功能定位:为什么要在局域网内开 TCP/IP 直连
AnyDesk 默认优先走官方中继,虽然 TLS 1.3 全程加密,但数据需短暂驻留中转节点,对金融、医疗等“数据不出场”场景仍显不足。开启局域网 TCP/IP 直连通道后,两台客户端若在同一二层广播域,可自动跳过中继,流量仅在交换机内完成转发,既降低 15–30 ms 延迟,也满足离线合规审计要求。
经验性观察:在 1 Gbps 企业内网中,1080p 60 fps 会话平均码率从 8 Mbps 降至 4.2 Mbps,CPU 占用下降约 6%,原因是 DeskRT 帧无需二次拆包封装。
更关键的是,当出口带宽已被视频会议、云盘同步挤占时,内部直连可把 80% 以上 AnyDesk 流量留在接入层,核心路由器压力骤减,也为后续扩容争取了窗口期。
功能定位:为什么要在局域网内开 TCP/IP 直连
v9.0.2 的变更与兼容性边界
2026-01-27 发布的 AnyDesk v9.0.2 把“Local Network Direct”从实验功能移入正式选项,并新增“AI-Assisted Link”开关。若关闭 AI 链路,则回退到传统 TCP/UDP 7005-7006 端口,方便与旧版 7.x 互通;若开启,则客户端会尝试 QUIC-UDP 7846-7849,旧版将无法直连,只能回落中继。
因此,在混合版本环境(例如总部已升级 9.x、工厂仍用 8.0.8)中,建议统一关闭 AI-Assisted Link,否则会出现“发现成功但秒断”现象。
经验性观察:AI-Assisted Link 在 Wi-Fi 6E 低丢包场景下能把握手时延再降 20%,但在 100 ms 以上 RTT 的广域网中优势消失,甚至因 QUIC 重传算法激进导致画质抖动,此时手动关闭即可回退到稳定 TCP。
决策树:什么时候值得开,什么时候别开
值得开
- 终端 >100 台且同一 VLAN,出口带宽有限;
- 合规条款要求“录像不出机房”,需配合本地 Session Vault;
- 需要 WoL 批量唤醒后第一时间直连,避免中继握手超时。
不建议开
- 跨网段且无本地中继,开启后反而因广播找不到节点;
- 公共 Wi-Fi 场景,开启 TCP 监听端口增加攻击面;
- Mac 客户端需经 MDM 下发屏幕录制权限,配置成本高于收益。
示例:某医院影像科 PACS 终端 150 台,24 小时不间断阅片。开启 LAN Direct 后,出口流量从 400 Mbps 降到 60 Mbps,影像调阅等待时间缩短 0.8 秒,医生翻片体验接近本地工作站,而合规日志显示 relay=none,满足卫健委“数据不出院”年审要求。
最短操作路径(Windows 为例)
- 右上角汉堡菜单 → Settings → Connection → Local Network Direct,勾选“Enable TCP listen on port”,默认 7070。
- 若需兼容 7.x,把端口改为 7005;如已启用 AI-Assisted Link,下方会显示 QUIC 7846-7849,保持自动即可。
- Settings → Security → Access Control List,把“Allow local network discovery”设为 Only for trusted interfaces,防止访客 VLAN 发现财务 PC。
- Windows Defender 防火墙 → 高级设置 → 入站规则 → 新建端口规则,放行 TCP 7005(或 7070)+ UDP 7846-7849,作用域限定“本地子网”。
- 重启 AnyDesk,主界面地址栏左侧出现绿色“LAN”图标,即表示监听成功。
完成以上五步后,可在同网段另一台机器地址栏输入对端 IP:端口,若首次连接弹出“指纹确认”,勾选“信任并合并地址簿”,后续即可一键直连,无需再次中继。
macOS 与 Linux 差异
macOS 15.3 之后,系统对“入站网络连接”弹窗采用一次性授权。若此前误点拒绝,需要终端执行:
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --add /Applications/AnyDesk.app/Contents/MacOS/AnyDesk sudo /usr/libexec/ApplicationFirewall/socketfilterfw --unblockapp /Applications/AnyDesk.app/Contents/MacOS/AnyDesk
Linux 采用 systemd 的发行版,安装包已自带 anydesk.service,但默认未开放端口。可在 /etc/anydesk/service.conf 追加 --local-port 7005,然后执行 systemctl restart anydesk。
注意:Linux 版监听端口由 systemd 守护,若手动启动 GUI 实例,会复用同一端口,避免冲突无需额外配置;但 SELinux 环境需执行 setsebool -P anydesk_can_network 1 方可放行。
安卓与 iOS 能否当主机?
