最近更新:2026-05-03
说明:原版 Clash(
Dreamacro/clash)项目已基本停止维护;本文中的 “Clash” 多指规则分流生态的客户端/内核(常见为mihomo/sing-box)。核对时间:2026-05-03。客户端名称、订阅字段和协议支持会变化,实际以官方 release 和服务商面板为准。
在数字化时代,全球信息高度互联,但由于网络审查或内容限制,许多互联网用户无法访问某些网站或服务。为了解决这一问题,Clash 机场应运而生。Clash 是一款高性能代理客户端,可通过配置远程代理节点,实现科学上网,绕过防火墙和地域限制。
所谓「机场」,是用户常见的对付费代理服务提供商的俗称,用户可以通过订阅这些机场提供的节点,实现高速、稳定、安全的翻墙体验。
Clash 及其相关配置较为专业,涉及大量技术术语,如「VMess」「VLESS」「Reality」「Rule」「Fake-IP」等。理解这些术语不仅有助于正确配置软件,也能帮助用户选择最合适的机场服务,提高上网体验并避免安全隐患。
Clash 是一类“规则驱动”的代理客户端生态:通过规则把不同网站/应用的流量分配到不同节点(或直连),实现自动分流、策略组切换、DNS 防污染等功能。
| 名称 | 类型 | 平台 | 说明 |
|---|---|---|---|
| Mihomo(原 Clash.Meta) | 内核 | 多平台 | 主流内核之一,协议支持更新较快(Reality/TUIC/Hysteria2/xHTTP 等取决于版本) |
| Sing-box | 内核 | 多平台 | 另一主流内核,协议覆盖面广,常见于多协议客户端 |
| Clash Verge Rev / Clash Party / ClashX Meta | 客户端(前端) | Windows/macOS/Linux | 通常内置 mihomo,提供 GUI、策略组、TUN 等功能 |
| Clash Meta for Android | 客户端(前端) | Android | 常见的 mihomo 系移动端方案 |
| Clash for Windows(CFW) | 客户端(历史) | Windows | 早期常用,但长期停更;不建议作为 2026 新手首选 |
选择建议:优先选“仍在维护 + 支持你需要协议 + 支持 TUN”的客户端/内核组合。
节点是指一条代理连接的配置数据,通过该连接,用户可将流量转发到境外服务器,实现科学上网。一个节点包含了连接的服务器地址、端口、协议、UUID等参数信息。
- VMess:由 V2Ray 开发,常见于许多存量机场,兼容性好。
- VLESS:VMess 的轻量替代方案,本身不内置加密,通常配合 TLS / Reality 使用。
- Trojan:基于HTTPS协议,伪装性强,抗封锁能力好。
- Shadowsocks (SS):较早期的加密代理协议,速度快但安全性稍弱。
- Reality:常见为 VLESS + Reality 组合,参数敏感,依赖客户端/内核支持。
- Hysteria2 / TUIC:基于 UDP/QUIC 的高性能协议,更适合实时通信或丢包环境,但依赖 UDP 网络质量。
| 字段名 | 含义 |
|---|---|
server |
节点服务器地址 |
port |
服务器端口号 |
uuid |
用户唯一识别码(用于 VMess/VLESS) |
alterId |
额外 ID(旧版 VMess 专属) |
cipher |
加密方式(如chacha20-ietf-poly1305) |
tls |
是否启用TLS加密(true/false) |
sni / servername |
TLS 握手使用的域名,Reality/Trojan/VLESS 常见 |
alpn |
TLS 应用层协议协商参数,常见于 h2/http/1.1 等 |
flow |
VLESS/Xray 生态常见字段,如 xtls-rprx-vision |
reality-opts |
Reality 相关参数集合,如 public-key、short-id 等 |
udp |
