增加IP地址30/个

变更为CN2带宽10M+600 20M=1000

国际线路带宽变更为大陆优化带宽+900

精品带宽增加/20M+1500

硬件升级: 增加8GB内存+50元/月；硬盘升级2TB SATA +50元/月；升级1T SSD固态 +50元/月；升级2T固态 +150元/月；

带宽可以换成精品网络30M或者优化网络100M 价格在国际线路基础上-300元

I P 价格: 增加普通IP 30元/个/月；

硬件升级: 增加8GB内存+50元/月；硬盘升级2TB SATA +100元/月；升级1TB SSD固态 +150元/月；升级2T固态 +260元/月；

IP价格: 增加普通IP 30元/个/月；

线路选择: 精品线路30M/不限流量；大陆优化100M/不限流量

增加带宽: 增加带宽：CN2线路50元/1M 优化线路500元/100M

防护升级: 50G防护 +1500元 ；100G防护 +3000元 ；200G防护 +16000元 ；300G防护 + 40000元

增加配置:增加8GB内存+50元/月 硬盘升级500G SSD+100元/月 1TB SSD +150元/月 升级2T SSD固态 +250元/月

增加普通IP 10/个 增加GSL高防IP 100/个

增加带宽CTG/10M=500/月 优化带宽/10M=250/月 国际带宽/10M=100元

活动区线路测试 IP
香港轻量：38.76.164.1
美国轻量：38.12.6.1
日本轻量：154.36.181.1

国内线路测试 IP
绍兴 BGP：123.99.199.1
广州 BGP：113.45.21.1
北京 BGP：117.50.220.1
内蒙电信：211.101.236.1
深圳电信：103.236.62.1
泉州电信：106.126.2.1
西安电信：103.236.69.1
襄阳电信：111.170.157.1
十堰电信：211.154.20.1
德阳电信：220.167.103.1
西信电信：182.140.180.1

香港专区线路测试 IP
香港CN2 BGP ：85.137.244.1
香港CN2 GIA：154.201.95.1
香港优化大带宽：43.254.166.1
香港高防御：70.39.205.1

美国专区线路测试 IP
美国 9929/CMIN2：154.12.51.1
美国精品 CN2/BGP：154.9.235.1
美国 200G 优化高防：154.13.4.1
日韩及东南亚线路测试 IP
日本 BGP 不限流区：154.36.181.1
日本 BGP 大带宽区：154.36.181.1
新加坡 BGP 不限流区：156.254.5.1
马来西亚 BGP 不限流区：154.89.157.1
越南 BGP 不限流量区：185.203.37.1

CentOS 7+（主流）

systemctl restart network

若上述命令无效，重启NetworkManager

systemctl restart NetworkManager && systemctl enable NetworkManager
Ubuntu/Debian
bash
运行

通用重启命令

service network-manager restart

或重启网卡

ifdown eth0 && ifup eth0 # 网卡名多为eth0/ens33，可通过ip addr查看
验证网络恢复
bash
运行
ping 8.8.8.8 # 测试外网连通性
ip addr # 查看内网IP是否正常分配
方案 2：控制台硬重启服务器（网络重启无效时用，需重启系统）
若 VNC 执行网络重启后仍无网络，直接通过云服务器控制台操作（无需登录服务器）：
进入目标实例详情页，点击重启（优先选择「硬重启」，模拟物理机断电重启，云平台会自动重新配置网络参数）；
等待 3-5 分钟，服务器重启完成后，尝试 SSH 连接 + ping 外网，验证网络是否恢复。
弊端：系统重启会导致业务临时中断，建议非核心业务直接操作，核心业务尽量先尝试方案 1。
二、再查：排查 CPU 冲高根因（排除攻击，定位系统 / 业务问题）
网络恢复后，立即排查 CPU 突发过高的原因，避免再次出现问题，核心原则：仅 CPU 冲高→排除 CC 攻击；CPU + 内存 + 带宽同时冲高→判定 CC 攻击，分开处理。
第一步：先排除 CC 攻击（快速判定，避免误判）
CC 攻击的典型特征：CPU、内存、网络带宽（入站）同时瞬时飙升，且服务器的访问日志会出现大量异常请求（如单一 IP 高频访问、无意义接口请求）。
云平台查看监控：进入实例「监控面板」，查看 CPU、内存、带宽的实时 / 历史曲线，若三者同步冲高，直接按 CC 攻击处理；
仅 CPU 曲线单独冲高（内存 / 带宽无明显变化），直接跳过攻击处理，排查系统 / 业务内部问题。
若判定 CC 攻击：快速防护
开启云平台 CDN+Web 应用防火墙（WAF）：将域名解析到 CDN，WAF 中配置「CC 防护策略」（如限制单 IP 访问频率、拦截异常 User-Agent）；
临时屏蔽异常 IP：在云服务器「安全组」中，拒绝高频访问的异常 IP 段入站；
升级带宽：临时提升服务器公网带宽，避免带宽先被打满导致网络中断。
第二步：非攻击场景，排查 CPU 冲高的系统 / 业务原因
通过命令行排查占用 CPU 最高的进程、异常日志、定时任务，定位具体原因（以下命令均在 SSH/VNC 登录后执行）：

