representation of IKEv2/IPsec

您是否曾經對用於描述 VPN 的用語感到困惑?也許您聽過 IKEv2(互聯網密鑰交換第 2 代)這個術語— 但沒有人向您解釋過它是什麼?如果是這樣的話,您走運了—本文旨在向您介紹 IKEv2 以及它對您作為 VPN 用戶的意義。

簡而言之:什麼是 IKEv2 VPN?

IKEv2 VPN 是 IKEv2/IPsec VPN 協定的簡寫,是世界上最熱門的協定之一。它是 IKEv2 密鑰管理協定(幫助您的裝置和 VPN 伺服器相互識別)和 IPsec 協定(在隧道傳輸和傳輸數據時提供保安)的組合。

目錄

    什麼是 IKEv2?

    IKEv2 是一個 VPN 協定。其實它真正的名稱是 IKEv2/IPsec,因為它是兩種不同通訊協定的合併。IKEv2 的部分處理您的裝置和 VPN 伺服器之間的保安關聯(決定使用哪種保安連接,然後執行),而 IPsec 則處理所有數據傳輸 

    IKE 建立在 Oakley 密鑰確定協定 (Oakley Key Determination Protocol) 和 ISAKMP 之上,這兩個協定界定了被廣泛接受的方法,使兩個裝置能透過不安全的連接交換建立保安密鑰(用於加密數據)所需的數據。 

    想像一下您想向陌生人傳送一個秘密消息。如果您對其進行加密式/用密碼寫入,那麼任何攔截它的人都無法讀取它 – 但您的收件人也無法讀取它。當您不認識收件人時,如何交換用於讀取消息的密碼?這就是 IKEv2 以類似狼-羊-菜過河問題的遊戲來運作。 

    IKEv2 使用 X.509 證書(一個識別公共密鑰是屬於您的標準)讓裝置去介紹自己。然後,他們透過 Diffie-Hellman 密鑰交換算法建立「共享秘密」,在這裡作出最好的解釋。 

    所有這些代表 IKEv2 經過公開測試且遵循被廣泛接受的加密保安標準

    為什麼 IKEv2 和 IPsec 總是在一起?

    Microsoft 和 Cisco 共同努力將 IKEv2 焊接到 IPSec。IKEv2 和 IPsec 的合併是其速度的秘密之一。 

    IKEv2 在用戶空間運作,這授予它對數據儲存的存取權限。這讓它輕鬆檢索保安關聯所需的任何配置數據 

    另一方面,IPsec 在核心中運作,即是控制一切深層的電腦系統。這讓它以更快的速度處理數據 

    An image explaining how IPsec and IKEv2 work together.

    共同工作,IKEv2 使用一些數據包與伺服器建立保安關聯它再獲取所有數據 — IP 地址、使用的保安措施以及連接使用的埠 — 並將提供予 IPsec,然後 IPsec 使用保安關聯來加密流量 

    IPsec 具體是做些什麼?我很高興您提出這個問題 — 我們有一篇很好的文章解釋了 IPsec VPN 的基礎知識文章還解釋了為什麼它通常被稱為 IKEv2 而不是其全名 IKEv2/IPsec(簡單來說,這是因為 IKEv2 於 2005 年實施 —比 1995 年的 IKEv1 和 IPsec 更新得多)。

    IKEv1 和 IKEv2 有什麼分別?

    現在,您可能想知道不同的版本有什麼特別之處。IKEv1 和 IKEv2 之間存在相當多的差別,其中的具體細節對於運作 VPN 的人來說最為重要。歸根究底,以下是最重要的四點:

    1. 由於部分過程的修剪和優化,IKEv2 運作得更快、更有效率
    2. IKEv2 消耗更少的寬頻
    3. IKEv2 內置 NAT(網絡地址轉換)穿越;
    4. IKEv2 支援 EAP(可擴充認證協定),令它更加安全。

    IKEv2 VPN 安全嗎?

    簡短的答案是安全的

    VPN 協定的安全取決於協定本身的實施和內在問題。IKEv2 本身沒有已知的漏洞

    所以,如果您的 VPN 供應商正確地配置了 IKEv2,則不會出現安全性的問題了

    如何在我的裝置上設置 IKEv2

    在裝置上設置 IKEv2 的最簡單方法是獲取支援 IKEv2 的 VPN 服務。因此,對於 macOS、iOS 和 Android 用戶,指示可以像這樣簡單:

    1. 訂購 Surfshark;
    2. 下載並安裝該應用程式;
    3. 前往「設定」 > 「VPN設定」 > 「協定」 以切換到 IKEv2。 

    就是這樣!

