3x-ui 搭配避坑指南:协议、传输、安全怎么选?
3x-ui 搭配避坑指南:协议、传输、安全怎么选?
小米里的大麦3x-ui 搭配避坑指南:协议、传输、安全怎么选?
1. 协议、传输、安全是什么?
在深入了解各种搭配之前,我们先搞清楚三个基本概念:
1. 协议 —— 数据的 “打包方式”
协议决定了数据怎么打包、怎么传输。目前主流的协议有:
| 协议 | 特点 | 推荐度 |
|---|---|---|
| VLESS | 最灵活现代,轻量高效 | ⭐⭐⭐⭐⭐ |
| VMess | 经典协议,兼容性强 | ⭐⭐⭐⭐ |
| Trojan | 伪装成 HTTPS 流量 | ⭐⭐⭐⭐ |
协议就像快递的打包方式,VLESS 是最新最轻的包装,VMess 是经典包装,Trojan 是伪装成普通包裹。
2. 传输 —— 数据的 “运输方式”
传输决定了数据怎么从 A 点到 B 点。目前主流的传输方式有:
| 传输 | 特点 | 推荐度 |
|---|---|---|
| TCP (RAW) | 最基础,速度稳定 | ⭐⭐⭐⭐⭐ |
| XHTTP | 最新传输,伪装更真实(像 HTTP/3) | ⭐⭐⭐⭐⭐ |
| gRPC | 伪装成游戏/云服务流量 | ⭐⭐⭐⭐ |
| WebSocket (WS) | 经典传输,兼容性强 | ⭐⭐⭐⭐ |
| mKCP | 抗丢包神器,适合垃圾线路 | ⭐⭐⭐ |
XHTTP 注意事项:
- 客户端支持仍不算完美(Nekobox、Clash Meta 较好,v2rayN 需较新版本)
- 部分线路下 XHTTP + Reality 组合偶尔会出现比纯 TCP 略高的延迟
- 建议实际测试延迟后再决定是否主力使用
- 和 Vision 搭配时,部分 3x-ui 版本的 UI 配置或兼容性仍有小问题,建议先用 TCP RAW + Vision 测试稳定后再尝试 XHTTP
3. 安全 —— 数据的 “加密方式”
安全决定了数据怎么加密、怎么伪装。目前主流的安全方式有:
| 安全 | 特点 | 推荐度 |
|---|---|---|
| Reality | 最强伪装,免证书,抗主动探测 | ⭐⭐⭐⭐⭐ |
| TLS | 经典 HTTPS 伪装,需要证书 | ⭐⭐⭐⭐ |
| 无(裸奔) | 速度最快,但伪装极弱 | ⭐⭐ |
2. 伪装强度与速度优先级
在选择搭配之前,我们先了解两个重要的优先级:
1. 伪装强度优先级
Reality > TLS > 无
- Reality:目前最强伪装,免证书、抗主动探测、伪装成大站真实 HTTPS 流量
- TLS:经典 HTTPS 伪装,但需要证书,易被 SNI 特征识别
- 无安全:速度最快,但伪装极弱,容易被封
2. 速度优先级
TCP RAW / mKCP > WebSocket / gRPC / HTTPUpgrade / XHTTP > WireGuard/TUN
- TCP RAW / mKCP:速度最快,延迟最低
- WebSocket / gRPC / HTTPUpgrade / XHTTP:速度中等,伪装更好
- WireGuard/TUN:速度较慢,但适合特殊场景
3. 主流搭配推荐
以下用表格总结几种主流搭配(从强到弱排序),全部基于 2026 年最新环境。实际效果取决于 VPS 线路(推荐 CN2 GIA/BGP 独享 IP)。
| 优先级 | 目标场景 | 协议 | 传输 | 安全 | 关键配置要点 | 优点 | 缺点 |
|---|---|---|---|---|---|---|---|
| 1 | 伪装最强 + 速度优秀 | VLESS | TCP (RAW) | Reality | 开启 Vision 流控;dest 填大站(如 www.microsoft.com: 443);shortIds 填 4~8 个不同的;Fingerprint 混用 chrome/firefox/edge | 抗探测极强、延迟低、吞吐高(2026 主流) | 部分老客户端不支持 Vision |
