部署清单¶

TikTok 跨境电商网络服务¶

版本: 1.0.0
最后更新: 2026-01-15
用途: 客户上线分步部署指南

部署前准备¶

☐ 客户信息收集¶

业务详情: - [ ] 公司名称(法人实体) - [ ] 工商注册号 - [ ] 联系人姓名及职位 - [ ] 主要电话号码 - [ ] 备用电话号码 - [ ] 电子邮箱地址 - [ ] 微信号 - [ ] 业务地址(安装地点)

技术需求: - [ ] 并发设备数量(估计值) - [ ] 所需带宽 (20Mbps / 50Mbps / 100Mbps) - [ ] 选择的服务等级 (基础版 / 标准版 / 企业版) - [ ] 特殊需求或限制 - [ ] 首选安装日期/时间 - [ ] 现场技术联系人

网络环境: - [ ] 当前 ISP (电信 / 联通 / 移动) - [ ] 当前带宽套餐 - [ ] 现有路由器型号(将被替换) - [ ] 网络拓扑(单层办公室 / 多楼层 / 分支机构) - [ ] 静态 IP 需求(是/否)

☐ 服务协议¶

法律文件: - [ ] 服务协议已签署 - [ ] 付款条款已确认(月付/年付) - [ ] 首期付款已收到 - [ ] 发票已开具 - [ ] 服务条款已接受 - [ ] 隐私政策已确认 - [ ] 可接受使用政策已签署

SLA 条款: - [ ] 正常运行时间保证: 99%(基础版), 99.5%(标准版), 99.9%(企业版) - [ ] 响应时间: 24小时(基础版), 8小时(标准版), 2小时(企业版) - [ ] 支持时间已定义 - [ ] 升级流程已记录

☐ 硬件准备¶

客户端设备 (CPE): - [ ] 根据设备数量选择路由器型号: - 基础版(5台设备): 小米 AX3000T / 红米 AX6 - 标准版(20台设备): 小米 AX6000 / 红米 AX6000 - 企业版(不限): x86 迷你主机 (N5105/N100) + OpenWrt - [ ] 路由器已刷入 OpenWrt/ImmortalWrt 固件 - [ ] OpenClash 已安装并测试 - [ ] 电源适配器和线缆已准备 - [ ] 网线 (CAT5e 或更高) - [ ] 挂墙支架(如需要)

VPS 基础设施: - [ ] 已为客户分配 VPS(根据等级共享或独立) - [ ] Xray 已安装并配置 - [ ] Caddy 已安装并获取 TLS 证书 - [ ] 已获取出口节点 SOCKS5 凭证 - [ ] DNS 已配置(A 记录指向 VPS) - [ ] 防火墙规则已配置(端口 80, 443 开放)

配置文件: - [ ] 客户专属 UUID 已生成 - [ ] config.yaml 已从模板定制 - [ ] xray/config.json 已准备 - [ ] Caddyfile 已准备客户子域名 - [ ] Loyalsoldier 规则已下载(最新版本)

部署当天¶

☐ 安装前验证(远程)¶

1. VPS 健康检查 (15分钟):

# SSH 连接到 VPS
ssh root@customer-vps.ata.lol

# 检查 Xray 状态
docker ps | grep xray

# 检查 Caddy 状态
docker ps | grep caddy

# 验证 TLS 证书
curl -I https://customer-vps.ata.lol

# 测试出口节点连接
curl --socks5 proxy.starzone.io:51313 https://ipinfo.io/ip

2. 配置文件审查 (10分钟):

# 在本地机器上
cd /path/to/customer-config

# 验证 UUID 唯一性
grep "uuid" config.yaml

# 验证服务器地址
grep "server:" config.yaml

# 验证 TLS 已启用
grep "tls: true" config.yaml

☐ 现场安装(客户地点)¶

3. 物理安装 (30分钟):

更换现有路由器: - [ ] 拍摄现有路由器连接照片(作为参考) - [ ] 记录现有 WiFi SSID 和密码 - [ ] 关闭现有路由器电源 - [ ] 断开旧路由器 WAN 线 - [ ] 断开旧路由器 LAN 线 - [ ] 移除旧路由器并妥善保管

