Quantumult X 等，基本都支持各种精细的分流策略：

用 规则集（Rule Set） 一次性引入现成的大陆/境外列表；
使用「绕过中国大陆 IP」「仅代理被墙网站」这样的预设；
高级玩法甚至可以按端口、按协议（如 DoH、SSH）分流。

配置思路可以概括为：

> 默认直连 + 对外专门翻墙 + 特例手动调整

也就是说，不要想着“让所有东西都走 VPN”，而是只让「必须翻墙才有价值的访问」走代理，比如开发者用的 GitHub、NPM、Docker Hub，普通用户的 Google、YouTube、Twitter、Reddit 等。国内能正常访问的，就老老实实本地直连。

最后补一句：分流不是玄学，也不是越复杂越高级。真正合理的分流配置，特点只有一个——你几乎感觉不到它的存在，只觉得网变顺了。如果你现在还在全局模式下艰难冲浪，花半小时研究一下 VPN 分流规则，很可能会是你今年网络体验提升最大的一次折腾。

什么是 VPN 分流

如果你是国内用户，平时需要“科学上网”刷刷 YouTube、查查 Google Scholar，又离不开淘宝、网银、钉钉这类本地服务，那你大概率会听说过一个词：VPN 分流。很多人只知道开关 VPN，却不知道分流到底在解决什么问题，甚至遇到“开了 VPN 淘宝加载巨慢”“网银登不上”“游戏延迟飞起”这类问题时，根本意识不到背后就是路由策略的问题。

简单说，VPN 分流（Split Tunneling）就是：把你设备里不同应用、不同网站的流量，分别走不同的“通道”。需要翻墙访问的流量走 VPN 通道（比如走美国、日本、新加坡节点），不需要翻墙、甚至必须直连国内的那部分，就直接走本地网络，不绕 VPN。这一分，就等于给你的网络交通画了条高架和地面路，把车流按需分开。

为什么要分流？因为在中国用 VPN 存在几类典型痛点：

访问国内网站变慢甚至异常
很多 VPN 节点在海外，你打开全局代理后，访问淘宝、B 站、12306、各家网银，其实都是从你 → 境外机房 → 再回中国。路径变长、被风控拦截、CDN 回源慢，体验就直线下降。
分流后，这些“国内常用网站”可以设置为直连，中国境内直连中国境内，走本地运营商的线路，速度和稳定性都会明显提升。
某些业务对 IP 地理位置高度敏感
像网银、证券交易、企微/钉钉打卡、学校/公司内网等，看到你每次登录 IP 都在异国他乡，分分钟风控、短信验证，甚至直接拒绝访问。通过 “按域名分流” 把这些关键业务指定为“直连”，可以降低异常登录、封号、交易限制的风险。
带宽资源浪费 & 路由不必要绕远
你可能只是想上个推特、刷个 Ins，但后台一堆软件在更新、同步、传大文件，都被你一起拖上了 VPN 通道，节点压力爆表，延迟飙升。通过 “按应用分流”，只把浏览器、特定 App 丢给 VPN，其余走本地网络，可以明显改善整体体验。

从实现方式看，大多数 VPN / 代理工具都会支持几种常见策略：

全局代理：所有流量都走 VPN，简单粗暴，但副作用最大。
PAC / 规则分流：根据域名VPN和 IP 段来判断是否走代理。典型规则比如：
google.com / youtube.com / twitter.com / facebook.com → 代理
taobao.com / jd.com / alipay.com / qq.com / 163.com → 直连
按进程/应用分流：例如只给 Chrome、Edge 开代理，微信、网银客户端保持直连，这在 Windows、macOS 上比较常见。

对普通用户来说，用图形界面的机场客户端或代理工具时，常见配置就是：

选择 “绕过中国大陆和局域网” 或 “GFW 列表模式”；
个别不想走代理的 App（比如游戏、网盘）再通过“应用分流”单独排除。

最后补一句，VPN 分流并不是万能药。在中国使用 VPN/代理，始终存在合规和被干扰的风险，节点质量、协议类型（如 Shadowsocks、V2Ray、WireGuard）以及运营商策略都会影响体验。分流做得好，只是尽量在现有条件下，平衡“能翻出去”“国内网站不卡”“账号相对安全”这三件事，让你的网络环境更接近“该快的快、该稳的稳、该隐私的隐私”的状态。