| 2 | 伪装极强 + 新传输 | VLESS | XHTTP | Reality | 同上 + XHTTP 路径自定义(如 /random);建议先测试延迟 | 伪装更真实(像 HTTP/3),速度接近 TCP | 客户端需支持 XHTTP(Nekobox/Clash Meta);部分线路延迟略高 |
| 3 | 伪装强 + 兼容好 | Trojan | TCP (RAW) | Reality | dest/shortIds 同上 | 伪装强、客户端支持广(包括 iOS) | 比 VLESS 略重,速度稍慢 |
| 4 | 经典平衡(TLS 伪装) | Trojan | TCP (RAW) | TLS | 证书用 Let’s Encrypt 或自签;SNI 填伪装域名 | 稳定、兼容性最好 | 需要证书,易被 SNI 封锁 |
| 5 | 现代平衡 | VLESS | gRPC | TLS | gRPC serviceName 自定义;证书同上 | 速度好、伪装成 gRPC 流量(像游戏/云服务) | 比 Reality 弱,易被特征识别 |
| 6 | 常见伪装 | VMess | WebSocket | TLS | WS path 自定义(如 /ws);host 填伪装域名 | 兼容性强,老客户端都支持 | 伪装一般,2026 已较易识别 |
| 7 | 速度极致(垃圾线路) | VLESS/VMess | mKCP | 无/TLS | mKCP 伪装成 dtls/srtp;seed 自定义 | 抗丢包神器,晚高峰速度翻倍 | 伪装弱(UDP 易限速/封) |
| 8 | 速度快 + UDP 伪装 | WireGuard | - | 无 | 直接配置 WG 密钥和端口 | 原生速度最快,适合手机/路由器 | 伪装差(特征明显),易被封 |
| 9 | 混合端口/隧道 | Mixed/Tunnel | TCP/WS | TLS/Reality | 多协议共存一个端口,或用 Tunnel 接 CDN | 灵活,适合 CDN 中转 | 配置复杂,速度有损 |
说明:以上排序基于伪装强度和速度的综合考量,实际效果因线路、客户端、配置而异。
4. 推荐使用顺序(2026 环境)
1. 首选:VLESS + TCP/XHTTP + Reality
推荐理由:伪装最强,速度优秀,几乎不可能被主动探测。
配置要点:
- 开启 Vision 流控
- dest 填大站(如 www.microsoft.com: 443)
- shortIds 多填几个
- Fingerprint 选 chrome
客户端推荐:Nekobox / Clash Meta / v2rayN(开启 Vision)
2. 备选:Trojan + TCP + Reality
推荐理由:如果客户端兼容性问题,Trojan 支持更广(包括 iOS)。
配置要点:同上,dest/shortIds 同 VLESS。
3. 经典 fallback:Trojan/VLESS + TCP/gRPC + TLS
推荐理由:稳定、兼容性好,适合没有 Reality 支持的场景。
配置要点:
- 证书用 Let’s Encrypt 或自签
- SNI 填伪装域名
- 配合 Nginx 伪装站点
4. 速度优先:mKCP + 无安全
推荐理由:如果线路极差,用 mKCP 抗丢包,速度提升明显。
配置要点:
- mKCP 伪装成 dtls/srtp
- seed 自定义
注意:这是短期应急方案,伪装弱,容易被封。UDP 特征明显,长期使用风险较高,仅建议作为晚高峰或垃圾线路的临时方案。
5. 其他值得关注的方案
1. Hysteria2 —— 高丢包场景的神器
如果你的 3x-ui 已良好支持,Hysteria2 在高丢包、移动网络、跨洋线路下表现极强,强烈建议测试。
优点:
- 基于 QUIC 协议,抗丢包能力极强
- 高丢包线路下速度提升明显
- 伪装成 HTTPS/3 流量
缺点:
- 客户端支持不如 VLESS/Trojan 广泛
- 需要 3x-ui 版本支持
2. TUIC v5 —— 新兴 QUIC 协议
TUIC v5 是新兴的 QUIC 协议,速度和抗封锁都不错。