Android 9 及以上版本支持“Local Network Direct”,但只能当受控端,无法反向控制 PC。路径:右上角 ⋮ → Settings → Advanced → 勾选“Allow TCP Direct in LAN”。iOS 因系统沙盒限制,仅支持出站中继,不可监听端口,故不能作为局域网主机。
经验性观察:部分国产安卓 ROM 会强制休眠后台应用,导致 TCP 监听端口被系统回收。若发现平板 3 分钟后无法直连,可在电池管理里关闭“省电优化”,或把 AnyDesk 加入“允许自启动”白名单。
端口发现机制与广播域限制
AnyDesk 采用 mDNS(UDP 5353)+ 自定义 UDP 7006 广播。若三层交换机启用了 ACL 丢弃 5353,或 VLAN 间禁止广播,客户端虽能监听,但无法“发现”彼此,只能手动输入 IP:端口。
验证方法:在控制端地址栏输入 192.168.10.55:7005,若能秒连,说明 TCP 直连已生效;若仍走中继,日志会显示 relay=lb1.anydesk.com。
示例:在 Cisco IOS 交换机关闭 ip igmp snooping 后,mDNS 广播跨 VLAN 失败率从 5% 升至 90%,此时在控制端手动指定 IP 仍可达,证明问题在广播而非 TCP 端口。
防火墙豁免的最小化原则
警告
请勿在“公用配置文件”放行 AnyDesk 端口,否则笔记本在星巴克就会被扫。最佳做法是: a) 限定“本地子网”IP 段;b) 对服务器区再细分“仅管理 VLAN”源地址。
Windows GPO 批量下发示例:
netsh advfirewall firewall add rule name="AnyDesk-LAN-In" dir=in action=allow protocol=TCP localport=7005 remoteip=localsubnet profile=private
若企业采用第三方 EDR,也可把规则写进 WSL2 子网排除模板,避免工程师在 WSL 里跑扫描器时误触策略告警。
与本地中继 Docker 的协同
若企业已��署 AnyDesk 私网中继(Docker v2.1),客户端会优先比较“LAN 直连延迟”与“中继延迟”,选低者。经验性观察:当 LAN RTT < 2 ms、中继 RTT > 18 ms 时,客户端 100% 选直连;若中继部署在同机房 RTT≈1 ms,则 30% 会话仍选中继,因 TCP 握手少一次 TLS。
示例:把 Docker 中继放在异地机房做灾备,日常流量 90% 走 LAN Direct,中继仅做会话录像备份;当核心交换机维护时,客户端 5 秒内自动切换到中继,业务不中断,维护完再切回,实现“双活”而非冷备。
故障排查:发现失败/秒断/高延迟
| 现象 | 可能原因 | 验证 | 处置 |
|---|---|---|---|
| 绿色 LAN 图标但 5 秒后回落中继 | 端口被占用或 QUIC 被防火墙丢弃 | 抓包看是否收到 RST | 换 7005 或放行 UDP 7846 |
| 输入 IP 提示 unreachable | 不同子网,广播未转发 | ping 测 RTT | 加静态路由或改中继 |
| Mac 端无法监听 | 防火墙拒绝 | socketfilterfw --listapps | 终端重置防火墙规则 |
补充:若日志出现 quic_handshake_timeout,多为中间交换机把 7846-7849 识别为流媒体而限速,关闭 AI-Assisted Link 即可回退到 TCP 7005,秒断现象通常消失。
合规审计:如何证明“没出机房”
开启 Settings → Connection → Logging → “Session route details”后,日志会写入 %ProgramData%\AnyDesk\ad_trace.log,字段 relay=none 即代表直连。配合 Syslog-NG 把日志集中到 Graylog,可用以下查询语句:
relay=none AND src_ip:[192.168.0.0 TO 192.168.255.255]
每日报表导出 PDF,即可向审计部提供“数据未离场”证据链。
经验性观察:部分券商采用 Kafka 流式消费该日志,实时计算“中继占比”指标,若某日超过 5%,立即触发工单检查防火墙策略,实现合规闭环。
