representation of IKEv2/IPsec

您是否曾經被 VPN 的各種術語搞得一頭霧水?也許您曾聽過 IKEv2(Internet Key Exchange version 2) 這個術語,但從來沒有人向您解釋過它的含意?如果是這樣,您可來對地方了!這篇文章將帶您認識 IKEv2,並了解它對 VPN 使用者來說,代表了什麼意義。

目錄

    什麼是 IKEv2?

    在電腦領域中,IKEv2 是一種 VPN 隧道協定,用來確保兩個裝置之間的線上通訊安全。IKEv2 通常與 IPsec 協定搭配使用,形成一種稱為 IKEv2/IPSec VPN 的通訊協定。IKEv2 可以幫助裝置彼此識別,而 IPsec協定則負責保護資料傳輸時的安全性。

    IKEv2 乃建構在 Oakley 金鑰協定與 ISAKMP (網際網路安全協定與金鑰管理協定) 的基礎上,兩者所定義的方法,都是在建立安全金鑰 (用於資料加密) 時被廣泛接受的資料交換標準,即使在不安全的網路連線下也能安全運作。 

    想像一下,您想向陌生人發送一條秘密訊息。如果您用加密的方式書寫,則任何攔截到的人都看不懂,但收件人也一樣無法閱讀。當您不認識收件人時,又如何交換用於閱讀訊息的密碼?這正是 IKEv2 所扮演的角色,有點類似狼、羊與高麗菜過河的問題。 

    IKEv2 使用 X.509 憑證 (一種標準的公開金鑰識別方式) 讓裝置互相介紹自己。然後再透過 Diffie-Hellman 金鑰交換演算法,創建一個「共同的秘密金鑰」。 

    這一切都基於公開測試且廣泛接受的加密標準下運作,以確保網路密碼的高度安全性。

    為何 IKEv2 和 IPsec 總是同時使用?

    IKEv2 和 IPsec 是由 Microsoft 與 Cisco 兩家公司共同整合。該整合也成為 IKEv2/IPsec 速度飛快的原因之一。 

    IKEv2 運作於使用者層,能存取資料儲存區。它還同時能夠輕鬆檢索安全關聯所需的任何設定資料 

    另一方面,IPsec 運作於核心層,核心是電腦系統中最底層、控制所有資源的部分。這使得它能夠以更快的速度處理數據 

    An image explaining how IPsec and IKEv2 work together.

    在協同運作下,IKEv2 透過少量資料封包與伺服器建立安全關聯接著將所有資料 (包括 IP 位址、採用的安全機制、連線所使用的埠號) 交給 IPsec,並由 IPsec 依據這些安全關聯,負責加密整個傳輸流量 

    IPsec 到底有什麼功能?很高興您提出這個問題,我們有一篇很棒的文章,詳細介紹了 IPsec VPN 的基本概念該文章還進一步解釋,為什麼我們通常只稱 IKEv2,而不是用全名 IKEv2/IPsec。(簡單來說,是因為 IKEv2 在 2005 年推出,比 1995 年的 IKEv1 和 IPsec 都要新得多。)

    IKEv1 和 IKEv2 有什麼不同?

    現在您可能會好奇,這些不同版本的差異到底在哪裡。事實上,IKEv1 和 IKEv2 有不少差異,而其中的大部分細節,是 VPN 運營者才需要關心的,但總結起來,以下四點才最為重要:

    1. 由於對部分流程做了精簡與最佳化,IKEv2 的運作更為順暢
    2. IKEv2 使用較少頻寬
    3. IKEv2 內建 NAT (網路位址轉換) 穿透功能
    4. IKEv2 支援 EAP (可延伸驗證協定),使連線更為安全。

    IKEv2 VPN 安全嗎?

    簡而言之,答案是肯定的

    VPN 協定的安全性,主要取決於實際運作以及協定本身的問題。目前,IKEv2 本身沒有已知漏洞

    只要您的 VPN 提供商正確配置 IKEv2,就能確保連線過程中不會出現安全問題

    如何在裝置上設定 IKEv2?

    在裝置上設定 IKEv2 最簡單的方法,就是選擇支援 IKEv2 的 VPN 服務。以 macOS、iOS 和 Android 裝置為例,設定流程非常簡單:

    1. 訂閱 Surfshark;
    2. 下載並安裝應用程式;
    3. 前往「設定」>「VPN 設定」>「通訊協定」,切換至 IKEv2。 

    就是這麼簡單!

    如果您想手動設定,或是在 Windows 或 Linux 裝置上進行設定,整個過程就會複雜許多。

    如何在 Windows 11 上設定 IKEv2?

    您是否已經有了 VPN 服務提供商和伺服器的連線設定?那麼請依照以下步驟操作: 

    1. 開啟「搜尋」(點擊工作列上 Windows 圖示旁邊的放大鏡圖示);
    2. 輸入「VPN」;
    3. 選擇「VPN 設定」;
    4. 點擊「新增 VPN」;
    5. 輸入所需資料;
    6. 點擊工作列上時鐘旁邊的網路連線/音訊/電池 (如果為筆記型電腦) 圖示;
    7. 點擊「VPN」;
    8. 選擇您剛剛建立的連線;
    9. 點擊「連線」。

    如何在 macOS 上設定 IKEv2?

