您是否曾經被 VPN 的各種術語搞得一頭霧水?也許您曾聽過 IKEv2(Internet Key Exchange version 2) 這個術語,但從來沒有人向您解釋過它的含意?如果是這樣,您可來對地方了!這篇文章將帶您認識 IKEv2,並了解它對 VPN 使用者來說,代表了什麼意義。
目錄
什麼是 IKEv2?
在電腦領域中,IKEv2 是一種 VPN 隧道協定,用來確保兩個裝置之間的線上通訊安全。IKEv2 通常與 IPsec 協定搭配使用,形成一種稱為 IKEv2/IPSec VPN 的通訊協定。IKEv2 可以幫助裝置彼此識別,而 IPsec協定則負責保護資料傳輸時的安全性。
IKEv2 乃建構在 Oakley 金鑰協定與 ISAKMP (網際網路安全協定與金鑰管理協定) 的基礎上,兩者所定義的方法,都是在建立安全金鑰 (用於資料加密) 時被廣泛接受的資料交換標準,即使在不安全的網路連線下也能安全運作。
想像一下,您想向陌生人發送一條秘密訊息。如果您用加密的方式書寫,則任何攔截到的人都看不懂,但收件人也一樣無法閱讀。當您不認識收件人時,又如何交換用於閱讀訊息的密碼?這正是 IKEv2 所扮演的角色,有點類似狼、羊與高麗菜過河的問題。
IKEv2 使用 X.509 憑證 (一種標準的公開金鑰識別方式) 讓裝置互相介紹自己。然後再透過 Diffie-Hellman 金鑰交換演算法,創建一個「共同的秘密金鑰」。
這一切都基於公開測試且廣泛接受的加密標準下運作,以確保網路密碼的高度安全性。
為何 IKEv2 和 IPsec 總是同時使用?
IKEv2 和 IPsec 是由 Microsoft 與 Cisco 兩家公司共同整合。該整合也成為 IKEv2/IPsec 速度飛快的原因之一。
IKEv2 運作於使用者層,能存取資料儲存區。它還同時能夠輕鬆檢索安全關聯所需的任何設定資料。
另一方面,IPsec 運作於核心層,核心是電腦系統中最底層、控制所有資源的部分。這使得它能夠以更快的速度處理數據。
在協同運作下,IKEv2 透過少量資料封包與伺服器建立安全關聯。接著將所有資料 (包括 IP 位址、採用的安全機制、連線所使用的埠號) 交給 IPsec,並由 IPsec 依據這些安全關聯,負責加密整個傳輸流量。
IPsec 到底有什麼功能?很高興您提出這個問題,我們有一篇很棒的文章,詳細介紹了 IPsec VPN 的基本概念。該文章還進一步解釋,為什麼我們通常只稱 IKEv2,而不是用全名 IKEv2/IPsec。(簡單來說,是因為 IKEv2 在 2005 年推出,比 1995 年的 IKEv1 和 IPsec 都要新得多。)
IKEv1 和 IKEv2 有什麼不同?
現在您可能會好奇,這些不同版本的差異到底在哪裡。事實上,IKEv1 和 IKEv2 有不少差異,而其中的大部分細節,是 VPN 運營者才需要關心的,但總結起來,以下四點才最為重要:
- 由於對部分流程做了精簡與最佳化,IKEv2 的運作更為順暢;
- IKEv2 使用較少頻寬;
- IKEv2 內建 NAT (網路位址轉換) 穿透功能;
- IKEv2 支援 EAP (可延伸驗證協定),使連線更為安全。
IKEv2 VPN 安全嗎?
簡而言之,答案是肯定的。
VPN 協定的安全性,主要取決於實際運作以及協定本身的問題。目前,IKEv2 本身沒有已知漏洞。
只要您的 VPN 提供商正確配置 IKEv2,就能確保連線過程中不會出現安全問題。
如何在裝置上設定 IKEv2?
在裝置上設定 IKEv2 最簡單的方法,就是選擇支援 IKEv2 的 VPN 服務。以 macOS、iOS 和 Android 裝置為例,設定流程非常簡單:
- 訂閱 Surfshark;
- 下載並安裝應用程式;
- 前往「設定」>「VPN 設定」>「通訊協定」,切換至 IKEv2。
就是這麼簡單!
如果您想手動設定,或是在 Windows 或 Linux 裝置上進行設定,整個過程就會複雜許多。
如何在 Windows 11 上設定 IKEv2?
您是否已經有了 VPN 服務提供商和伺服器的連線設定?那麼請依照以下步驟操作:
- 開啟「搜尋」(點擊工作列上 Windows 圖示旁邊的放大鏡圖示);
- 輸入「VPN」;
- 選擇「VPN 設定」;
- 點擊「新增 VPN」;
- 輸入所需資料;
- 點擊工作列上時鐘旁邊的網路連線/音訊/電池 (如果為筆記型電腦) 圖示;
- 點擊「VPN」;
- 選擇您剛剛建立的連線;
- 點擊「連線」。
如何在 macOS 上設定 IKEv2?