是否启用 UDP 转发,游戏、语音、Hysteria2/TUIC 常见 |
机场通常提供一个订阅链接,用户将该链接粘贴至 Clash / Mihomo 客户端即可获取全部节点信息,并可自动更新。链接格式可能是 .yaml、.txt 或不带明显后缀。
2026 年常见订阅格式:
Clash / Mihomo / Clash.Meta订阅:优先推荐,兼容规则分流生态;sing-box订阅:适合 sing-box 系客户端;Shadowrocket / Surge / Quantumult X订阅:面向特定 iOS 客户端;- 通用订阅:兼容性不一定最好,遇到新协议字段时可能丢参数。
不要随便把订阅链接放到第三方在线转换网站;订阅链接本质上是账号密钥。
Clash支持三种核心代理模式:
- Global(全局模式):所有流量都通过代理节点转发。适合完全绕过防火墙,但访问国内网站时可能变慢。
- Rule(规则模式):依据规则集自动判断哪些流量走代理,哪些不走。最推荐的模式。
- Direct(直连模式):所有流量不经过代理,常用于测试连接或访问本地网络。
| 使用场景 | 推荐模式 |
|---|---|
| 日常网页、AI、办公 | Rule |
| 临时排查规则问题 | Global |
| 中英文网站同时访问 | Rule |
| 使用银行/本地服务 | Rule 或 Direct |
长期不建议默认 Global,它会把很多本该直连的国内服务、局域网服务也交给代理,反而增加排障难度。
规则(Rule)是Clash的核心之一,用于判断特定流量应通过哪个节点或是否走直连。规则可以是域名、IP范围、进程名称等形式。借助规则集,Clash可以做到“智能分流”,即国内流量直连,国外流量自动代理。
| 类型 | 描述 | 示例 |
|---|---|---|
| DOMAIN | 匹配域名 | DOMAIN,google.com |
| DOMAIN-SUFFIX | 匹配域名后缀 | DOMAIN-SUFFIX,youtube.com |
| DOMAIN-KEYWORD | 包含关键字 | DOMAIN-KEYWORD,google |
| IP-CIDR | 匹配IP段 | IP-CIDR,8.8.8.8/32 |
| GEOIP | 匹配国家或地区 | GEOIP,CN |
| PROCESS-NAME | 匹配进程 | PROCESS-NAME,chrome.exe |
| MATCH | 匹配所有流量(默认规则) | MATCH |
建议用户使用带有规则集订阅功能的机场,以确保规则长期维护和更新。
2026 年常见规则相关词:
rule-set:规则集订阅,便于自动更新;provider:规则或节点提供器,可定期拉取远程内容;GeoIP / GeoSite:按 IP 或域名类别分流;fake-ip-filter:Fake-IP 模式下不应该被伪造解析的域名列表。
Clash中的DNS模块决定域名如何被解析,并直接影响“域名规则”能否正确应用。错误的DNS解析可能导致无法命中规则或连接失败。
- Fake-IP 模式:Clash将未匹配到真实DNS记录的域名生成一个伪造IP,从而确保规则命中率更高。推荐用于国内外流量混合场景。
- 真实DNS模式:通过真实DNS服务器解析域名,但对流量分析要求较高,命中率可能不如Fake-IP。
- 加密 DNS:DoH / DoT / DoQ 可减少解析被污染或劫持的概率,但配置错误也会导致“节点可用但网页打不开”。
dns:
enable: true
listen: 0.0.0.0:53
fake-ip-range: 198.18.0.1/16
nameserver:
- 114.114.114.114
- tls://dns.rubyfish.cn:853
enhanced-mode: fake-ipClash支持三种策略实现节点自动化管理:
- URL-Test:定期测试指定网址(如https://www.gstatic.com/generate_204)的响应速度,选择最快节点。
- Fallback:主节点失效后自动切换至备用节点。