1. 查看实时 CPU 占用 TOP 进程（定位元凶）
   bash
   运行
2. 查看系统日志，定位异常信息
   CPU 冲高通常会在系统日志中留下痕迹（如进程崩溃、服务异常、资源耗尽），查看核心日志：
   bash
   运行
3. 排查定时任务 / 计划任务
   是否有定时脚本、备份任务、数据同步任务在 CPU 冲高时段执行，导致资源耗尽：
   bash
   运行
4. 排查业务程序问题
   若 CPU 高占用为业务进程（如 Java 的 tomcat、Python 的 uwsgi、PHP 的 fpm），需排查：
   程序是否出现死循环、无限递归、大量并发请求未释放；
   数据库是否慢查询过多（如未加索引的 SQL），导致业务进程阻塞占用 CPU；
   解决方案：优化业务代码、给数据库加索引、限制业务进程的最大并发数。
   三、后防：长期优化，避免 CPU 冲高再引发网络中断
5. 合理升级服务器配置（解决硬件资源不足）
   若为业务本身体量扩大，当前服务器配置（CPU / 内存）无法满足需求，直接升级配置：
   入门级：业务轻量但偶发冲高→升级 CPU 核数（如 1 核→2 核 / 4 核），增加内存；
   核心业务：CPU 频繁冲高→选择「计算型实例」（如阿里云 ECS 计算型 c7、腾讯云 CVM 计算型 S7），适配高 CPU 负载场景；
   避免低配跑高负载：如 1 核 2G 服务器运行高并发 Web 服务 + 数据库，极易引发资源耗尽。
6. 配置 CPU 资源限制（防止单进程占满 CPU）
   通过系统工具限制进程的 CPU 占用率，避免单个进程占满所有 CPU 核心，导致网络进程（如 network、sshd）无资源运行：
   bash
   运行
7. 开启云平台资源告警（提前预警，避免网络中断）
   在云服务器控制台配置CPU 资源告警，当 CPU 使用率达到阈值（如 80%）时，通过短信 / 邮件 / 钉钉通知，提前介入处理：
   告警阈值建议：按业务场景设置，如普通业务 70%、高负载业务 85%；
   监控指标：同时监控 CPU、内存、网络带宽，实现多维度预警。
8. 优化业务架构（从根源减少 CPU 负载）
   分离应用与数据库：将数据库单独部署在专用实例，避免单服务器同时跑应用 + 数据库，CPU 双重负载；
   开启缓存：将高频访问的数据放入 Redis/Memcached 缓存，减少数据库查询，降低 CPU 占用；
   负载均衡：若业务并发量高，部署多台服务器，通过云平台负载均衡（SLB）分发请求，分摊单服务器 CPU 压力。
   四、核心总结（快速查阅）
   表格
   问题场景 快速解决方法 长期优化措施
   CPU 冲高→网络中断（非攻击） VNC 重启网络 → 控制台硬重启 升级配置 + 限制进程 CPU + 开启资源告警
   CPU + 内存 + 带宽冲高→CC 攻击 开启 CDN/WAF → 安全组屏蔽异常 IP 配置 WAF 防护策略 + 负载均衡分摊请求
   定时任务导致 CPU 冲高 临时杀死任务进程 调整任务执行时间 + 优化脚本
   业务程序导致 CPU 冲高 重启业务服务 优化代码 + 数据库索引 + 开启缓存

