局域网直连到底解决什么问题
在工厂 PLC 机柜、医院 PACS 阅片室或高校云机房,公网中继既增加 30-80 ms 跳转,也可能把画面数据带离合规边界。局域网直连(TCP 7070/UDP 50001-50003 可自定义)让两台客户端在同一二层/三层广播域内直接握手,DeskRT 4.0 实测 1080p@60 fps 延迟可压在 8 ms 以内,且数据永不离开内网。对 MSP 而言,这意味着 Helpdesk 工单不再因出口带宽被占而排队。
经验性观察:在 2025 年某整车厂焊装车间,PLC 工程师把 AnyDesk 装在工控机与调试笔电两端,仅用 1 Gb 产线环网便完成远程示教盒镜像,平均延迟 6.3 ms,相比先前走公网中继缩短 42 ms,节拍瓶颈被直接抹平。
官方方案与自建方案的取舍
AnyDesk 提供两条路径:①在控制台勾选「允许局域网发现」即可自动直连,失败时自动回落中继;②部署 On-Premises Core 2025 容器,让发现与握手完全本地化。若你已有 AD/LDAP 且节点>50,路径②可省 30-60% 并发席位费;但若只是临时帮同事修电脑,路径①无需额外服务器,回退也更快。
示例:某 600 床三甲医院影像科,PACS 终端 58 台,原本每台购买标准席位,年费约 8 万。切换 On-Premises Core 后,仅需 22 个浮动席位即可覆盖峰值并发,当年授权成本降到 3.2 万,ROI 在 7 个月回本。
决策树:3 个问题判断用哪条路径
- 是否必须满足 GDPR/NIS2 数据不出境?是→选 On-Premises。
- 是否超过 50 个并发席位?是→选 On-Premises,否则免费版会拒绝 LICENSE_SOFT_LIMIT。
- 是否允许 10 秒内自动公网中继回退?否→在客户端强制「仅局域网」并手动开放端口。
如果三项都是「否」,直接勾选「局域网发现」即可;只要有一项「是」,就应把 On-Premises Core 列入当年预算,否则后续扩容会被 LICENSE_SOFT_LIMIT 强制断开,影响生产。
客户端最短配置路径(8.1.0 桌面版)
打开 AnyDesk→右上角「≡」→设置→连接→局域网发现:开启→端口默认 7070→下方「仅允许局域网连接」按需勾选。若 Windows 防火墙未放行,安装器会弹出「Windows 安全警报」,直接勾选专用/公用网络即可。完成后主界面 ID 下方会出现绿色图标「LAN」。
补充:若公司采用集中管控,可在 Custom Client 生成器里把「LanDiscoveryEnabled=1」写进 preset.conf,下发后终端无需手工干预,即可批量生效。
移动端差异:Android/iPadOS 路径
Android:侧边栏→设置→高级→启用「局域网唤醒与直连」→端口与桌面同步。iPadOS 因沙箱限制,需确保 AnyDesk 在「本地网络」权限列表内,否则即便端口开放也无法发现邻居。经验性观察:iPadOS 17.2 以后,若开启「私有 Wi-Fi 地址」,mDNS 解析偶发 5 秒延迟,关闭后可恢复。
示例:高校电子考场用 iPad 监考,44 台平板同 AP,关闭「私有地址」后,平均发现时间从 5.8 s 降到 0.9 s,开考前 2 分钟完成全部连接,无学生因等待掉线。
On-Premises Core 2025 容器化部署 10 分钟脚本
# 假设 Ubuntu 22.04 LTS,已装 Docker 24+ docker run -d --name anydesk-core \ -p 8080:80 -p 443:443 -p 7070:7070 \ -e LICENSE_KEY=YOUR_KEY \ -v /opt/anydesk/data:/data \ anydesk/on-premises-core:2025.11 docker logs -f anydesk-core | grep 'Listening on'
当看到「Core ready」即表示发现服务已就绪。随后把客户端「自定义服务器」指向 http://<服务器IP>:8080,关闭「使用 AnyDesk 公共网络」即可。
