---
title: VPN、代理、机场——这些词到底什么意思
date: 2026-05-10
updated: 2026-05-10
categories:
  - 入门指南
tags:
  - 术语
  - VPN
  - 代理
  - 机场
  - Clash
  - V2Ray
  - 新手入门
index_img: /images/posts/terminology.jpg
excerpt: VPN、代理、机场、节点、订阅链接、TUN模式......这些词到底什么意思？一篇文章讲清所有代理相关术语。
---

> **摘要**：刚接触科学上网，满眼都是 VPN、代理、机场、Clash、V2Ray、节点、订阅、TUN 模式……完全看不懂？本文用最直白的语言，把你会遇到的所有术语一次讲清楚。每个词是什么意思、跟其他词什么关系、日常使用中怎么理解——看完这一篇，后续文章就不会再有"黑话障碍"了。

---

## 核心概念

### 科学上网 / 翻墙

"科学上网"是一个委婉说法，意思是通过技术手段访问被屏蔽的网站。Google、YouTube、Twitter、Wikipedia……这些网站在中国大陆无法直接打开，需要借助代理工具绕过封锁才能访问。"翻墙"是更口语化的说法，意思一样。

### GFW（Great Firewall）

GFW 是 Great Firewall 的缩写，中文叫"防火长城"，官方名称是"金盾工程"。它是中国的互联网审查系统，负责屏蔽境外网站、过滤敏感内容。你打不开 Google，就是 GFW 在起作用。

GFW 不是一台机器，而是一整套技术体系，包括 DNS 污染、IP 封锁、深度包检测（DPI）等多种手段。科学上网的所有技术，本质上都是在跟 GFW 的检测机制做对抗。

### 代理（Proxy）

代理是一台中间服务器。你的设备不直接访问目标网站，而是把请求发给代理服务器，由它帮你去访问，再把结果传回给你。

打个比方：你想买一本国外的书，但你自己没法直接下单。于是你找了一个朋友（代理服务器），他帮你下单、收货、再转寄给你。网站看到的是你朋友的地址，不是你的。

代理是科学上网最核心的概念——几乎所有翻墙工具本质上都是在帮你建立一条到代理服务器的连接。

### VPN（虚拟专用网络）

VPN 是 Virtual Private Network 的缩写。它在你的设备和服务器之间创建一条加密隧道，所有网络流量都通过这条隧道传输。

VPN 最初是为企业设计的——公司员工在外出差时，通过 VPN 连回公司内网，就像坐在办公室里一样。后来人们发现 VPN 也能用来绕过网络封锁，于是"翻墙"和"VPN"就被划上了等号。

但严格来说，VPN 和代理是不同的东西：

| 区别 | VPN | 代理 |
|------|-----|------|
| 工作层级 | 系统层面，接管所有流量 | 通常在应用层面工作 |
| 加密 | 全程加密 | 取决于具体协议 |
| 原始设计目的 | 企业远程访问 | 流量转发 |
| 速度 | 因为加密所有流量，可能较慢 | 可以选择性代理，更灵活 |

现在大家说"VPN"，往往泛指所有翻墙工具。但技术讨论中需要区分：我们日常用的 Clash、Shadowrocket 这些，严格来说是代理客户端，不是 VPN 客户端。不过随着 TUN 模式的普及（后面会讲），两者的界限越来越模糊了。

![VPN 与代理的区别](/images/inline/vpn-vs-proxy.webp)
*图片来源：[NordLayer](https://nordlayer.com/)*

### 机场

"机场"是代理服务提供商的俗称。你可以把它理解为"代理服务的供应商"——你付费，它给你提供代理服务器（节点）供你使用。

这个名字的由来很有趣：早期 Shadowsocks 客户端里，每个节点前面会显示一个飞机图标，提供这些节点的服务商自然就被叫做"机场"了。虽然后来客户端早就不用飞机图标了，但这个叫法一直流传了下来。

大部分用户不需要自己搭建代理服务器，只需要找一个靠谱的机场，把它提供的订阅链接导入客户端就能用了。

---

## 软件相关术语

### 客户端（Client）

客户端就是你安装在手机、电脑上的那个代理软件。它的作用是接收你的网络请求，按照规则决定哪些走代理、哪些直连，然后跟代理服务器建立连接。

不同平台上常用的客户端不一样：

- **Windows**：Clash Verge Rev、v2rayN
- **macOS**：Clash Verge Rev、[Surge](https://nssurge.com/)
- **iOS**：Shadowrocket、Surge、[Stash](https://apps.apple.com/app/stash-rule-based-proxy/id1596063349)
- **Android**：[Clash Meta for Android](https://github.com/MetaCubeX/ClashMetaForAndroid)、v2rayNG、[NekoBox](https://github.com/MatsuriDayo/NekoBoxForAndroid)

