Idan kun damu da keɓantawa Idan ka haɗa daga wayar salula, ko ka riƙa canzawa tsakanin Wi-Fi da bayanan wayar salula, ko kuma ka yi aiki daga nesa, tsarin IKEv2 VPN yana ɗaya daga cikin manyan jaruman da ba a taɓa jin labarinsu ba, wanda hakan ke sa su yi aiki ba tare da wata matsala ba. Duk da cewa ba za a iya tattauna shi sosai kamar wasu yarjejeniyoyi ba, muhimmin sashi ne na yawancin ayyukan VPN na zamani.
IKEv2 ya haɗu da sauri, kwanciyar hankali da aminci Yana dogara ne akan IPsec don ɓoye zirga-zirgar ababen hawa. Yana da asali ga tsarin aiki da yawa, an inganta shi sosai don na'urorin hannu, kuma ya zama sanannen madadin OpenVPN, WireGuard, ko L2TP/IPsec. Bari mu yi nazari sosai: yadda yake aiki, yadda yake bambanta da IKEv1, fa'idodi da rashin amfaninsa, yadda ake saita shi akan tsarin daban-daban, har ma da yadda ake amfani da shi a cikin yanayin ƙwararru na ci gaba.
Menene IKEv2 kuma ta yaya yake dacewa da VPN?
IKEv2 (Internet Key Exchange sigar 2) babbar hanyar musayar bayanai ce Yana ƙirƙira da kuma sarrafa rami mai tsaro tsakanin na'urarka da uwar garken VPN. Ba ya ɓoye bayanai da kansa, amma koyaushe yana dogara ne akan IPsec, wanda shine saitin tsare-tsare waɗanda a zahiri ke sarrafa ɓoye bayanai da amincin zirga-zirga.
Abu ne da aka saba magana game da IKEv2/IPsecWannan saboda dukkan sassan biyu suna aiki tare: IKEv2 yana ƙirƙira da kuma yin shawarwari kan ƙungiyoyin tsaro (SAs), yana bayyana yadda za a ɓoye komai, kuma yana kafa maɓallan, yayin da IPsec ke amfani da waɗannan ƙa'idodi ga fakitin IP da ke tafiya ta cikin ramin. Daga mahangar mai amfani, abin da kawai suke gani shine, lokacin da aka kunna VPN, duk zirga-zirgar ababen hawa suna wucewa ta cikin rami mai tsaro.
Ɗaya daga cikin manyan fa'idodin IKEv2 Tsarin aiki kamar Windows, macOS, iOS, Android (wani ɓangare ta hanyar abokan ciniki kamar strongSwan), da kuma rarraba Linux da yawa suna tallafawa shi. Wannan yana rage buƙatar shigar da ƙarin software kuma yana sauƙaƙa tsari, musamman a cikin yanayin kamfanoni da kuma akan na'urorin sadarwa.
Bugu da ƙari, an tsara IKEv2 ne da la'akari da motsi a zuciyarsaGodiya ga ƙarin fasali kamar MOBIKE, yana iya ci gaba da haɗin ko da adireshin IP ɗinku ya canza (misali, lokacin da ake sauya daga WiFi zuwa bayanan wayar hannu), wanda hakan ke sa ya zama abin jan hankali musamman ga wayoyin komai da ruwanka, kwamfutar hannu, da masu amfani waɗanda ke ci gaba da tafiya.
Yadda IKEv2 ke aiki mataki-mataki
Ana iya kallon aikin IKEv2 a matsayin tsari a manyan matakai biyu. inda na'urarka (abokin ciniki) da uwar garken VPN suka yarda su kafa rami mai tsaro. Duk da cewa ya fi rikitarwa a ƙarƙashin murfin, ana iya fahimtarsa ta hanyar rarraba shi zuwa matakai.
A aikace, IKEv2 ya fara ƙirƙirar haɗin gwiwa tsakanin IKE SA da IKEWannan yana aiki a matsayin "tashar sarrafawa mai tsaro." Bayan haka, an kafa ɗaya ko fiye da Child SAs, waɗanda a zahiri ake amfani da su don ɓoye zirga-zirgar bayanai tare da IPsec. Bari mu kalli mafi mahimmancin sassan tsarin.
1. Mu'amala da kuma tantancewa ta farko
Lokacin da ka fara haɗin VPN tare da IKEv2Na'urarka da uwar garken suna yin musayar saƙonni na farko (IKE_SA_INIT da IKE_AUTH). A wannan matakin, ana tattaunawa kan sigogi kamar algorithms na ɓoyewa da ƙungiyar Diffie-Hellman, kuma ana yin tantancewar juna.
Ana iya yin tabbatarwa ta hanyoyi da damaAmfani da takaddun shaida na dijital, sunayen masu amfani da kalmomin shiga, maɓallan da aka riga aka raba (PSK), ko ma hanyoyin EAP a cikin yanayin kamfanoni. Kamar dai ɓangarorin biyu suna nuna wa junansu katin shaidarsu kuma sun yarda da harshe ɗaya da ƙa'idodi kafin su fara magana a sirri.
A lokacin wannan musayar, musayar Diffie-Hellman ma tana faruwa.Wannan yana bawa ɓangarorin biyu damar samar da maɓallan iri ɗaya ba tare da aika su kai tsaye ta hanyar hanyar sadarwa ba. Mai hari zai iya ganin saƙonnin, amma ba shi da wata hanyar da za a iya sake gina waɗannan maɓallan.
