您是否曾对用于解释 VPN 这一概念的术语感到困惑?也许您听说过 IKEv2(互联网密钥交换协议第 2 版)这个术语,但从未有人为您解释过它的含义,对吧?倘若真是如此,您可算是来对地方了。本文旨在向您介绍 IKEv2 及其对 VPN 用户的意义。
目录
什么是 IKEv2?
在计算机领域,IKEv2 是一种 VPN 隧道协议,可确保两台设备之间的在线通信安全。IKEv2 与 IPsec 协议相结合,组成一种名为 IKEv2/IPSec 的 VPN 协议。IKEv2 帮助设备相互识别,而 IPsec 协议则用于保障数据传输时的安全性。
IKE 建立在奥克利密钥确定协议和 ISAKMP 的基础上,这两个协议都确立了得到广泛认可的技术方法,可让两台设备通过不安全的连接交换创建安全密钥(用于加密数据)所需的数据。
设想一下,您想给一位陌生人发送一条秘密信息。如果您加密了信息或用密文书写,那么截获它的人就无法读懂信息内容,但您的收件人同样读不懂。如果您不认识收件人,那该如何交换用于破解信息的密码呢?IKEv2 解决这个问题的方式类似于狼-羊-卷心菜过河问题的解法。
IKEv2 利用 X.509 证书(一种验证公钥归属的标准)来验证设备的身份。随后,设备间会利用迪菲-赫尔曼密钥交换算法创建一个“共享秘密”,您可在此查看详细说明。
上述因素综合表明,IKEv2 采用的是经过公开测试并受广泛认可的加密安全标准。
为什么 IKEv2 和 IPsec 总是同时使用?
IKEv2 与 IPsec 的紧密结合依托于 Microsoft 和 Cisco 的联袂合作。IKEv2 与 IPsec 的结合是其高速的奥秘之一。
IKEv2 在用户空间中运行,因此可以访问数据存储。这使其能够轻松检索建立安全关联所需的配置数据。
IPsec 则在内核中运行,内核是计算机系统的深层控制核心。这使其能够以更快的速度处理数据。
两者协同运作,IKEv2 使用少量数据包与服务器建立安全关联。随后,它将所有数据(IP 地址、所采用的安全措施和连接所用的端口)传递给 IPsec,后者利用安全关联来加密流量。
IPsec 具体如何运作?很高兴您能提出这个问题,我们有一篇详实的文章讲解了 IPsec VPN 的基本知识。这篇文章还解释了为什么我们通常称其为 IKEv2,而非全称 IKEv2/IPsec(简而言之,这是因为 IKEv2 于 2005 年开始实施,比 1995 年的 IKEv1 和 IPsec 更为新颖先进)。
IKEv1 和 IKEv2 之间有什么区别?
您现在可能想知道两个版本各有什么特点。IKEv1 和 IKEv2 之间有许多区别,这些细节对 VPN 用户来说尤其重要。总结归纳后,以下是最重要的四点:
- IKEv2 运行速度更快且效率更高,因为精简和优化了部分进程;
- IKEv2 消耗的带宽更少;
- IKEv2 内置 NAT(网络地址转换)穿透功能;
- IKEv2 支持 EAP(可扩展身份验证协议),因此安全性更高。
IKEv2 VPN 是否安全?
简而言之,答案是肯定的。
VPN 协议的安全性取决于协议本身的实现方式和固有问题。IKEv2 本身没有已知的漏洞。
因此,如果您的 VPN 提供商正确配置了 IKEv2,就不存在安全问题。
如何在设备上设置 IKEv2
要在设备上设置 IKEv2,最简单的方法是获取一款支持 IKEv2 的 VPN 服务。这样一来,对于 macOS、iOS 和 Android 用户,操作步骤将非常简单:
- 订阅 Surfshark;
- 下载并安装应用程序;
- 前往“设置 > VPN 设置 > 协议”,切换为 IKEv2。
设置过程就是这么简单!
