为什么关注这两个协议?
在GFW不断升级的今天,Shadowsocks和VMess已不再可靠。Trojan和VLESS+Reality是目前抗封锁能力最强的两个协议方案,也是主流机场和自建用户的首选。
Trojan协议详解
工作原理
Trojan的核心思路是"藏在HTTPS里"。它直接使用标准的TLS加密,代理流量与正常HTTPS网页访问在外观上完全一致。GFW即使截获流量,看到的也只是一个正常的HTTPS连接。
技术特点
- 标准TLS:使用真实的TLS证书(通常Let's Encrypt),与正常网站完全一致
- 无额外加密:TLS本身已提供加密,不像VMess还有额外一层,减少性能开销
- 回落机制:非认证连接会回落到真实网站(如Nginx),主动探测看到的是真网站
- 简洁高效:协议设计极简,性能损耗小
部署要求
- 一个域名(用于申请TLS证书)
- 443端口(标准HTTPS端口,不可用其他端口否则有特征)
- 一个回落网站(Nginx托管静态页面即可)
VLESS+Reality详解
工作原理
Reality是Xray项目的创新。传统方案需要自己的域名和证书,而Reality让代理服务器"借用"其他真实网站的TLS指纹。GFW看到的TLS握手信息指向一个真实存在的大网站(如apple.com),完全无法区分。
技术特点
- 无需域名和证书:这是最大优势,降低部署门槛,也消除了证书泄露的风险
- TLS指纹伪装:对外呈现为目标网站的TLS特征,GFW无法通过TLS指纹识别
- 抗主动探测:未认证的连接会被转发到目标网站,探测者看到的是真实的apple.com
- XTLS性能:配合XTLS Vision,内层TLS数据直接透传不二次加密,性能接近裸连
部署要求
- 不需要域名
- 不需要证书
- 只需选择一个目标网站(dest),推荐选择大型网站如apple.com、microsoft.com
正面对比
| 维度 | Trojan | VLESS+Reality |
|---|---|---|
| 抗GFW封锁 | 强 | 最强 |
| 抗主动探测 | 强(回落真站) | 极强(借用真站证书) |
| TLS指纹 | 自签证书,有微弱特征 | 真实网站指纹,无特征 |
| 需要域名 | 是 | 否 |
| 需要证书 | 是(Let's Encrypt) | 否 |
| 部署难度 | 中等 | 简单 |
| 性能 | 好 | 极好(XTLS Vision) |
| UDP支持 | 一般 | 好 |
| 客户端支持 | 广泛 | 需较新客户端 |
| 敏感时期表现 | 较好 | 最佳 |
实际选择建议
选Trojan的场景
- 你已有域名并习惯管理证书
- 需要兼容较老的客户端
- 作为备份协议与Reality搭配使用
选VLESS+Reality的场景
- 新搭建节点(首选方案)
- 不想折腾域名和证书
- 追求最强抗封锁能力
- 敏感时期需要可靠连接
机场用户怎么选
不需要自己选——看机场提供哪些协议节点。测速时优先选Reality节点,不可用再切Trojan。好的机场两种都会提供。
配合Hysteria2
Trojan和VLESS+Reality都基于TCP。如果你有UDP需求(游戏、视频通话),可以搭配Hysteria2。
- 日常浏览:VLESS+Reality(最隐蔽)
- 大文件下载/视频:Hysteria2(速度快)
- 敏感时期:VLESS+Reality(Hysteria2的UDP可能被封)
总结
2026年新建节点首选VLESS+Reality:不要域名、不要证书、抗封锁最强、性能最好。Trojan作为成熟方案依然可靠,适合已有域名的用户。两者搭配使用效果最佳。