安装新路由器: - [ ] 将 WAN 线连接到新路由器 WAN 口 - [ ] 将 LAN 线连接到新路由器 LAN 口 (1-4) - [ ] 连接电源适配器 - [ ] 打开路由器电源 - [ ] 等待 60 秒启动

验证基本连接: - [ ] 路由器 LED 指示灯正常(电源, WAN, LAN) - [ ] 笔记本可通过网线连接到路由器 - [ ] 路由器 Web 界面可访问 (http://192.168.1.1 或默认地址) - [ ] 无代理情况下互联网可访问(测试: curl http://baidu.com)

4. OpenClash 配置上传 (20分钟):

# 连接到路由器
ssh root@192.168.1.1
# 默认密码: 查看路由器文档

# 备份现有配置(如果有)
cp /etc/openclash/config.yaml /etc/openclash/config.yaml.backup

# 通过 SCP 上传新配置(从本地机器)
scp config.yaml root@192.168.1.1:/etc/openclash/config.yaml

# 在路由器上: 设置正确权限
chmod 644 /etc/openclash/config.yaml
chown root:root /etc/openclash/config.yaml

• 配置文件上传成功
• 权限设置正确
• 备份已创建

5. 启动 OpenClash 服务 (10分钟):

# 在路由器上
/etc/init.d/openclash start

# 等待 30 秒初始化

# 检查状态
/etc/init.d/openclash status

# 验证进程运行
ps | grep clash

• OpenClash 服务已启动
• 进程运行中(PID 可见)
• 日志中无错误消息

6. 代理健康验证 (15分钟):

# 通过 API 检查代理状态
curl -s http://127.0.0.1:9090/proxies | jq

# 具体检查 LA-VMess
curl -s http://127.0.0.1:9090/proxies/LA-VMess | jq '.alive'
# 预期: true

# 检查 LA-VLESS
curl -s http://127.0.0.1:9090/proxies/LA-VLESS | jq '.alive'
# 预期: true

# 验证出口 IP
curl --proxy http://127.0.0.1:7890 https://ipinfo.io/ip
# 预期: 168.148.92.254 (或客户专用出口 IP)

• LA-VMess: alive=true
• LA-VLESS: alive=true
• 出口 IP 与预期出口节点匹配
• 延迟 <300ms

7. 智能路由验证 (15分钟):

测试国内站点(不应使用代理):

# 从路由器
curl -w "\n%{time_total}\n" http://baidu.com | head -n 1
# 预期: <0.1s (快速, 直连)

curl -w "\n%{time_total}\n" http://taobao.com | head -n 1
# 预期: <0.1s (快速, 直连)

# 检查规则匹配
curl -s http://127.0.0.1:9090/rules | grep -i baidu
# 预期: Rule: DIRECT

• 百度可访问且快速 (<100ms)
• 淘宝可访问且快速 (<100ms)
• 京东可访问且快速 (<100ms)
• 规则显示国内站点为 DIRECT

测试国际站点(应使用代理):

# 从路由器
curl -w "\n%{time_total}\n" https://www.google.com | head -n 1
# 预期: 0.5-2s (通过代理)

curl -w "\n%{time_total}\n" https://www.facebook.com | head -n 1
# 预期: 0.5-2s (通过代理)

# 检查规则匹配
curl -s http://127.0.0.1:9090/rules | grep -i google
# 预期: Rule: PROXY 或 LA-VMess

• Google 可访问(可能较慢, 但可达)
• Facebook 可访问
• Instagram 可访问
• TikTok.com 可访问
• 规则显示国际站点为 PROXY

8. WiFi 配置 (10分钟):

# 通过 Web 界面 (http://192.168.1.1)
# 或通过 SSH

# 设置 WiFi SSID (匹配客户偏好或现有 SSID)
uci set wireless.@wifi-iface[0].ssid='CustomerCompany-Office'

# 设置 WiFi 密码 (最少 8 个字符, WPA2)
uci set wireless.@wifi-iface[0].key='SecurePassword123'

# 启用 WiFi
uci set wireless.@wifi-iface[0].disabled='0'

# 启用 5GHz 频段 (如可用)
uci set wireless.@wifi-iface[1].disabled='0'

# 提交更改
uci commit wireless

# 重启 WiFi
wifi reload

• 2.4GHz WiFi 已启用并广播
• 5GHz WiFi 已启用(如支持)
• SSID 与客户要求匹配
• 密码已记录在客户文件中
• 测试设备可通过 WiFi 连接