2. Mu'amala mai mahimmanci da tattaunawa kan sigogin tsaro
Bayan gaisuwa ta farko, ana tattaunawa kan haɗin gwiwar tsaro (SA).wanda ke fayyace irin algorithms ɗin ɓoye bayanai da za a yi amfani da su, wane algorithms na gaskiya, tsawon lokacin da maɓallan za su daɗe, da sauransu. Sakamakon shine saitin sigogi da ɓangarorin biyu suka amince da su waɗanda za a yi amfani da su a cikin IPsec Child SAs.
Maɓallan da aka samo a wannan matakin suna da daidaito.Wato, ana amfani da maɓalli iri ɗaya don ɓoyewa da kuma ɓoyewa. Wannan ya fi inganci sosai dangane da aiki fiye da ɓoyewa mara daidaituwa, wanda ake amfani da shi ne kawai a lokacin kafa haɗin don tantancewa da musayar maɓalli.
An raba aikin tsakanin IKEv2 da IPsecIKEv2 yana kula da tattaunawa da daidaita SAs, yayin da IPsec ke da alhakin amfani da ɓoyewa da tabbatarwa ga kowane fakitin IP da ke ratsawa ta cikin ramin, yawanci yana amfani da hanyoyi kamar ESP tare da AES da HMAC.
3. Ƙirƙirar hanyar IPsec mai tsaro
Bayan an kammala tabbatarwa da kuma tattaunawa mai mahimmanci, an kammalaAn kafa ƙungiyoyin yara masu kula da bayanai (Child SAs), waɗanda su ne ƙungiyoyin da ke kare zirga-zirgar bayanai. Daga wannan lokacin, duk buƙatun yanar gizonku, imel, saƙonni, da sauransu ana ɓoye su kuma ana ɓoye su yayin da suke ratsawa ta cikin ramin IPsec.
Kamar dai na'urarka tana da babbar hanya ta sirri. wanda ke haɗuwa kai tsaye zuwa sabar VPN ta hanyar intanet na jama'a. Sauran masu amfani, masu samar da kayayyaki, ko masu leƙen asiri za su ga fakitin da aka ɓoye na IPsec kawai, ba za su iya karantawa ko sarrafa abubuwan da ke cikin su ba tare da an gano su ba.
A cikin yanayi da yawa na ci gaba, ana kuma ayyana masu zaɓin zirga-zirga (TSi da TSr).Waɗannan sigogi suna nuna waɗanne ƙananan hanyoyin sadarwa da adiresoshin IP ne za a kare su a cikin ramin. Wannan yana da amfani musamman a cikin yanayin kamfanoni, ramukan yanar gizo-zuwa-wuri, ko kuma a tura su tare da na'urori masu haɗa hanyoyin sadarwa da firewalls masu rikitarwa.
4. Kula da haɗin kai da MOBIKE
Ɗaya daga cikin ƙarfin IKEv2 shine yadda yake sarrafa canje-canjen hanyar sadarwaGodiya ga faɗaɗawar MOBIKE, yana iya daidaitawa lokacin da adireshin IP ɗinku na jama'a ya canza, misali lokacin da kuke canzawa daga WiFi na gida zuwa bayanan wayar hannu ko tsakanin hanyoyin sadarwa daban-daban ba tare da buƙatar sake yin dukkan ramin ba.
A aikace, wannan yana fassara zuwa ƙarancin rabuwar da ake iya gani. Ga mai amfani, idan haɗin ya katse na ɗan lokaci, IKEv2 zai iya sake saita ramin cikin sauri ba tare da tilasta maka sake haɗawa da hannu ba. A kan na'urorin hannu, inda ɗaukar hoto da nau'in shiga ke canzawa koyaushe, wannan yana kawo babban canji.
Kodayake tsare-tsare kamar WireGuard galibi suna ba da mafi kyawun aiki Dangane da sauri da sauƙi, IKEv2 ya kasance zaɓi mai ƙarfi idan fifiko shine kwanciyar hankali da dacewa ta asali tare da tsarin aiki.
5. Musayar matakai biyu: IKE_SA_INIT da IKE_AUTH
A fannin fasaha, IKEv2 ya raba tattaunawar zuwa manyan matakai biyuKashi na farko, IKE_SA_INIT, yana mai da hankali kan amincewa da sigogin ɓoye bayanai da kuma yin musayar Diffie-Hellman. A kashi na biyu, IKE_AUTH, ana gudanar da tantancewa na ɓangarorin biyu kuma an ƙirƙiri IPsec Child SA na farko.
Mataki na 1 ya ƙunshi tattaunawa kan abubuwa kamar algorithms na ɓoye bayanai, mutunci, tsawon rayuwar IKE SA da sauran sigogi waɗanda za su ba da damar a kare saƙonnin Mataki na 2. Wannan shine lokacin da aka rufe "tashar sarrafawa" mai tsaro.
A Mataki na 2, ana ƙirƙirar kuma ana sabunta tsarin kula da lafiyar yara (Child SAs).Waɗannan suna da alhakin kare zirga-zirgar masu amfani. Kowace Child SA tana da iyakataccen tsawon rai: idan aka kai wani lokaci ko adadin bayanai, za a sake yin shawarwari kan wani sabo, a sami sabbin maɓallai da kuma ƙarfafa tsaron dogon lokaci na ramin.