如果您想手动配置或在 Windows 或 Linux 上设置,整个过程就会复杂得多。
如何在 Windows 11 上设置 IKEv2
您是否已拥有 VPN 提供商和连接目标服务器所需的配置信息?如果有,请按以下步骤操作:
- 打开“搜索”(点击任务栏上 Windows 图标旁的放大镜);
- 输入“VPN”;
- 选择 VPN 设置;
- 点击“添加VPN”;
- 输入所需数据;
- 点击任务栏上时钟旁的互联网连接/音频/电池图标(如为笔记本电脑);
- 点击“VPN”;
- 选择您创建的连接;
- 点击连接。
如何在 macOS 上设置 IKEv2
以下是以 Surfshark 作为提供商的 IKEv2 设置指南。如果您已有其他提供商且已为系统安装其安全证书,请按以下步骤操作:
- 访问“系统偏好设置”,选择“网络”;
- 在网络窗口中,点击“+”图标,输入所需配置信息,点击“创建”:
- 接口:VPN;
- VPN 类型:IKEv2;
- 服务器名称:您可任选您喜欢的名称。
- 填写您从 VPN 提供商处获得的服务器地址和远程 ID;
- 点击“身份验证设置…”按钮,选择“用户名”作为身份验证方式,输入您的凭证;
- 按下“确定”并应用设置;
- 点击“连接”以建立连接;
- 如果您勾选了“在菜单栏中显示 VPN 状态”,即可直接通过菜单栏快速连接或断开连接。
如何在 Android 上设置 IKEv2
如果您是 Surfshark 用户,以下是在 Android 上手动设置 IKEv2 的指南。如果不是,您需要从 VPN 提供商处获得安全证书,然后按以下步骤操作:
- 在 Google Play 上下载 strongSwan VPN 客户端应用程序;
- 打开 strongSwan 应用程序,点击顶部的三个竖点,选择“CA证书”;
- 在证书列表中,点击三个竖点,选择“导入证书”;
- 找到并点击您的证书,再点击“导入证书”;
- 返回 strongSwan 主界面,点击“添加VPN”;
- 在“服务器”字段中,输入您的 VPN 服务器的主机名;
- 在“用户名”和“密码”字段中,输入服务器凭证;
- 在配置文件名称字段中输入任意内容;
- 点击“保存”;
- 返回主界面,点击新配置文件进行连接;
- 大功告成!
如何在 Ubuntu 上设置 IKEv2
倘若您已拥有 VPN 供应商和服务器,请按以下步骤操作:
- 打开终端;
- 输入“sudo apt-get install -y strongswan network-manager-strongswan libcharon-extra-plugins”;
- 打开“连接设置”,选择“有线连接”,再选择“有线设置”;
- 点击“VPN”旁的巨大加号;
- 选择 IKEv2;
- 输入您的用户名、密码和 VPN 连接的其他信息;
- 点击“添加”;
- 完成后即可连接 VPN!
如何在 iOS 上设置 IKEv2
以下是以 Surfshark 作为服务提供商在 iOS 上设置 IKEv2 的指南。如果您已有其他提供商且已为系统安装其安全证书,请按以下步骤操作:
- 打开设备上的“设置”应用程序,前往“通用”,点击 VPN 标签;
- 选择“添加 VPN 配置…”,填写所有必填信息:
- 类型:IKEv2;
- 描述:您对此连接的偏好名称;
- 服务器:服务器的主机名。
- 远程 ID:与“服务器”字段中输入的主机名相同;
- 本地 ID:留空;
- 用户身份验证:选择“用户名”;
- 用户名:您的 VPN 服务器用户名;
- 密码:您的 VPN 服务器密码;
- 代理:关闭。
- 输入所有信息后,按下“完成”;
- 现在您可在“设置 > 通用”里的“VPN”标签中找到您的 VPN 连接。
IKEv2 与其他协议相比有何不同?
当然,除了 IKEv2,还有其他协议,人们最关心的就是这些协议孰优孰劣。
互联网上有许多关于 VPN 协议的误导信息,主要是认为协议本身可以简单分出优劣这一论点。以下是关于 VPN 协议速度和安全性的切要总结:
- 没有已知漏洞的协议被认为是安全的;
- 您的 VPN 连接速度主要取决于:
- 您的互联网服务质量;
- 您的设备性能;
- VPN 服务器的吞吐量和负载情况;
- 您与 VPN 服务器的距离。
那么,哪些协议符合安全标准呢?主要有三大协议:OpenVPN、WireGuard® 和 IKEv2。其他流行协议要么已被攻破(PPTP、L2TP/IPSec),要么从未经过审计(SSTP)。
归根结底,VPN 协议的具体性能取决于您的设备与 VPN 服务器配置的交互方式。因此,请务必选择一家您信任的供应商和最适合您的 VPN 协议!