全局模式与分应用分流的区别

很多刚开始折腾 VPN / 代理工具的朋友，一看到“全局模式”和“分应用分流（或规则分流）”这两个选项，都会有点懵：到底该选哪个？哪种更适合“翻墙”？这俩东西本质上的区别，其实可以简单理解成——是让所有流量都走代理，还是只让“需要翻”的部分走代理。

先说“全局模式”。顾名思义，就是你设备上所有网络请求，不管是打开知乎、刷 B 站，还是系统自动更新、云同步，全都一股脑儿通过 VPN 通道发到境外再出去。对小白用户来说，全局模式有一个特别直接的优点：省心。你不用管什么规则、不用设置域名分流、IP 分流，开关一按，Telegram、YouTube、Google、X（Twitter）、GitHub 全部都能上，甚至一些你没想到会被墙的冷门网站，也会因为全局代理而变得“无感访问”。很多人第一次翻墙，就是靠全局模式撑过来的 😂。

但全局模式的问题也很明显：

浪费带宽：你刷抖音、看国内视频、下国内游戏更新，这些本来走直连几 MB/s 的带宽，却非要绕一圈走境外代理，速度可能反而更慢。
延迟增高：玩国服网游，明明是连上海、广州的服务器，却要先连到美国、日本的代理，再折返，这延迟能不炸吗？打游戏瞬间怀疑人生。
隐私与风险：所有流量都被转发到代理服务器，意味着代理节点能看到非常多你的访问行为（哪怕是 HTTPS，也能看到域名和连接模式）。虽然大多数机场/节点不会作妖，但从“最小暴露面”原则来说，全局未必是最优解。
被识别风险：有些国内服务对“境外 IP”比较敏感，比如网银、支付、某些政务服务，走全局时可能会触发风控，登录频繁掉线、验证码狂弹，体验很差。

再看“分应用分流 / 规则分流”。这是一种更“聪明”的玩法：你根据应用、域名、IP 或规则集，把流量分成不同路线。简单说，就是：

和“墙”有关的：Google、YouTube、ChatGPT、X、Telegram、国外学术网站 → 走代理
完全国内的：知乎、B 站、淘宝、微信、钉钉、网银 → 直连
一些特殊域名，比如 CDN、游戏加速、特定地区节点 → 可以单独指定香港、日本、美国等不同线路

常见工具里这种功能的名字也不太一样，比如：

Clash / Clash Verge / Clash Meta：规则模式 / Rule Mode、分流
Quantumult X、Loon、Surge：策略组、规则分流
V2RayN / NekoRay：支持按域名 / IP 规则分流
手机上一些 VPN 客户端会写成“按 App 代理 / per-app proxy”

分应用分流最大的优势有三点：

体验更接近“无感”：需要翻的自动翻，不需要翻的走国内，该快的快，该稳的稳。打开知乎、淘宝不会因为走代理变卡，刷油管也不用手动切模式。
更节省资源：代理带宽是要钱的（机场流量包很贵 🥲），分流能把宝贵的翻墙带宽集中给真正需要被墙的服务。
更灵活可控：你可以按自己习惯调整，比如把 Steam 下载走直连、社区走代理；把 Netflix 指定走某个解锁地区的节点；甚至可以给某个游戏单独走专线节点。

当然，分流模式也不是完美无缺：

上手门槛高一些：规则写错、顺序不当、缺漏常见域名，就会出现“明明开了代理还是上不去”的情况。
配置文件质量参差不齐，机场下发的订阅规则好坏全看良心，有时候为了节省时间，很多人就直接开全局“图省事”。
想图简单、省心、不想折腾，或者只是临时应急上外网 → 可以先用全局模式。
想日常长期科学上网、兼顾国内外服务体验、又在意延迟和流量成本 → 建议用分应用分流 / 规则分流，配合一份维护得不错的规则集（比如常见的 GeoIP + 域名分类规则）。