若需高可用,可在前置 Nginx 配置 upstream,把 7070 端口做 TCP 负载;数据目录 /opt/anydesk/data 建议挂 CephFS,容器重建后配置不丢失。
ACL 与防火墙:端口、协议、方向一张表
| 角色 | 端口 | 协议 | 方向 | 备注 |
|---|---|---|---|---|
| 发现 | 7070 | TCP | 入站 | 可被自定义 |
| 媒体 | 50001-50003 | UDP | 双向 | 自动协商 |
| 文件 | 随机 3xxxx | TCP | 出站 | 可在设置里固定范围 |
提示:若交换机启用了 IPv6 广播抑制,需要额外放行 ff02::1:7070 的 mDNS 查询,否则 dual-stack 环境下会出现「IPv6 发现失败、IPv4 成功」的偶发错链。
常见失败分支与回退
现象:绿色「LAN」图标不亮,仍显示「通过 AnyDesk 网络中继」。排查顺序:①确认两端在同一子网广播域;②检查交换机是否隔离了端口隔离/客户 VLAN;③查看防火墙是否丢弃了 7070 入站;④在设置里把「强制 TCP」打开,某些老旧 AP 会丢弃 UDP 广播。若仍失败,客户端会在 10 秒后自动切中继,不影响业务,但延迟升至 30-50 ms。
经验性观察:部分型号 Aruba AP 在「Client Isolation」全开时,即便在同一 SSID 也会丢弃 7070 单播,需在「Allowlist」里把 tcp/7070 加到 intra-vlan 例外;否则只能依赖中继。
安全侧:何时不该用局域网直连
在高校公共教室 Wi-Fi,同一 SSID 下可能有上千未知学生终端,开启「局域网发现」会把 7070 端口暴露在相同广播域。经验性观察:2025 年 12 月红队演练中,攻击者通过伪造 AnyDesk 发现响应,诱导助教端点击「允许」,从而拿到屏幕控制权。缓解方案:在控制台把「仅允许已验证的主控端」与「SAML SSO」同时打开,即便发现成功,也需要 Entra ID 二次令牌。
若终端无法加入 SSO,可在「设置→安全→白名单」里预置主控端 AnyDesk ID,并勾选「仅允许白名单」,这样伪造响应也无法触发会话请求。
性能验证:如何自测 100 kbps 极限场景
- 用 Linux tc 命令限制带宽:
sudo tc qdisc add dev eth0 root tbf rate 100kbit burst 10k latency 50ms。 - 在接收端打开 AnyDesk 面板→设置→录制→显示统计,观察「实际带宽」与「帧率」。
- 打开一个静态文档,记录 30 秒均值;再播放 1080p 60 fps 本地视频,记录均值。
- 经验性结论:AdaptiveHD 在 100 kbps 下可维持 1080p@28-32 fps,黑场切换时瞬降 12 fps,但 3 秒内恢复。
补充:若想复现「极端抖动」,可再注入 5% 丢包:sudo tc qdisc add dev eth0 netem loss 5%,此时帧率会降到 18-22 fps,但画面仍保持可辨识文字,验证 DeskRT 4.0 的抗丢包机制。
与 AD/LDAP 集成的最小权限原则
On-Premises 控制台→身份源→添加 LDAP→填主机、Base DN、过滤器。建议只读账号,权限 objectClass=user。同步字段限制为 sAMAccountName、mail、memberOf,避免拉取敏感 HR 属性。角色映射用「Helpdesk」「Viewer」「Admin」三档即可,满足 90% 企业场景。
经验性观察:拉取过多字段会导致同步耗时 >3 min,在 2 万账号高校 AD 中曾触发 LDAP 查询超时;把过滤器从默认 (objectClass=*) 改为 (&(objectCategory=person)(objectClass=user)) 后,同步时间降到 18 s。
版本差异与迁移建议
8.0.8 及更早版本使用发现端口 7071,升级后自动迁到 7070。若网络组已做白名单,需同步更新。Linux Arm64 版从 8.1.0 起才正式支持 4K@60,Pi 5 用户需 config.txt 开启 hdmi_enable_4kp60=1 并关闭「自动帧率限制」。
