representation of IKEv2/IPsec

您是否曾对用于解释 VPN 这一概念的术语感到困惑?也许您听说过 IKEv2(互联网密钥交换协议第 2 版)这个术语,但从未有人为您解释过它的含义,对吧?倘若真是如此,您可算是来对地方了。本文旨在向您介绍 IKEv2 及其对 VPN 用户的意义。

目录

    什么是 IKEv2?

    在计算机领域,IKEv2 是一种 VPN 隧道协议,可确保两台设备之间的在线通信安全。IKEv2 与 IPsec 协议相结合,组成一种名为 IKEv2/IPSec 的 VPN 协议。IKEv2 帮助设备相互识别,而 IPsec 协议则用于保障数据传输时的安全性。

    IKE 建立在奥克利密钥确定协议和 ISAKMP 的基础上,这两个协议都确立了得到广泛认可的技术方法,可让两台设备通过不安全的连接交换创建安全密钥(用于加密数据)所需的数据。 

    设想一下,您想给一位陌生人发送一条秘密信息。如果您加密了信息或用密文书写,那么截获它的人就无法读懂信息内容,但您的收件人同样读不懂。如果您不认识收件人,那该如何交换用于破解信息的密码呢?IKEv2 解决这个问题的方式类似于狼-羊-卷心菜过河问题的解法。 

    IKEv2 利用 X.509 证书(一种验证公钥归属的标准)来验证设备的身份。随后,设备间会利用迪菲-赫尔曼密钥交换算法创建一个“共享秘密”,您可在此查看详细说明。 

    上述因素综合表明,IKEv2 采用的是经过公开测试并受广泛认可的加密安全标准

    为什么 IKEv2 和 IPsec 总是同时使用?

    IKEv2 与 IPsec 的紧密结合依托于 Microsoft 和 Cisco 的联袂合作。IKEv2 与 IPsec 的结合是其高速的奥秘之一。 

    IKEv2 在用户空间中运行,因此可以访问数据存储。这使其能够轻松检索建立安全关联所需的配置数据 

    IPsec 则在内核中运行,内核是计算机系统的深层控制核心。这使其能够以更快的速度处理数据 

    An image explaining how IPsec and IKEv2 work together.

    两者协同运作,IKEv2 使用少量数据包与服务器建立安全关联随后,它将所有数据(IP 地址、所采用的安全措施连接所用的端口传递给 IPsec,后者利用安全关联来加密流量 

    IPsec 具体如何运作?很高兴您能提出这个问题,我们有一篇详实的文章讲解了 IPsec VPN 的基本知识这篇文章还解释了为什么我们通常称其为 IKEv2,而非全称 IKEv2/IPsec(简而言之,这是因为 IKEv2 于 2005 年开始实施,比 1995 年的 IKEv1 和 IPsec 更为新颖先进)。

    IKEv1 和 IKEv2 之间有什么区别?

    您现在可能想知道两个版本各有什么特点。IKEv1 和 IKEv2 之间有许多区别,这些细节对 VPN 用户来说尤其重要。总结归纳后,以下是最重要的四点:

    1. IKEv2 运行速度更快且效率更高,因为精简和优化了部分进程;
    2. IKEv2 消耗的带宽更少
    3. IKEv2 内置 NAT(网络地址转换)穿透功能;
    4. IKEv2 支持 EAP(可扩展身份验证协议),因此安全性更高。

    IKEv2 VPN 是否安全?

    简而言之,答案是肯定的

    VPN 协议的安全性取决于协议本身的实现方式和固有问题。IKEv2 本身没有已知的漏洞

    因此,如果您的 VPN 提供商正确配置了 IKEv2,就不存在安全问题

    如何在设备上设置 IKEv2

    要在设备上设置 IKEv2,最简单的方法是获取一款支持 IKEv2 的 VPN 服务。这样一来,对于 macOS、iOS 和 Android 用户,操作步骤将非常简单:

    1. 订阅 Surfshark;
    2. 下载并安装应用程序;
    3. 前往“设置 > VPN 设置 > 协议”,切换为 IKEv2。 

    设置过程就是这么简单!

