您是否曾經對用於描述 VPN 的用語感到困惑?也許您聽過 IKEv2(互聯網密鑰交換第 2 代)這個術語— 但沒有人向您解釋過它是什麼?如果是這樣的話,您走運了—本文旨在向您介紹 IKEv2 以及它對您作為 VPN 用戶的意義。
簡而言之:什麼是 IKEv2 VPN?
IKEv2 VPN 是 IKEv2/IPsec VPN 協定的簡寫,是世界上最熱門的協定之一。它是 IKEv2 密鑰管理協定(幫助您的裝置和 VPN 伺服器相互識別)和 IPsec 協定(在隧道傳輸和傳輸數據時提供保安)的組合。
目錄
什麼是 IKEv2?
IKEv2 是一個 VPN 協定。其實它真正的名稱是 IKEv2/IPsec,因為它是兩種不同通訊協定的合併。IKEv2 的部分處理您的裝置和 VPN 伺服器之間的保安關聯(決定使用哪種保安連接,然後執行),而 IPsec 則處理所有數據傳輸。
IKE 建立在 Oakley 密鑰確定協定 (Oakley Key Determination Protocol) 和 ISAKMP 之上,這兩個協定界定了被廣泛接受的方法,使兩個裝置能透過不安全的連接交換建立保安密鑰(用於加密數據)所需的數據。
想像一下您想向陌生人傳送一個秘密消息。如果您對其進行加密式/用密碼寫入,那麼任何攔截它的人都無法讀取它 – 但您的收件人也無法讀取它。當您不認識收件人時,如何交換用於讀取消息的密碼?這就是 IKEv2 以類似狼-羊-菜過河問題的遊戲來運作。
IKEv2 使用 X.509 證書(一個識別公共密鑰是屬於您的標準)讓裝置去介紹自己。然後,他們透過 Diffie-Hellman 密鑰交換算法建立「共享秘密」,在這裡作出最好的解釋。
所有這些代表 IKEv2 經過公開測試且遵循被廣泛接受的加密保安標準。
為什麼 IKEv2 和 IPsec 總是在一起?
Microsoft 和 Cisco 共同努力將 IKEv2 焊接到 IPSec。IKEv2 和 IPsec 的合併是其速度的秘密之一。
IKEv2 在用戶空間運作,這授予它對數據儲存的存取權限。這讓它輕鬆檢索保安關聯所需的任何配置數據。
另一方面,IPsec 在核心中運作,即是控制一切深層的電腦系統。這讓它以更快的速度處理數據。
共同工作,IKEv2 使用一些數據包與伺服器建立保安關聯。它再獲取所有數據 — IP 地址、使用的保安措施以及連接使用的埠 — 並將提供予 IPsec,然後 IPsec 使用保安關聯來加密流量。
IPsec 具體是做些什麼?我很高興您提出這個問題 — 我們有一篇很好的文章解釋了 IPsec VPN 的基礎知識。文章還解釋了為什麼它通常被稱為 IKEv2 而不是其全名 IKEv2/IPsec(簡單來說,這是因為 IKEv2 於 2005 年實施 —比 1995 年的 IKEv1 和 IPsec 更新得多)。
IKEv1 和 IKEv2 有什麼分別?
現在,您可能想知道不同的版本有什麼特別之處。IKEv1 和 IKEv2 之間存在相當多的差別,其中的具體細節對於運作 VPN 的人來說最為重要。歸根究底,以下是最重要的四點:
- 由於部分過程的修剪和優化,IKEv2 運作得更快、更有效率;
- IKEv2 消耗更少的寬頻;
- IKEv2 內置 NAT(網絡地址轉換)穿越;
- IKEv2 支援 EAP(可擴充認證協定),令它更加安全。
IKEv2 VPN 安全嗎?
簡短的答案是安全的。
VPN 協定的安全取決於協定本身的實施和內在問題。IKEv2 本身沒有已知的漏洞。
所以,如果您的 VPN 供應商正確地配置了 IKEv2,則不會出現安全性的問題了。
如何在我的裝置上設置 IKEv2
在裝置上設置 IKEv2 的最簡單方法是獲取支援 IKEv2 的 VPN 服務。因此,對於 macOS、iOS 和 Android 用戶,指示可以像這樣簡單:
- 訂購 Surfshark;
- 下載並安裝該應用程式;
- 前往「設定」 > 「VPN設定」 > 「協定」 以切換到 IKEv2。
就是這樣!