Amfani da rashin amfani da IKEv2 a cikin VPN
IKEv2/IPsec ta tabbatar da kanta a matsayin ɗaya daga cikin ka'idojin VPN da aka fi amfani da su a duniya Godiya ga daidaito mai kyau tsakanin aiki, aminci, da kwanciyar hankali. Duk da haka, kamar komai, yana da fa'idodi da rashin amfaninsa waɗanda ya kamata a yi la'akari da su kafin a zaɓe shi.
Daga cikin manyan fa'idodinsa shine dacewa da algorithms na tsaro daban-dabanWannan ya haɗa da ɓoye bayanai na zamani da ƙarfi, tantancewa bisa ga takardar shaida, da kuma tallafi ga hanyoyin kamar EAP. Wannan yana ba da damar tsara tsare-tsare masu aminci sosai don amfanin gida da kasuwanci.
Dangane da aiki, IKEv2 yawanci yana da sauri da inganci.Wannan wani ɓangare ne saboda tattaunawar IKE tana gudana a cikin sararin mai amfani, yayin da IPsec ke aiki a cikin kernel, wanda ke ba da damar samun damar kayan aiki cikin sauri. Wannan yana haifar da ƙarancin jinkiri da ingantaccen amfani da bandwidth.
Hakanan ya shahara saboda goyon bayan da yake bayarwa ga MOBIKE da kuma mai da hankali kan motsi.Wannan ya sa ya zama mai amfani ga wayoyin komai da ruwanka da kwamfutar hannu waɗanda ke yawan canza hanyoyin sadarwa. Samun damar yin yawo ba tare da VPN ba koyaushe babban fa'ida ne a amfani da shi na yau da kullun.
A gefe guda, aiwatar da IKEv2 na asali yana da alaƙa da Microsoft da OracleSaboda haka, ba tsarin ƙira ba ne gaba ɗaya kamar, misali, WireGuard. Bugu da ƙari, amfani da shi na yau da kullun na UDP 500 (da 4500 don NAT-T) yana sa ya zama da sauƙi a toshe hanyoyin sadarwa masu tsananin takunkumi ko kuma firewalls masu tsauri.
Wata babbar matsala ita ce amfani da kalmomin shiga marasa ƙarfi ko kuma PSKs marasa kyau.Idan aka dogara da maɓallan da ba su da ƙarfi, waɗanda aka riga aka raba, zai fi sauƙi ga mai hari ya yi ƙoƙarin kai hare-haren ƙarfi ko wasu dabarun fashewa, don haka yana da kyau a yi amfani da maɓallai masu tsayi da rikitarwa koyaushe.
Babban bambance-bambance tsakanin IKEv1 da IKEv2
Babu makawa, idan ana maganar IKEv2, kwatancen da IKEv1 ya taso., wanda ya gabace shi. Duk da cewa duka suna aiki iri ɗaya - yin shawarwari da kuma kula da hanyoyin IPsec -, sigar 2 ta haɗa da wasu muhimman ci gaba waɗanda suka sa IKEv1 ya zama kamar ba shi da amfani.
Ɗaya daga cikin ci gaban da aka fi gani shine sauƙaƙa musayar saƙonni.IKEv2 yana buƙatar saƙonni kaɗan don ƙirƙirar haɗin da aka amince da shi, wanda ke rage jinkirin farko da yawan amfani da bandwidth yayin kafa rami.
Hakanan yana ƙara tallafi na asali don wucewar NATWannan yana da mahimmanci a zamanin yau, ganin cewa kusan kowa yana haɗuwa ta hanyar na'urorin sadarwa waɗanda ke yin NAT. IKEv2 yana amfani da tashar UDP 4500 don ratsa waɗannan na'urori da kuma ci gaba da aiki a cikin ramin.
Wani babban bambanci shine goyon bayan EAP da ingantaccen ingantaccen tantancewa mara daidaituwa.Wannan yana sauƙaƙa haɗakarwa da tsarin tantance kamfanoni, kundin adireshi, da tsare-tsare masu ci gaba fiye da sunan mai amfani da kalmar sirri mai sauƙi.
Yarjejeniyar IKEv2 kuma ta haɗa da haɓakawa da nufin juriya ga hare-haren DDoS. da kuma ingantaccen tsarin kula da harkokin kuɗi (SAs), wanda ke buƙatar ƙarancin haɗin gwiwa, don haka rage amfani da albarkatu. Duk wannan yana taimakawa wajen ƙara aminci da kuma ƙara yawan aiki.
A taƙaice, IKEv2 ya fi IKEv1 zamani, aminci, sauri, kuma ya fi amfani.Wannan shine dalilin da ya sa masana'antar ke mai da hankali kan sigar 2 kuma ta bar sigar 1 a gefe sai dai a cikin tsoffin yanayi.
IKEv2 idan aka kwatanta da sauran ka'idojin VPN
Lokacin zabar yarjejeniyar VPNBa wai kawai game da kwatanta nau'ikan IKE ba ne, har ma game da ganin yadda yake haɗuwa da wasu hanyoyin kamar IPsec, L2TP/IPsec, OpenVPN, WireGuard, PPTP, ko SSTP. Kowannensu yana da nasa mahallin da kuma musayar bayanai.
