TL;DR
三种协议在 2026 年的定位:VLESS(+ Reality) 是反 DPI 主流、VMess 已退居内网 / 墙外、Trojan 是兼容性兜底。同样 TLS 链路下速度差距 ≤ 5%,决定胜负的是握手特征与抗检测设计。大陆环境优先 VLESS Reality,跨境企业链路可用 Trojan,VMess 仅在受控环境使用。
VLESS、VMess、Trojan 是 V2Ray / Xray 生态三大代理协议,常被同时部署在一台 VPS 上。但很多用户混用配置后发现 GFW 命中率参差不齐——根源是三者的设计假设完全不同。本文按”出身 / 握手 / 抗检测 / 速度 / 选型”五块讲清楚。
三种协议的”出身”
| 协议 | 出现年份 | 设计目标 | 加密位置 |
|---|---|---|---|
| VMess | 2017 | V2Ray 第一代主协议 | 协议层(AES-128-GCM) |
| Trojan | 2019 | 用 HTTPS 流量伪装代理 | 传输层(强制 TLS) |
| VLESS | 2020 | VMess 的轻量重写 | 传输层(TLS / Reality) |
VMess 早期设计追求”自带加密 + 自带认证”,但握手包结构固定,给 DPI 留下了机器学习识别的空间。Trojan 的设计思路是”完全模仿 HTTPS”,但 SNI 仍暴露自有域名。VLESS 的思路是”只做身份校验,安全完全交给传输层”——也是 Reality 出现后最大的赢家。
握手特征对比
DPI 识别代理的关键不在加密内容,而在握手包模式。
- VMess:握手包含 V2Ray 自定义魔数 + 时间戳校验。GFW 在 2022 年就建立了 VMess 握手特征库,命中率 > 95%。
- Trojan:握手就是标准 TLS ClientHello,看起来与正常 HTTPS 无异。但握手后流量模式(包大小分布、突发频率)在大量样本下仍可识别。
- VLESS(vanilla):握手极简,反而成了”特征”——握手后立即开始大流量传输,与正常 HTTPS 浏览模式(先小请求后逐渐增大)不同。
- VLESS + Reality:借用 Google / Cloudflare 真证书 + 握手包。DPI 看到的就是”访问 Google”,握手完全无法区分。
结论:握手层抗检测排序 = VLESS Reality > Trojan ≈ VLESS+TLS > VMess。
抗 DPI 与 GFW 命中率(2026 年实测)
| 协议组合 | 大陆联通 | 大陆电信 | 大陆移动 | 备注 |
|---|---|---|---|---|
| VMess + WS + TLS | 偶尔被封 | 频繁被封 | 频繁被封 | 不推荐主线 |
| Trojan-go + TLS | 稳定 | 偶尔限速 | 稳定 | 兼容性最好 |
| VLESS + WS + TLS | 稳定 | 偶尔限速 | 稳定 | / |
| VLESS + Reality + Vision | 极稳定 | 极稳定 | 极稳定 | 大陆首选 |
| VLESS + Reality + XHTTP | 极稳定 | 极稳定 | 极稳定 | 新生态 |
数据来源:Project X 社区 2026 Q1 反馈、本站读者反馈样本(n=120)。
速度对比
在同一台东京 VPS(4 核 8G,1Gbps 带宽)+ 同一台 Mac 客户端上跑 iperf3 + 油管 4K 实测:
| 协议组合 | iperf3 单 TCP(Mbps) | 油管 4K 缓冲(秒) | CPU 占用(服务端) |
|---|---|---|---|
| VMess + WS + TLS | 480 | 1.8 | 18% |
| Trojan-go + TLS | 510 | 1.6 | 14% |
| VLESS + WS + TLS | 520 | 1.5 | 13% |
| VLESS + Reality + Vision | 580 | 1.2 | 11% |
VLESS + Reality + Vision 在协议层减少一次加密拷贝(XTLS Vision 流控),单 TCP 流性能比 VMess 高约 20%。绝大多数场景下,瓶颈不是协议而是 VPS 出口带宽与到客户端的路由质量。
配置示例对比
VMess + WS + TLS(服务端)
{
"inbounds": [{
"port": 443,
"protocol": "vmess",
"settings": {
"clients": [{ "id": "<uuid>", "alterId": 0 }]
},
"streamSettings": {
"network": "ws",
"security": "tls",
"wsSettings": { "path": "/vmess" }
}
}]
}Trojan + TLS
{
"inbounds": [{
"port": 443,
"protocol": "trojan",
"settings": {
"clients": [{ "password": "<strong-password>" }]
},
"streamSettings": {
"network": "tcp",
"security": "tls"
}
}]
}VLESS + Reality + Vision
{
"inbounds": [{
"port": 443,
"protocol": "vless",
"settings": {
"clients": [{ "id": "<uuid>", "flow": "xtls-rprx-vision" }],
"decryption": "none"
},
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": {
"dest": "www.cloudflare.com:443",
"serverNames": ["www.cloudflare.com"],
"privateKey": "<private>",
"shortIds": ["", "01ab23cd"]
}
}
}]
}选型矩阵
| 场景 | 推荐协议 |
|---|---|
| 中国大陆主线(个人) | VLESS Reality + Vision |
| 中国大陆主线(机场) | VLESS Reality + Vision + 端口跳跃 |
| 海外节点 / 商务出行 | VLESS + WS + TLS 或 Trojan |
| 内网测试 / 跨境企业链路 | VMess + WS + TLS |
| 给非技术用户写订阅 | Trojan(兼容性最广) |
| 客户端老旧(V2RayN 5.x 等) | VMess 或 Trojan |
| 同时给 PC + 手机 + 路由器用 | VLESS Reality(全平台覆盖) |
多协议混合的最佳实践
实务里很少只用一种协议。常见的”3 协议混合”策略:
- 主线:VLESS Reality(443 端口)抗 GFW
- 高速补充:Hysteria 2 / TUIC(UDP)用于 4K / 大下载
- 兜底:Trojan(备用 IP / 备用端口)防主线被封
订阅服务通常一次性下发三类节点,让客户端按延迟 / 速度自动切换。如果你要找一份能同时导出 Clash / Sing-Box / V2Ray 三种格式的多协议节点池,可以直接用 兼容 Clash / Singbox / V2Ray 的订阅,省去自己合并三套配置的麻烦。
相关阅读
来源与最后核对
- Project X / Xray-core 仓库:github.com/XTLS/Xray-core
- V2Fly 协议规范:v2fly.org/developer/protocols/vmess.html
- Trojan 协议规范:trojan-gfw.github.io/trojan/protocol
- XTLS Vision 文档:github.com/XTLS/Xray-core/discussions/1295
本文最后实际验证日期:2026-05-19。