9. 终端用户设备测试 (20分钟):

使用客户设备测试:

手机 (iPhone/Android): - [ ] 连接到 WiFi - [ ] 打开微信(应正常, 国内) - [ ] 打开淘宝/京东(应正常, 快速) - [ ] 打开 TikTok 应用(应正常, 可能需要账号) - [ ] 打开 Instagram 应用(应通过代理正常) - [ ] 打开 Chrome, 访问 google.com (应通过代理正常) - [ ] 检查 IP: 访问 ipinfo.io (应显示 168.148.92.254)

笔记本 (Windows/Mac): - [ ] 连接到 WiFi 或网线 - [ ] 打开浏览器, 访问 baidu.com (快速, 直连) - [ ] 打开浏览器, 访问 google.com (较慢, 通过代理) - [ ] 打开 TikTok 卖家中心 (https://seller.tiktok.com) - [ ] 登录客户的 TikTok 账号 - [ ] 验证账号未被标记/封禁 - [ ] 检查 IP: 访问 ipinfo.io (应显示美国 IP)

平板/其他设备: - [ ] 根据需要连接其他设备 - [ ] 验证所有设备可访问互联网 - [ ] 验证无冲突或连接问题

10. 性能基准测试 (10分钟):

# 从连接到路由器的客户端设备

# 速度测试(国内)
curl -o /dev/null -s -w "Speed: %{speed_download} bytes/sec\n" http://speedtest.cn/sample.bin

# 速度测试(国际, 通过代理)
curl -o /dev/null -s -w "Speed: %{speed_download} bytes/sec\n" https://speed.cloudflare.com/__down?bytes=10000000

# 延迟测试
ping -c 10 baidu.com
# 预期: <50ms

ping -c 10 8.8.8.8
# 预期: 180-250ms (通过代理到美国)

• 国内速度 ≥ ISP 带宽 (例如, 100Mbps → ~12MB/s)
• 国际速度 ≥ 服务等级 (基础版: 20Mbps, 标准版: 50Mbps)
• 国内站点延迟 <50ms
• 美国站点延迟 <300ms
• 无丢包

安装后工作¶

☐ 文档交接 (15分钟)¶

11. 客户培训:

• 向客户展示 OpenClash 控制面板 (http://192.168.1.1/cgi-bin/luci/admin/services/openclash)
• 说明代理选择器(如有多个代理)
• 说明如何检查连接状态
• 演示速度测试流程
• 说明互联网停止工作时的处理方法

客户基本故障排除步骤: 1. 检查路由器电源是否开启 2. 检查 WAN 线是否连接 3. 重启路由器(电源循环) 4. 等待 2 分钟, 再次测试 5. 如仍无法工作, 致电支持

• 客户理解基本故障排除
• 客户知道支持联系方式(电话/微信)
• 客户知道支持时间

12. 提供文档:

打印或通过微信发送: - [ ] WiFi SSID 和密码(打印卡片) - [ ] 路由器管理 URL 和凭证 - [ ] 支持热线号码 - [ ] 支持微信二维码 - [ ] 快速故障排除指南(1页 PDF) - [ ] 服务条款(签署副本)

13. 客户验收:

• 客户测试所有所需应用程序
• 客户确认互联网正常工作
• 客户确认 TikTok 可访问
• 客户签署验收表
• 拍摄签署表照片
• 上传到客户记录

远程监控设置¶

☐ 添加到监控系统 (30分钟)¶

14. 配置监控 (如有 Prometheus/Grafana):

# 在监控服务器上
cd /etc/prometheus

# 将客户路由器添加到目标
cat >> prometheus.yml <<EOF
  - job_name: 'customer-router-companyname'
    static_configs:
      - targets: ['customer-router-ip:9090']
        labels:
          customer: 'CompanyName'
          tier: 'Standard'
          location: 'Shanghai'
EOF