- Load-Balance:将流量平均分配至多个节点(适合高频率分流需求)。
proxies:
- name: node1
type: vmess
server: 1.1.1.1
- name: node2
type: vmess
server: 2.2.2.2
proxy-groups:
- name: AutoGroup
type: url-test
proxies:
- node1
- node2
url: 'http://www.gstatic.com/generate_204'
interval: 300测速逻辑基于响应时间、丢包率和可用性判断。Clash本身无法显示详细测速图表,但借助控制面板如 Yacd 可以实时查看延迟。
Tun模式可将系统层级所有应用的流量“透明接管”至Clash,实现比传统HTTP/HTTPS代理更强的全局穿透能力。尤其适用于不支持手动设置代理的游戏、软件或系统级服务。
启用 TUN 时要特别注意 DNS、路由和权限。Windows 可能需要管理员权限或 Wintun 相关组件;macOS 可能弹出系统扩展或网络权限提示;Android/iOS 通常表现为 VPN 模式授权。
tun:
enable: true
stack: system
dns-hijack:
- 198.18.0.2:53- Windows/macOS:大多数客户端支持“一键开启系统代理”,用于让浏览器/大部分软件走代理。
- macOS/Linux:需手动设置系统网络偏好中的HTTP和Socks代理。
- Android/iOS:通常通过“VPN 模式”接管流量(客户端会提示授权)。
Clash 生态运行时通常会暴露本地控制接口(REST API + Web GUI)。常见的 Dashboard 方案有:
- Yacd 面板:经典 Web 面板,可接入多数 Clash 系内核
- MetaCubeXD 等面板:对
mihomo生态更友好(以面板/内核版本为准)
- Yacd:最轻量的Web控制面板,支持实时切换节点、查看规则。
- 不同面板对新协议/新字段的支持程度不同,遇到显示异常时优先升级客户端/内核与面板版本。
- TCP(Transmission Control Protocol):面向连接、传输稳定。适合网页浏览、视频播放等对传输完整性要求高的服务。
- UDP(User Datagram Protocol):无连接、传输速度快但稳定性较差。适合游戏、实时语音等低延迟需求场景。
| 协议 | 特点 | 常用于 |
|---|---|---|
| TLS | 标准加密传输层协议,支持 HTTPS 伪装 | Trojan, VMess |
| XTLS / Vision | Xray 体系的传输增强(常见为 flow: xtls-rprx-vision),强调性能与抗干扰 |
VLESS(部分实现) |
| gRPC | 谷歌提出的高性能协议,基于 HTTP/2 | Trojan/VLESS 中继传输 |
| H2 (HTTP/2) | 低延迟、高并发连接 | Trojan, VLESS, Reality |
| Reality | 常见为 VLESS + Reality 组合(Xray 体系),用于更强伪装/抗探测 | 取决于内核与客户端是否支持 |
| 加密方式 | 描述 |
|---|---|
aes-128-gcm |
高安全性,对硬件要求较低,广泛兼容 |
chacha20-ietf-poly1305 |
适合移动设备的高性能加密方式 |
none |
无加密,适用于 VLESS 裸协议(通过 TLS 保障) |
- 对于低功耗设备:推荐
chacha20-ietf-poly1305 - 对于通用设备:
aes-128-gcm或aes-256-gcm是稳定之选 - 使用 VLESS/Reality 等协议时,可选择
none,由 TLS 层加密保障
- 住宅IP(家宽):来自普通家庭网络,通常不易被识别为代理,适合访问敏感服务。
- 数据中心IP:来自IDC机房,速度稳定但容易被服务商识别、限制。
- 原生IP:由本国ISP分配的IP,具备完整网络权限(如原生美区IP可访问美国专属服务)。