选客户端的核心考虑：支持的协议是否全面、界面是否好用、是否还在维护更新。各客户端的详细对比可参考 [V2Ray、Xray、Clash、Sing-box……我该用哪个？](/posts/software-overview/)。

### 内核（Core / Kernel）

内核是客户端底层真正干活的引擎。客户端是你看到的界面（GUI），内核是在背后处理网络连接的核心程序。

一个类比：客户端是汽车的仪表盘和方向盘，内核是发动机。你通过仪表盘操控，但真正驱动车跑的是发动机。

常见内核：

- **v2ray-core**：最早的多协议代理内核，由 [V2Fly](https://www.v2fly.org/) 社区维护
- **[Xray-core](https://xtls.github.io/)**：v2ray-core 的分支，支持 VLESS 和 Reality
- **[sing-box](https://sing-box.sagernet.org/)**：较新的内核，性能好，设计现代
- **[mihomo](https://github.com/MetaCubeX/mihomo)**（原 Clash.Meta）：兼容 Clash 配置格式的内核

同一个客户端可能支持切换不同内核，同一个内核也可能被多个客户端使用。比如 Clash Verge Rev 用的是 mihomo 内核。

### 订阅链接（Subscription Link）

订阅链接是机场提供给你的一个 URL 地址。你把它粘贴到客户端里，客户端会自动从这个链接下载所有节点的配置信息。

订阅链接的好处是自动更新——机场增减节点、更换服务器时，你不需要手动修改，客户端定期刷新订阅就能拿到最新的节点列表。

注意：订阅链接相当于你账户的凭证，不要分享给别人，也不要发到公开场合。

### 节点（Node）

一个节点就是一台代理服务器。机场通常会提供几十甚至上百个节点，分布在不同国家和地区——香港、日本、新加坡、美国等等。

不同节点的区别：

- **地理位置**：影响延迟和能解锁的内容
- **线路类型**：直连还是中转（后面会讲）
- **负载情况**：用的人多的节点可能会慢
- **倍率**：消耗流量的计算比例（后面会讲）

日常使用时，你通常不需要手动选节点——客户端可以配置自动测速、自动选择最优节点。

### 分流 / 规则（Routing Rules）

分流规则决定了哪些流量走代理、哪些直连、哪些拒绝连接。

为什么需要分流？因为不是所有网站都需要代理。访问百度、淘宝这些国内网站，走代理反而更慢。合理的分流策略是：国外网站走代理，国内网站直连，广告域名直接拦截。

规则的来源通常是社区维护的规则集（rule set），你不需要自己写——导入一份成熟的规则集，绝大部分场景就覆盖了。关于分流规则的深入解读，参见 [什么是分流规则](/posts/what-are-rules/)。

### TUN 模式

TUN 模式是代理客户端的一种工作方式。它会在你的系统中创建一个虚拟网卡，接管所有网络流量——不管是浏览器、游戏、命令行工具还是其他任何应用，所有流量都会经过代理客户端处理。

这跟 VPN 的工作方式非常相似，也是为什么说现代代理工具和 VPN 的界限越来越模糊。

### 系统代理（System Proxy）

系统代理是另一种工作方式。它利用操作系统自带的代理设置（HTTP/SOCKS 代理），让支持系统代理的应用通过代理连接。

问题在于：不是所有应用都会读取系统代理设置。游戏、很多命令行工具、部分桌面应用会忽略系统代理，导致这些应用的流量无法走代理。

简单对比：

| | TUN 模式 | 系统代理 |
|---|----------|----------|
| 覆盖范围 | 所有流量 | 仅遵守系统代理设置的应用 |
| 需要权限 | 管理员权限 | 普通权限 |
| 资源占用 | 较高 | 较低 |
| 适用场景 | 需要全局代理（游戏、开发等） | 日常浏览网页 |

