19 KiB
19 KiB
YAMA 多级网络搭建指南
构建总控 → 二级 → 受管端的监控网络
目标读者
- 需要搭建多级监控网络的客户
- 有多个下级代理/分支机构需要管理
- 需要统一管理和分级授权
第一部分:架构概述
1. 网络拓扑
您(总控/一级)
│
├── 二级控制端 A ──→ 受管端 A1, A2, A3...
│
├── 二级控制端 B ──→ 受管端 B1, B2, B3...
│
└── 二级控制端 C ──→ 受管端 C1, C2, C3...
2. 角色说明
| 角色 | 职责 | 权限 |
|---|---|---|
| 总控(您) | 管理二级、分配授权、提供 FRP 代理 | 完整权限 |
| 二级控制端 | 管理受管端、使用远程功能 | 受限于您的授权 |
| 受管端 | 被远程管理的电脑 | 无主动权限 |
3. 授权链
授权采用链式传递机制:
您的上级 → 授权给您
↓
您 → 授权给二级
↓
二级(可选)→ 授权给三级
关键限制:
- 下级有效期不能超过您的有效期
- 下级的并发数限制不能超过上级为您设置的限制
- 下级的功能权限不超过您的权限
第二部分:准备工作
4. 服务器规划
根据您的资源和需求,选择以下方案之一:
方案 A:集中式(推荐新手)
您的服务器(公网)
│
│ [FRPS 服务 :7000]
│ [映射端口 :20001, :20002, ...]
│
├── 二级 A(通过 FRP 端口 20001 接收受管端连接)
├── 二级 B(通过 FRP 端口 20002 接收受管端连接)
└── 二级 C(通过 FRP 端口 20003 接收受管端连接)
特点:
- 您有 1 台公网服务器
- 所有二级通过 FRP 连接您的服务器
- 二级无需公网 IP
- 您负责维护 FRP 服务
适用场景: 二级客户没有技术能力或公网服务器
方案 B:分布式
您的服务器 二级 A 服务器 二级 B 服务器
│ │ │
│ [监听端口] [监听端口]
│ │ │
└─────授权─────→ A B
│ │
受管端 A1-An 受管端 B1-Bn
特点:
- 您和各二级都有自己的公网服务器
- 各二级直接使用自己的公网 IP
- 性能更好,不依赖您的服务器
适用场景: 二级有自己的服务器资源
方案 C:混合式
您的服务器
│
│ [FRPS 服务]
│
├── 二级 A ─(FRP)─┘ ← 无服务器,使用 FRP
│
└── 二级 B(有服务器)← 直接使用自己的 IP
│
受管端 B1-Bn
特点: 灵活配置,根据各二级实际情况分配
5. 端口规划
建议预先规划端口分配:
| 用途 | 建议端口 | 说明 |
|---|---|---|
| 主控监听 | 6543 | 受管端连接端口 |
| FRPS 服务 | 7000 | FRP 服务器监听 |
| 二级映射范围 | 20000-29999 | 为各二级分配的端口 |
容量估算:
- 端口范围 20000-29999 可容纳约 10000 个二级
- 实际建议每台服务器不超过 500 个二级(带宽考虑)
6. 信息收集
在开始配置之前,收集各二级的信息:
| 信息 | 用途 | 获取方式 |
|---|---|---|
| 设备序列号 | 生成授权 | 二级运行 YAMA 后获取 |
| 计划并发数 | 授权配置 | 与二级协商确定 |
| 有无公网服务器 | 决定是否需要 FRP | 询问二级 |
| 使用期限 | 授权有效期 | 与二级协商确定 |
第三部分:配置 FRP 服务
如果所有二级都有公网服务器,可跳过本部分
7. 系统要求
FRP 服务功能需要满足以下条件:
| 要求 | 说明 |
|---|---|
| 操作系统 | Windows 10 / Server 2016 或更高版本 |
| 架构 | 64 位 |
| 网络 | 服务器具有公网 IP |
注意:32 位系统或 Windows 7/Server 2012 等旧系统不支持 FRP 功能。
8. 启用 FRP 代理功能
8.1 打开配置界面
点击菜单栏 扩展 → 下级FRP代理设置
8.2 启用服务
勾选 "启用为下级提供 FRP 代理"
8.3 选择 FRPS 模式
方式 A:本地运行 FRPS(推荐)
勾选 "FRPS 运行在本机"
| 优点 | 说明 |
|---|---|
| 简单 | 无需额外部署 FRPS |
| 集成 | 程序自动管理 FRPS 进程 |
| 免配置 | 无需手动配置 FRPS |
方式 B:使用外部 FRPS
如果您已有 FRPS 服务器:
- 取消勾选 "FRPS 运行在本机"
- 填写 FRPS 服务器地址
- 填写 FRPS 端口
- 填写认证 Token(需与 FRPS 配置一致)
8.4 设置端口和认证
| 设置项 | 说明 | 建议值 |
|---|---|---|
| FRPS 端口 | FRPS 服务监听端口 | 7000 |
| 认证 Token | FRPS 认证密钥 | 使用复杂字符串 |
8.5 设置分配范围
| 设置项 | 说明 | 建议值 |
|---|---|---|
| 起始端口 | 分配给二级的端口起始 | 20000 |
