# YAMA 多级网络搭建指南
> 构建总控 → 二级 → 受管端的监控网络
---
## 目标读者
- 需要搭建多级监控网络的客户
- 有多个下级代理/分支机构需要管理
- 需要统一管理和分级授权
---
## 第一部分:架构概述
### 1. 网络拓扑
```
您(总控/一级)
│
├── 二级控制端 A ──→ 受管端 A1, A2, A3...
│
├── 二级控制端 B ──→ 受管端 B1, B2, B3...
│
└── 二级控制端 C ──→ 受管端 C1, C2, C3...
```
### 2. 角色说明
| 角色 | 职责 | 权限 |
|------|------|------|
| 总控(您) | 管理二级、分配授权、提供 FRP 代理 | 完整权限 |
| 二级控制端 | 管理受管端、使用远程功能 | 受限于您的授权 |
| 受管端 | 被远程管理的电脑 | 无主动权限 |
### 3. 授权链
授权采用链式传递机制:
```
您的上级 → 授权给您
↓
您 → 授权给二级
↓
二级(可选)→ 授权给三级
```
**关键限制:**
- 下级有效期不能超过您的有效期
- 下级的并发数限制不能超过上级为您设置的限制
- 下级的功能权限不超过您的权限
---
## 第二部分:准备工作
### 4. 服务器规划
根据您的资源和需求,选择以下方案之一:
#### 方案 A:集中式(推荐新手)
```
您的服务器(公网)
│
│ [FRPS 服务 :7000]
│ [映射端口 :20001, :20002, ...]
│
├── 二级 A(通过 FRP 端口 20001 接收受管端连接)
├── 二级 B(通过 FRP 端口 20002 接收受管端连接)
└── 二级 C(通过 FRP 端口 20003 接收受管端连接)
```
**特点:**
- 您有 1 台公网服务器
- 所有二级通过 FRP 连接您的服务器
- 二级无需公网 IP
- 您负责维护 FRP 服务
**适用场景:** 二级客户没有技术能力或公网服务器
#### 方案 B:分布式
```
您的服务器 二级 A 服务器 二级 B 服务器
│ │ │
│ [监听端口] [监听端口]
│ │ │
└─────授权─────→ A B
│ │
受管端 A1-An 受管端 B1-Bn
```
**特点:**
- 您和各二级都有自己的公网服务器
- 各二级直接使用自己的公网 IP
- 性能更好,不依赖您的服务器
**适用场景:** 二级有自己的服务器资源
#### 方案 C:混合式
```
您的服务器
│
│ [FRPS 服务]
│
├── 二级 A ─(FRP)─┘ ← 无服务器,使用 FRP
│
└── 二级 B(有服务器)← 直接使用自己的 IP
│
受管端 B1-Bn
```
**特点:** 灵活配置,根据各二级实际情况分配
### 5. 端口规划
建议预先规划端口分配:
| 用途 | 建议端口 | 说明 |
|------|---------|------|
| 主控监听 | 6543 | 受管端连接端口 |
| FRPS 服务 | 7000 | FRP 服务器监听 |
| 二级映射范围 | 20000-29999 | 为各二级分配的端口 |
**容量估算:**
- 端口范围 20000-29999 可容纳约 10000 个二级
- 实际建议每台服务器不超过 500 个二级(带宽考虑)
### 6. 信息收集
在开始配置之前,收集各二级的信息:
| 信息 | 用途 | 获取方式 |
|------|------|---------|
| 设备序列号 | 生成授权 | 二级运行 YAMA 后获取 |
| 计划并发数 | 授权配置 | 与二级协商确定 |
| 有无公网服务器 | 决定是否需要 FRP | 询问二级 |
| 使用期限 | 授权有效期 | 与二级协商确定 |
---
## 第三部分:配置 FRP 服务
> 如果所有二级都有公网服务器,可跳过本部分
### 7. 系统要求
FRP 服务功能需要满足以下条件:
| 要求 | 说明 |
|------|------|
| 操作系统 | Windows 10 / Server 2016 或更高版本 |
| 架构 | 64 位 |
| 网络 | 服务器具有公网 IP |