优点:
- 基于 QUIC 协议,速度和抗丢包都不错
- 伪装能力较好
缺点:
- 客户端支持较少
- 还在发展中,稳定性有待验证
推荐:可以关注和测试,但暂时不建议作为主力方案。
5. 通用优化建议(必须)
1. 端口选择
| 端口 | 说明 | 推荐度 |
|---|---|---|
| 443 | 最像 HTTPS,伪装最好 | ⭐⭐⭐⭐⭐ |
| 8443 | 备用 HTTPS 端口 | ⭐⭐⭐⭐ |
| 2053 | 备用端口 | ⭐⭐⭐ |
| 80 | 像 HTTP,伪装较好 | ⭐⭐⭐ |
建议:优先 443 > 8443 > 2053 等。
2. 嗅探 + 分流
建议:全部开启,配合 geosite/geoip 规则做好国内直连 + 广告拦截。
3. Fallback 设置(必做)
强烈建议:配一个正常的 Nginx 静态网站作为 fallback,防探测效果显著提升。
4. 伪装域名选择
| 安全方式 | 推荐域名 | 说明 |
|---|---|---|
| Reality | 大站(microsoft/apple/amazon/google) | 伪装成真实 HTTPS 流量,优先选择延迟低、TLS 1.3 + HTTP/2 支持好的大站 |
| TLS | Cloudflare 注册的域名 | 经典 HTTPS 伪装 |
5. 测试工具
- GFW 主动探测脚本:检查 Reality 是否通过
- Speedtest/YouTube 8K:测速
6. 面板升级(必做)
务必使用最新版 3x-ui(MHSanaei 主维护分支),定期执行:x-ui update 或重装最新脚本。
7. 多入站混合方案
推荐方案:443 端口 Reality 主力 + 其他端口 fallback,或配合 Cloudflare CDN(虽然后者伪装强但速度有损耗)。
配置示例:
- 443 端口:VLESS + TCP + Reality(主力)
- 8443 端口:Trojan + TCP + TLS(备用)
- 其他端口:mKCP + 无安全(应急)
6. 常见问题
Q1:Reality 和 TLS 有什么区别?
Reality:
- 免证书
- 抗主动探测
- 伪装成大站真实 HTTPS 流量
- 2026 年最强伪装
TLS:
- 需要证书
- 经典 HTTPS 伪装
- 易被 SNI 特征识别
简单理解:Reality 是最高级的伪装,TLS 是普通伪装。
Q2:XHTTP 是什么?为什么推荐?
XHTTP 是 2025-2026 年流行的最新传输方式,伪装更真实(像现代 HTTP/3 流量)。
优点:
- 伪装更真实
- 速度接近 TCP
- 抗探测能力强
缺点:
- 客户端需支持 XHTTP(Nekobox/Clash Meta)
推荐:如果客户端支持,优先使用 XHTTP。
Q3:mKCP 适合什么场景?
mKCP 适合丢包高的线路(如移动网络、晚高峰拥堵)。
优点:
- 抗丢包神器
- 晚高峰速度翻倍
- 伪装成游戏/视频流量
缺点:
- 伪装弱(UDP 易限速/封)
推荐:短期应急使用,长期建议用 Reality。
Q4:Hysteria2 和 TUIC v5 值得用吗?
Hysteria2:
- 基于 QUIC 协议,抗丢包能力极强
- 高丢包线路(如移动网络、跨洋线路)下表现极强
- 需要 3x-ui 版本支持
- 推荐:高丢包线路强烈建议测试
TUIC v5:
- 新兴 QUIC 协议,速度和抗封锁都不错
- 客户端支持较少,还在发展中
- 推荐:可以关注和测试,但暂时不建议作为主力方案
Q5:选型建议?
- 伪装优先:VLESS + TCP/XHTTP + Reality
- 兼容优先:Trojan + TCP + Reality
- 速度优先:mKCP + 无安全(短期应急)
- 高丢包线路:Hysteria2(如果 3x-ui 支持)
没有绝对最好的搭配,只有最适合自己需求的。 如果你不知道选什么,就选 VLESS + TCP + Reality,这是 2026 年的主流方案。