最终怎么选，核心取决于你是“能用就行”，还是想把“翻墙”当成一个相对优雅、稳定、长期可用的网络环境来构建。如果你已经开始在意“节点延迟、分流规则、路由策略”这些VPN，那基本可以告别全局模式了。

适合中国用户的分流使用场景

如果你平时习惯「全程挂 VPN」，那你大概已经遇到过这些问题：网银打不开、支付宝风控、微信消息延迟、B站加载半天、游戏延迟飙升、连打开个高德地图都卡成 PPT。其实很多时候不是 VPN 不稳定，而是——你该用分流了。

所谓「适合中国用户的分流使用场景」，核心就是一句话：该走墙内的走墙内，该翻墙的再翻墙。别把所有流量都一股脑儿丢给 VPN，让国外节点去访问你家楼下的外卖平台，这既没必要，还挺危险。

一个比较典型的场景：上班摸鱼用电脑看 YouTube、刷 Twitter / X、开 GitHub 查资料，这些都必须要翻墙；但你同时需要用企业微信、钉钉、飞书、乃至访问公司内网或企微文档。这时候如果你不开分流，所有流量都从境外节点绕一圈，不仅速度慢，还容易触发各种风控。不少人遇到过，用 VPN 时微信突然频繁提示「登录地点异常」，或者支付宝、银行 APP 让你频繁验证，甚至银行卡转账被暂时限制，这其实都和「跨境 IP + 敏感操作」有关。

所以，适合中国用户的分流方案，通常至少要做到这几类流量分开走：

金融类服务直连：
银行 APP（工行、农行、招行等）、支付宝、微信支付、京东支付，这些尽量不要走 VPN，保持中国大陆 IP，对稳定性和安全性都更友好。
高实时性应用直连：
微信、QQ、钉钉、飞书、企业微信、网游（尤其是国服）、云电话会议（如腾讯会议）、视频会议类，延迟高一点就明显感觉到卡顿，所以一般建议国内直连，国外才分流。
内容类平台智能分流：
像 B 站、知乎、豆瓣、抖音、微博，大多数内容在国内访问完全够用，有些人会刻意让 B 站走直连、YouTube 走代理，这就非常适合用规则分流：

*.bilibili.com 直连
*.youtube.com 走代理
*.zhihu.com 直连，但如果你喜欢看 Quora、Reddit 就单独设成代理
这类策略在 Clash、Surge、Shadowrocket 之类的客户端里都可以用「规则分流」实现。

开发 / 学习需要的科学上网场景：
程序员翻 GitHub、拉 npm / pip 包、看 StackOverflow、访问 Google Scholar，这些走代理可以提速甚至「能不能打开」的问题；而公司 GitLab、内部系统、甚至阿里云 / 腾讯云控制台等，走国内线路稳定性更好。分流能避免公司内网走境外导致的访问异常，降低被运维盯上的概率 😂。
日常生活应用的精细化分流：
外卖、打车（美团、饿了么、滴滴、高德）、外卖骑手、顺丰 / 菜鸟物流查询、12306 买票等，全部推荐直连；而 Netflix、Disney+、HBO、ChatGPT、Midjourney 等流媒体和 AI 服务，才用 VPN 分流出去，这样既节省带宽，又不容易被各类风控系统「重点关注」。

从实现方式上看，中国用户一般有三种常见玩法：

用带「国内 / 国外 / 广告拦截」规则的订阅配置，一键导入 Clash / Surge / Shadowrocket；
自己写规则：按域名、IP、GeoIP 区域做「中国直连、非中国走代理」；
路由器上跑固件（OpenWrt + 插件），做到全屋分流，手机、电视、iPad 全部自动按规则走。