对大部分用户，推荐使用 TUN 模式，省心。

---


## 协议相关术语

### 协议（Protocol）

协议是客户端和代理服务器之间的"通信规则"。不同协议在安全性、速度、抗检测能力上各有差异。

你可以把协议理解为"语言"——客户端和服务器必须用同一种"语言"才能通信。

### Shadowsocks（SS）

Shadowsocks 是最早专为翻墙设计的代理协议之一，由 clowwindy 在 2012 年开发。它设计简洁、性能好，是科学上网历史上里程碑式的项目。

虽然现在有更先进的协议，但 Shadowsocks（特别是 SS-2022 版本）仍然在使用中。很多机场也还提供 SS 节点。

### V2Ray / Xray

V2Ray 是一个代理平台（框架），不是单一协议。它支持多种协议、多种传输方式，是 Shadowsocks 之后最重要的代理项目。

Xray 是 V2Ray 的社区分支，在 V2Ray 基础上增加了 VLESS 协议和 Reality 技术等重要功能。目前社区的活跃开发主要在 Xray 这边。

### VMess

VMess 是 V2Ray 的原生协议。它有加密和认证机制，在早期是主流选择。但现在 VMess 在安全性和效率上不如新协议，特征也容易被 GFW 识别。如果你的机场还在用裸 VMess（不套 TLS），建议考虑更换。

### VLESS

VLESS 是 VMess 的简化版本，去掉了冗余的加密层（因为传输层已经有 TLS 加密了，协议层再加密是浪费资源）。VLESS 本身不加密，依赖传输层（TLS）提供安全性。

VLESS 通常搭配 Reality 使用，是目前最推荐的协议组合之一。

### Reality

Reality 是 Xray 团队开发的一项技术，解决的是"TLS 指纹"问题。

传统的 TLS 代理需要一个域名和证书，GFW 可以通过分析 TLS 握手特征来识别代理流量。Reality 的做法是让你的代理流量看起来就像在访问一个真实的网站（比如微软或苹果的官网），GFW 如果去主动探测，得到的也是那个真实网站的回应。

这让 GFW 很难区分你到底是在正常访问网站还是在用代理。

### Trojan

Trojan 协议的思路是"藏在 HTTPS 里"——它把代理流量伪装成普通的 HTTPS 流量。当有人（包括 GFW）直接访问 Trojan 服务器时，看到的就是一个正常的网站。

### Hysteria2

Hysteria2 是基于 QUIC 协议（UDP）的代理协议。它的特点是速度快，特别适合高丢包环境。但因为是 UDP 协议，在某些网络环境下可能被限速或屏蔽。

### Clash

Clash 是一个基于规则的代理客户端框架。注意它不是一种协议，而是一个软件。Clash 支持多种协议（SS、VMess、VLESS、Trojan 等），核心特色是强大的分流规则系统。

原版 Clash 和 Clash Premium 已经停止维护。现在社区的主流是 mihomo（原 Clash.Meta），它兼容 Clash 配置格式但有大量增强。[Clash Verge Rev](https://github.com/clash-verge-rev/clash-verge-rev) 等客户端底层用的就是 mihomo 内核。更多信息可参考 [Clash Wiki](https://wiki.metacubex.one/)。

### Sing-box

Sing-box 是一个较新的代理平台，支持多种协议，设计更现代、性能更好。它既可以作为服务端也可以作为客户端使用。越来越多的客户端开始支持 sing-box 内核。

---


## 网络相关术语

### DNS（域名系统）

DNS 的作用是把域名（比如 google.com）翻译成 IP 地址（比如 142.250.80.46）。你的设备需要知道 IP 地址才能连接服务器，DNS 就是做这个翻译工作的。

在代理场景中，DNS 配置非常重要——配置不当可能导致连接失败或隐私泄漏。

### DNS 污染 / DNS 劫持

这是 GFW 的一种封锁手段。当你查询被封锁域名的 IP 地址时，GFW 会抢先返回一个错误的 IP 地址，让你根本连不上正确的服务器。

比如你查询 google.com 的 IP，正常应该返回 Google 的服务器地址，但 GFW 返回了一个无效地址——你自然就打不开 Google 了。

### Fake-IP

Fake-IP 是代理客户端的一种 DNS 处理策略。当应用查询域名时，客户端不去真的解析，而是返回一个假的 IP 地址（通常是 198.18.x.x 这样的保留地址段）。客户端记住这个假 IP 对应的域名，当流量发往这个假 IP 时，客户端知道该把它转给哪个代理服务器，由代理服务器在远端做真正的 DNS 解析。