現在,如果您想手動進行或者在 Windows 或 Linux 上進行設立,便可能會比較困難。
如何在 Windows 11 上設立 IKEv2
您是否有一個 VPN 供應商以及您要連接到伺服器的設定?那便按照以下步驟:
- 開啟「搜尋」(點按任務欄上 Windows 圖示旁邊的放大鏡);
- 輸入「VPN」;
- 選擇 VPN設定;
- 點按「新增 VPN」;
- 輸入所需的資料;
- 點按任務欄上時鐘旁邊的互聯網連接/音訊/電池(如果是筆記型電腦)圖示;
- 點按「VPN」;
- 選擇您建立的連接;
- 點按「連接」。
如何在 MacOS 上設立 IKEv2?
這是我們以 Surfshark 作為供應商來設立 IKEv2 的指南。 如果您的系統上已安裝了其他供應商及其保安證書,請按照以下進行:
- 存取「系統偏好」並選擇「網絡」;
- 在網絡視窗中,點按「+」圖示並輸入所需的設定,然後點按「建立」:
- 介面:VPN;
- VPN 類型:IKEv2;
- 服務名稱:您可以選擇您喜歡的任何名稱。
- 填寫您從 VPN 供應商處獲得的伺服器地址和遠程 ID;
- 點按「驗證設定…」按鈕,選擇「使用者名稱」作為驗證方法,然後輸入您的憑據;
- 按「確定」並套用設定;
- 點按「連接」以建立連接;
- 如果您已勺選「在選單欄中顯示 VPN 狀態」的格子,您現在便可以直接從選單欄輕鬆連接和中斷連接了。
如何在 Android 上設定 IKEv2
如果您是 Surfshark 用戶,請參閱在 Android 上手動設立 IKEv2 的指南。 否則,您需要從 VPN 供應商處獲得保安證書,然後按照以下進行:
- 在 Google Play 上獲取 StrongSwan VPN 客戶端的應用程式;
- 開啟 strongSwan 應用程式,點按頂部的三個垂直點,然後選擇「CA 證書」;
- 在證書清單上,點按三個垂直點並選擇「匯入證書」;
- 找出您的證書,點按它,然後點擊「匯入證書」;
- 返回 strongSwan 主螢幕,點按「新增 VPN」;
- 在「伺服器」欄位中,輸入您的 VPN 伺服器的主機名稱;
- 在「使用者名稱」和「密碼」欄位中,輸入服務憑證;
- 在配置名稱欄位中輸入您喜歡的任何內容;
- 點按「儲存」;
- 返回主螢幕,點按新的配置檔案以進行連接;
- 就是這樣!
如何於在 Ubuntu 上設立 IKEv2
假設您已經有了 VPN 供應商和伺服器,您可以按照以下進行:
- 開啟終端;
- 輸入「sudo apt-get install -y Strongswan network-manager-strongswan libcharon-extra-plugins」;
- 開啟「連接設定」並選擇「有線連接」,然後選擇「有線設定」;
- 點按「VPN」旁邊的巨型加號;
- 選擇 IKEv2;
- 輸入您的使用者名稱、密碼和 VPN 連接的其他詳細資料;
- 點按「新增」;
- 現在您可以連接到 VPN 了!
如何在 iOS 上設立 IKEv2
這是我們使用 Surfshark 在 iOS 上設立 IKEv2 的指南。 如果您的系統上已安裝了其他供應商及其保安證書,請按照以下進行:
- 開啟裝置上的「設定」應用程式,前往「一般」,然後點按 VPN 的標籤;
- 選擇「新增 VPN 配置…」並填寫所有必需的詳細資料:
- 類型:IKEv2;
- 描述:您對此連接所喜歡的名稱;
- 伺服器:伺服器的主機名。
- 遠程 ID:與您在「伺服器」欄位中輸入的主機名相同;
- 本地 ID:留空;
- 用戶驗證:選擇「使用者名稱」;
- 使用者名稱:您的 VPN 服務使用者名稱;
- 密碼:您的 VPN 服務密碼;
- 代理:關閉。
- 輸入所有詳細資料後按「完成」;
- 現在可以在「設定」 > 「一般」卡中找到您的 VPN 連接了。
IKEv2 與其他協定的比較如何?
當然,除了 IKEv2 之外還有其他協定,人們總是想知道它們之間的比較情況。
互聯網上有很多關於 VPN 協定的錯誤資訊 — 主要是協定本身可以進行比較。以下是 VPN 協定速度和保安的真實總結:
- 沒有已知漏洞的協定被認為是安全的;
- 您的 VPN 連接速度主要取決於:
- 您的互聯網服務質素;
- 您裝置的質素;
- VPN 伺服器的吞吐量和負載;
- 您與 VPN 伺服器之間的距離。
那麼,哪些協定符合保安標準呢?主要有三個 – OpenVPN、WireGuard® 和 IKEv2。所有其他熱門的協定要是已被利用(PPTP、L2TP/IPSec),或是從未經過審核(SSTP)。
歸根究底,任何 VPN 協定的表現都視乎您的裝置與 VPN 伺服器配置的互動。所以,請使用您信任的供應商和最適合您的 VPN 協定!