# 重新加载 Prometheus
systemctl reload prometheus

• 路由器已添加到 Prometheus 目标
• Grafana 仪表板显示客户指标
• 已配置警报(代理故障, 高延迟)

15. 配置健康检查:

# 创建健康检查脚本(在监控服务器上)
cat > /usr/local/bin/check-customer-router.sh <<'EOF'
#!/bin/bash
ROUTER_IP="customer-router-ip"
PROXY_API="http://${ROUTER_IP}:9090/proxies"

# 检查 LA-VMess 是否存活
ALIVE=$(curl -s ${PROXY_API}/LA-VMess | jq -r '.alive')

if [ "$ALIVE" != "true" ]; then
    # 发送警报(微信/邮件/短信)
    echo "ALERT: Customer router proxy down - $(date)" >> /var/log/alerts.log
    # TODO: 集成到警报系统
fi
EOF

chmod +x /usr/local/bin/check-customer-router.sh

# 添加到 cron (每 5 分钟)
echo "*/5 * * * * /usr/local/bin/check-customer-router.sh" | crontab -

• 健康检查脚本已创建
• Cron 任务已调度
• 测试警报发送成功

16. 更新客户数据库:

• 客户记录已在 CRM/数据库中创建
• 路由器 IP 地址已记录
• VPS 主机名已记录
• 服务等级已记录
• 安装日期已记录
• 下次账单日期已记录
• 支持工单系统已更新

第 1-7 天跟进¶

☐ 安装后监控¶

第 1 天 (安装后 24 小时): - [ ] 检查路由器正常运行时间(应为 100%) - [ ] 检查代理健康状态(alive=true) - [ ] 查看带宽使用情况 - [ ] 致电客户: "一切正常吗?" - [ ] 询问是否有任何问题或疑问

第 3 天 (安装后 72 小时): - [ ] 检查路由器正常运行时间 - [ ] 检查日志中的任何错误模式 - [ ] 查看带宽使用情况(是否在预期范围内?) - [ ] 微信消息: "您好, 只是确认一下。有问题吗?"

第 7 天 (安装后 1 周): - [ ] 完整系统健康检查 - [ ] 生成使用报告 - [ ] 致电客户: "第一周结束, 有什么反馈吗?" - [ ] 询问是否想升级/降级等级 - [ ] 询问是否愿意推荐其他公司(激励?)

发现问题?: - [ ] 在客户记录中记录问题 - [ ] 远程解决问题或安排现场访问 - [ ] 解决后跟进客户

月度维护¶

☐ 定期任务¶

每月 (账单周期前): - [ ] 检查路由器正常运行时间(目标: 99%+) - [ ] 更新 Loyalsoldier 规则(如有新版本) - [ ] 查看带宽使用情况 - [ ] 查看代理延迟趋势 - [ ] 检查固件更新 (OpenWrt/OpenClash) - [ ] 为客户生成月度报告 - [ ] 发送发票 - [ ] 确认付款已收到

季度 (每 3 个月): - [ ] 与客户安排维护窗口 - [ ] 更新路由器固件(如需要) - [ ] 更新 VPS 上的 Xray/Caddy (如有安全补丁) - [ ] 审查并优化规则 - [ ] 客户满意度调查 - [ ] 审查服务等级(升级/降级?)

年度 (每 12 个月): - [ ] 完整系统审计 - [ ] 审查合同续订 - [ ] 提供年付折扣优惠 (15% 折扣) - [ ] 硬件更换(如路由器老旧/故障) - [ ] 审查定价并根据需要调整

部署期间故障排除¶

常见问题及快速修复¶

问题: 路由器无法访问 VPS (连接超时) - 检查: VPS 防火墙(端口 80, 443 开放?) - 检查: VPS 运行中? (在 VPS 上运行 docker ps) - 检查: config.yaml 中服务器地址正确? - 修复: 验证 DNS 解析 (nslookup customer-vps.ata.lol)

问题: 代理显示 alive=false - 检查: xray 配置中 mux 已禁用? (参见 OPENCLASH_MUX_FIX_JAN15_2026.md) - 检查: 出口节点 SOCKS5 工作中? (curl --socks5 proxy.starzone.io:51313 https://ipinfo.io/ip) - 检查: 路由器和 VPS 之间的 UUID 匹配? - 修复: 禁用 mux, 重启 Xray