> **注意**:32 位系统或 Windows 7/Server 2012 等旧系统不支持 FRP 功能。
### 8. 启用 FRP 代理功能
#### 8.1 打开配置界面
点击菜单栏 **扩展** → **下级FRP代理设置**
#### 8.2 启用服务
勾选 **"启用为下级提供 FRP 代理"**
#### 8.3 选择 FRPS 模式
**方式 A:本地运行 FRPS(推荐)**
勾选 **"FRPS 运行在本机"**
| 优点 | 说明 |
|------|------|
| 简单 | 无需额外部署 FRPS |
| 集成 | 程序自动管理 FRPS 进程 |
| 免配置 | 无需手动配置 FRPS |
**方式 B:使用外部 FRPS**
如果您已有 FRPS 服务器:
1. 取消勾选 "FRPS 运行在本机"
2. 填写 FRPS 服务器地址
3. 填写 FRPS 端口
4. 填写认证 Token(需与 FRPS 配置一致)
#### 8.4 设置端口和认证
| 设置项 | 说明 | 建议值 |
|--------|------|-------|
| FRPS 端口 | FRPS 服务监听端口 | 7000 |
| 认证 Token | FRPS 认证密钥 | 使用复杂字符串 |
#### 8.5 设置分配范围
| 设置项 | 说明 | 建议值 |
|--------|------|-------|
| 起始端口 | 分配给二级的端口起始 | 20000 |
| 结束端口 | 分配给二级的端口结束 | 29999 |
每个二级占用 1 个端口,端口在范围内自动递增分配。
### 9. 保存并启动
1. 点击"确定"保存配置
2. 如选择本地 FRPS,程序会自动启动 FRPS 服务
3. 状态栏中间会显示 FRPS 信息(如 `FRPS :7000`)
> **显示优先级**:如果您同时有上级配置的 FRP 和本机 FRPS,状态栏优先显示上级配置的 FRP 地址。
### 10. 开放防火墙
FRPS 服务需要开放以下端口:
| 端口 | 协议 | 用途 |
|------|------|------|
| 7000(或您配置的端口) | TCP | FRPS 服务端口 |
| 20000-29999(或您配置的范围) | TCP | 二级映射端口 |
**Windows 防火墙设置:**
1. 打开"Windows Defender 防火墙" → "高级设置"
2. "入站规则" → "新建规则"
3. 选择"端口" → "TCP"
4. 输入端口:`7000, 20000-29999`
5. 选择"允许连接" → 完成
**云服务器安全组:**
在云控制台添加入站规则:
- TCP 7000(FRPS)
- TCP 20000-29999(映射范围)
---
## 第四部分:为二级生成授权
### 11. 获取二级序列号
#### 11.1 二级操作步骤
指导二级完成以下操作:
1. 下载并运行 YAMA.exe(首次运行会提示未授权,属正常现象)
2. 点击菜单 **其他** → **申请授权**
3. 首次会显示使用条款,确认本软件仅限合法正当使用
4. 点击"确认"后显示序列号
5. 复制序列号并发送给您
> **提示**:导入授权后,该菜单会变为 **其他** → **序列号**
**序列号格式:** `XXXX-XXXX-XXXX-XXXX`
#### 11.2 序列号传递建议
- 微信/QQ:直接复制发送
- 邮件:注明"YAMA 序列号"
- 截图:包含完整序列号
### 12. 打开授权生成界面
点击菜单栏 **工具** → **口令生成**
### 13. 填写授权信息
#### 13.1 基本信息
| 字段 | 说明 | 示例 |
|------|------|------|
| 序列号 | 二级提供的设备序列号 | b40f-638f-ebc8-6d54 |
| 备注 | 便于识别的说明(可选) | "张三 - 华东区" |
#### 13.2 有效期设置
| 字段 | 说明 |
|------|------|
| 起始日期 | 授权生效日期 |
| 结束日期 | 授权过期日期 |
**常见期限设置:**
| 类型 | 期限 | 说明 |