IKEv2 vs. IPsec "mai sauƙi da sauƙi"
IPsec ba gasa ce ta kai tsaye da IKEv2 ba, amma dai ƙarin haɗin gwiwa ne.IPsec tana kula da ɓoyewa da kariyar fakitin IP, yayin da IKEv2 ke kula da muhimman hanyoyin tattaunawa da tsaro. A gaskiya ma, yin magana game da "amfani da IKEv2" kusan koyaushe yana nufin amfani da IKEv2/IPsec; ɗaya ba zai iya wanzuwa ba tare da ɗayan ba.
Saboda haka, ba shi da ma'ana a tsara IKEv2 da IPsec a matsayin zaɓi na "ko dai/ko".Tunda duka biyun ɓangare ne na mafita ɗaya ta VPN, zaku iya zaɓar tsakanin haɗuwa daban-daban na IKE (v1 ko v2) da IPsec, ko ma tsakanin wasu yarjejeniyoyi waɗanda ba su dogara da IPsec ba, kamar WireGuard.
IKEv2 da L2TP/IPsec
L2TP/IPsec kuma yana dogara ne akan IPsec don ɓoye bayanaiSaboda haka, a ka'ida, duka biyun za su iya cimma irin wannan matakin tsaro idan aka tsara su da ingantattun algorithms. Duk da haka, L2TP ya tsufa kuma an ware shi a baya saboda raunin da zai iya samu kuma ana zargin hukumomin leƙen asiri sun yi masa illa, a cewar sanannun bayanan sirri.
Dangane da aiki, IKEv2 yawanci yana fitowa a saman.An tabbatar da cewa ramin IKEv2/IPsec ya fi L2TP/IPsec sauri da inganci, tare da ƙarancin kashe kuɗi da kuma ingantaccen amsawa, musamman a cikin hanyoyin sadarwa na wayar hannu da hanyoyin sadarwa tare da NAT.
Dangane da kwanciyar hankali, IKEv2 kuma yana ba da fa'idodi bayyanannu.Dukansu ga MOBIKE da kuma ƙirar zamani. L2TP/IPsec, ban da samun suna mai cike da shakku game da sirri, yakan zama mai sauƙin sassauƙa kuma ya fi samun matsala da firewalls da na'urorin NAT.
IKEv2 da OpenVPN
OpenVPN wataƙila shine mafi shaharar yarjejeniya a duniyar VPNWannan gaskiya ne musamman saboda yana da tushe mai buɗewa kuma yana da matuƙar sassauƙa. Yana iya aiki akan UDP ko TCP kuma, idan aka yi amfani da shi akan tashar TCP 443, yana bayyana a matsayin zirga-zirgar HTTPS, yana ba shi juriya sosai ga firewalls da tsarin tacewa.
Dangane da tsaro, duka IKEv2/IPsec da OpenVPN ana iya ɗaukar su da ƙarfi sosai....muddin an tsara su da tsarin zamani. Babu wani tabbataccen nasara a wannan lokacin, sai dai zaɓuɓɓuka biyu masu girma da bincike mai kyau.
Dangane da saurin gudu, IKEv2 sau da yawa yana da fa'ida a yanayi da yawaGodiya ga ƙirarsa mai sauƙi da haɗin kai da IPsec a cikin kernel, OpenVPN yana ba da fa'idodi masu yawa. Duk da haka, yana ba da zaɓuɓɓukan tsari masu yawa kuma ya fi dacewa da hanyoyin sadarwa masu tsauri inda IKEv2, galibi an iyakance shi ga tashoshin UDP 500/4500, za a iya toshe shi cikin sauƙi.
Wani muhimmin bayani shine cewa OpenVPN a bude take gaba daya.Ganin cewa IKEv2 yana da asali mai rufewa, wanda ke sa wasu masu amfani da ƙungiyoyi su karkata zuwa ga OpenVPN lokacin da ikon duba lambar abu ne mai mahimmanci.
IKEv2 da WireGuard
WireGuard shine "sabon yaro a kan toshe" A duniyar VPNs, tana da ƙira mai sauƙi (layukan lambobi dubu kaɗan) kuma ba ta da tushe kwata-kwata. An tsara ta ne don sauƙi, babban aiki, da sauƙin dubawa.
Dangane da aikin da aka yi amfani da shi, WireGuard yawanci yana yin fice fiye da IKEv2 da OpenVPN.Yana bayar da saurin gudu sosai da ƙarancin jinkiri. Duk da haka, yana dogara ne kawai akan UDP, wanda hakan ke sa ya zama mai sauƙin toshewa akan hanyoyin sadarwa waɗanda ke tace irin wannan zirga-zirgar.
Dangane da balaga da kuma amfani da shi, IKEv2 ya fi ƙarfi.Musamman a yanayin kasuwanci, na'urorin sadarwa na zamani, da na'urori masu tallafi na asali. WireGuard, kodayake ya riga ya yaɗu, yana ci gaba da haɓaka da haɗa gyare-gyare, kuma tsarinsa na sarrafa maɓallai da adiresoshin IP ya haifar da wasu muhawara game da sirri.
A ƙarshe, dukkan ka'idojin suna da fa'idodi da yawa masu amfani.Babban gudu, ingantaccen tsaro, da sauƙin amfani. Zaɓin tsakanin ɗaya ko ɗayan zai dogara ne akan tallafin mai samar da VPN, nau'in hanyar sadarwar da kake amfani da ita, da kuma ko kana sha'awar ƙira mai sauƙi da buɗewa (WireGuard) ko wata fasaha mai ƙarfi wacce ke mai da hankali sosai kan motsi da tallafin asali (IKEv2).