分流的意义不是炫技，而是安全 + 体验 + 稳定的平衡。中国用户用 VPN 翻墙的真实需求，大多是「既要刷外网、又要不影响日常生活和工作」。合理的分流策略，能在不打扰你正常使用微信支付、网银转账、抢火车票的前提下，让你依然顺畅地看 YouTube、查资料、用 ChatGPT——这才是「适合中国用户的分流使用场景」的真正价值。

常见 VPN 分流技术的实现方式

说到「VPN 分流」，其实就是在“翻墙”和“日常上网”之间做个聪明的流量分工：哪些走代理、哪些走直连，既保证能访问 Google / YouTube / ChatGPT，又不至于让访问国内网站（比如 B 站、淘宝、网易云）变得绕远路、又慢又卡。对中国用户来说，合理配置 VPN 分流，既是体验问题，也是「安全 + 稳定」的平衡。

按实现方式来分，常见的 VPN 分流大致可以分为几种思路：

1. 基于「全局代理 + 绕过局域网/大陆地址」的简单分流
这是很多客户端（比如 Clash、Shadowrocket、Surge、Quantumult X 等）默认的套路：

所有流量默认走 VPN
然后通过「绕过局域网及中国大陆地址」规则，把像 192.168.x.x、10.x.x.x 这类局域网，以及通过 IP 库标记为「CN」的地址直接放行走直连。
实现上主要依赖 IP 数据库（GeoIP 数据库，如 GeoLite2 CN）和 路由表，从而做到「境外网站自动代理、境内网站自动直连」。好处是配置简单，一套规则用很久；缺点是：
新域名或 IP 段更新不及时，可能出现「国内网站走了代理」或「国外网站被误判为直连」的情况。

2. 基于「域名规则（GFWList / 域名列表）」的精细分流
这类做法就是典型的「按域名分流」，比如：

在客户端里写规则：DOMAIN-SUFFIX,google.com,PROXY，DOMAIN-SUFFIX,baidu.com,DIRECT
或者直接用现成的 GFWList、ACL4SSR、黑白名单规则集。
逻辑是：
访问在列表里、已知被墙的网站（如 youtube.com、facebook.com）→ 走代理
其他默认直连（或反过来，默认代理，只把国内网站设为直连）
技术实现一般基于 DNS 解析拦截 + SNI 解析：客户端会根据域名匹配规则，决定某个 TCP/UDP 连接该走哪条「出路」。这种方案的优点是可读性强、可控性高，用户可以按需手动补充：比如给「ChatGPT」单独建一个策略组 🤖 ChatGPT 节点，更方便切换不同线路；但维护成本也较高，规则太长会略占内存和 CPU。

3. 基于「进程 / 应用分流（Per-App Proxy）」的方式
在 Windows / Android 上比较常见。比如：

让 Chrome / Edge 走 VPN，游戏客户端、网银客户端保持直连；
手机上指定「Telegram、Twitter、YouTube」走代理，微信、支付宝走直连。
这里的技术核心是做 进程级别的 Socket Hook 或利用 系统 VPN API（如 Android VpnService / iOS NEVPNManager），对不同 App 的网络请求打上标记，再根据标记选择不同的路由。
优点：不需要管域名、IP，按应用维度管理，即便是访问同一个域名，也能做到「工作用浏览器走干净线路、游戏走低延迟直连」；但缺点是：
配置界面通常比较复杂
iOS 的应用分流受系统限制，普通用户较难做到完全自由配置。

4. 基于「策略组 + 自动测速」的智能分流
这是 Clash/Surge 等高阶玩法：

先定义若干策略组：如 全球媒体、常用国外网站、游戏加速、国内媒体 等
再通过规则将不同域名/服务打到不同策略组，比如 Netflix、Disney+ 放到「全球媒体」，GitHub、StackOverflow 放到「开发者服务」，电报放到「社交 IM」。
然后策略组内部会自动 测速选路（URL Test / Load Balance），自动选出延迟最低、丢包最少的节点。这样一来，分流就不再是「要不要代理」这么简单，而是「代理走哪个节点更合适」。