    您可以參考我們以 Surfshark 作為服務提供商的 IKEv2 設定指南如果您使用其他 VPN 提供商,並且已安裝他們提供的安全憑證,可以按照以下步驟操作:

    1. 打開「系統偏好設定」,然後選擇「網路」
    2. 網路視窗中,點擊「+」圖示,輸入所需設定,再點擊「建立」:
      1. 介面:VPN;
      2. VPN 類型:IKEv2;
      3. 服務名稱:可以自行輸入任何您喜歡的名稱。
    3. 填入您從 VPN 提供商處取得的伺服器位址和遠端 ID; 
    4. 點擊「認證設定…」按鈕,選擇「使用者名稱」作為認證方式,然後輸入您的登入帳號及密碼;
    5. 「確定」並套用設定;
    6. 點擊「連線」以建立連線;
    7. 如果勾選了「在選單列中顯示 VPN 狀態」的選項,就可以直接從選單列中快速連線或中斷連線。

    如何在 Android 上設定 IKEv2? 

    如果您是 Surfshark 用戶,可以直接參考我們的 Android 手動設定指南如果您使用其他 VPN 服務商,且已取得他們提供的安全憑證,可以按照以下步驟進行設定: 

    1. 在 Google Play 下載並安裝 strongSwan VPN 客戶端應用程式;
    2. 打開 strongSwan 應用程式,點擊右上角的三個垂直點,選擇「CA憑證」;
    3. 在憑證列表中,點擊三個垂直點,選擇「匯入憑證」;
    4. 找到您的安全憑證,點擊後選擇「匯入憑證」;
    5. 返回 strongSwan 主畫面,點擊「新增VPN」;
    6. 「伺服器」欄位中,輸入您的 VPN 伺服器的主機名稱;
    7. 「使用者名稱」和「密碼」欄位中,輸入服務憑證;
    8. 在設定檔名稱欄位中輸入您想要的任何名稱;
    9. 點擊「儲存」;
    10. 返回主畫面,點擊剛剛建立的設定檔即可連線;
    11. 大功告成!

    如何在 Ubuntu 上設定 IKEv2

    如果您已經有了 VPN 服務提供商和伺服器的連線設定,請依照以下步驟操作:

    1. 開啟終端機;
    2. 輸入「sudo apt-get install -y strongswan network-manager-strongswan libcharon-extra-plugins」;
    3. 開啟「連線設定」,選擇「有線連線」,然後選擇「有線設定」;
    4. 點擊「VPN」旁邊的大加號;
    5. 選擇 IKEv2;
    6. 輸入您的使用者名稱、密碼和 VPN 連線的其他詳細資訊;
    7. 點擊「新增」;
    8. 現在您可以連線到 VPN 了!

    如何在 iOS 上設定 IKEv2

    您可以參考我們以 Surfshark 作為服務提供商,在 iOS 上的 IKEv2 設定指南如果您使用其他 VPN 提供商,並且已安裝他們提供的安全憑證,可以按照以下步驟操作:

    1. 開啟裝置上的「設定」應用程式,前往「一般」,然後點擊「VPN」標籤;
    2. 選擇「新增 VPN 設定…」,然後填寫所有必要的詳細資訊:
      1. 類型:IKEv2;
      2. 描述: 您偏好的該連線名稱;
      3. 伺服器: 伺服器的主機名稱。
      4. 遠端 ID: 與您在「伺服器」欄位中輸入的相同主機名稱;
      5. 本機 ID: 留空;
      6. 使用者認證: 選擇「使用者名稱」;
      7. 使用者名稱: 您的 VPN 服務使用者名稱;
      8. 密碼: 您的 VPN 服務密碼;
      9. Proxy: 關閉。
    3. 輸入所有詳細資訊後,按下「完成」;
    4. 您現在可以在「設定」>「一般」中的「VPN」標籤下找到您的 VPN 連線。

    IKEv2 與其他協定有何不同?

    當然,除了 IKEv2 以外還有其他 VPN 協定,而大家最想知道的就是彼此之間有何差異?

    網路上有很多關於 VPN 協定的錯誤資訊,主要是認為協定本身可以進行比較。真正影響 VPN 連線速度與安全性的關鍵是:

    1. 協定本身如果沒有已知漏洞,則可視為「安全」。
    2. 您的 VPN 連線速度主要取決於:
      1. 您的網路服務品質;
      2. 您所使用的裝置效能;
      3. VPN 伺服器的吞吐量和負載情況;
      4. 您與 VPN 伺服器之間的距離。

    那麼,哪些協定符合安全標準?主要是三種:OpenVPN、WireGuard® IKEv2其他熱門的協定都存在已知漏洞 (PPTP、L2TP/IPSec),或從未經過審核 (SSTP)。

    歸根究柢,VPN 協定的表現,乃取決於裝置與 VPN 伺服器設定的互動情況因此,請選擇您信賴的提供商,以及最適合自己需求的 VPN 協定!