问题: 国内站点缓慢 - 检查: 规则已加载? (curl http://127.0.0.1:9090/rules | wc -l 应显示 345000+) - 检查: 百度/淘宝在规则中显示 "DIRECT"? - 修复: 重新下载 Loyalsoldier 规则, 重启 OpenClash

问题: 国际站点无法访问 - 检查: 代理健康状态(alive=true?) - 检查: 出口节点工作中? - 检查: 正确的规则优先级(国际站点应匹配 PROXY 规则)? - 修复: 检查 VPS 日志 (docker compose logs xray)

问题: WiFi 未广播 - 检查: 配置中 WiFi 已启用? (uci show wireless) - 检查: 国家代码已设置? (5GHz 需要) - 修复: wifi reload 或 reboot

问题: 客户设备显示"无互联网" - 检查: 路由器 WAN 已连接? - 检查: 路由器可以 ping 8.8.8.8? - 检查: DNS 工作中? (nslookup baidu.com) - 修复: 检查 ISP 连接, 重启路由器

回滚程序¶

如果部署失败¶

方案 A: 现场修复 (如问题轻微): 1. 确定根本原因(检查日志) 2. 应用修复(配置更改, 重启服务) 3. 再次测试 4. 如正常则继续

方案 B: 恢复旧路由器 (如现场无法修复): 1. 关闭新路由器电源 2. 重新连接旧路由器(使用参考照片) 3. 验证客户互联网正常工作 4. 道歉并安排回访 5. 下次访问前远程排查问题

方案 C: 远程恢复 (如路由器可远程访问): 1. 从办公室 SSH 到路由器 2. 查看日志: /tmp/openclash.log 3. 修复配置 4. 重启 OpenClash 5. 远程验证代理健康状态 6. 致电客户测试

部署时间估算¶

总时间: 3-4 小时

建议: 安排 4 小时窗口, 提前到达

部署团队角色¶

小型团队 (1-2 人):¶

工程师 (必需): - 负责所有技术任务 - 配置, 安装, 测试 - 故障排除

销售/客户经理 (可选但推荐): - 客户关系 - 收集反馈 - 追加销售机会 - 处理文书工作

大型团队 (3+ 人):¶

高级工程师: - 部署前验证 - 复杂故障排除 - 远程监控设置

安装技术员: - 现场物理安装 - 基本测试 - 客户培训

客户成功经理: - 客户关系 - 文档交接 - 跟进电话 - 账单和续订

成功标准¶

部署被视为**成功**时:

• 所有代理显示 alive=true
• 国内站点快速 (<100ms, 直连)
• 国际站点可访问 (TikTok, Instagram, Google)
• 出口 IP 与出口节点匹配
• 客户设备全部连接并正常工作
• 客户已培训且满意
• 验收表已签署
• 监控已配置
• 无严重问题

紧急联系方式¶

内部团队¶

• 技术负责人: [电话] / [微信]
• 值班工程师: [电话] (企业版客户 24/7)
• 客户支持: [电话] / [邮箱]

外部供应商¶

• VPS 提供商: [支持 URL] / [工单系统]
• 出口节点提供商: [支持邮箱] / [电话]
• ISP 热线: 10000 (电信), 10010 (联通), 10086 (移动)

附录: 安装前检查清单摘要¶

打印此页并带到客户现场:

☐ 客户信息已收集
☐ 服务协议已签署
☐ 付款已收到
☐ 硬件已准备
☐ VPS 已配置并测试
☐ 配置文件已准备
☐ 工具已准备(笔记本, 线缆, 螺丝刀)
☐ 客户预约已确认
☐ 备用路由器可用(以防失败)
☐ 移动热点可用(如需远程访问)
☐ 客户打印文档
☐ 验收表(空白, 供客户签署)
☐ 名片
☐ 宣传材料(如有)

文档版本: 1.0.0
生效日期: 2026-01-15
下次审查: 2026-04-15 (季度)

维护方: 技术团队
批准方: [管理层姓名]

反馈: 如果您发现错误或有改进此清单的建议, 请更新文档并提交更改到代码仓库。