| 结束端口 | 分配给二级的端口结束 | 29999 |
每个二级占用 1 个端口,端口在范围内自动递增分配。
9. 保存并启动
- 点击"确定"保存配置
- 如选择本地 FRPS,程序会自动启动 FRPS 服务
- 状态栏中间会显示 FRPS 信息(如
FRPS :7000)
显示优先级:如果您同时有上级配置的 FRP 和本机 FRPS,状态栏优先显示上级配置的 FRP 地址。
10. 开放防火墙
FRPS 服务需要开放以下端口:
| 端口 | 协议 | 用途 |
|---|---|---|
| 7000(或您配置的端口) | TCP | FRPS 服务端口 |
| 20000-29999(或您配置的范围) | TCP | 二级映射端口 |
Windows 防火墙设置:
- 打开"Windows Defender 防火墙" → "高级设置"
- "入站规则" → "新建规则"
- 选择"端口" → "TCP"
- 输入端口:
7000, 20000-29999 - 选择"允许连接" → 完成
云服务器安全组:
在云控制台添加入站规则:
- TCP 7000(FRPS)
- TCP 20000-29999(映射范围)
第四部分:为二级生成授权
11. 获取二级序列号
11.1 二级操作步骤
指导二级完成以下操作:
- 下载并运行 YAMA.exe(首次运行会提示未授权,属正常现象)
- 点击菜单 其他 → 申请授权
- 首次会显示使用条款,确认本软件仅限合法正当使用
- 点击"确认"后显示序列号
- 复制序列号并发送给您
提示:导入授权后,该菜单会变为 其他 → 序列号
序列号格式: XXXX-XXXX-XXXX-XXXX
11.2 序列号传递建议
- 微信/QQ:直接复制发送
- 邮件:注明"YAMA 序列号"
- 截图:包含完整序列号
12. 打开授权生成界面
点击菜单栏 工具 → 口令生成
13. 填写授权信息
13.1 基本信息
| 字段 | 说明 | 示例 |
|---|---|---|
| 序列号 | 二级提供的设备序列号 | b40f-638f-ebc8-6d54 |
| 备注 | 便于识别的说明(可选) | "张三 - 华东区" |
13.2 有效期设置
| 字段 | 说明 |
|---|---|
| 起始日期 | 授权生效日期 |
| 结束日期 | 授权过期日期 |
常见期限设置:
| 类型 | 期限 | 说明 |
|---|---|---|
| 试用 | 7-15 天 | 短期验证 |
| 月付 | 1 个月 | 按月收费 |
| 季付 | 3 个月 | 按季收费 |
| 年付 | 12 个月 | 按年收费 |
重要:结束日期不能超过您自己授权的有效期。
13.3 并发数设置
设置二级可同时管理的受管端数量。
注意事项:
- 为二级设置的并发数限制不能超过上级为您设置的限制
- 可根据二级需求灵活分配
14. 分配 FRP 端口(如需要)
如果二级需要使用您的 FRP 代理:
14.1 勾选 FRP 代理
在授权生成界面勾选 "FRP 代理" 选项
14.2 端口分配方式
| 方式 | 说明 | 推荐场景 |
|---|---|---|
| 自动分配 | 系统自动选择可用端口 | 大多数情况 |
| 手动指定 | 自己输入端口号 | 特殊需求 |
14.3 记录分配信息
建议记录二级与端口的对应关系:
| 二级 | 序列号 | 分配端口 | 有效期 |
|---|---|---|---|
| 张三 | b40f-... | 20001 | 2026-12-31 |
| 李四 | a12c-... | 20002 | 2026-12-31 |
15. 生成授权
- 确认所有信息无误
- 点击"生成"按钮
- 授权信息保存到本地数据库
16. 发送授权给二级
有两种方式将授权发送给二级:
方式 A:在线发送(推荐)
如果二级使用您通过 工具 → 主控生成 分发的程序:
- 二级程序已硬编码您的地址,启动后会自动连接到您
- 您在主机列表中可以看到已连接但未授权的二级
- 右键点击该主机 → 发送授权
- 选择已生成的授权记录
- 通知二级重启程序
二级重启流程(如授权包含 FRP):
- 第一次重启:验证授权,提示"授权成功",同时收到 FRP 配置
- 第二次重启:应用 FRP 配置,开始使用 FRP 代理
优点: 无需传输文件,操作简便
方式 B:离线发送(lic 文件)
如果二级无法先连接到您(如网络原因),可导出授权文件:
- 在授权生成界面点击"导出"按钮
- 生成
*.lic文件并发送给二级 - 二级通过 工具 → 导入口令... 导入
- 重启程序使授权生效
文件命名建议: 二级名称_日期.lic,如 张三_20260407.lic
第五部分:二级部署
17. 二级获取授权
根据您选择的授权发送方式:
方式 A:在线接收(推荐)
如果二级使用您分发的程序:
- 运行您分发的程序,自动连接到您
- 等待您通过右键菜单发送授权
- 收到授权后重启程序,提示"授权成功"
- 如授权包含 FRP 配置,需再次重启以应用 FRP
方式 B:离线导入(lic 文件)
如果收到 lic 文件:
- 运行 YAMA.exe
- 点击菜单 工具 → 导入口令...
