在内网目标机安装并登录向日葵客户端，开启内网穿透/端口映射，填写本地服务端口与对外映射端口并保存。确保本地服务已启动，系统防火墙和安全软件允许该端口，路由器开启UPnP或手动做端口转发。保证设备在线并测试外网访问，必要时更新客户端或检查日志排查问题。如需高可用用中继或VPN方案。

内网穿透基础概念与原理

向日葵内网穿透是什么

• 基本定义: 向日葵内网穿透是指向日葵远程控制服务通过中继/穿透技术，使位于内网或没有公网IP的主机能够被外网客户端访问，核心目的是在NAT或防火墙背后建立可达的远程连接；该机制通常由被控端主动向向日葵服务器发起出站连接，然后外部客户端通过向日葵中控服务器或直连通道与被控端完成会话，从而绕过传统需要公网端口映射的限制。
• 应用场景: 适用于家庭路由器后面的家用电脑、办公内网中的服务器、以及没有固定公网IP的移动或分支机构设备，当管理员或用户在外部需要访问这些设备的桌面、文件或服务时，向日葵内网穿透提供了一条无需手动配置路由器端口映射就能建立的稳健通道。
• 优点与局限: 优点包括部署简单、无需公网IP或复杂端口转发、支持跨运营商穿透与自适应网络切换，便于快速远程运维；但局限在于对外部中继服务器存在依赖（可能带来延迟或流量限制），以及在极端严格策略的企业网络中穿透成功率可能受限，需要结合企业安全策略调整。

内网穿透的工作原理

• 出站反向连接机制: 被控端在内网中主动向向日葵的穿透/中继服务器发起出站连接并注册自己的可达标识，这样即使被控端没有公网入口，外部客户端请求也不需要直接访问被控端的入站端口，客户端请求先到达中继服务器，再由已建立的出站通道将流量转发到被控端，实现“反向连接”的穿透效果。
• NAT打洞与中继结合: 在理想情况下，向日葵会尝试通过UDP/TCP打洞（NAT穿透）建立点对点直连以降低延迟和中继负担；若打洞失败则回退到中继服务，由中控服务器进行流量转发和会话维护，整个流程包含会话建立、鉴权、加密隧道建立以及数据流转发等步骤，确保连接既可达又安全。
• 会话管理与状态同步: 向日葵服务会维护会话映射表和心跳机制，被控端周期性发送心跳以保持注册状态，中控服务器根据心跳和映射决定是否启用直连或中继，并在双方网络状态变化时动态切换通道，保证连接的持续性与重连能力，同时通过加密协议保护控制与数据通道的安全。

内网穿透与端口映射的差别

• 配置复杂度对比: 端口映射（端口转发）要求用户在路由器或防火墙上手动配置特定端口把外网请求转发到内网主机，操作依赖路由器权限和公网IP，而内网穿透由被控端主动发起出站连接并由第三方服务处理映射关系，不需要用户修改路由器设置，适合无法或不愿修改路由器配置的场景。
• 稳定性与可达性差异: 端口映射一旦配置且公网IP稳定，可实现较低延迟的直接访问，但在动态公网IP或多级NAT情况下维护困难；内网穿透则更具适应性，能在复杂NAT下通过中继或打洞实现可达，但在回退到中继时可能增加延迟和带宽开销。
• 安全与控制权考虑: 使用端口映射时，暴露的端口直接面对公网，安全风险由用户自行控制（需配置防护规则），而内网穿透依赖服务商的中继和鉴权机制，虽减少了端口暴露但将信任和流量经过第三方，管理员需权衡对外暴露的控制权与使用便捷性并采取相应的访问控制和加密策略。

向日葵内网穿透准备工作

检查本地网络与公网出口

• 确认公网出口类型与可用性:先判断本地网络是否具备公网出口能力，包括是否有公网IP、是否处于运营商NAT或CGNAT环境，若为CGNAT或无公网IP，则需要依赖向日葵的中继/穿透服务来实现外网访问，确认这些信息可以通过路由器状态或向运营商咨询获得，以便决定后续是否需要额外配置或申请公网资源。
• 检测带宽、延迟与丢包率:使用网络诊断工具在被控端与常用接入点之间测量上下行带宽、往返延迟和丢包率，远程桌面与文件传输对上行带宽和稳定性要求较高，若上行带宽或丢包率不达标，应先排查本地网络设备、调整带宽分配或升级线路以保证穿透后的使用体验不受影响。
• 评估网络安全策略与出口限制:检查本地路由器、企业网关及运营商是否对出站连接有限制或做深度包检测，部分企业或校园网络会限制出站长连接或特定端口，这会影响向日葵被控端与中继服务器的注册与心跳，必要时需与网络管理员沟通放通相应出站端口或建立白名单，以确保穿透连接的稳定注册和维护。