|------|------|------|
| 试用 | 7-15 天 | 短期验证 |
| 月付 | 1 个月 | 按月收费 |
| 季付 | 3 个月 | 按季收费 |
| 年付 | 12 个月 | 按年收费 |
> **重要**:结束日期不能超过您自己授权的有效期。
#### 13.3 并发数设置
设置二级可同时管理的受管端数量。
**注意事项:**
- 为二级设置的并发数限制不能超过上级为您设置的限制
- 可根据二级需求灵活分配
### 14. 分配 FRP 端口(如需要)
如果二级需要使用您的 FRP 代理:
#### 14.1 勾选 FRP 代理
在授权生成界面勾选 **"FRP 代理"** 选项
#### 14.2 端口分配方式
| 方式 | 说明 | 推荐场景 |
|------|------|---------|
| 自动分配 | 系统自动选择可用端口 | 大多数情况 |
| 手动指定 | 自己输入端口号 | 特殊需求 |
#### 14.3 记录分配信息
建议记录二级与端口的对应关系:
| 二级 | 序列号 | 分配端口 | 有效期 |
|------|-------|---------|-------|
| 张三 | b40f-... | 20001 | 2026-12-31 |
| 李四 | a12c-... | 20002 | 2026-12-31 |
### 15. 生成授权
1. 确认所有信息无误
2. 点击"生成"按钮
3. 授权信息保存到本地数据库
### 16. 发送授权给二级
有两种方式将授权发送给二级:
#### 方式 A:在线发送(推荐)
如果二级使用您通过 **工具** → **主控生成** 分发的程序:
1. 二级程序已硬编码您的地址,启动后会自动连接到您
2. 您在主机列表中可以看到已连接但未授权的二级
3. 右键点击该主机 → **发送授权**
4. 选择已生成的授权记录
5. 通知二级重启程序
**二级重启流程(如授权包含 FRP):**
- 第一次重启:验证授权,提示"授权成功",同时收到 FRP 配置
- 第二次重启:应用 FRP 配置,开始使用 FRP 代理
**优点:** 无需传输文件,操作简便
#### 方式 B:离线发送(lic 文件)
如果二级无法先连接到您(如网络原因),可导出授权文件:
1. 在授权生成界面点击"导出"按钮
2. 生成 `*.lic` 文件并发送给二级
3. 二级通过 **工具** → **导入口令...** 导入
4. 重启程序使授权生效
**文件命名建议:** `二级名称_日期.lic`,如 `张三_20260407.lic`
---
## 第五部分:二级部署
### 17. 二级获取授权
根据您选择的授权发送方式:
#### 方式 A:在线接收(推荐)
如果二级使用您分发的程序:
1. 运行您分发的程序,自动连接到您
2. 等待您通过右键菜单发送授权
3. 收到授权后重启程序,提示"授权成功"
4. 如授权包含 FRP 配置,需再次重启以应用 FRP
#### 方式 B:离线导入(lic 文件)
如果收到 lic 文件:
1. 运行 YAMA.exe
2. 点击菜单 **工具** → **导入口令...**
3. 选择 `*.lic` 文件
4. 看到"导入成功"提示后重启程序
5. 如授权包含 FRP 配置,需再次重启以应用 FRP
### 18. 二级验证
二级需要验证以下内容:
#### 18.1 授权状态
查看状态栏显示的:
- 有效期信息
- 并发数限制
#### 18.2 FRP 连接(如有)
如果授权包含 FRP 配置:
- 状态栏应显示 FRP 连接地址
- 连接成功会显示分配的端口
#### 18.3 地址和端口
检查设置页面(菜单栏 **菜单 → 设置**):
- 地址应为 FRP 服务器地址或自有公网地址
- 端口应为分配的 FRP 端口或自有监听端口
### 19. 二级生成受管程序
二级需要生成自己的受管程序:
1. 打开 **工具** → **主控生成**
2. 地址和端口已自动填入(来自 FRP 配置或设置)
3. 选择载荷类型
4. 生成并分发给目标电脑
**重要**:二级生成的受管程序会连接到二级的地址端口,而非您的服务器。
---