文档编号 IT-NET-OPS-2024-001
主题 跨网互联延迟、丢包及 QoS 策略分析
适用人群 家庭宽带用户、游戏玩家、NAS/私有云部署者
关键词 跨网结算、互联互通、QoS 流控、UDP 丢包、BGP
一、 背景陈述：宽带“极速”下的体验悖论
在当前的宽带网络环境中，用户普遍面临一个令人困惑的“悖论”：

注

现象描述：
很多用户办理了 500M 甚至 1000M 的光纤宽带，下载电影飞快，Speedtest 测速也达标。然而，一旦进行跨运营商访问（例如：电信宽带用户连接移动宽带架设的服务器，或者联通用户玩电信区的游戏），网络质量会瞬间“爆炸”：延迟飙升、频繁丢包、语音卡顿甚至断连。

这种“物理距离明明很近（同城），网络距离却仿佛隔了半个地球”的现象，被业内戏称为 “跨网爆炸” 。本文将从网络架构与运营商策略角度，为您深度解析这一现象。

二、 核心故障机理分析（小白科普版）
为了让非技术背景的用户理解，我们将复杂的网络概念转化为生活场景。

1. 互联互通瓶颈：网络世界的“省界收费站”
   专业解释： 中国电信、中国联通、中国移动是三张独立的网络。它们之间的数据交换必须通过特定的 “互联互通节点” （IXP/NAP）。由于运营商之间存在复杂的网间结算费用（流量费），且出于商业竞争壁垒，这些互联节点的带宽往往远小于各家运营商内部的骨干网带宽。
   通俗比喻：
   运营商内部网络就像是拥有 10 车道的超级高速公路，你在电信内部跑，一路畅通。
   跨网互联节点就像是连接电信高速和移动高速之间的 “独木桥”或“只有 1 个车道的收费站” 。
   结果： 到了晚上 8 点（晚高峰），成千上万的车都要通过这个独木桥，自然会发生严重的拥堵（高延迟）和撞车（丢包）。
2. QoS 策略与 UDP 降级：不仅堵车，还区别对待
   专业解释： 为了防止互联节点彻底瘫痪，运营商会在路由器上部署 QoS（服务质量） 策略。由于 TCP 协议（用于网页、视频）具有拥塞控制机制，而 UDP 协议（用于游戏、语音、P2P 下载）通常更加“激进”，运营商在网络拥堵时，会优先保证 TCP 流量，无情丢弃 UDP 数据包。
   通俗比喻：
   TCP 流量是满载货物的正规物流卡车，运营商视其为 VIP，优先放行。
   UDP 流量（游戏数据）被视为摩托车队。
   策略： 当收费站堵车时，交警（运营商路由策略）的指令是：“路不够用了，先把骑摩托车的赶出去，让卡车先走！”
   后果： 你的游戏人物瞬移、回档，就是因为你的数据包作为“摩托车”被强制丢弃了。
3. 路由迂回：明明在同城，却绕去省会
   专业解释： 受限于物理光缆走向和 BGP 路由策略，跨网流量往往不是点对点直达，而是需要汇聚到高层级的核心节点进行交换。
   通俗比喻：
   你想去隔壁小区（电信访问移动），但因为两家物业不通门，你必须先坐车去市中心的交通枢纽（省骨干网节点），转一圈后再坐车回隔壁小区。这多出来的路程，就是物理延迟增加的原因。
   三、 常见误区澄清
   在处理网络问题时，用户常持有以下错误认知，需予以纠正：

误区 真相
“我有公网 IP，跨网肯定快” 错误。 公网 IP 就像你家门牌号，方便别人找到你，但不能解决来你家路上的“堵车”问题。
“升级到 2000M 宽带就能解决” 错误。 提升的是你家到小区的接入速度（家门口路修宽了），但跨网互联节点（高速收费站）依然拥堵。
“上传带宽大，网络就好” 不一定。 家用宽带的上传通常没有 QoS 保证，一旦触发运营商的风控机制，会被进一步限速。
四、 解决方案与优化建议
针对“跨网爆炸”问题，单纯投诉运营商通常收效甚微（因为这是架构性问题）。建议根据您的角色采取以下技术手段：