- 非原生IP:转接或托管方式分配,部分服务可能限制访问或出现内容缺失。
- 静态IP:固定不变的IP地址,适合做端口转发、自建服务。
- 动态IP:每次重连可能改变地址,适合普通用户但不利于持久映射。
不同线路决定了机场速度、稳定性、抗封锁能力。常见线路说明如下:
| 类型 | 路径结构 | 特点 |
|---|---|---|
| 直连 | 用户 → 境外节点 | 延迟低,易被墙封,稳定差 |
| 中转 | 用户 → 中转节点 → 境外节点 | 性价比高,抗封锁中等 |
| BGP中转 | 用户 → BGP中转 → 境外节点 | 晚高峰稳定,适配三网 |
| IEPL专线 | 用户 → 专线内网 → 境外节点 | 延迟低,稳定高,流媒体友好 |
| IPLC专线 | 用户 → 物理专线 → 境外节点 | 企业级稳定,不易被墙 |
| 多跳隧道 | 用户 → Socks → gRPC/WS → 境外节点 | 抗封锁强,速度一般 |
| 自建VPS | 用户 → 自建代理 → 网站 | 灵活可控,需运维 |
- 三网优化:自动选择电信/联通/移动最优路径
- 回程优化:提升海外访问国内资源速度
- 原生IP:用于解锁 Netflix/ChatGPT/TikTok 等服务
- 抗封锁性:专线 > BGP中转 > 普通中转 > 直连
- 新手:BGP中转 / 普通中转
- 重度使用:IEPL / IPLC
- 自由可控:自建VPS
- 解锁流媒体/AI工具:优先原生IP + 专线
倍率指的是机场服务中,一个节点所消耗流量与实际使用流量的比值。例如1:5倍率表示用户使用1GB,计费为5GB。
- 倍率高:流量消耗快但价格相对便宜
- 倍率低或1:1:计费公平但服务更昂贵
| 区域/节点 | 倍率 | 特点 |
|---|---|---|
| 日本/韩国IEPL | 1:1 | 速度快,适合游戏/视频 |
| 美国/香港中转 | 1:3 ~ 1:5 | 解锁强,但流量消耗快 |
| ChatGPT/Netflix专线 | 1:10 或更高 | 高级内容节点,精准优化 |
用户应根据使用习惯和流量预算合理选择使用不同倍率的节点。
“解锁”指的是使用代理节点访问本地受限或仅限某地区可用的服务内容。例如:Netflix美区、TikTok国际版、ChatGPT、YouTube Music、Midjourney 等。
- 流媒体平台:Netflix、Disney+、YouTube、HBO Max、BBC iPlayer
- 社交与视频平台:TikTok、Instagram、Facebook
- AI与开发平台:OpenAI(ChatGPT)、Midjourney、Claude、GitHub Copilot、Bing AI
- 金融与电商服务:PayPal、Amazon、Stripe、eBay(取决于节点IP归属地)
- 使用 Clash 控制面板的“测速检测”功能,或外部工具如:
- Netflix Checker
- TikTok Region Test
- Speedtest + IP查询看是否为原生IP/住宅IP
- 节点备注中常有标注,如
HK(解锁TikTok),US(Netflix 全解)
| 原因 | 解决办法 |
|---|---|
| IP非原生/被污染 | 更换节点或联系机场反馈 |
| DNS泄漏导致识别为本地 | 使用Fake-IP或DoH DNS |
| 缓存地区信息 | 清除浏览器缓存/更改语言偏好 |
| 服务已封禁该段IP | 尽量使用住宅或IEPL/IPLC线路 |
- 节点配置错误(端口/UUID/cipher等参数)
- 节点失效或被墙(国内网络封锁)
- Clash配置文件加载异常
- 代理规则冲突或DNS解析失败
- Clash GUI面板通常提供日志窗口,查看节点连接状态。
- 多数客户端/内核都支持将日志级别调到
verbose(或类似选项),用于排查连接细节。 - 使用
ping、tracert、curl等命令测试网络连通性。 - 可查看
/log或终端返回的握手信息定位问题源头。
- GeoIP:基于IP地址归属国家的流量识别,例如
