什么是 IKEv2/3/IPSec,它如何工作?

What Is IKEv123IPSec and How Does It Work?


IKEv2/IPSec 快速解释:

简而言之,IKEv2/IPSec 是一种高度安全的 VPN 协议,具有卓越的性能和快速的速度。它使用AES-256 加密,连接稳定,在移动设备上运行良好。IKEv2 的速度比 OpenVPN 快,但由于其封闭源代码的特性、与某些设备不兼容、容易被防火墙和网络管理员阻止等原因,其受欢迎程度略低。

总体而言,IKEv2 是最安全的 VPN 协议之一,支持 MOBIKE、NAT-T 和非对称身份验证,这使其优于 IKEv1(IKE 的初始迭代)。

IKE 又称 “互联网密钥交换“,是一种流行的 VPN 协议,以性能和安全性兼备而著称。不过,如果你是一名普通的 VPN 用户,你可能会想知道为什么该协议如此流行,而且经常被用作 OpenVPN 的替代品。

在今天的指南中,我们将解释什么是流行的 IKEv2 协议,以及它的 v1 和 v3 版本。此外,我们还将解释为什么它经常与 IPSec 结合使用,以进一步确保连接安全,并确保更好的连接稳定性和可靠性。

什么是 VPN 协议?

VPN 依靠大量安全协议将你的设备连接到 VPN 服务器。事实上,这是 VPN 协议的主要功能。VPN 协议在验证 VPN 服务器和用户设备后生成加密密钥。然后,双方都可以使用该密钥。

现代 VPN 依赖各种协议,如 OpenVPNWireGuard、NordLynx、Lightway 和 IKEv2/IPSec。后者尤其有趣,因为它易于实施,可以在移动设备上使用。特别是,IKEv2 在 iOS 设备上非常流行,因为它与 OpenVPN 本机不兼容。但什么是 IKEv2/IPSec?

IKEv2/IPSec:它是什么?它是如何工作的?

如前所述,IKE 代表 “Internet Key Exchange(互联网密钥交换)”,”v2 “部分代表第二个版本–由微软和思科共同开发。IKEv2 以 IPSec 为基础,后者现在代表 “互联网协议安全”。将 IPSec 视为确保安全通信的验证器。

IPSec 对于连接设备和增加加密至关重要,可确保数据传输安全。虽然 IPSec 和 IKEv2 可以分开使用(非常罕见),但它们几乎总是结合使用,以获得最佳效果。IKEv2 快速而稳定,可实现流畅可靠的连接。

IKEv2 How It Works

由 ARAVIND .S(LinkedIn) 提供

另一方面,IPSec 提供了出色的安全性,可以防止第三方跟踪和监控。在 99% 的情况下,当你看到 IKEv2 VPN 协议时,它是与 IPSec 结合在一起的。现在,我们需要看看 IKEv2 是如何工作的。不出所料,它的基本功能与其他 VPN 协议并无不同。

主要功能是连接服务器和 VPN 客户端。IPSec 会用私钥对双方进行身份验证,建立所谓的交换规则。在此过程中,加密方法被确定,之后连接就建立起来了。

除 IPSec 外,IKEv2 还处理一些安全属性(安全协会或 SA)。例如,VPN 服务器和 VPN 客户端需要相同的配置才能成功交换数据,为此,IKEv2 为两者提供了相同的(对称)加密密钥。

不过,IPSec 在建立连接前会设置上述所有规则并分配私人密钥,而 IKEv2 的密钥则是在数据已经通过 VPN 隧道后使用的。

IKEv1 vs IKEv2 vs IKEv3 的区别

无论每个 IKE 协议末尾的数字是多少,都必须知道其工作方式是相同的。自然,这就引出了一个问题:它们有什么不同,为什么 IKEv2 是最受欢迎的选择?首先,IKEv1 是 1998 年推出的老协议。

IKEv2 发布于 2005 年,简单地说,是一个更好的版本。IKEv2 以支持EAP可扩展身份验证协议而著称,它允许远程访问。此外,作为 IKEv1 的改进版,IKEv2 消耗的带宽更少,速度更快。

