1.1 目标:对比台湾VPS上的CN2通道与高防空间在带宽与稳定性上的差异与优劣,给出可重复的测试与部署步骤。
1.2 准备:一台本地测试机(Linux、Windows均可)、两台或更多目标VPS(CN2节点、普通联通/电信回程、以及高防节点)、SSH访问权限、iperf3、mtr/traceroute、speedtest-cli、tcpdump、监控工具(Prometheus/Grafana或Zabbix)。
1.3 授权与合同:检查VPS提供商的DDoS防护触发规则、流量计费方式(峰值/固定/按流量)与退款政策,避免测试被误判为攻击。
2.1 覆盖主流:至少选择一家使用CN2回程的运营商(通常面向大陆优化)、一家普通国际线路(非CN2),以及一台标注“高防”或“高防IP”的服务器。
2.2 带宽口径:确认各节点标注的带宽是专属带宽还是共享带宽(burstable),并记录计费口径(按入/出计或按峰值)。
2.3 机房位置:记录机房(台北、台中或高雄)、机房运营商(如台湾本地/国际接入)与ASN/BGP信息(可用whois/ipinfo查询)。
3.1 ping 测试:从本地到各VPS做连续ping 1分钟(ping -c 60 -i 0.5),记录平均延迟、丢包率、最大/最小延迟。
3.2 traceroute/mtr:执行 mtr -rwzbc100
3.3 Reverse lookup与ASN:用whois或bgp.he.net确认路由是否在CN2 ASN或高防服务的ASN下,判断是否为真实CN2链路。
4.1 部署iperf3:在VPS上启动iperf3服务器:iperf3 -s -p 5201(推荐使用root或有足够权限的账号)。
4.2 客户端测试:本地运行:iperf3 -c
4.3 多时间段测试:在高峰(19:00-23:00)、低峰(3:00-6:00)与工作时段各做至少3次测试,求平均值并记录标准差。
4.4 speedtest-cli:可作为补充:speedtest-cli --server
5.1 长时mtr:mtr -r -c 1000
5.2 tcpdump抓包:在VPS上用tcpdump -i eth0 host
5.3 连续并发测试:用wrk或wrk2在应用层做并发连接测试,观察在并发数增加时的平均响应时间和失败率,验证“带宽”在并发场景下的真实表现。
6.1 咨询防护策略:在测试前向商家确认高防触发阈值(包速/并发/流量)与清洗延迟,避免被自动封禁。
6.2 合规测试:如果需做大流量测试,先与运营商沟通并在其指导下释放测试白名单或安排离线清洗路径。
6.3 测试清洗能力:在对方允许的情况下,分阶段模拟攻击型流量(逐步提高并发或流量),观察是否进入清洗、清洗后正常业务的丢包与延迟恢复情况。
7.1 TCP内核调优:编辑 /etc/sysctl.conf 增加 net.core.rmem_max、net.core.wmem_max、net.ipv4.tcp_rmem、tcp_wmem 并 sysctl -p;建议开启TCP BBR:modprobe tcp_bbr并设置 net.ipv4.tcp_congestion_control=bbr。
7.2 防火墙与连接追踪:调整 conntrack 最大数(/proc/sys/net/netfilter/nf_conntrack_max),避免高并发下被内核拒绝连接;使用 fail2ban 限制可疑暴力连接。
7.3 应用层优化:启用HTTP/2、TLS会话复用、CDN前置(必要时结合高防CDN),减轻VPS带宽压力。
8.1 自动化监控:部署Prometheus + node_exporter + blackbox_exporter,监控延迟、丢包、带宽使用与TCP重传。
8.2 报警策略:设置阈值(如丢包率>1%、延迟突增50%、带宽抖动>30%)即时通知并结合历史数据判断是否为线路质量问题。
8.3 SLA与对比:长期(至少7天)收集数据后与运营商承诺的SLA比对,如不符考虑换线或申请赔偿。
9.1 选CN2适用场景:面对中国大陆用户,要求低延迟、稳定回程时优先选择标注CN2回程的台湾VPS。
9.2 选高防适用场景:若业务易受DDoS攻击或需要对外大流量对接(游戏、支付接口),优先选择有大清洗能力与透明策略的高防产品。
9.3 混合策略:业务重要且对延迟敏感时,考虑CN2+高防(或前置CDN+高防清洗)组合。
10.1 下单前:确认带宽类型、清洗策略、计费方式、ASN与机房位置。
10.2 下单后:获取IP/用户名,马上执行连通性与带宽基线测试(步骤3~4),并记录时间与截图。
10.3 验收周期:至少7天监控,若发现异常立刻提交工单并附上mtr/iperf/抓包证据,要求运营商给出路由或清洗记录。
问:如何判断我购买的所谓“CN2”是真CN2还是营销名称?
答:用whois或bgp查询该IP的Origin ASN,看是否属于中国电信的CN2 ASN(如10099等)或运营商说明的CN2 ASN;再用traceroute观察是否经过电信中间节点并比对路由延迟,必要时向商家要求出示BGP公告截图与回程链路证明。
问:高防会不会影响正常业务延迟与带宽?
答:高防在“清洗”期间通常会将流量导向清洗节点,可能产生额外几十到几百毫秒的延迟与少量丢包;优质的高防提供商会保证清洗后的业务恢复与最小化损耗,但大流量攻击下短时间性能波动是不可避免的,故需评估清洗策略与SLA。
问:如何在不影响生产的前提下做带宽压测?
答:先与提供商沟通并申请测试窗口或白名单;分阶段逐步提升压力(比如10%、30%、60%、90%),每步持续5-10分钟并观察清洗触发与业务影响;记录所有监控数据作为凭证,避免被误判为攻击或导致封禁。