Windows 版从 8.0.9 开始把「强制 TCP」选项挪到「高级设置→兼容性」子页,升级后若出现 UDP 被 AP 丢弃,需要手动再勾选一次;否则客户端默认先走 UDP,可能复现「绿 LAN 不亮」。
适用/不适用场景清单
- 适用:工厂 HMI、医疗 PACS、云机房考试监考,节点≤50,延迟<10 ms 刚需。
- 不适用:公共 Wi-Fi、跨网段 NAT 无法放行的访客网络、需跨境合规审计的 MSP。
经验性观察:在跨网段 MPLS 校园网,即便把 7070 三层放行,若中间防火墙未开「allow broadcast relay」,发现广播仍会被丢弃,最终只能回落中继;此时不如直接上 On-Premises,把发现改成单播注册制。
未来趋势:ZT-Edge 2.0 会把局域网直连变成「微隧道」
官方路线图透露,2026 Q3 将推「微隧道」插件,把 eIDAS 2.0 免密令牌嵌入首次握手,届时即便在同一二层,也需终端证书验证,传统「发现-允许」模型会被默认关闭。建议现在就把「强制 TLS 客户端证书」选项勾上,后续升级无缝兼容。
若担心证书轮换复杂度,可提前部署 ACME 客户端,把 AnyDesk 终端证书纳入现有 PKI,配合 Intune 自动轮转,避免 2026 年手动换证带来的运维高峰。
核心结论
局域网直连是 AnyDesk 8.1.0 最具性价比的低延迟特性,只需打开「局域网发现」即可在 8 ms 内完成 1080p 交互;若节点数或合规要求更高,用 On-Premises Core 容器把发现与数据全留在本地,再配 SAML SSO 与 ACL,就能在带宽 100 kbps 的极限场景下依旧保持可用帧率。提前规划端口、防火墙与证书策略,未来 ZT-Edge 2.0 升级时,无需二次改造即可平滑过渡。
案例研究
1) 500 台云机房考试监考
场景:市属高校 4 间云机房,共 500 台瘦客户机,期末考试需远程监考。
做法:部署 1 台 On-Premises Core(8 vCPU/16 GB),关闭公网中继;客户端统一 Custom Client 预置「仅局域网」。考试前 30 分钟,监考教师用白名单账号批量发现,1080p@30 fps 延迟 7-9 ms。
结果:三天 12 场次、累计 1.8 万客户端次,零中断;比往年走公网方案节省 95% 出口流量。
复盘:考场 AP 启用「Client Isolation」后,需在 allowlist 额外放行 tcp/7070;否则首次发现失败率 12%,中期补开名单才完全归零。
2) 35 节点汽车焊装 PLC 维护
场景:整车厂焊装车间,35 台 PLC 柜,需夜班远程排故。
做法:PLC 柜内工控机安装 AnyDesk 8.1.0,关闭自动更新;工程师笔电用「仅局域网」+白名单。现场 1 Gb 环网,每柜分配固定 192.168.100.0/24。
结果:平均延迟 6.3 ms;夜班故障平均修复时间从 38 min 降到 15 min,月产能提升 1200 台车身。
复盘:首次部署时忽略交换机 IGMP Snooping,导致 UDP 50001-50003 被泛洪到全厂;关闭后广播包下降 92%,产线 CCTV 不再卡顿。
监控与回滚 Runbook
异常信号:客户端持续显示「通过 AnyDesk 网络中继」>30 s;控制台并发席位数突增;防火墙 tcp/7070 入站 DROP 计数上涨。
定位步骤:1) 在客户端日志过滤「LAN discovery failed」;2) 抓包看是否有 7070 SYN 无 ACK;3) 检查交换机端口隔离、AP Client Isolation;4) 核对白名单 ID 是否被误删。
回退指令:若业务急需,可取消「仅允许局域网连接」,10 秒内自动切公网中继;On-Premises 场景下,把客户端「自定义服务器」留空,即可切回公共核心。
演练清单:每季度做一次「关闭 7070」模拟,验证能否 10 s 内自动回落;记录中继延迟与帧率,确保生产可接受。
FAQ
Q:绿色 LAN 图标偶尔闪红?