IKEv2 da PPTP da SSTP
PPTP da SSTP sun fi tsufa fiye da da. waɗanda yanzu ake ɗaukar su tsofaffi ne ko kuma, aƙalla, ba za a iya ba su shawara sosai ba. PPTP ta rubuta manyan raunin da suka kasance a cikin shekaru, kuma SSTP, kodayake ya fi ƙarfi, an maye gurbinsa da wasu hanyoyin zamani.
Sabanin haka, IKEv2 yana ba da tsaro mai kyau sosai.Yana bayar da ingantaccen aiki da kuma dacewa da yawancin dandamali na yanzu. Babu wani dalili na gaske na zaɓar PPTP ko SSTP idan kuna da IKEv2, OpenVPN, ko WireGuard.
Daidaitawar IKEv2 da na'urori, cibiyoyin sadarwa, da kuma firewalls
Ɗaya daga cikin dalilan nasarar IKEv2 Tallafin da yake bayarwa a fannoni daban-daban babban fa'ida ne. Tsarin da yawa suna haɗa shi ta asali, wanda ke sauƙaƙa amfani da shi ga abokan ciniki na ƙarshe da kuma tura shi zuwa na'urorin sadarwa da kuma na'urorin kashe gobara.
A kan macOS, ana tallafawa IKEv2 ta asali tun daga OS X 10.11Wannan yana ba ku damar saita haɗin VPN kai tsaye daga saitunan cibiyar sadarwa ba tare da buƙatar software na ɓangare na uku ba. Haka abin yake ga iOS tun daga sigar 8, inda IKEv2 zaɓi ne na VPN na yau da kullun a cikin tsarin.
A kan Android, tallafi yana inganta akan lokaciShekaru da yawa, ya zama ruwan dare a yi amfani da abokan ciniki kamar strongSwan don cin gajiyar IKEv2, kodayake sabbin sigogi suna ba da haɗin kai mafi kyau ga waɗannan nau'ikan haɗin. Bugu da ƙari, masana'antun VPN da ƙa'idodi da yawa sun haɗa da nasu goyon baya ga wannan yarjejeniya.
A cikin Linux, ana amfani da IKEv2 sau da yawa ta hanyar aiwatarwa kamar strongSwanAna amfani da IKEv2 sosai a yanayin sabar, na'urorin sadarwa, da kuma na'urorin kashe gobara. A kan Windows, ana tallafawa IKEv2 daga tsoffin sigar tsarin zuwa gaba, tare da abokin ciniki na VPN ta hanyar tsoho, kodayake wasu takamaiman masu siyarwa sun zaɓi daina bayar da shi don fifita sabbin ka'idoji a cikin aikace-aikacen su.
Dangane da na'urorin sadarwa na zamani, yawancin samfuran zamani suna goyan bayan IKEv2/IPsec a matsayin hanyar ƙirƙirar ramukan yanar gizo-da-wuri ko ba da damar samun damar nesa mai tsaro. Wannan yana da amfani musamman idan kuna son saita VPN ɗinku a gida kuma ku haɗa da wayar hannu ko kwamfutar tafi-da-gidanka lokacin da kuke waje.
La'akari da hanyar sadarwa, NAT da firewalls
IKEv2 yana aiki akan yawancin hanyoyin sadarwa na gida da na kamfanoniDuk da haka, akwai wasu bayanai da ya kamata a lura da su. A al'ada, yana amfani da tashar UDP 500 don tattaunawa ta farko da tashar UDP 4500 don wucewa ta NAT.
A cikin hanyoyin sadarwar gida na yau da kullun, tare da na'urar sadarwa ta NAT ta gargajiyaIKEv2 yawanci yana aiki ba tare da wata matsala ba godiya ga tallafin NAT-T. Duk da haka, a cikin ofisoshin da ke da firewalls masu ƙarfi ko kuma a ƙasashen da ke da tsauraran takunkumi, zirga-zirgar IKEv2 na iya toshewa cikin sauƙi.
Yawancin na'urorin sadarwa suna ba ku damar saita hanyoyin IKEv2 Waɗannan suna kare dukkan hanyar sadarwar gida, don haka kowace na'ura da aka haɗa da LAN tana amfana daga VPN ba tare da buƙatar tsari na musamman ba. Nan ne ainihin ma'anar subnets, masu zaɓen zirga-zirga, da manufofin tsaro ke shiga.
A kan hanyoyin sadarwar wayar hannu, yawancin masu aiki suna ba da damar zirga-zirgar IKEv2Duk da haka, wasu masu samar da sabis na iya iyakancewa, rage gudu, ko toshe hanyoyin haɗin VPN dangane da manufofinsu ko yanayin yawo. Ainihin kwanciyar hankali zai dogara ne akan ɗaukar hoto, ingancin hanyar sadarwa, da kuma shawarar mai aiki.
Takaddun yankuna da DPI
Ta hanyar amfani da tashoshin jiragen ruwa masu kyau da kuma tsarin zirga-zirgaIKEv2 yana da sauƙin ganowa ta amfani da dabarun duba fakiti mai zurfi (DPI). A cikin ƙasashe ko hanyoyin sadarwa inda aka toshe VPNs, wannan tsari na iya zama abin dogaro ko ma ba za a iya amfani da shi ba.