## 第六部分:日常管理
### 20. 监控网络状态
#### 20.1 查看二级在线状态
二级程序运行时会连接到您这里进行授权验证,您可以在主机列表中看到已连接的二级数量。
**主机列表显示内容:**
- 直接连接到您的受管端
- 已连接的二级控制端
#### 20.2 FRP 连接监控
如需查看更详细的连接记录,可查看 FRP 日志:
- 日志位置:程序目录下的 `frps.log`
- 包含二级连接/断开的时间记录
### 21. 授权管理
#### 21.1 查看已发放授权
点击菜单 **工具** → **授权管理**
列表显示:
- 序列号
- 备注
- 有效期
- 并发数
- FRP 端口(如有)
#### 21.2 授权续期
**一级给二级续期:**
1. 在列表中找到需要续期的授权
2. 双击或点击"编辑"
3. 修改结束日期并保存
**二级更新授权:**
- 二级重启程序即可自动获取新的有效期(通过网络验证)
- 通常**无需重新发送 lic 文件**
> **注意**:只有当二级的序列号(SN)发生变化时,才需要重新生成并发送授权文件。
---
#### 21.3 全链条续期(开发者续期一级)
如果您是从开发者获得授权的一级用户,当开发者给您续期后:
**自动续期机制:**
```
开发者给一级续期
│
↓
一级重启程序,V2 验证获取新的 Authorization
│
↓
二级连接一级时,自动获取新的 Authorization
│
↓
全链条有效期自动延长
```
**关键点:**
| 层级 | 授权来源 | 续期方式 |
|------|---------|---------|
| 一级 | 开发者(V2 ECDSA) | 开发者续期后,一级重启程序自动获取 |
| 二级 | 一级(V1 HMAC) + Authorization | 一级更新后,二级重启程序自动获取 |
**双重控制机制:**
二级用户同时受两个授权控制:
1. **一级的 V1 HMAC 授权** - 一级直接签发给二级
- 控制二级是否能连接到一级
- 有效期由一级设定
2. **开发者的 Authorization** - 通过一级传递给二级
- 控制整个授权链的最终有效期
- 有效期由开发者设定
两个授权都必须有效,二级才能正常运行。
**续期示例:**
| 场景 | 一级 V1 有效期 | Authorization 有效期 | 二级状态 |
|------|--------------|---------------------|---------|
| 正常 | 2027-12-31 | 2027-12-31 | ✅ 正常运行 |
| 一级未给二级续期 | 2026-12-31 (过期) | 2027-12-31 | ❌ 连接失败 |
| 开发者未给一级续期 | 2027-12-31 | 2026-12-31 (过期) | ❌ 验证失败 |
> **提示**:当开发者给一级续期后,一级需要重启程序以获取新的 Authorization。之后二级重启程序即可自动获取更新。
#### 21.4 授权撤销
如需撤销二级授权:
1. 在列表中选择目标授权
2. 点击"删除"或"禁用"
3. 二级下次连接验证时将失效
### 22. 故障处理
| 问题 | 排查步骤 |
|------|---------|
| 二级无法连接 FRP | 1. 检查 FRPS 是否运行
2. 检查防火墙
3. 检查端口是否正确 |
| 授权显示无效 | 1. 确认序列号匹配
2. 检查有效期
3. 重新导出导入 |
| 并发数超限 | 1. 检查当前连接数
2. 升级授权或释放连接 |
---
## 第七部分:扩展网络
### 23. 添加新二级
重复第四部分步骤:
1. 获取新二级序列号
2. 生成授权(端口自动递增)
3. 导出并发送
4. 指导二级部署
### 24. 二级发展三级
如果您的授权允许,二级也可以发展下级:
```
您(一级)
│
└── 二级 A
│
├── 三级 A1 ──→ 受管端
└── 三级 A2 ──→ 受管端
```
**限制条件:**
- 需要您的授权支持多级
- 三级的权限不超过二级
- 二级需要为三级提供 FRP(如需要)
### 25. 网络容量规划
| 规模 | 建议配置 |