- 选择
*.lic文件 - 看到"导入成功"提示后重启程序
- 如授权包含 FRP 配置,需再次重启以应用 FRP
18. 二级验证
二级需要验证以下内容:
18.1 授权状态
查看状态栏显示的:
- 有效期信息
- 并发数限制
18.2 FRP 连接(如有)
如果授权包含 FRP 配置:
- 状态栏应显示 FRP 连接地址
- 连接成功会显示分配的端口
18.3 地址和端口
检查设置页面(菜单栏 菜单 → 设置):
- 地址应为 FRP 服务器地址或自有公网地址
- 端口应为分配的 FRP 端口或自有监听端口
19. 二级生成受管程序
二级需要生成自己的受管程序:
- 打开 工具 → 主控生成
- 地址和端口已自动填入(来自 FRP 配置或设置)
- 选择载荷类型
- 生成并分发给目标电脑
重要:二级生成的受管程序会连接到二级的地址端口,而非您的服务器。
第六部分:日常管理
20. 监控网络状态
20.1 查看二级在线状态
二级程序运行时会连接到您这里进行授权验证,您可以在主机列表中看到已连接的二级数量。
主机列表显示内容:
- 直接连接到您的受管端
- 已连接的二级控制端
20.2 FRP 连接监控
如需查看更详细的连接记录,可查看 FRP 日志:
- 日志位置:程序目录下的
frps.log - 包含二级连接/断开的时间记录
21. 授权管理
21.1 查看已发放授权
点击菜单 工具 → 授权管理
列表显示:
- 序列号
- 备注
- 有效期
- 并发数
- FRP 端口(如有)
21.2 授权续期
一级给二级续期:
- 在列表中找到需要续期的授权
- 双击或点击"编辑"
- 修改结束日期并保存
二级更新授权:
- 二级重启程序即可自动获取新的有效期(通过网络验证)
- 通常无需重新发送 lic 文件
注意:只有当二级的序列号(SN)发生变化时,才需要重新生成并发送授权文件。
21.3 全链条续期(开发者续期一级)
如果您是从开发者获得授权的一级用户,当开发者给您续期后:
自动续期机制:
开发者给一级续期
│
↓
一级重启程序,V2 验证获取新的 Authorization
│
↓
二级连接一级时,自动获取新的 Authorization
│
↓
全链条有效期自动延长
关键点:
| 层级 | 授权来源 | 续期方式 |
|---|---|---|
| 一级 | 开发者(V2 ECDSA) | 开发者续期后,一级重启程序自动获取 |
| 二级 | 一级(V1 HMAC) + Authorization | 一级更新后,二级重启程序自动获取 |
双重控制机制:
二级用户同时受两个授权控制:
-
一级的 V1 HMAC 授权 - 一级直接签发给二级
- 控制二级是否能连接到一级
- 有效期由一级设定
-
开发者的 Authorization - 通过一级传递给二级
- 控制整个授权链的最终有效期
- 有效期由开发者设定
两个授权都必须有效,二级才能正常运行。
续期示例:
| 场景 | 一级 V1 有效期 | Authorization 有效期 | 二级状态 |
|---|---|---|---|
| 正常 | 2027-12-31 | 2027-12-31 | ✅ 正常运行 |
| 一级未给二级续期 | 2026-12-31 (过期) | 2027-12-31 | ❌ 连接失败 |
| 开发者未给一级续期 | 2027-12-31 | 2026-12-31 (过期) | ❌ 验证失败 |
提示:当开发者给一级续期后,一级需要重启程序以获取新的 Authorization。之后二级重启程序即可自动获取更新。
21.4 授权撤销
如需撤销二级授权:
- 在列表中选择目标授权
- 点击"删除"或"禁用"
- 二级下次连接验证时将失效
22. 故障处理
| 问题 | 排查步骤 |
|---|---|
| 二级无法连接 FRP | 1. 检查 FRPS 是否运行 2. 检查防火墙 3. 检查端口是否正确 |
| 授权显示无效 | 1. 确认序列号匹配 2. 检查有效期 3. 重新导出导入 |