A waɗannan lokutan, ana amfani da yarjejeniyoyi waɗanda suka fi kyau a ɓoye su a matsayin OpenVPN akan TCP 443. Takamaiman hanyoyin magance matsalar ɓoye bayanai suna bayar da damar samun nasara mafi girma fiye da IKEv2, wanda sa hannun zirga-zirgarsa ya fi sauƙin ganewa da tacewa.
Saitin VPN na IKEv2 mai amfani
Ko da yake masu samar da VPN da yawa Suna bayar da manhajoji waɗanda ke daidaita komai a gare ku.Yana da ban sha'awa ganin yadda za ku iya aiki tare da abokan ciniki na atomatik da kuma saitunan hannu. Wannan yana da amfani idan kuna son cin gajiyar sabis ɗin VPN ɗinku ko saita sabar ku.
Sauƙin saiti tare da aikace-aikacen mai bada VPN
Ayyukan kasuwanci na zamani galibi suna ba ku damar zaɓar tsarin. Daga cikin manhajar kanta. Kawai shigar da manhajar a kan na'urarka, je zuwa sashen saituna, nemo sashin daidaitawar VPN ko yarjejeniya, sannan ka zaɓi IKEv2 daga jerin.
Daga nan, yawanci kawai za ku buƙaci zaɓar sabar. Zaɓi zaɓuɓɓukan da ake da su (ƙasa, birni, nau'in sabar) sannan ka danna connect. Duk abin da ya shafi takaddun shaida, sigogin IKEv2, IPsec, da sauransu ana sarrafa su ta atomatik a bango.
Saitin IKEv2 da hannu a cikin Windows
Windows ya haɗa abokin ciniki na VPN tare da tallafin IKEv2Duk da cewa wasu masu samar da kayayyaki sun yanke shawarar daina bayar da samfuran tsari don wannan takamaiman yarjejeniya, matakan gabaɗaya don ƙirƙirar IKEv2 VPN da hannu sune kamar haka:
Da farko, kuna buƙatar buɗe menu na saitunan cibiyar sadarwaJe zuwa Saituna, sannan zuwa "Network & Internet" sannan zuwa "VPN". Daga nan, danna "Ƙara haɗin VPN" sannan ka zaɓi "Windows (wanda aka gina a ciki)" a matsayin mai bada sabis.
Na gaba, shigar da bayanan sabar VPN ɗinku.: adireshin sabar, sunan haɗi, nau'in VPN (IKEv2, idan tsarin ya ba ku damar ƙayyadewa) da kuma takaddun shaidar tabbatarwa da mai ba ku sabis ya bayar (sunan mai amfani, kalmar sirri, takardar shaidar ko PSK).
Da zarar ka kammala bayaninAjiye bayanin martaba kuma za ku iya haɗawa/cire haɗin daga kwamitin Windows VPN. Dangane da mai bada sabis, kuna iya buƙatar saita saitunan ci gaba ko shigo da takaddun shaida cikin shagon takardar shaidar tsarin.
Saitin IKEv2 da hannu akan macOS
A kan macOS, saita IKEv2 da hannu shima abu ne mai sauƙi.kodayake sau da yawa yana buƙatar saukar da takardar sheda daga mai samar da VPN:
Ya zama ruwan dare a fara saukar da takardar shaidar IKEv2. Daga gidan yanar gizon sabis ɗin VPN. Da zarar an sauke shi, za ku buƙaci ƙara shi zuwa maɓallan shiga ta amfani da manhajar "Keychain Access" kuma ku yi masa alama a matsayin amintacce a kowane lokaci.
Na gaba, je zuwa "Saitunan Tsarin" kuma shigar da "Cibiyar Sadarwa".Danna maɓallin "+", zaɓi "VPN", sannan zaɓi IKEv2 a matsayin nau'in haɗin. Shigar da adireshin sabar da takaddun shaidar tabbatarwa (sunan mai amfani/kalmar sirri ko takardar shaidar).
A cikin zaɓuɓɓukan ci gaba za ku iya zaɓar hanyar tabbatarwaSanya takardar shaidar da ta dace idan ya cancanta kuma a daidaita wasu bayanai. Idan an gama, danna Aiwatar kuma yi amfani da sashin sadarwa don haɗawa da cire haɗin VPN.
Tsarin aiki da hannu akan Android tare da strongSwan
A kan Android, wata hanya ta gargajiya ta amfani da IKEv2 ita ce ta hanyar manhajar strongSwanmusamman akan na'urori inda tallafin da aka gina a ciki bai cika ba ko kuma bai bayar da duk zaɓuɓɓukan ba:
Da farko, kana buƙatar saukar da takardar shaidar IKEv2 da sabis ɗin VPN ɗinka ya bayar. sannan ka ajiye shi a na'urarka. Sannan ka shigar da "strongSwan VPN Client" daga Google Play.
Buɗe strongSwan sannan ka danna "Ƙara bayanin martaba na VPN"Shigar da adireshin sabar, shigo da takardar shaidar sabar idan an buƙata, sannan a saka sunan mai amfani da kalmar sirri da mai ba da sabis na VPN ɗinku.
Kafin adanawa, zaka iya gwada haɗin kuma daidaita sigogi. kamar sake gwadawa ta atomatik, amfani da DNS na ramin, da sauransu. A ƙarshe, adana bayanin martaba kuma haɗa daga hanyar haɗin strongSwan kanta, amincewa da takardar shaidar idan tsarin ya buƙaci hakan.