|------|---------|
| 小型(<50 二级) | 单服务器即可 |
| 中型(50-200 二级) | 考虑带宽升级 |
| 大型(>200 二级) | 分布式部署,多服务器 |
**带宽估算:**
- 每个活跃远程桌面:1-5 Mbps
- 每个空闲连接:<10 Kbps
- 建议预留 50% 余量
---
## 附录
### A. 部署检查清单
**总控端**
- [ ] YAMA.exe 已部署
- [ ] 您的授权已导入
- [ ] 防火墙已开放主控端口
- [ ] FRPS 已启动(如需要)
- [ ] 防火墙已开放 FRPS 端口范围
**二级控制端**
- [ ] 二级已获取序列号
- [ ] 您已生成授权
- [ ] 授权文件已发送给二级
- [ ] 二级已导入授权并重启
- [ ] 二级 FRP 已连接(如需要)
- [ ] 二级已生成受管程序
**受管端**
- [ ] 受管程序已生成
- [ ] 已传输到目标电脑
- [ ] 已成功上线
### B. 网络拓扑示例
**完整示例:集中式 FRP 方案**
```
┌──────────────────────────────────────────────────┐
│ 您的服务器 │
│ 公网 IP: 1.2.3.4 │
│ │
│ ┌─────────┐ ┌─────────┐ ┌───────────────┐ │
│ │ YAMA │ │ FRPS │ │ 防火墙 │ │
│ │ (主控) │ │ :7000 │ │ 开放端口说明 │ │
│ └─────────┘ └─────────┘ │───────────────│ │
│ │ │ │ 6543 主控端口│ │
│ │ │ │ 7000 FRPS端口│ │
│ │ │ │ 20000+ 映射端口│ │
│ │ │ └───────────────┘ │
└───────┼──────────────┼───────────────────────────┘
│ │
│ │
─────┴──────────────┴─────────────────
互联网
──────────────────────────────────────
│ │ │
│ │ │
┌───────┴───┐ ┌─────┴─────┐ ┌─────┴─────┐
│ 二级 A │ │ 二级 B │ │ 二级 C │
│ FRP :20001 │ │ FRP :20002 │ │ FRP :20003 │
└───────┬───┘ └─────┬─────┘ └─────┬─────┘
│ │ │
┌────┴────┐ ┌────┴────┐ ┌────┴────┐
│ 受管端 │ │ 受管端 │ │ 受管端 │
│ A1-A10 │ │ B1-B20 │ │ C1-C5 │
└─────────┘ └─────────┘ └─────────┘
```
### C. 常见问题
| 问题 | 原因 | 解决方案 |
|------|------|---------|
| 二级无法连接 FRP | 端口未开放 | 检查防火墙和安全组,开放 7000 和映射端口 |
| 授权显示无效 | 序列号不匹配 | 确认二级发送的序列号正确 |
| 并发数超限 | 超过授权限制 | 升级授权或减少同时在线的受管端数量 |
| FRP 连接不稳定 | 网络问题 | 检查服务器带宽,考虑分布式部署 |
| 二级生成的受管端连不上 | 地址端口错误 | 检查二级设置,确认 FRP 配置正确 |
---
## 技术支持
| 渠道 | 联系方式 |
|------|---------|
| QQ | 962914132 |
| Telegram | [@doge_grandfather](https://t.me/doge_grandfather) |
---
## 相关文档
- [快速部署指南](QuickStart.md) - 首次部署
- [日常使用手册](UserManual.md) - 远程管理功能详解
- [代理商运营手册](AgentManual.md) - 授权管理详解
- [定制化开发指南](CustomizationGuide.md) - 二次开发与品牌定制