    現在,如果您想手動進行或者在 Windows 或 Linux 上進行設立,便可能會比較困難。

    如何在 Windows 11 上設立 IKEv2

    您是否有一個 VPN 供應商以及您要連接到伺服器的設定?那便按照以下步驟: 

    1. 開啟「搜尋」(點按任務欄上 Windows 圖示旁邊的放大鏡);
    2. 輸入「VPN」;
    3. 選擇 VPN設定;
    4. 點按「新增 VPN」;
    5. 輸入所需的資料;
    6. 點按任務欄上時鐘旁邊的互聯網連接/音訊/電池(如果是筆記型電腦)圖示;
    7. 點按「VPN」;
    8. 選擇您建立的連接;
    9. 點按「連接」。

    如何在 MacOS 上設立 IKEv2?

    這是我們以 Surfshark 作為供應商來設立 IKEv2 的指南。 如果您的系統上已安裝了其他供應商及其保安證書,請按照以下進行:

    1. 存取「系統偏好」並選擇「網絡」;
    2. 網絡視窗中,點按「+」圖示並輸入所需的設定,然後點按「建立」:
      1. 介面:VPN;
      2. VPN 類型:IKEv2;
      3. 服務名稱:可以選擇您喜歡的任何名稱。
    3. 填寫您從 VPN 供應商處獲得的伺服器地址和遠程 ID; 
    4. 點按「驗證設定…」按鈕,選擇「使用者名稱」作為驗證方法,然後輸入您的憑據;
    5. 「確定」並套用設定;
    6. 點按「連接」以建立連接;
    7. 如果您已勺選「在選單欄中顯示 VPN 狀態」的格子,您現在便可以直接從選單欄輕鬆連接和中斷連接了。

    如何在 Android 上設定 IKEv2 

    如果您是 Surfshark 用戶,請參閱在 Android 上手動設立 IKEv2 的指南。 否則,您需要從 VPN 供應商處獲得保安證書,然後按照以下進行: 

    1. 在 Google Play 上獲取 StrongSwan VPN 客戶端的應用程式;
    2. 開啟 strongSwan 應用程式,點按頂部的三個垂直點,然後選擇「CA 證書」;
    3. 在證書清單上,點按三個垂直點並選擇「匯入證書」;
    4. 找出您的證書,點按它,然後點擊「匯入證書」;
    5. 返回 strongSwan 主螢幕,點按「新增 VPN」;
    6. 「伺服器」欄位中,輸入您的 VPN 伺服器的主機名稱;
    7. 「使用者名稱」和「密碼」欄位中,輸入服務憑證;
    8. 在配置名稱欄位中輸入您喜歡的任何內容;
    9. 點按「儲存」;
    10. 返回主螢幕,點按新的配置檔案以進行連接;
    11. 就是這樣!

    如何於在 Ubuntu 上設立 IKEv2

    假設您已經有了 VPN 供應商和伺服器,您可以按照以下進行:

    1. 開啟終端;
    2. 輸入「sudo apt-get install -y Strongswan network-manager-strongswan libcharon-extra-plugins」;
    3. 開啟「連接設定」並選擇「有線連接」,然後選擇「有線設定」;
    4. 點按「VPN」旁邊的巨型加號;
    5. 選擇 IKEv2;
    6. 輸入您的使用者名稱、密碼和 VPN 連接的其他詳細資料;
    7. 點按「新增」;
    8. 現在您可以連接到 VPN 了!

    如何在 iOS 上設立 IKEv2

    這是我們使用 Surfshark 在 iOS 上設立 IKEv2 的指南。 如果您的系統上已安裝了其他供應商及其保安證書,請按照以下進行:

    1. 開啟裝置上的「設定」應用程式,前往「一般」,然後點按 VPN 的標籤;
    2. 選擇「新增 VPN 配置…」並填寫所有必需的詳細資料:
      1. 類型:IKEv2;
      2. 描述:您對此連接所喜歡的名稱;
      3. 伺服器:伺服器的主機名。
      4. 遠程 ID:與您在「伺服器」欄位中輸入的主機名相同;
      5. 本地 ID:留空;
      6. 用戶驗證:選擇「使用者名稱」;
      7. 使用者名稱:您的 VPN 服務使用者名稱;
      8. 密碼:您的 VPN 服務密碼;
      9. 代理:關閉。
    3. 輸入所有詳細資料後按「完成」;
    4. 現在可以在「設定」 > 「一般」卡中找到您的 VPN 連接了。

    IKEv2 與其他協定的比較如何?

    當然,除了 IKEv2 之外還有其他協定,人們總是想知道它們之間的比較情況。

    互聯網上有很多關於 VPN 協定的錯誤資訊 — 主要是協定本身可以進行比較。以下是 VPN 協定速度和保安的真實總結:

    1. 沒有已知漏洞的協定被認為是安全的;
    2. 您的 VPN 連接速度主要取決於:
      1. 您的互聯網服務質素;
      2. 您裝置的質素;
      3. VPN 伺服器的吞吐量和負載;
      4. 您與 VPN 伺服器之間的距離。

    那麼,哪些協定符合保安標準呢?主要有三個 – OpenVPN、WireGuard® IKEv2所有其他熱門的協定要是已被利用(PPTP、L2TP/IPSec),或是從未經過審核(SSTP)。

    歸根究底,任何 VPN 協定的表現都視乎您的裝置與 VPN 伺服器配置的互動所以,請使用您信任的供應商和最適合您的 VPN 協定!