“WireGuard”是 Jason A. Donenfeld 的注册商标。
IKEv2 对比 OpenVPN:哪个更好?
对普通 VPN 用户来说,IKEv2 和 OpenVPN 差异很小。
- 两种协议安全性都很高:两者均支持多种加密算法,且不存在已知漏洞;
- IKEv2 在技术层面上更快:由于采用不同的加密方法,IKEv2 的连接速度通常比 OpenVPN 更快。速度差异的实际意义是另一个话题。
- IKEv2 在技术上更易于设置:许多操作系统和移动系统自带 IKEv2 支持组件。要手动设置 OpenVPN,用户需下载安装程序:
- IKEv2 更稳定:IKEv2 相比 OpenVPN 在处理重新连接方面表现更佳。
- IKEv2 可自动重新连接:这并非说您需要时刻关注 OpenVPN 的连接状态,但移动用户会更欣赏 IKEv2 的稳定性。
总体而言,这两种协议都很出色,但 IKEv2 对移动用户更加有利。
IKEv2 有哪些优点和缺点?
IKEv2 优点很多,缺点很少,具体如下:
安全加密 | IKEv2/IPsec 加密技术紧跟时代步伐,安全性不亚于其他任何协议。 加上广泛的设备兼容性,IKEv2/IPsec 可助您保护无法运行最新 VPN 协议的设备。 |
|---|---|
连接稳定性 | IKEv2/IPsec 可在您移动时平滑切换网络,始终保持连接稳定。 这对经常在移动的移动用户非常方便。 |
速度 | KEv2/IPsec 的设备资源利用率非常高。这不仅使其速度更快,还对性能较弱的设备更为友好。 这点对智能手机用户尤为重要,因为智能手机的算力与内存不及笔记本电脑。 |
设备支持 | IKEv2/IPsec 支持多种平台/操作系统,可应用于电脑、路由器和智能手机。 安全的 VPN 协议再好,若与设备无法连接也毫无意义。而 IKEv2/IPsec 与大多数设备兼容。 |
其缺点甚至不用列表:WireGuard 比 IKEv2 更新且更快。
IKEv2 与我的设备兼容吗?
VPN 协议的兼容性取决于其实现方式。以下是 Surfshark 的兼容情况:
- Windows:不支持(大多数用户已改用 WireGuard)
- Android:支持
- iOS:支持
- macOS:支持
- Linux:不支持
IKEv2 长期以来一直被推荐用于移动设备,且在这一方面的表现一如既往地出色。
总结:IKEv2 表现优异。
IKEv2 是一种广受信任与认可的 VPN 协议。它与 IPsec 配合使用,可为诸多平台提供高质量 VPN 连接。更妙的是,连接稳定性使其对移动用户极具吸引力,因为移动用户需时刻关注有限的设备资源。这就是为何它位列 Surfshark VPN 的用户可选协议。何不亲自体验一下呢?
常见问题及解答
IKEv2 适合游戏玩家吗?
IKEv2 是非常适合游戏玩家的 VPN 协议,因为它占用的资源相对较少。
IKEv2 VPN 安全吗?
安全。IKEv2 没有已知漏洞,且具有强大的加密保护技术。
IKEv2 VPN 是免费的吗?
IKEv2 VPN 既免费又不免费:
- 说它免费,是因为几乎所有操作系统都自带其支持组件;
- 说它不免费,是因为倘若没有正确配置的 VPN 服务器,它就无法运行(这适用于所有 VPN 协议)。
哪个更好:OpenVPN 还是 IKEv2?
对于移动设备,IKEv2 绝对是更优解,因为其硬件资源利用率更高,且更易于重新连接。
搞笑版回答:WireGuard。
哪个更好:IKEv2 还是 L2TP?
IKEv2 的安全性远高于 L2TP。
IKEv2 比 IKEv1 更安全吗?
IKEv2 支持 EAP(可扩展身份验证协议),因此比 IKEv1 更安全。此外,IKEv2 运行速度更快,性能也更佳。
iPhone 上使用IKEv2 有什么作用?
在 iPhone 上,IKEv2 是 iOS 支持的 VPN 协议之一。在其他场景下,IKEv2 也具有同样的作用。