Saita hannu akan iOS
A kan iPhone ko iPad, IKEv2 an haɗa shi gaba ɗaya cikin tsarin kuma an tsara shi daga saitunan VPN:
A al'ada, za ku fara da sauke takardar shaidar mai bada VPN. (Wani lokaci za ku buƙaci amfani da AirDrop idan burauzar ku ba ta ba ku damar sauke ta kai tsaye ba.) Danna ta don shigar da ita a cikin bayanin martabar na'urar ku, wanda ke cikin Saituna > Gabaɗaya > Bayanin martaba ko "VPN & Gudanar da Na'urori".
Sannan je zuwa Saituna > Gabaɗaya > VPN > Ƙara saitunan VPN sannan ka zaɓi IKEv2. Shigar da adireshin sabar, ID na nesa, ID na gida idan ana buƙata, da takaddun shaidar tabbatarwa. A cikin sashin "Takaddun shaida", zaɓi wanda ka shigar idan wannan shine hanyar tabbatarwa da mai bada sabis ɗinka ke amfani da ita.
Hakanan zaka iya kunna zaɓuɓɓuka kamar "Koyaushe akan VPN" domin a dawo da haɗin ta atomatik. Da zarar an adana bayanin martaba, za ku iya kunna da kashe VPN daga Saitunan iOS.
Amfani da IKEv2 a cikin na'urori masu amfani da hanyoyin sadarwa da misalai masu amfani
Baya ga amfani da IKEv2 daga wayar hannu ko kwamfutaYana da matuƙar sauƙi a saita shi akan na'urorin sadarwa na zamani don samar da damar shiga daga nesa zuwa cibiyar sadarwa ta gida ko ofis. Yawancin na'urorin sadarwa na ƙwararru ko waɗanda ba ƙwararru ba daga kamfanoni kamar TP-Link Omada, da sauransu, suna ba da damar amfani da IKEv2/IPsec tare da nau'ikan tantancewa daban-daban.
Misali na misali shine yanayin Client zuwa LAN.A cikin wannan saitin, na'urar sadarwa tana aiki azaman uwar garken VPN kuma na'urorin hannu ko kwamfyutocin tafi-da-gidanka suna aiki azaman abokan ciniki. An ayyana manufar IPsec tare da yanayin abokin ciniki-LAN, mai masaukin nesa ana yiwa alama a matsayin 0.0.0.0 (don karɓar haɗi daga kowane adireshin IP), kuma an ƙayyade WAN na na'urar sadarwa da cibiyar sadarwar gida ta ciki.
An ayyana maɓalli da aka riga aka raba a cikin tsarin.An ƙayyade nau'ikan adiresoshin IP na abokan cinikin VPN (misali, 10.10.10.0/24), kuma an zaɓi sigar yarjejeniyar IKE a matsayin IKEv2. A mataki na 1, an zaɓi shawarwarin ɓoye bayanai kamar sha256-aes256 tare da ƙungiyoyi daban-daban na Diffie-Hellman, kuma an tsara yanayin tattaunawa da nau'ikan gano na gida da na nesa.
Ga Android, ID na gida yawanci yana nufin nau'in adireshin IPWannan yana nufin na'urar sadarwa tana da adireshin IP na jama'a a kan hanyar sadarwar WAN ɗinta, ba tare da wani NAT na tsakiya ba. iOS yana ba da damar ƙarin sassauci tare da nau'ikan ID na gida da na nesa, ta amfani da sunaye maimakon adiresoshin IP.
Da zarar an saita na'urar sadarwa, abin da kawai za ku yi shi ne ƙirƙirar haɗin IKEv2/IPsec akan na'urarku ta hannu. Ta amfani da PSK, ƙayyade suna, adireshin sabar, mai ganowa (ID), da maɓallin da aka riga aka raba. Idan komai an daidaita shi daidai, za a kafa ramin, kuma za ku iya bincika kamar kuna cikin LAN, kuna samun adireshin IP daga kewayon da aka sanya (misali, 10.10.10.1).
Ci gaba da yanayi: IKEv2 a cikin hanyoyin sadarwa na ƙwararru
A cikin yanayin kamfanoni da na'urorin jigilar kaya, ana amfani da IKEv2 ta hanya mafi inganci. fiye da a cikin hanyar haɗin mai amfani mai sauƙi. Misali mai wakilci shine samar da picocells (ƙananan ƙwayoyin wayar hannu) ta amfani da na'urorin jerin SRX azaman saitunan loda sabar.
A cikin wannan nau'in aikin turawa, picocells sun fito ne daga masana'anta tare da ƙaramin tsari. Wannan yana ba su damar fara ramin IPsec IKEv2 zuwa na'urar SRX. Ba a adana cikakkun bayanai game da samar da bayanai (IP, abin rufe fuska, DNS, da sauransu) a cikin tantanin halitta ba, amma a kan sabar RADIUS ta waje.
Lokacin da picocell ya ɗaga ramin, SRX yana tabbatar da shi ta amfani da takaddun shaida Bayan tantancewa, yana aika bayanan asali zuwa sabar RADIUS. RADIUS yana amsawa tare da tsarin samar da kayayyaki, wanda SRX ke mayarwa zuwa picocell ta amfani da nauyin saitin IKEv2 yayin tattaunawar rami.