1. 对于普通用户（游戏/日常使用）
   使用应用层加速器（最为推荐）：
   原理： 游戏加速器厂商购买了昂贵的专线带宽。开启加速器后，你的数据不再走拥堵的公共互联节点，而是进入了加速器的“VIP 专用车道”，直达游戏服务器。
   适用场景： 跨服玩游戏、跨国连接。
2. 对于极客与服务部署者（NAS/私有云）
   方案 A：引入 BGP 中转（核心大招）

原理： 购买一台拥有 BGP（边界网关协议） 线路的云服务器（VPS）。BGP 线路就像是拥有“智能导航”和“多地牌照”的车辆，它可以同时连接电信、联通、移动，并自动选择最近、最快的线路进行回程。
操作： 用户 -> BGP 中转服务器 -> 家中 NAS。
效果： 彻底打通跨网瓶颈，实现全网低延迟访问。
方案 B：多线接入与策略路由

原理： 如果条件允许，家中同时拉两条宽带（如一条电信、一条移动）。
操作： 在软路由（OpenWrt/RouterOS）上配置策略：电信访客走电信出口，移动访客走移动出口。
效果： “各回各家，各找各妈”，完全避开跨网互联节点。
方案 C：尝试 IPv6

原理： 目前国内 IPv6 的互联互通节点利用率相对较低，路由策略与 IPv4 不同。在某些地区，IPv6 的跨网体验可能优于拥堵不堪的 IPv4。
五、 总结与展望
“跨网爆炸”是互联网发展过程中，流量爆发增长与网间结算机制滞后产生的必然矛盾。它并非单一用户的设备故障，而是宏观网络架构的常态化拥塞。

对于追求极致体验的用户而言，理解这一机制并放弃“死磕”运营商客服，转而利用BGP 中转、游戏加速器或多线接入等技术手段绕过拥堵节点，才是当前技术背景下最为经济、理性的解决之道。

单线云服务器运营商跨网限速问题知识普及

1.为什么会出现跨网限速问题
答案：每个省 三大运营商都需要有一个或两个点来进行交换。而并不是在同一个市，所以你查看路由会发现从电信到联通需要走互联点（一般为省会城市，浙江省为杭州+宁波两个）进行交换，这个互联点容量满了，堵死了，就会出现交换迟钝，丢包，类似163，169晚高峰

2.为什么以前没有跨网问题
答案：省公司2024年才开始进行跨省结算，打个比方nodeseek省跟hostloc省这个月上行95值10G，hostloc到nodeseek 上行9G，那么nodeseek省电信运营商就需要给hostloc的运营商1G的钱，以前运营商嘎嘎有钱的情况，这点钱运营商不在乎，现在运营商穷了（跟口罩有点关系），所以需要回血。

3.为什么跨省会影响到跨网
答案：PCDN有很多是运营商内部人违规（Py）拉出来的，合同大多为1年，低价带宽，如果B站等视频平台全部跑IDC带宽，10-12/M,就会大大增加了成本，从跨省结算开始，PCDN严重影响了部分地区与其他省份的结算，所以很多PCDN开始不跑本网，跑跨网，导致跨网容量塞满，堵塞严重，例如各位可以查看到B站的播放源，电信解析到移动，移动解析到联通，所以各位可以发现，大多数地区都是跨网问题严重，只有很少数地区，本网跨省拉不起来（移动这个QOS老油条除外）

4.如何解决跨网
答案：目前除了湖北地区以外，很多地区的跨网容量扩容（例如：蒙古/宁波）已经开始。不过解决跨网问题最大途径还是运营商查封PCDN，四川省扩容了几百G的容量，也就是几天就全部塞满，家宽包括类似香港带宽等，均不可能做到所谓真正独享，所有带宽也是经过一层层复用下来的，到机房机柜的带宽也都是复用的，所以说所谓的VPS独享带宽（VPS都是共享母鸡网络，还没有什么系统能做到母鸡多少带宽给每台小鸡固定分配独享带宽），什么单机防御集群防御（所有的防护都是机房大墙容量防护，不存在什么单机100G集群800G之说），全部都是诈骗，这些从这里也可以看出来，PCDN的很多合同预计明年结束，如果厂商整治的好，问题就可以大幅度解决。