确认向日葵账号与权限

• 准备并核验管理员账号与设备绑定:在向日葵平台上使用企业/个人账号登录后，需确认账号具备足够的设备管理权限并完成必要的设备绑定操作，管理员账号应设有强密码与双因素认证以防止被控端被非授权访问，绑定完成后可在控制台查看设备在线状态与历史连接记录，确保后续穿透时能正常识别与调度目标主机。
• 分配合适的访问权限与共享策略:对于团队或外包运维场景，需为不同用户分配最小权限原则的访问角色，设置仅能按需访问的权限（如仅允许桌面控制或仅允许文件传输），并开启操作审计以记录远程会话，权限分配和审计策略能在减少安全风险的同时满足运维需求，避免因权限过宽导致安全事故。
• 核查订阅服务与穿透能力限制:向日葵的不同套餐在并发连接数、中继带宽以及高级穿透特性（如专用通道、加速通道）上可能存在差异，提前确认所用账号或组织是否购买了支持内网穿透所需的服务项，若当前套餐受限可能在流量或并发上出现瓶颈，应评估是否需要升级以满足长期稳定的远程访问需求。

准备远程主机与被控端设置

• 安装并配置被控端软件与开机自启:在需被远程访问的主机上安装向日葵被控端程序，完成授予系统权限、远程控制许可与设置开机自启，确保机器重启后被控端能自动注册到向日葵服务器并保持心跳，以便远程客户端随时能发现并连接目标设备，无需人工干预提高可用性。
• 调整系统防火墙与安全软件例外规则: 在被控端系统中对操作系统防火墙及安装的安全软件进行规则配置，将向日葵相关程序与必要的出站端口加入白名单或例外，以避免防护软件误判拦截导致注册失败或连接中断，同时保留必要的防护策略以降低风险，不建议完全关闭防护软件作为长期方案。
• 优化主机性能与网络适配器设置:被控主机应确保网卡驱动为最新版本并关闭可能影响长连接的省电模式，合理配置DNS和MTU值以避免分片与丢包问题，同时确保主机有足够的CPU与内存资源运行向日葵服务进程及被控应用，必要时为远程操作保留优先级或使用专用网络适配器以提升穿透后的响应速度和稳定性。

向日葵穿透模式与选择策略

直连模式与中继模式比较

• 直连模式的特点与优势: 直连模式是指远程控制双方通过NAT打洞或端口直连建立点对点连接，不经过第三方中继服务器转发。这种方式的最大优点是延迟低、带宽利用率高，可以充分发挥本地和远程双方网络的上传和下载速度。对于网络条件良好、路由器支持UPnP或公网IP稳定的环境，直连模式能够带来非常流畅的远程桌面体验，尤其适合需要实时性较强的应用场景，如远程办公、远程游戏或多媒体控制。
• 中继模式的特点与适用场景: 中继模式是当直连失败时由向日葵的云端服务器作为中间节点进行数据转发，确保即便处于多级NAT或严格防火墙环境中，也能建立远程连接。中继模式的优点在于适应性强、可用性高，几乎可以保证在任何网络环境下都能成功连接，但由于所有数据需经过中继服务器转发，延迟较高且可能受限于服务端带宽，因此在图像高刷新率或大文件传输场景下不如直连流畅。
• 选择模式的策略建议: 对于用户而言，应优先尝试直连模式以获得更佳体验，但在跨运营商、企业内网或特殊环境下如果直连失败，使用中继模式则是最稳妥的选择。对于有频繁远程办公需求的团队，可以通过优化网络环境、使用支持穿透的路由器、合理分配公网资源来提升直连成功率，而中继模式则作为必要的兜底机制。

使用代理通道的场景说明

• 代理通道的基本定义: 代理通道是指在直连与中继模式之外，通过配置代理服务器（如HTTP代理、SOCKS代理或VPN）作为中间转发节点，帮助被控端或客户端绕过网络限制建立连接。这种方式主要用于严格网络管控环境下，例如部分企业、校园网络会限制远程访问，此时代理通道成为一种补充手段。
• 代理通道的典型应用场景: 当用户所在的网络环境中限制了特定端口或协议，导致直连与中继均无法正常使用时，可以借助代理通道突破限制。例如：在部分只允许HTTP/HTTPS流量的办公网络中，通过配置HTTP代理即可让向日葵流量伪装为普通Web流量顺利穿透，从而维持远程连接的可用性。另一个场景是跨境远程控制，当国际链路质量差时，可以通过设置海外代理节点优化传输路径。
• 代理通道的优劣权衡: 代理通道的优势在于灵活性与兼容性，能够应对更极端的网络管控环境。但缺点是配置复杂度较高，对代理服务器的稳定性和带宽要求较大，可能会带来额外延迟和安全风险。因此在一般场景下不推荐优先使用代理通道，通常作为直连与中继均失败后的补救方案。