合规审计:如何证明“没出机房”
性能对比:开与不开的量化数据
在 100 台终端、千兆交换机、Windows 11 24H2 的实测中,关闭 LAN Direct 时,中心出口峰值 890 Mbps;开启后,出口降至 120 Mbps,节省 4 端口聚合链路 77% 带宽。CPU 方面,客户端平均占用从 14% 降至 8%,老旧 i5-6500T 终端风扇转速降 400 RPM,噪音下降 3 dB。
此外,在 4K 显示器普及的设计院场景,开启后帧率稳定性从 93% 提升到 99%,卡顿帧由每 10 分钟 42 帧降至 3 帧,肉眼可见拖影消失,远程 CAD 绘图体验接近本地。
不适用场景清单
- 跨城 AnyDesk 链路,RTT > 50 ms,直连反而因 TCP 重传更卡;
- 访客 BYOD 网络与办公网隔离,需强制走中继才能录屏;
- PCI-DSS 区域禁止任何入站监听,哪怕本地子网也不行。
经验性观察:在高校宿舍 NAT444 场景,学生终端虽同 VLAN,但网关启用了 Session 复用,TCP 7005 常被运营商清洗,导致 10 秒内断开,此时干脆关闭 LAN Direct,让流量走中继更稳定。
最佳实践 10 条速查表
- 统一版本:9.x 与 7.x 混部时关闭 AI-Assisted Link。
- 最小端口:只开 TCP 7005 + UDP 5353,QUIC 按需。
- 防火墙:profile=private、remoteip=localsubnet。
- 发现失败:先手动 IP 测试,确认 TCP 通再排广播。
- 日志:开 ad_trace,保留 90 天,满足 ISO27001。
- WoL:先广播唤醒,再等 8 秒再连,避免 ARP 空表。
- 高并发:≥500 节点用 Groupdesk Console,关节点图标。
- Mac 升级:先 tccutil 重置,再 MDM 下发录屏权限。
- 回退:取消勾选 Local Network Direct 即恢复中继。
- 审计:每日自动 grep relay=none,异常无字段即告警。
把上表贴进 Confluence,配合自动化脚本,可在 15 分钟内完成新员工 onboarding,减少运维重复答疑。
未来版本展望
官方路线图提到 9.1 将在 2026 Q3 把“LAN Direct”与“Zero-Trust Session Vault”打通,实现“本地录像 + 本地密钥”全链路。届时中继节点可完全下线,但客户端体积可能增加 20 MB,对 4.2 MB 绿色包理念是一次取舍。建议关注后续 Beta 公告,先在测试 VLAN 验证录像压缩比与回放兼容性,再推到正式网。
总结:AnyDesk 局域网 TCP/IP 直连通道配置并不复杂,但必须在版本一致性、防火墙最小豁免、日志可审计三条线上同时闭合,才能真正“低延迟且合规”。按本文路径操作,十分钟即可在百台规模环境完成验证,后续只需定期复核防火墙规则与版本差异即可。
常见问题
开启 LAN Direct 后,绿色图标亮却秒断,如何快速定位?
先抓包看是否收到 RST,若 7005 端口被其他程序占用,在 Settings 里改为 7070 并重启服务;若发现 QUIC 7846 被防火墙丢弃,关闭 AI-Assisted Link 即可回退到 TCP。
Mac 升级系统后地址栏不出现 LAN 图标,怎么处理?
执行 socketfilterfw --listapps 检查 AnyDesk 是否被防火墙拒绝,若状态为 block,用文中两条命令重加并放行;随后重启 AnyDesk 即可监听成功。
安卓平板当受控端,3 分钟后无法直连,明明设置无误?
国产 ROM 常强制休眠后台,需在电池优化里关闭对 AnyDesk 的限制,或把应用锁定在最近任务,防止系统回收 TCP 监听端口。
如何向审计证明“数据未出机房”?
打开 ad_trace.log,检索字段 relay=none 且源 IP 在私网段,即可说明会话未经过外部中继;把日志每日归档并上传至 Graylog,可自动生成 PDF 报表供审计部下载。
混合版本环境必须升级吗?
不必。9.x 与 7.x 共存时,只需在 9.x 客户端关闭 AI-Assisted Link,双方即可用 TCP 7005 互通;升级可分批进行,不影响现有直连稳定性。