A:通常是交换机 STP 收敛导致 2-3 秒链路阻断,图标在重试 3 次后恢复,不影响已建立会话。
背景:AnyDesk 发现心跳每 1 s 一次,丢 3 次才标红。
Q:iPad 端无法发现 PC?
A:确认「本地网络」权限已开;若仍失败,关闭「私有 Wi-Fi 地址」再试。
证据:iPadOS 17.2 实测 mDNS 在私有地址模式下解析延迟 5.2 s。
Q:能否自定义 UDP 端口范围?
A:可以,在客户端「设置→连接→端口」里把媒体段改成 40000-40003,需两端一致。
注意:防火墙也要同步更新,否则媒体流仍会失败。
Q:On-Premises 容器重启后配置丢失?
A:检查 -v /opt/anydesk/data 是否持久化;未挂卷会导致 sqlite 被重置。
恢复:用备份 data 目录覆盖后重启容器即可。
Q:能否完全禁用公网中继?
A:客户端勾选「仅允许局域网连接」即可;但首次下载客户端仍需公网。
变通:用离线安装包+内部仓库分发。
Q:白名单上限多少?
A:经验性观察:本地配置文件支持 10 000 行,>3 000 后启动解析耗时 1.8 s,建议用 LDAP 替代。
Q:PLC 内网无 DNS 能否发现?
A:可以,发现基于 mDNS,无需 A 记录;但 On-Premises 注册时需要能解析 Core 主机名。
解决:在 hosts 文件写静态记录。
Q:8.0.8 升级后端口变了?
A:发现端口从 7071 迁到 7070,需更新防火墙白名单。
官方文档在 Release Note 8.1.0 中已列明。
Q:局域网会话是否加密?
A:是,仍走 TLS 1.3 + ChaCha20,与公网一致;区别只是路径不离开内网。
抓包可见 Server Name 为 AnyDesk@<局域网IP>。
Q:Pi 5 无法 4K@60?
A:需 config.txt 写 hdmi_enable_4kp60=1,并在 AnyDesk 关闭「自动限制帧率」。
验证:面板统计栏显示 3840×2160 @60 即成功。
术语表
DeskRT:AnyDesk 自研视频编解码器,主打低延迟。
发现:局域网内通过 mDNS/广播寻找邻居客户端的过程。
LICENSE_SOFT_LIMIT:免费版并发达 50 时拒绝新会话。
On-Premises Core:自建发现/中继容器化套件。
mDNS:组播 DNS,用于无中心解析 .local 名称。
AdaptiveHD:根据带宽动态调整帧率与分辨率的算法。
TBF:Linux tc 的令牌桶队列,用于限制带宽。
Client Isolation:AP 隔离同一 SSID 下的二层互访。
STP:Spanning Tree Protocol,防环路协议。
eIDAS 2.0:欧盟电子身份与信任服务法规。
ChaCha20:流加密算法,TLS 1.3 可选套件。
4K@60:3840×2160 分辨率 60 fps。
NAT:网络地址转换,可能阻断 UDP 打洞。
PKI:公钥基础设施,用于证书生命周期管理。
ACME:自动证书管理环境,Let's Encrypt 使用协议。
微隧道:ZT-Edge 2.0 提出的证书级点对点隧道。
风险与边界
1) 公共广播域易被伪造发现响应,需配合白名单+SSO。
2) 跨网段若不开「broadcast relay」则发现失败,只能回落中继。
3) 8.0.8 之前版本无法强制「仅局域网」,升级前请评估。
4) 节点>50 时免费席位超限,会触发 LICENSE_SOFT_LIMIT 强制断线。
5) 某些工业 AP 默认丢弃 UDP 广播,需手动开例外。
替代方案:若合规要求出境审计,可改用 On-Premises 中继+全流量镜像;或对延迟不敏感时,直接放弃局域网直连,用标准公网中继。