| 并发数超限 | 1. 检查当前连接数 2. 升级授权或释放连接 |
第七部分:扩展网络
23. 添加新二级
重复第四部分步骤:
- 获取新二级序列号
- 生成授权(端口自动递增)
- 导出并发送
- 指导二级部署
24. 二级发展三级
如果您的授权允许,二级也可以发展下级:
您(一级)
│
└── 二级 A
│
├── 三级 A1 ──→ 受管端
└── 三级 A2 ──→ 受管端
限制条件:
- 需要您的授权支持多级
- 三级的权限不超过二级
- 二级需要为三级提供 FRP(如需要)
25. 网络容量规划
| 规模 | 建议配置 |
|---|---|
| 小型(<50 二级) | 单服务器即可 |
| 中型(50-200 二级) | 考虑带宽升级 |
| 大型(>200 二级) | 分布式部署,多服务器 |
带宽估算:
- 每个活跃远程桌面:1-5 Mbps
- 每个空闲连接:<10 Kbps
- 建议预留 50% 余量
附录
A. 部署检查清单
总控端
- YAMA.exe 已部署
- 您的授权已导入
- 防火墙已开放主控端口
- FRPS 已启动(如需要)
- 防火墙已开放 FRPS 端口范围
二级控制端
- 二级已获取序列号
- 您已生成授权
- 授权文件已发送给二级
- 二级已导入授权并重启
- 二级 FRP 已连接(如需要)
- 二级已生成受管程序
受管端
- 受管程序已生成
- 已传输到目标电脑
- 已成功上线
B. 网络拓扑示例
完整示例:集中式 FRP 方案
┌──────────────────────────────────────────────────┐
│ 您的服务器 │
│ 公网 IP: 1.2.3.4 │
│ │
│ ┌─────────┐ ┌─────────┐ ┌───────────────┐ │
│ │ YAMA │ │ FRPS │ │ 防火墙 │ │
│ │ (主控) │ │ :7000 │ │ 开放端口说明 │ │
│ └─────────┘ └─────────┘ │───────────────│ │
│ │ │ │ 6543 主控端口│ │
│ │ │ │ 7000 FRPS端口│ │
│ │ │ │ 20000+ 映射端口│ │
│ │ │ └───────────────┘ │
└───────┼──────────────┼───────────────────────────┘
│ │
│ │
─────┴──────────────┴─────────────────
互联网
──────────────────────────────────────
│ │ │
│ │ │
┌───────┴───┐ ┌─────┴─────┐ ┌─────┴─────┐
│ 二级 A │ │ 二级 B │ │ 二级 C │
│ FRP :20001 │ │ FRP :20002 │ │ FRP :20003 │
└───────┬───┘ └─────┬─────┘ └─────┬─────┘
│ │ │
┌────┴────┐ ┌────┴────┐ ┌────┴────┐
│ 受管端 │ │ 受管端 │ │ 受管端 │
│ A1-A10 │ │ B1-B20 │ │ C1-C5 │
└─────────┘ └─────────┘ └─────────┘
C. 常见问题
| 问题 | 原因 | 解决方案 |
|---|---|---|
| 二级无法连接 FRP | 端口未开放 | 检查防火墙和安全组,开放 7000 和映射端口 |
| 授权显示无效 | 序列号不匹配 | 确认二级发送的序列号正确 |
| 并发数超限 | 超过授权限制 | 升级授权或减少同时在线的受管端数量 |
| FRP 连接不稳定 | 网络问题 | 检查服务器带宽,考虑分布式部署 |
| 二级生成的受管端连不上 | 地址端口错误 | 检查二级设置,确认 FRP 配置正确 |
技术支持
| 渠道 | 联系方式 |
|---|---|
| 962914132 | |
| Telegram | @doge_grandfather |