Step 1:确定网络约束
是否存在严格出口策略、弱网环境、跨区域访问需求,这一步决定候选集。
协议选型
协议选型手册
本页提供可直接复用的选型流程,目标是避免“凭感觉选协议”。
四步决策流程
先定约束条件,再看协议能力,最后评估治理与运维复杂度。
Step 2:确定治理目标
是偏重隐私增强、审计可见、还是性能优化,不同目标影响协议优先级。
Step 3:评估客户端生态
终端系统、浏览器、代理与网关是否支持目标协议,兼容性必须先验证。
Step 4:定义失败回退
明确超时阈值、降级策略与备用上游,确保故障时业务连续性可控。
协议评分矩阵模板
可按 1-5 分打分,乘以权重后得到候选方案排序。
| 维度 | 建议权重 | DoH | DoT | DoQ | DNSCrypt |
|---|---|---|---|---|---|
| 网络可达性 | 25% | 5 | 3 | 4 | 3 |
| 治理可观测性 | 25% | 3 | 5 | 3 | 3 |
| 弱网性能 | 20% | 3 | 3 | 5 | 3 |
| 生态成熟度 | 20% | 5 | 5 | 4 | 3 |
| 运维复杂度 | 10% | 4 | 4 | 3 | 3 |
推荐迁移路径
先稳态、后优化:把升级改造成可观测、可回滚、可复制的过程。
路径 A:DoT 起步
适合企业网络。先落地治理边界,再按场景引入 DoH 或 DoQ 作为补充。
路径 B:DoH 起步
适合终端优先场景。先保证可达性,再通过网关与终端策略补齐治理能力。
路径 C:DoQ 试点
适合弱网高延迟场景。建议仅在部分区域灰度,完善排障与监控后再扩展。
路径 D:存量兼容
历史环境保留 DNSCrypt 时,应规划向主流协议迁移并避免长期双栈失控。