「WireGuard」 是 Jason A. Donenfeld 的註冊商標。
IKEv2 與 OpenVPN:哪個更好?
對於一般 VPN 用戶而言,IKEv2 和 OpenVPN 非常相似。
- 這兩個協定都非常安全:它們允許很多加密算法並且沒有已知的漏洞;
- IKEv2 基本上是比較快:不同的加密方法代表 IKEv2 幾乎總是比 OpenVPN 更快。速度差別是否有意義則是另一個問題;
- IKEv2 基本上更容易設立:很多操作系統和流動系統本身就支援 IKEv2。要手動設立 OpenVPN,用戶需要下載安裝程式:
- IKEv2 是更加穩定:IKEv2 比 OpenVPN 更能處理重新連接;
- IKEv2 會自動重新連接:並不是說您需要密切留意著 OpenVPN,但流動用戶會喜歡它給予的穩定性。
最後,這兩個協定都很好,即使 IKEv2 對流動用戶有更多好處。
IKEv2 的優點和缺點是什麼?
IKEv2 具有豐富的優點和很少的缺點,包括:
安全加密 | IKEv2/IPsec 加密與時並進,並且與任何其他協定一樣安全。 結合廣泛的裝置支援,即是說 IKEv2/IPsec 讓您保護可能無法運作最新 VPN 協定的裝置。 |
|---|---|
連接的穩定性 | 當您走動時,IKEv2/IPsec 可在網絡之間順暢地切換,一直保持穩定的連接。 流動用戶覺得這樣非常方便,因為他們總是在走動。 |
速度 | KEv2/IPsec 對裝置資源的利用非常高效率。這不單止使其速度更快,而且對較弱的設裝置也更溫和。 這對於智能手機用戶來說非常重要,因為他們沒有像筆記型電腦用戶那樣有多餘的電量。 |
裝置支援 | IKEv2/IPsec 可以在電腦、路由器和智能手機上使用,因為它支援多種不同的平台/操作系統。 只有在您的裝置可以使用安全的 VPN 協定時,它才對您有好處。使用 IKEv2/IPsec,可能確實如此。 |
其缺點甚至不值得一提:WireGuard 比 IKEv2 更新而且更快。
IKEv2 兼容我的裝置嗎?
VPN 協定的兼容性視乎它的使用方式。以下是 Surfshark 的做法:
- Windows:不兼容(大多數用戶改用 WireGuard)
- Android:兼容
- iOS:兼容
- macOS:兼容
- Linux:不兼容
長期以來,IKEv2 一直是流動裝置所推薦的協定,而且它並沒有變差。
總結:IKEv2 是 IKE-OK
IKEv2 是一種被廣泛信任和接受的 VPN 協定。與 IPsec 配合使用可以在很多平台上存取高質素的 VPN 連接。更好的是,它的連接性對流動用戶來說十分吸引,但他們應一直注意自己的資源。這就是為什麼它是 Surfshark VPN 用戶可以選擇的協定之一 — 為什麼自己不成為其中一員並查個究竟呢?
常見問題解答
IKEv2 適合玩遊戲嗎?
IKEv2 是一種很好的遊戲 VPN 協定,因為它佔用的資源相當少。
IKEv2 VPN 安全嗎?
安全的。IKEv2 沒有已知的漏洞,並且受到有效加密的保護。
IKEv2 VPN 是免費的嗎?
IKEv2 VPN 既免費又不免費:
- 它是免費的,因為基本上任何操作系統都支援它;
- 它不是免費的,因為如果沒有正確配置的 VPN 伺服器,它是不能運作的(這也適用於每個 VPN 協定)。
哪個比較好:OpenVPN 還是 IKEv2?
IKEv2 絕對更適合流動裝置,因為它可以更有效地利用硬件資源而且易於重新連接。
攪笑答案:WireGuard。
哪個比較好:IKEv2 還是 L2TP?
IKEv2 提供比 L2TP 更好的保安。
IKEv2 比 IKEv1 更安全嗎?
由於支援 EAP(可擴充驗證協定),IKEv2 比 IKEv1 更安全。它也是較快和運作得較好。
IKEv2 在 iPhone 上代表什麼?
在 iPhone 上,IKEv2 是其中一個 iOS 支援的 VPN 協定。IKEv2 在其他地方也是同樣的。