    「WireGuard」為 Jason A. Donenfeld 的註冊商標。

    IKEv2 vs. OpenVPN:哪個更好?

    對於一般的 VPN 使用者來說,IKEv2 和 OpenVPN 沒有多大差異。 

    • 這兩種協定都非常安全:都支援多種加密演算法,且沒有已知漏洞; 
    • 從技術上講,IKEv2 更快:因為加密處理方式不同,通常 IKEv2 的連線速度比 OpenVPN 快。而速度上的差異是否明顯,則是另外一個話題。 
    • 從技術上講,IKEv2 更容易設定:許多作業系統和行動系統原生支援 IKEv2。要手動設定 OpenVPN,使用者通常需要下載安裝程式; 
    • IKEv2 更穩定:IKEv2 比 OpenVPN 在重新連線的表現更為優異; 
    • IKEv2 會自動重新連線:雖然 OpenVPN 的連線也很穩定,但對於行動裝置使用者來說,IKEv2 的穩定性更佳。 

    總而言之,這兩種協定都很優秀,但 IKEv2 對於行動使用者會是更好的選擇。 

    IKEv2 的優點與缺點 

    IKEv2 有許多優點,缺點則很少,包括:

    安全加密技術
    IKEv2/IPsec 加密技術與時俱進,與現今任何其他協定一樣安全。

    加上支援各種裝置,即使是無法運行最新 VPN 協定的裝置,也能使用 IKEv2/IPsec 保護連線。
    連線穩定
    當您移動時,IKEv2/IPsec 可以在不同的網路間順暢切換,始終保持穩定的連線。

    對於經常移動的行動裝置使用者來說,特別實用。
    速度
    IKEv2/IPsec 對裝置資源的使用非常高效。這不僅使其速度更快,而且對低效能的裝置也更友善。

    這對於智慧型手機的使用者來說非常重要,因為不像筆記型電腦的使用者那樣有更多的電力可以消耗。
    裝置支援
    IKEv2/IPsec 可以在電腦、路由器和智慧型手機上運作,因為它支援相當多的平台及作業系統。

    安全協定再好,若裝置無法使用也毫無意義。IKEv2 幾乎在所有主流裝置上都能輕鬆運作。

    提到 IKEv2 的缺點,可以不用額外列表:WireGuard 比 IKEv2 更新、速度更快。 

    IKEv2 是否與我的裝置相容?

    VPN 協定的相容性,取決於該協定的運作方式。以 Surfshark 為例,目前的情況如下:

    • Windows:不支援 (大多數用戶已改用 WireGuard)
    • Android:支援
    • iOS:支援
    • macOS:支援
    • Linux:不支援 

    IKEv2 長期以來一直被推薦作為行動裝置最佳的 VPN 協定,直到今天,它在這方面的表現依然出色。 

    總而言之:IKEv2,就是「IKE-OK」

    IKEv2 是一種廣受信賴和接受的 VPN 協定。搭配 IPsec 使用,能在多種平台上提供高品質的 VPN 連線體驗;更棒的是,其連線能力特別適合行動裝置的使用者,有效節省裝置資源。這也是為什麼 Surfshark VPN 將 IKEv2 列為可選協定之一現在就加入 Surfshark,體驗快速又安全的行動 VPN 吧!

    立即體驗高速行動 VPN
    Surfshark

    常見問答集

    IKEv2 適合網路遊戲嗎?

    是的,IKEv2 非常適合遊戲使用,因為它對資源的使用相當輕巧。 

    IKEv2 VPN 安全嗎?

    是的。IKEv2 沒有已知漏洞,並且搭配強大加密技術。 

    IKEv2 VPN 是免費的嗎?

    IKEv2 VPN 可以說是免費,也可以說不是:

    1. 免費的部分:基本上所有作業系統都原生支援 IKEv2;
    2. 非免費的部分:您仍然需要連接到正確設定的 VPN 伺服器 (根據 VPN 所配置的協定),否則仍無法運作。 

    哪個更好?是 OpenVPN 還是 IKEv2?

    由於 IKEv2 更有效率地利用硬體資源且更容易重新連線,因此更適合行動裝置。

    搞笑版回答:WireGuard 更強。 

    哪個更好?是 IKEv2 還是 L2TP?

    IKEv2 提供遠優於 L2TP 的安全性。

    IKEv2 比 IKEv1 更安全嗎?

    是的,由於 IKEv2 支援 EAP (可延伸驗證協定),因此比 IKEv1 更加安全。其速度更快、穩定性更好。 

    在 iPhone 上使用 IKEv2 有什麼作用?

    在 iPhone 上,IKEv2 是 iOS 支援的 VPN 協定之一。在其他裝置上,IKEv2 也具有相同的作用。