    「WireGuard」 是 Jason A. Donenfeld 的註冊商標。

    IKEv2 與 OpenVPN:哪個更好?

    對於一般 VPN 用戶而言,IKEv2 和 OpenVPN 非常相似。 

    • 這兩個協定都非常安全:它們允許很多加密算法並且沒有已知的漏洞; 
    • IKEv2 基本上是比較快:不同的加密方法代表 IKEv2 幾乎總是比 OpenVPN 更快。速度差別是否有意義則是另一個問題; 
    • IKEv2 基本上更容易設立:很多操作系統和流動系統本身就支援 IKEv2。要手動設立 OpenVPN,用戶需要下載安裝程式: 
    • IKEv2 是更加穩定:IKEv2 比 OpenVPN 更能處理重新連接; 
    • IKEv2 會自動重新連接:並不是說您需要密切留意著 OpenVPN,但流動用戶會喜歡它給予的穩定性。 

    最後,這兩個協定都很好,即使 IKEv2 對流動用戶有更多好處。 

    IKEv2 的優點和缺點是什麼? 

    IKEv2 具有豐富的優點和很少的缺點,包括:

    安全加密
    IKEv2/IPsec 加密與時並進,並且與任何其他協定一樣安全。

    結合廣泛的裝置支援,即是說 IKEv2/IPsec 讓您保護可能無法運作最新 VPN 協定的裝置。
    連接的穩定性
    當您走動時,IKEv2/IPsec 可在網絡之間順暢地切換,一直保持穩定的連接。

    流動用戶覺得這樣非常方便,因為他們總是在走動。
    速度
    KEv2/IPsec 對裝置資源的利用非常高效率。這不單止使其速度更快,而且對較弱的設裝置也更溫和。

    這對於智能手機用戶來說非常重要,因為他們沒有像筆記型電腦用戶那樣有多餘的電量。
    裝置支援
    IKEv2/IPsec 可以在電腦、路由器和智能手機上使用,因為它支援多種不同的平台/操作系統。

    只有在您的裝置可以使用安全的 VPN 協定時,它才對您有好處。使用 IKEv2/IPsec,可能確實如此。

    其缺點甚至不值得一提:WireGuard 比 IKEv2 更新而且更快。 

    IKEv2 兼容我的裝置嗎?

    VPN 協定的兼容性視乎它的使用方式。以下是 Surfshark 的做法:

    • Windows:不兼容(大多數用戶改用 WireGuard)
    • Android:兼容
    • iOS:兼容
    • macOS:兼容
    • Linux:不兼容 

    長期以來,IKEv2 一直是流動裝置所推薦的協定,而且它並沒有變差 

    總結:IKEv2 是 IKE-OK

    IKEv2 是一種被廣泛信任和接受的 VPN 協定。與 IPsec 配合使用可以在很多平台上存取高質素的 VPN 連接。更好的是,它的連接性對流動用戶來說十分吸引,但他們應一直注意自己的資源。這就是為什麼它是 Surfshark VPN 用戶可以選擇的協定之一 — 為什麼自己不成為其中一員並查個究竟呢?

    獲得快速的流動 VPN

    獲取 Surfshark

    常見問題解答

    IKEv2 適合玩遊戲嗎?

    IKEv2 是一種很好的遊戲 VPN 協定,因為它佔用的資源相當少。 

    IKEv2 VPN 安全嗎?

    安全的。IKEv2 沒有已知的漏洞,並且受到有效加密的保護。 

    IKEv2 VPN 是免費的嗎?

    IKEv2 VPN 既免費又不免費:

    1. 它是免費的,因為基本上任何操作系統都支援它;
    2. 它不是免費的,因為如果沒有正確配置的 VPN 伺服器,它是不能運作的(這也適用於每個 VPN 協定)。 

    哪個比較好:OpenVPN 還是 IKEv2?

    IKEv2 絕對更適合流動裝置,因為它可以更有效地利用硬件資源而且易於重新連接。

    攪笑答案:WireGuard。 

    哪個比較好:IKEv2 還是 L2TP?

    IKEv2 提供比 L2TP 更好的保安。

    IKEv2 比 IKEv1 更安全嗎?

    由於支援 EAP(可擴充驗證協定),IKEv2 比 IKEv1 更安全。它也是較快和運作得較好。 

    IKEv2 在 iPhone 上代表什麼?

    在 iPhone 上,IKEv2 是其中一個 iOS 支援的 VPN 協定。IKEv2 在其他地方也是同樣的。