    如果您想手动配置或在 Windows 或 Linux 上设置,整个过程就会复杂得多。

    如何在 Windows 11 上设置 IKEv2

    您是否已拥有 VPN 提供商和连接目标服务器所需的配置信息?如果有,请按以下步骤操作: 

    1. 打开“搜索”(点击任务栏上 Windows 图标旁的放大镜);
    2. 输入“VPN”;
    3. 选择 VPN 设置;
    4. 点击“添加VPN”;
    5. 输入所需数据;
    6. 点击任务栏上时钟旁的互联网连接/音频/电池图标(如为笔记本电脑);
    7. 点击“VPN”;
    8. 选择您创建的连接;
    9. 点击连接。

    如何在 macOS 上设置 IKEv2

    以下是以 Surfshark 作为提供商的 IKEv2 设置指南如果您已有其他提供商且已为系统安装其安全证书,请按以下步骤操作:

    1. 访问“系统偏好设置”,选择“网络”;
    2. 网络窗口中,点击“+”图标,输入所需配置信息,点击“创建”:
      1. 接口:VPN;
      2. VPN 类型:IKEv2;
      3. 服务器名称:可任选您喜欢的名称。
    3. 填写您从 VPN 提供商处获得的服务器地址和远程 ID; 
    4. 点击“身份验证设置…”按钮,选择“用户名”作为身份验证方式,输入您的凭证;
    5. 按下“确定”并应用设置;
    6. 点击“连接”以建立连接;
    7. 如果勾选了“在菜单栏中显示 VPN 状态”,即可直接通过菜单栏快速连接或断开连接。

    如何在 Android 上设置 IKEv2 

    如果您是 Surfshark 用户,以下是在 Android 上手动设置 IKEv2 的指南如果不是,您需要从 VPN 提供商处获得安全证书,然后按以下步骤操作: 

    1. 在 Google Play 上下载 strongSwan VPN 客户端应用程序;
    2. 打开 strongSwan 应用程序,点击顶部的三个竖点,选择“CA证书”;
    3. 在证书列表中,点击三个竖点,选择“导入证书”;
    4. 找到并点击您的证书,再点击“导入证书”;
    5. 返回 strongSwan 主界面,点击“添加VPN”;
    6. “服务器”字段中,输入您的 VPN 服务器的主机名;
    7. “用户名”和“密码”字段中,输入服务器凭证;
    8. 在配置文件名称字段中输入任意内容;
    9. 点击“保存”;
    10. 返回主界面,点击新配置文件进行连接;
    11. 大功告成!

    如何在 Ubuntu 上设置 IKEv2

    倘若您已拥有 VPN 供应商和服务器,请按以下步骤操作:

    1. 打开终端;
    2. 输入“sudo apt-get install -y strongswan network-manager-strongswan libcharon-extra-plugins”;
    3. 打开“连接设置”,选择“有线连接”,再选择“有线设置”;
    4. 点击“VPN”旁的巨大加号;
    5. 选择 IKEv2;
    6. 输入您的用户名、密码和 VPN 连接的其他信息;
    7. 点击“添加”;
    8. 完成后即可连接 VPN!

    如何在 iOS 上设置 IKEv2

    以下是以 Surfshark 作为服务提供商在 iOS 上设置 IKEv2 的指南如果您已有其他提供商且已为系统安装其安全证书,请按以下步骤操作:

    1. 打开设备上的“设置”应用程序,前往“通用”,点击 VPN 标签;
    2. 选择“添加 VPN 配置…”,填写所有必填信息:
      1. 类型:IKEv2;
      2. 描述:您对此连接的偏好名称;
      3. 服务器:服务器的主机名。
      4. 远程 ID:与“服务器”字段中输入的主机名相同;
      5. 本地 ID:留空;
      6. 用户身份验证:选择“用户名”;
      7. 用户名:您的 VPN 服务器用户名;
      8. 密码:您的 VPN 服务器密码;
      9. 代理:关闭。
    3. 输入所有信息后,按下“完成”;
    4. 现在您可在“设置 > 通用”里的“VPN”标签中找到您的 VPN 连接。

    IKEv2 与其他协议相比有何不同?

    当然,除了 IKEv2,还有其他协议,人们最关心的就是这些协议孰优孰劣。

    互联网上有许多关于 VPN 协议的误导信息,主要是认为协议本身可以简单分出优劣这一论点。以下是关于 VPN 协议速度和安全性的切要总结:

    1. 没有已知漏洞的协议被认为是安全的;
    2. 您的 VPN 连接速度主要取决于:
      1. 您的互联网服务质量;
      2. 您的设备性能;
      3. VPN 服务器的吞吐量和负载情况;
      4. 您与 VPN 服务器的距离。

    那么,哪些协议符合安全标准呢?主要有三大协议:OpenVPN、WireGuard®IKEv2其他流行协议要么已被攻破(PPTP、L2TP/IPSec),要么从未经过审计(SSTP)。

    归根结底,VPN 协议的具体性能取决于您的设备与 VPN 服务器配置的交互方式因此,请务必选择一家您信任的供应商和最适合您的 VPN 协议!