别忘了,IKEv2 还支持NAT-T(网络地址转换-穿越),这使其性能更优、更稳定。MOBIKE(移动性和多归属协议)是 IKEv1 不支持但 IKEv2 支持的另一项功能,它提高了性能和整体安全性。

在安全性方面,IKEv2 也相当出色。例如,与 IKEv1 相比,IKEv2 为每一方(VPN 客户端和 VPN 服务器)使用单独的加密密钥,并支持许多复杂的加密算法,其中包括ChaCha20、Camellia、AES 等。

网上经常提到 IKEv3,但该协议更多的是理论而非实践。在撰写本文时,IKEv2 是最先进的迭代协议,IKEv3 只在纸面上可行。NordVPNCyberGhost 等 VPN 仍然使用 IKEv2 作为 IKE 协议的最佳版本。

在未来,我们可能会看到 IKEv3 的出现,但在[年],情况还不是这样。

IKEv2 vs IPSec vs OpenVPN:哪个协议最好?

将 IPSec 与 IKEv2 进行比较没有意义,因为它们是如此不同。这就是为什么它们能很好地结合在一起。IPSec 非常安全,而 IKEv2 的优势在于连接速度。你很少会看到 VPN 将 IPSec 作为单独的协议使用。

在 99.99% 的情况下,它与 IKEv2 打包在一起,称为 IKEv2/IPSec 或简称 IKEv2。这种 “混合体 “能让你享受更短的连接时间、更快的 VPN 速度和无懈可击的安全性。现在,如果我们比较 IKEv2/IPSec 和 OpenVPN,哪个协议更优越呢?

根据Avast 等网络安全专家的研究,IKEv2 在整体性能、速度和稳定性方面略胜 OpenVPN 一筹。不过,OpenVPN 更为安全,因为它是开源的,支持额外的定制,而且不会被防火墙和 IT 管理员阻止。

在某些国家,OpenVPN还可以通过混淆技术绕过审查制度。难怪 NordVPN 的混淆服务器依靠 OpenVPN TCP 在中国运行良好。

IKEv2 的缺点

IKEv2/IPSec 在纸面上听起来几乎完美,但它有几个缺点值得考虑。

  • 它不是开源的。IKE由微软和思科开发,该协议是闭源的。这是一个主要缺点,因为它没有改进的余地。OpenVPN 和 WireGuard 等开源协议允许所有人对其进行检查,这就允许网络安全专家对这些协议进行审核,并应用安全改进措施。
  • 设备兼容性。IKEv2/IPSec 在 Windows、iOS 和 macOS 上运行良好。遗憾的是,设备兼容性到此为止,因为所有其他设备通常都依赖 OpenVPN 或 WireGuard,而 IKEv2 的设置要复杂得多–如果可能的话。
  • 它需要特定的端口。443 和 80 是用于 VPN和 HTTP 连接的典型端口。443 端口用于 OpenVPN,而 80 端口用于 HTTP 连接。IKEv2 使用端口 500(UDP),出于安全考虑,IT 管理员或防火墙通常会关闭该端口。

底线

尽管推出了 WireGuard,但在众多 VPN 协议中,IKEv2 仍是最佳选择之一。IKEv2 高度安全、稳定且性能良好。它的安全性非常强,支持 AES-256 加密和 IPSec 身份验证,从而提高了安全性。

事实上,IKEv2 并不能在所有设备上运行,因为它是闭源的,而且需要端口 500 UDP 才能运行。不过,如果你有一台现代的 macOS/Windows PC 或 iPhone,IKEv2 可能会运行良好。大多数移动 VPN 在 iOS/macOS 上默认使用 IKEv2,无需手动设置。

We earn commissions using affiliate links.


14 Privacy Tools You Should Have

Learn how to stay safe online in this free 34-page eBook.

[mc4wp_form id="52729"]


发表评论

您的邮箱地址不会被公开。 必填项已用 * 标注

滚动至顶部