GEOIP,CN用于识别中国大陆流量。 - GeoSite:基于域名规则的预设站点分类集,如
geosite:netflix用于一键识别所有Netflix相关流量。
rules:
- GEOIP,CN,DIRECT
- GEOSITE,netflix,US-NODE- 将常用规则集和分组预设进配置文件中,无需每次手动切换
- 可定义多个 proxy-group 实现一键切换场景(如ChatGPT专用组、解锁组、游戏组)
- 结合
rule-providers动态拉取远程规则集,便于维护更新
DNS泄漏会暴露你的真实访问目的地,即便你使用代理,也可能让ISP知道你访问了某些网站。避免DNS泄漏的方法包括:
- 启用 Fake-IP 模式
- 配置可信的 DNS-over-HTTPS(DoH)服务器
- 设置系统 DNS 与 Clash DNS 一致,避免“操作系统直通”
- 不使用无加密或明文协议(如原始SOCKS/HTTP代理)
- 使用支持 TLS/XTLS 的协议(Trojan/VLESS + Reality)
- 禁用日志记录功能(如配置中
log-level: silent) - 选择支持“混淆”或“伪装”功能的节点(如gRPC伪装)
| 术语 | 含义 | 分类 |
|---|---|---|
| 节点 | 一个可用的代理连接配置 | 核心组件 |
| 订阅链接 | 获取节点信息的远程地址 | 管理机制 |
| Rule | 流量分流规则 | 配置功能 |
| TLS | 安全加密协议 | 传输层 |
| Fake-IP | Clash伪造DNS解析的机制 | 网络控制 |
| 原生IP | 被目标平台识别为真实用户IP | 解锁机制 |
| 倍率 | 节点流量计费比率 | 商业计费 |
| 中转 | 多跳传输优化机制 | 线路优化 |
- 需要看视频推荐使用:香港、台湾、美国节点,倍率不高优先
- AI工具解锁推荐:美国原生IP+Reality协议节点
- 追求稳定可用推荐:IEPL、CN2 GIA、IPLC等中高端线路
Clash不仅仅是一个翻墙工具,它是一整套高度灵活、功能强大的网络流量控制平台。随着协议发展与网络监管变化,Clash社区不断更新核心和配置方式。建议用户持续关注以下内容:
- Clash 内核/客户端更新(如
mihomo/sing-box对 Reality、TUIC、Hysteria2 等的支持变化) - 新兴协议与加密算法(如 uTLS、gQUIC)
- 社区维护规则集和配置模板(如lhie1、ACL4SSR、DivineEngine)
| 名称 | 链接 | 说明 |
|---|---|---|
| Clash(Dreamacro) | https://github.com/Dreamacro/clash | 原版核心项目(历史/已停更) |
| Mihomo(原 Clash.Meta) | https://github.com/MetaCubeX/mihomo | 主流内核维护仓库 |
| Yacd 控制面板 | https://github.com/haishanh/yacd | Web控制前端 |
| ACL4SSR 规则集 | https://github.com/ACL4SSR/ACL4SSR | 分流规则集合 |
| Telegram 频道 | 搜索:Clash 中文频道 | 社区交流与机场评测 |
| YouTube 频道 | 搜索:科学上网 教程 Clash | 视频教学资源丰富 |
借助社区力量,保持配置更新与技术前沿,是长期稳定使用Clash机场的关键。
Clash机场基于代理协议分流流量,功能更强大、可定制,而VPN通常是全局加密隧道,适合一键使用但可控性较弱。
可能使用的是非原生IP或被识别为代理IP,建议更换带有“解锁Netflix”标识的节点。
Fake-IP是伪造DNS机制,不会带来安全风险,反而可避免DNS泄漏,提高分流命中率。
Reality是基于VLESS协议的新型加密与伪装机制,具备更强抗封锁性和隐蔽性,已被大量机场采用。
不一定。高倍率节点价格低但流量消耗快,适合轻度使用;低倍率节点适合追求体验和稳定性的用户。