多设备并发与带宽考量

• 并发连接对带宽的影响: 当通过向日葵远程同时连接多台设备时，每条远程通道都会占用一定的上传和下载带宽。如果用户本地网络的上行带宽不足，多设备并发时极易出现掉线、画面卡顿或延迟过高的问题。例如家庭网络常见的上行带宽仅为10Mbps，若同时远控三四台设备，分配到每台设备的带宽可能不足，导致远程体验显著下降。
• 合理规划带宽与连接数量: 为了保证多设备并发场景下的稳定性，用户应根据实际带宽情况合理规划远程连接的数量。对于高频远程办公或企业运维团队，可以优先升级宽带套餐、使用企业级网络设备，并通过向日葵提供的带宽优化或加速通道功能，确保在并发连接时依然能获得流畅体验。
• 优化设置提升并发效率: 在带宽有限的情况下，可以通过降低远程桌面的分辨率和帧率来减少单个会话的带宽占用，从而在有限的带宽条件下支持更多设备同时在线。此外，若远程场景主要是执行命令或处理轻量任务，则可关闭不必要的图像传输功能，仅保持必要的操作画面，以此缓解带宽压力并提升整体并发效率。

路由器与防火墙设置指南

路由器端口转发基础配置

• 端口转发的基本原理: 端口转发是一种在路由器上将外网访问请求映射到内网指定主机和端口的技术，通过这一配置可以使外部设备直接访问位于局域网内部的计算机或服务器。在向日葵远程控制中，虽然默认采用内网穿透技术，但如果用户具备公网IP并想提高直连成功率，手动配置端口转发能有效减少对中继的依赖，降低延迟。
• 常见端口配置方法: 用户可登录路由器的管理后台，在“端口转发”或“虚拟服务器”功能中添加规则，填写远程访问所需的端口号、协议类型（TCP/UDP）、以及目标内网IP地址。需要注意的是，目标主机必须配置为固定IP或启用DHCP绑定，避免因IP变动导致转发失效。同时，应根据向日葵官网的通信要求开放对应的服务端口，保证数据能正常到达。
• 安全性与管理要点: 在配置端口转发时，建议仅开放必要的端口，避免将整段端口范围暴露到公网，以降低被扫描或攻击的风险。同时，尽量配合设置复杂密码和启用二次验证功能，确保远程连接的安全性。对于企业用户，还应结合VPN或ACL（访问控制列表）来限制访问来源，避免端口映射被滥用。

防火墙放行向日葵所需端口

• 防火墙限制的常见问题: 操作系统自带防火墙或第三方安全防护软件常常会默认拦截未知应用的网络请求，如果未放行向日葵所需端口，远程连接就可能失败或频繁掉线。这类问题表现为客户端可以登录账号但无法建立稳定会话，甚至出现只能中继无法直连的情况。
• 具体放行设置步骤: 在Windows防火墙中，可以通过“高级设置”添加入站和出站规则，指定向日葵可执行程序以及所需通信端口，允许其通过TCP和UDP协议正常访问网络。对于Linux或服务器操作系统，应根据iptables或firewalld的规则进行放行配置。企业级防火墙设备则需要在策略管理中开放特定端口段，并将流量标记为可信应用。
• 保持安全与合规的措施: 尽管需要放行端口以保证远程可用性，但不能忽视安全风险。建议仅允许必要端口和协议通过，同时开启日志记录功能，对所有入站请求进行审计和监控，以便在出现异常时快速定位来源。对于企业环境，还应与安全部门协调，确保放行策略符合信息安全规范，避免影响整体网络防护体系。

NAT 类型与穿透成功率关系

• NAT 类型的基本分类: NAT（网络地址转换）常见类型包括全锥形NAT、受限锥形NAT、端口受限锥形NAT和对称NAT。其中，全锥形和受限锥形NAT穿透成功率较高，能够更容易建立点对点直连；而对称NAT由于分配端口规则严格且多变，往往会导致直连失败，需要依赖中继服务器来维持远程连接。
• 不同类型对连接的影响: 当路由器处于全锥形或受限锥形NAT时，向日葵可以通过UDP打洞等技术成功实现直连，大幅降低延迟并节省带宽；而在端口受限或对称NAT环境中，打洞的成功率明显下降，尤其在跨运营商或复杂网络下几乎不可行，此时用户会发现只能通过中继模式连接，体验会因延迟增加而下降。
• 优化与应对策略: 用户可以通过升级路由器、更换支持UPnP的设备，或在设置中开启“端口保持”功能来改善NAT类型，提高直连成功率。若运营商提供的是大规模NAT环境（CGNAT），则只能依赖中继通道或申请独立公网IP来解决。企业用户在部署时，可以通过VPN隧道或专线方式绕过对称NAT带来的限制，从而保障远程连接的稳定性与成功率。