5.拉跨联通运营商
答案：各位可以发现，电信到移动之间的互联一直都不是大问题，跨网的大问题一直在电信到联通，移动到联通身上，联通这个运营商，我相信各位也知道，联通素来网络最差，服务最差，机房管理也是一塌糊涂，进到机房经常能见到看门的老头老太，然后再也见不到技术了。笔者前日了解到，友商找到联通咨询合作业务时，给出的价格惊人，并且表示买不起就不谈，联通的机房（除了部分机房对外开放，给拉电信移动的网络入机房）很多都处于亏损空置状态，联通就是宁愿空置也不愿意接入客户的状态，联通这种企业，不是国企真的早就歇逼了，集团都处于养老状态，所以我强烈建议各位联通用户备一张电信移动的卡。
各位也可以发现，从电信到联通上行是可以跑起来的，从联通到电信的上行是跑不动的，根据基础知识容量交换设备的上下行是对等的，说明是联通到电信的流量过大导致的问题，主要扩容还是要靠联通。
本文档基于网络工程实践整理，仅供技术参考。具体网络状况因地区和运营商策略而异。

查看防火墙状态
您可以查看防火墙当前状态，判断是否需要开启或关闭防火墙。

使用VNC方式登录Windows实例。

在菜单栏选择开始 > 控制面板。

查看方式选择小图标，单击Windows Defender 防火墙。

在Windows Defender 防火墙界面，单击高级设置。

在高级安全 Windows Defender 防火墙窗口的概述区域，查看防火墙当前状态。

开启或关闭防火墙
根据您的需求，操作开启或关闭防火墙，如果您开启了防火墙，后续需要配置防火墙规则。

开启防火墙
开启防火墙后，它将根据配置的防火墙规则监控和控制进出您服务器的网络流量。

在高级安全 Windows Defender 防火墙窗口，查看Windows Defender 防火墙属性。

选择启用（推荐），单击应用（A）。

关闭防火墙
关闭防火墙后，防火墙将不再控制出入服务器的网络流量。

在高级安全 Windows Defender 防火墙窗口，查看Windows Defender 防火墙属性。

选择关闭， 单击应用（A）。

配置防火墙规则
在开启防火墙后，您需要配置防火墙规则以授权特定的访问。本文以添加允许远程连接的规则为例，为您提供以下两种配置防火墙规则的方案。您也可以根据需求，自行调整规则配置，更多防火墙策略配置详情，请参见Windows系统防火墙策略配置指南。

方案一：添加端口规则
通过放行本地远程桌面端口允许远程连接。远程服务器的默认端口为TCP协议的3389端口。

在高级安全 Windows Defender 防火墙窗口，单击入站规则，然后单击新建规则。

在弹出的新建入站规则向导窗口的规则类型步骤中，选择端口，单击下一步。

在协议和端口步骤中，选择TCP，然后添加特定本地端口，单击下一步。

在操作步骤中，选择允许连接，单击下一步。

在配置文件步骤中，使用默认配置即可，单击下一步。

在名称步骤中，填写规则名称，例如RemoteDesktop，单击完成。

配置作用域。

通过配置作用域，限制远程访问服务器的来源IP。启用作用域后，仅作用域里设置的IP地址可以远程连接该服务器，其他IP地址将无法远程连接该服务器。

在高级安全 Windows Defender 防火墙窗口，右键单击刚刚创建的入站规则RemoteDesktop，选择属性。

在作用域页签下，将远程IP地址选择为下列IP地址，并添加一个或多个IP地址或CIDR地址段，例如您本地电脑的公网IP地址，单击确定。

以上步骤完成后，远程访问服务器，在远程地址后面添加远程端口号，并在显示选项中指定用户名，即可连接实例。例如：192.168.1.2:3389、Administrator