    “WireGuard”是 Jason A. Donenfeld 的注册商标。

    IKEv2 对比 OpenVPN:哪个更好?

    对普通 VPN 用户来说,IKEv2 和 OpenVPN 差异很小。 

    • 两种协议安全性都很高:两者均支持多种加密算法,且不存在已知漏洞; 
    • IKEv2 在技术层面上更快:由于采用不同的加密方法,IKEv2 的连接速度通常比 OpenVPN 更快。速度差异的实际意义是另一个话题。 
    • IKEv2 在技术上更易于设置:许多操作系统和移动系统自带 IKEv2 支持组件。要手动设置 OpenVPN,用户需下载安装程序: 
    • IKEv2 更稳定:IKEv2 相比 OpenVPN 在处理重新连接方面表现更佳。 
    • IKEv2 可自动重新连接:这并非说您需要时刻关注 OpenVPN 的连接状态,但移动用户会更欣赏 IKEv2 的稳定性。 

    总体而言,这两种协议都很出色,但 IKEv2 对移动用户更加有利。 

    IKEv2 有哪些优点和缺点? 

    IKEv2 优点很多,缺点很少,具体如下:

    安全加密
    IKEv2/IPsec 加密技术紧跟时代步伐,安全性不亚于其他任何协议。

    加上广泛的设备兼容性,IKEv2/IPsec 可助您保护无法运行最新 VPN 协议的设备。
    连接稳定性
    IKEv2/IPsec 可在您移动时平滑切换网络,始终保持连接稳定。

    这对经常在移动的移动用户非常方便。
    速度
    KEv2/IPsec 的设备资源利用率非常高。这不仅使其速度更快,还对性能较弱的设备更为友好。

    这点对智能手机用户尤为重要,因为智能手机的算力与内存不及笔记本电脑。
    设备支持
    IKEv2/IPsec 支持多种平台/操作系统,可应用于电脑、路由器和智能手机。

    安全的 VPN 协议再好,若与设备无法连接也毫无意义。而 IKEv2/IPsec 与大多数设备兼容。

    其缺点甚至不用列表:WireGuard 比 IKEv2 更新且更快。 

    IKEv2 与我的设备兼容吗?

    VPN 协议的兼容性取决于其实现方式。以下是 Surfshark 的兼容情况:

    • Windows:不支持(大多数用户已改用 WireGuard)
    • Android:支持
    • iOS:支持
    • macOS:支持
    • Linux:不支持 

    IKEv2 长期以来一直被推荐用于移动设备,且在这一方面的表现一如既往地出色 

    总结:IKEv2 表现优异。

    IKEv2 是一种广受信任与认可的 VPN 协议。它与 IPsec 配合使用,可为诸多平台提供高质量 VPN 连接。更妙的是,连接稳定性使其对移动用户极具吸引力,因为移动用户需时刻关注有限的设备资源。这就是为何它位列 Surfshark VPN 的用户可选协议。何不亲自体验一下呢?

    获取高速移动 VPN
    Surfshark

    常见问题及解答

    IKEv2 适合游戏玩家吗?

    IKEv2 是非常适合游戏玩家的 VPN 协议,因为它占用的资源相对较少。 

    IKEv2 VPN 安全吗?

    安全。IKEv2 没有已知漏洞,且具有强大的加密保护技术。 

    IKEv2 VPN 是免费的吗?

    IKEv2 VPN 既免费又不免费:

    1. 说它免费,是因为几乎所有操作系统都自带其支持组件;
    2. 说它不免费,是因为倘若没有正确配置的 VPN 服务器,它就无法运行(这适用于所有 VPN 协议)。 

    哪个更好:OpenVPN 还是 IKEv2?

    对于移动设备,IKEv2 绝对是更优解,因为其硬件资源利用率更高,且更易于重新连接。

    搞笑版回答:WireGuard。 

    哪个更好:IKEv2 还是 L2TP?

    IKEv2 的安全性远高于 L2TP。

    IKEv2 比 IKEv1 更安全吗?

    IKEv2 支持 EAP(可扩展身份验证协议),因此比 IKEv1 更安全。此外,IKEv2 运行速度更快,性能也更佳。 

    iPhone 上使用IKEv2 有什么作用?

    在 iPhone 上,IKEv2 是 iOS 支持的 VPN 协议之一。在其他场景下,IKEv2 也具有同样的作用。