您可以參考我們以 Surfshark 作為服務提供商的 IKEv2 設定指南。如果您使用其他 VPN 提供商,並且已安裝他們提供的安全憑證,可以按照以下步驟操作:
- 打開「系統偏好設定」,然後選擇「網路」;
- 在網路視窗中,點擊「+」圖示,輸入所需設定,再點擊「建立」:
- 介面:VPN;
- VPN 類型:IKEv2;
- 服務名稱:可以自行輸入任何您喜歡的名稱。
- 填入您從 VPN 提供商處取得的伺服器位址和遠端 ID;
- 點擊「認證設定…」按鈕,選擇「使用者名稱」作為認證方式,然後輸入您的登入帳號及密碼;
- 按「確定」並套用設定;
- 點擊「連線」以建立連線;
- 如果您勾選了「在選單列中顯示 VPN 狀態」的選項,就可以直接從選單列中快速連線或中斷連線。
如何在 Android 上設定 IKEv2?
如果您是 Surfshark 用戶,可以直接參考我們的 Android 手動設定指南。如果您使用其他 VPN 服務商,且已取得他們提供的安全憑證,可以按照以下步驟進行設定:
- 在 Google Play 下載並安裝 strongSwan VPN 客戶端應用程式;
- 打開 strongSwan 應用程式,點擊右上角的三個垂直點,選擇「CA憑證」;
- 在憑證列表中,點擊三個垂直點,選擇「匯入憑證」;
- 找到您的安全憑證,點擊後選擇「匯入憑證」;
- 返回 strongSwan 主畫面,點擊「新增VPN」;
- 在「伺服器」欄位中,輸入您的 VPN 伺服器的主機名稱;
- 在「使用者名稱」和「密碼」欄位中,輸入服務憑證;
- 在設定檔名稱欄位中輸入您想要的任何名稱;
- 點擊「儲存」;
- 返回主畫面,點擊剛剛建立的設定檔即可連線;
- 大功告成!
如何在 Ubuntu 上設定 IKEv2
如果您已經有了 VPN 服務提供商和伺服器的連線設定,請依照以下步驟操作:
- 開啟終端機;
- 輸入「sudo apt-get install -y strongswan network-manager-strongswan libcharon-extra-plugins」;
- 開啟「連線設定」,選擇「有線連線」,然後選擇「有線設定」;
- 點擊「VPN」旁邊的大加號;
- 選擇 IKEv2;
- 輸入您的使用者名稱、密碼和 VPN 連線的其他詳細資訊;
- 點擊「新增」;
- 現在您可以連線到 VPN 了!
如何在 iOS 上設定 IKEv2
您可以參考我們以 Surfshark 作為服務提供商,在 iOS 上的 IKEv2 設定指南。如果您使用其他 VPN 提供商,並且已安裝他們提供的安全憑證,可以按照以下步驟操作:
- 開啟裝置上的「設定」應用程式,前往「一般」,然後點擊「VPN」標籤;
- 選擇「新增 VPN 設定…」,然後填寫所有必要的詳細資訊:
- 類型:IKEv2;
- 描述: 您偏好的該連線名稱;
- 伺服器: 伺服器的主機名稱。
- 遠端 ID: 與您在「伺服器」欄位中輸入的相同主機名稱;
- 本機 ID: 留空;
- 使用者認證: 選擇「使用者名稱」;
- 使用者名稱: 您的 VPN 服務使用者名稱;
- 密碼: 您的 VPN 服務密碼;
- Proxy: 關閉。
- 輸入所有詳細資訊後,按下「完成」;
- 您現在可以在「設定」>「一般」中的「VPN」標籤下找到您的 VPN 連線。
IKEv2 與其他協定有何不同?
當然,除了 IKEv2 以外還有其他 VPN 協定,而大家最想知道的就是彼此之間有何差異?
網路上有很多關於 VPN 協定的錯誤資訊,主要是認為協定本身可以進行比較。真正影響 VPN 連線速度與安全性的關鍵是:
- 協定本身如果沒有已知漏洞,則可視為「安全」。
- 您的 VPN 連線速度主要取決於:
- 您的網路服務品質;
- 您所使用的裝置效能;
- VPN 伺服器的吞吐量和負載情況;
- 您與 VPN 伺服器之間的距離。
那麼,哪些協定符合安全標準?主要是三種:OpenVPN、WireGuard® 和 IKEv2。其他熱門的協定都存在已知漏洞 (PPTP、L2TP/IPSec),或從未經過審核 (SSTP)。
歸根究柢,VPN 協定的表現,乃取決於裝置與 VPN 伺服器設定的互動情況。因此,請選擇您信賴的提供商,以及最適合自己需求的 VPN 協定!