方案二：添加预定义规则
通过为入站规则添加预定义的“远程桌面”相关规则，允许远程桌面的接入。
在高级安全 Windows Defender 防火墙窗口，单击入站规则，然后单击新建规则。

在弹出的新建入站规则向导窗口的规则类型步骤中，选择预定义中的远程桌面，单击下一步。

在预定义规则步骤中，勾选远程桌面 - 用户模式（TCP-In），单击下一步。

在操作步骤中，勾选允许连接，单击完成。

配置作用域。

通过配置作用域，限制远程访问服务器的来源IP。启用作用域后，仅作用域里设置的IP地址可以远程连接该服务器，其他IP地址将无法远程连接该服务器。

在高级安全 Windows Defender 防火墙窗口，单击入站规则，右键单击刚刚创建的入站规则，选择属性。

在作用域页签下，将远程IP地址选择为下列IP地址，并添加一个或多个IP地址或CIDR地址段，例如您本地电脑的公网IP地址，单击确定。

以上步骤完成后，远程访问服务器，在远程地址后面添加远程端口号，并在显示选项中指定用户名，即可连接实例。例如：192.168.1.2:3389、Administrator。

背景信息
Windows系统日志主要分为以下四类：

打开事件查看器查看日志
完成以下操作，进入事件查看器查看日志：

远程连接Windows实例。

具体操作，请参见连接Windows服务器。

选择开始 > 运行，在运行对话框中执行eventvwr命令，然后单击确定，打开事件查看器。

在事件查看器里查看以下四种日志。

系统日志
系统日志包含了Windows系统组件记录的事件。例如，在系统日志中会记录在启动过程中加载驱动程序或其他系统组件失败的情况。这些事件类型是由Windows预先确定的。

应用程序日志
应用程序日志包含了由应用程序或程序记录的事件。例如，数据库程序可在应用程序日志中记录文件错误

安全日志
安全日志包含了诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，如创建、打开或删除文件或其他对象。您可以指定在安全日志中记录某些事件。例如，如果已启用登录审核，则安全日志将记录系统的登录尝试。

应用程序和服务日志
应用程序和服务日志是一种新类别的事件日志。这些日志存储来自单个应用程序或组件的事件，而非可能影响整个系统的事件。

修改日志路径并备份日志
按以下步骤修改日志路径并备份日志。

进入事件查看器窗口，在左侧导航栏中，单击Windows 日志。

在右侧列表中，右键单击一个日志名称，选择属性。

在弹出的日志属性窗口，按实际需求修改以下信息。

安装远程桌面服务
登录Windows系统的ECS实例，具体请参见连接Windows服务器。

右键单击左下角开始，然后单击运行，在对话框中输入servermanager，单击确定。

在仪表板页面，单击添加角色和功能。

在当前页面，阅读向导说明，单击下一步。

在安装类型界面，保持默认参数，单击下一步。在服务器选择页面，保持默认参数，单击下一步。

在服务器角色界面，选择远程桌面服务，单击下一步。

在功能页面，保持默认参数，单击下一步。在远程桌面服务页面，单击下一步。

在选择角色服务界面，依次勾选远程桌面会话主机和远程桌面授权，在弹出的窗口中单击添加功能，然后单击下一步。

勾选安装完后自动重启选项，单击安装，等待远程桌面服务安装完成。

创建新用户并加入远程桌面用户组
如果需要配置新用户登录ECS实例，那么在创建完后需要将其加入远程桌面用户组，才能正常进行远程桌面访问：

创建新用户：

登录Windows系统的ECS实例，具体请参见连接Windows服务器。

右键单击左下角开始，然后单击运行，在对话框中输入lusrmgr.msc，然后单击确定。

单击用户，在空白处右键单击，然后选择新用户。

补充新用户信息，然后单击创建。

添加用户至远程桌面用户组：

单击组，双击Remote Desktop Users，然后单击添加。

在选择用户对话框中，单击高级。

单击立即查找，在下方选择对应的账户，然后单击确定。

确认需要添加的账户，然后单击确定。

远程桌面授权过期后重新认证
免费试用120天结束后，必须配置授权服务并安装远程桌面访问许可证（RDS CAL），否则无法进行远程连接。