整体上，常见 VPN 分流技术的核心就是三件事：

如何识别目标（域名 / IP / 进程 / SNI）
如何查规则并匹配到对应策略（PROXY / DIRECT / 指定节点组）
如何在不影响日常上网体验的前提下，尽量减少被干扰和封锁的风险

对于中国用户来说，一个比较实用的组合是：「基于域名 + IP 的规则分流」作为底层，必要时再补充「应用分流」和「手动策略组」。既能保证访问国内网站走直连、不卡顿，又能让翻墙流量尽量隐匿在合理的出站节点上，提高稳定性和可用性。配置好之后，翻墙体验会稳定很多，不必每次都全局代理、一刀切。

不同平台的 VPN 分流配置差异

很多人一开始接触 VPN 分流（也叫策略路由、按域名代理）的时候，会下意识以为“各个平台配置差不多吧”，真上手才发现：Windows / macOS / Android / iOS / 路由器，简直是五种生物。尤其在中国用 VPN 翻墙，既要跑得快、又要尽量不影响国内网站访问，分流规则写不好不是“全局代理卡成狗”，就是“明明连着 VPN 结果上不去 Google”，非常抓狂。😅

先说桌面端。Windows 上最常见的是 Clash for Windows、NekoRay、v2rayN 这种，它们的好处是：界面直观，规则写错还能快速回滚。通常都支持类似 rules: GEOIP,CN,DIRECT、DOMAIN-SUFFIX,google.com,Proxy 这类 YAML 规则，甚至可以直接订阅规则集（比如 ACL4SSR、blackmatrix7），基本就是“懒人福音”。但问题也明显：Windows 上有不少国产软件会绕系统代理直连，分流规则再精细也拦不住，只能靠 TUN 模式或者在应用层做更多折腾。

macOS 跟 Windows 逻辑类似，很多人用 Clash Verge / ClashX / Surge for Mac。差异在于系统权限和网络栈：macOS 上 TUN、系统代理、分应用代理更成熟，Surge 甚至可以做到对特定进程、特定端口精细控制。但代价是：规则写法有自己的一套，比如 Surge 的 RULE-SET、DOMAIN-KEYWORD、PROCESS-NAME，跟 Clash 的 DOMAIN-SUFFIX、GEOSITE 一比，迁移时容易晕菜——同一套“科学上网分流策略”，到了不同客户端基本得“翻译”一遍。

移动端就更魔幻一点。Android 上因为权限相对开放，像 Clash for Android、Surfboard、v2rayNG 等，功能和桌面端几乎同步，TUN/VPN 接管全局，再用分流规则“放行国内、代理国外”。很多人会配：

国内常见域名（taobao.com、bilibili.com、qq.com）走直连
常见被墙域名（google.com、github.com、twitter.com）走代理
再加上 GEOIP,CN,DIRECT、MATCH,Proxy 兜底

但 Android 厂商魔改多，有时会遇到杀后台、VPN 进程被系统干掉、某些系统应用不走 VPN 的情况，只能通过“开机自启 + 锁定后台 + 单独测试关键 App”来一点点排坑。

iOS 是另外一个世界。因为系统不开放 TUN 内核扩展，一切都要走 NEVPN 接口，所以大部分人会选择 Quantumult X、Shadowrocket、Surge iOS 这类工具。关键差异在于：iOS 更依赖 profile + 远程规则集，你会经常见到 cn.list、proxy.list、lancidr.list 之类的引用，然后通过 RULE-SET, cn, DIRECT、RULE-SET, proxy, Proxy 来分流。迁移 Clash 的配置到 Shadowrocket 时，很多人会懵：“为啥我写的 DOMAIN-SUFFIX 在这里语法不一样？”——本质就是每个平台的语法糖不同，但思路都是：按域名/IP/地理位置/进程做策略选择。

再往上一个层级，就是直接在路由器上做分流，比如用 OpenWrt + PassWall / HelloWorld / SSRPlus。路由器分流的优势是：一次配置，全家设备都走策略；不用每台手机、电脑都装 VPN 客户端。但代价也很明显：