分割隧道

什么是分流隧道

分流隧道是一种在连接 VPN 时，仅将部分流量通过 VPN 隧道，其余流量使用正常互联网连接的技术。

标准 VPN 连接（全隧道）会将所有互联网流量经由 VPN 服务器。虽然在安全方面是理想的，但会消耗 VPN 服务器带宽并导致速度降低。分流隧道让你仅将需要保护的流量通过 VPN，而视频观看或游戏等对速度要求高的流量直接连接互联网。

分流隧道的类型

还有一种「反向分流隧道」方式，默认将所有流量通过 VPN，仅排除指定的应用或目标。从安全角度来看，比标准分流隧道更安全。

优势与使用场景

以下是分流隧道有效的具体场景。

• 远程办公：访问内部系统走 VPN，视频会议和流媒体直连。减轻 VPN 服务器负载，改善内部系统响应速度。企业 IT 部门最常部署的用例。
• 本地设备访问：VPN 连接期间需要访问同一网络上的打印机或 NAS 时。全隧道下本地网络流量也会经由 VPN，可能无法到达本地设备。
• 带宽优化：将大文件下载和流媒体从 VPN 中排除，为业务通信保留 VPN 带宽。
• 地区限制服务：连接海外 VPN 服务器的同时，直接访问仅限国内的服务（银行、政务服务等）。

安全注意事项

分流隧道以便利性换取安全风险。

• VPN 外的流量不受保护：不经过 VPN 隧道的流量未加密，真实 IP 地址对目标可见。在公共 Wi-Fi 上使用分流隧道意味着被排除的流量可能被截获。
• DNS 泄漏风险增加：如果 VPN 外的流量使用运营商的 DNS 服务器，浏览目标信息会暴露给运营商。
• 与终止开关的交互：分流隧道与终止开关配合使用时，终止开关如何处理 VPN 外的流量取决于 VPN 应用的实现。请检查设置并测试确保行为符合预期。

在安全优先的场景（处理机密信息、使用公共 Wi-Fi）中，应禁用分流隧道并使用全隧道。选择 WireGuard 作为 VPN 协议可以将全隧道的速度降低降到最低。

常见误解

分流隧道很危险不应该使用

正确配置后，它是兼顾安全与便利的有用功能。企业 IT 部门也广泛采用。关键是确保需要保护的流量走 VPN，并理解被排除流量的风险。

使用分流隧道就失去了 VPN 的意义

你想保护的流量（业务数据、机密信息）仍然被加密。将不需要保护的大流量（视频流媒体、软件更新）排除，可以将 VPN 带宽集中用于真正需要的通信。

全隧道与分流隧道对比

相关术语