好处是避免了本地 DNS 污染，缺点是某些依赖真实 IP 的应用可能出问题。

### SNI（Server Name Indication）

SNI 是 TLS 握手过程中的一个字段，告诉服务器你要访问哪个域名。问题在于 SNI 是明文的——GFW 可以读取 SNI 来判断你在访问什么网站。

这也是为什么 Reality 等技术要在 SNI 上做文章——让 SNI 显示的是一个正常网站的域名。

### TLS（传输层安全）

TLS 是 HTTPS 使用的加密协议。当你看到浏览器地址栏有锁的图标，就是在用 TLS 加密。代理协议（如 VLESS、Trojan）也通常运行在 TLS 之上，确保传输内容被加密。

### DPI（深度包检测）

DPI 是 GFW 的核心检测技术之一。普通的防火墙只看数据包的头部信息（来源、目标、端口），DPI 会深入检查数据包的内容和行为特征，试图判断这个连接到底是正常流量还是代理流量。

各种代理协议的抗检测设计，很大程度上就是在对抗 DPI。

---

## 机场服务相关术语

### 直连（Direct）

直连是指你的设备直接连接到海外的代理服务器，中间不经过任何国内的中继。直连的延迟通常最低，但在 GFW 加强封锁时最容易受影响——因为跨境连接是 GFW 重点监控的对象。

### 中转（Relay / Transit）

中转是指你的流量先到达一台国内的服务器，再由这台服务器转发到海外的代理服务器。国内到国内的连接不受 GFW 干扰，而国内中转服务器到海外服务器的连接通常使用优化过的线路（如 IPLC、IEPL 专线）。

中转线路更稳定、更抗封锁，但成本也更高，所以中转节点的价格通常比直连贵。

### 倍率（Rate / Multiplier）

机场里经常看到节点标注"0.5x""1x""3x"这样的倍率。这是流量消耗的计算比例。

比如你的套餐有 100GB 流量：
- 用 1x 倍率的节点：实际用 10GB，扣 10GB
- 用 0.5x 倍率的节点：实际用 10GB，只扣 5GB（划算）
- 用 3x 倍率的节点：实际用 10GB，扣 30GB（贵）

一般来说，中转线路和优质线路的倍率会更高。

### 落地 IP / 出口 IP

落地 IP 是指你的流量最终从哪个 IP 地址"出去"。目标网站看到的就是这个 IP。

这个概念很重要，因为它决定了你能不能解锁某些服务——比如 Netflix 会检查你的 IP 是不是来自它允许的地区。

### 解锁（Unlock）

解锁是指通过代理访问有地区限制的内容。比如某些 Netflix 内容只对美国用户开放、Disney+ 某些内容限定日本地区。如果你连接的节点的落地 IP 能通过这些平台的地区检测，就说这个节点"能解锁"该服务。

不是所有节点都能解锁流媒体。很多数据中心 IP 已经被流媒体平台标记和屏蔽了，只有原生住宅 IP 或专门做了解锁的 IP 才行。

---

## 常见问题

### Q: VPN 和代理有什么区别？

VPN 在系统层面创建一个虚拟网络接口，加密所有流量，你的设备就像直接接入了远端的网络。代理通常在应用层面工作，只处理特定应用的流量。

但这个界限现在越来越模糊了。现代代理工具开启 TUN 模式后，同样会创建虚拟网卡、接管所有流量，效果上跟 VPN 很像。两者的真正区别更多在技术实现和协议层面，对普通用户来说体感差不多。

### Q: 为什么叫"机场"？

早期 Shadowsocks 客户端（如 ShadowsocksR）的节点列表中，每个节点前面都有一个飞机的图标。用户习惯了用"飞机"来指代代理节点，提供这些节点的服务商自然就被叫做"机场"。这个称呼一直沿用至今，已经成了圈子里的标准叫法。

### Q: Clash 和 V2Ray 是什么关系？

V2Ray（以及 Xray）是代理内核——它负责实际的代理连接、协议处理。Clash 是客户端框架——它提供界面、分流规则、策略组等功能。

Clash 可以使用 V2Ray 的协议（VMess、VLESS 等），但 Clash 有自己的内核（mihomo），不依赖 v2ray-core。它们是不同层级的东西：一个是引擎，一个是驾驶舱。

### Q: 订阅链接和节点链接有什么区别？

节点链接是单个代理服务器的配置信息，格式类似 `vless://xxx@server:port?...`。一个节点链接对应一台服务器。

订阅链接是一个 URL（比如 `https://xxx.com/api/sub?token=xxx`），指向一个动态更新的列表，这个列表里包含了很多节点的配置。客户端访问订阅链接后会自动获取里面所有的节点。

简单说：节点链接 = 一张机票，订阅链接 = 一本机票册，而且册子里的票会自动更新。