「WireGuard」為 Jason A. Donenfeld 的註冊商標。
IKEv2 vs. OpenVPN:哪個更好?
對於一般的 VPN 使用者來說,IKEv2 和 OpenVPN 沒有多大差異。
- 這兩種協定都非常安全:都支援多種加密演算法,且沒有已知漏洞;
- 從技術上講,IKEv2 更快:因為加密處理方式不同,通常 IKEv2 的連線速度比 OpenVPN 快。而速度上的差異是否明顯,則是另外一個話題。
- 從技術上講,IKEv2 更容易設定:許多作業系統和行動系統原生支援 IKEv2。要手動設定 OpenVPN,使用者通常需要下載安裝程式;
- IKEv2 更穩定:IKEv2 比 OpenVPN 在重新連線的表現更為優異;
- IKEv2 會自動重新連線:雖然 OpenVPN 的連線也很穩定,但對於行動裝置使用者來說,IKEv2 的穩定性更佳。
總而言之,這兩種協定都很優秀,但 IKEv2 對於行動使用者會是更好的選擇。
IKEv2 的優點與缺點
IKEv2 有許多優點,缺點則很少,包括:
安全加密技術 | IKEv2/IPsec 加密技術與時俱進,與現今任何其他協定一樣安全。 加上支援各種裝置,即使是無法運行最新 VPN 協定的裝置,也能使用 IKEv2/IPsec 保護連線。 |
|---|---|
連線穩定 | 當您移動時,IKEv2/IPsec 可以在不同的網路間順暢切換,始終保持穩定的連線。 對於經常移動的行動裝置使用者來說,特別實用。 |
速度 | IKEv2/IPsec 對裝置資源的使用非常高效。這不僅使其速度更快,而且對低效能的裝置也更友善。 這對於智慧型手機的使用者來說非常重要,因為不像筆記型電腦的使用者那樣有更多的電力可以消耗。 |
裝置支援 | IKEv2/IPsec 可以在電腦、路由器和智慧型手機上運作,因為它支援相當多的平台及作業系統。 安全協定再好,若裝置無法使用也毫無意義。IKEv2 幾乎在所有主流裝置上都能輕鬆運作。 |
提到 IKEv2 的缺點,可以不用額外列表:WireGuard 比 IKEv2 更新、速度更快。
IKEv2 是否與我的裝置相容?
VPN 協定的相容性,取決於該協定的運作方式。以 Surfshark 為例,目前的情況如下:
- Windows:不支援 (大多數用戶已改用 WireGuard)
- Android:支援
- iOS:支援
- macOS:支援
- Linux:不支援
IKEv2 長期以來一直被推薦作為行動裝置最佳的 VPN 協定,直到今天,它在這方面的表現依然出色。
總而言之:IKEv2,就是「IKE-OK」
IKEv2 是一種廣受信賴和接受的 VPN 協定。搭配 IPsec 使用,能在多種平台上提供高品質的 VPN 連線體驗;更棒的是,其連線能力特別適合行動裝置的使用者,有效節省裝置資源。這也是為什麼 Surfshark VPN 將 IKEv2 列為可選協定之一。現在就加入 Surfshark,體驗快速又安全的行動 VPN 吧!
常見問答集
IKEv2 適合網路遊戲嗎?
是的,IKEv2 非常適合遊戲使用,因為它對資源的使用相當輕巧。
IKEv2 VPN 安全嗎?
是的。IKEv2 沒有已知漏洞,並且搭配強大加密技術。
IKEv2 VPN 是免費的嗎?
IKEv2 VPN 可以說是免費,也可以說不是:
- 免費的部分:基本上所有作業系統都原生支援 IKEv2;
- 非免費的部分:您仍然需要連接到正確設定的 VPN 伺服器 (根據 VPN 所配置的協定),否則仍無法運作。
哪個更好?是 OpenVPN 還是 IKEv2?
由於 IKEv2 更有效率地利用硬體資源且更容易重新連線,因此更適合行動裝置。
搞笑版回答:WireGuard 更強。
哪個更好?是 IKEv2 還是 L2TP?
IKEv2 提供遠優於 L2TP 的安全性。
IKEv2 比 IKEv1 更安全嗎?
是的,由於 IKEv2 支援 EAP (可延伸驗證協定),因此比 IKEv1 更加安全。其速度更快、穩定性更好。
在 iPhone 上使用 IKEv2 有什麼作用?
在 iPhone 上,IKEv2 是 iOS 支援的 VPN 協定之一。在其他裝置上,IKEv2 也具有相同的作用。