A cikin wannan tsari, an ayyana takamaiman masu zaɓin zirga-zirgar TSi da TSr. Ga kowace VPN (misali, ramin OAM don gudanarwa da kuma wani ramin 3GPP don bayanan mai amfani), kowannensu yana da nasa subnets da misalan hanya. Sadarwa tsakanin takwarorinsu ma ana iya kunna ta a cikin wani ƙaramin intanet ta hanyar ƙara TSr na biyu wanda ya haɗa da wannan hanyar sadarwa.
Wannan nau'in mafita yana amfani da ikon IKEv2 na jigilar ƙarin tsari kuma suna sabunta masu zaɓen zirga-zirga ta hanyar canzawa. Bugu da ƙari, jituwa tare da amintaccen hanyoyin haɗin rami-da-maki da maki-da-maki-da-maki-da-maki (st0) da kuma yawan samuwa a cikin manyan hanyoyi masu yawa ya sa ya zama babban ɓangare na muhimman ababen more rayuwa.
Shirya matsala ta yau da kullun tare da IKEv2
Ko da yake IKEv2 abin dogaro ne sosaiBa tare da ƙananan ciwon kai ba ne. Wasu matsaloli na yau da kullun suna sake faruwa akai-akai, kuma yana da amfani a san yadda za a magance su.
Haɗin ya makale a kan "haɗi" ko "yin shawarwari kan tsaro"
Idan VPN ɗin ya ci gaba da ƙoƙarin haɗawa har abadaWannan yawanci yana nuna matsalar tantancewa ko matsalar daidaitawa. Mataki na farko shine a tabbatar cewa adireshin sabar daidai ne, nau'in tantancewa ya dace, kuma takardun shaidar (sunan mai amfani/kalmar sirri, takardar shaidar, ko PSK) sun dace.
Haka kuma yana da mahimmanci a tabbatar da cewa takardar shaidar ba ta ƙare ba. kuma cewa na'urar ta amince da hukumar da ta bayar da wannan sabis ɗin. Idan kuna aiki da wani mai samar da sabis na kasuwanci, yana da kyau ku gwada wani sabar daban ko ku sake sauke fayilolin daidaitawa da aka sabunta.
Babu haɗin intanet bayan haɗawa zuwa VPN
Yana da sauƙin haɗawa ga VPN amma har yanzu ba ka da damar shiga intanet.A irin waɗannan lokutan, matsalar yawanci tana faruwa ne da ƙudurin DNS ko rikice-rikicen IPv6. Mafita gama gari ita ce saita sabar DNS da hannu takamaiman (misali, na mai samar da VPN da kansa) a cikin tsarin hanyar sadarwa.
Kashe IPv6 na iya taimakawa idan akwai rashin jituwa tsakanin VPN da tsarin ko na'urar sadarwa. Yawancin ayyukan VPN suna ba da shawarar kashe IPv6 gaba ɗaya don hana zubewa ko hanyoyin da suka saba wa juna a tsawon lokacin haɗin.
Kurakuran takardar shaida
Kurakuran takardar shaida na iya kawo ƙarshen duk wani yunƙurin haɗi ba zato ba tsammaniSau da yawa suna faruwa ne saboda takaddun shaida da suka ƙare, sa hannu marasa inganci, ko kuma agogon tsarin da ba daidai ba.
Don gyara wannan, sake sauke takaddun shaida daga mai bada sabis.Tabbatar lokaci da kwanan wata akan na'urarka sun yi daidai kuma ka tabbatar an shigar da takardar shaidar tushen CA yadda ya kamata kuma an yi masa alama a matsayin amintacce.
Ana samun kutse a adireshin DNS ko IP
Idan VPN ɗin ya faɗi ko kuma ba a daidaita shi da kyau baZa a iya samun ɓullar DNS ko IP, wanda hakan ke fallasa wasu zirga-zirgar ku. Don rage waɗannan haɗarin, yana da kyau a yi amfani da sabar DNS da VPN ke bayarwa koyaushe, kuma, a sake la'akari da kashe IPv6 idan ba a tallafa masa yadda ya kamata ba.
Yawancin aikace-aikacen VPN sun haɗa da Kill SwitchWannan fasalin yana rage duk zirga-zirgar hanyar sadarwa idan ramin ya faɗi. Kunna wannan aikin ƙarin mataki ne mai kyau don hana na'urarka amfani da hanyar sadarwa mara kariya ba da gangan ba.
Amfani da shari'o'i da zaɓin IKEv2 a yau
IKEv2 ya kasance zaɓi mai kyau sosai Ga waɗanda suka fifita kwanciyar hankali, dacewa da tsarin aiki na zamani, da kuma ingantaccen aiki, musamman akan na'urorin hannu.
Idan kuna neman saitin asali ba tare da rikitarwa da yawa baIKEv2 yana daidaita tsaro, saurin aiki, da sauƙin amfani da shi. A cikin mahalli tare da hanyoyin sadarwa masu tsauri ko kuma tsauraran matakai, OpenVPN (sama da TCP 443) ko mafita masu tushen ɓoye bayanai za su yi aiki mafi kyau, kuma idan kuna son haɓaka aiki, kuna iya la'akari da WireGuard.
Duk da haka, masu samar da kayayyaki da yawa suna ba da damar canzawa tsakanin yarjejeniyoyi da yawa. a cikin wannan manhaja, don haka ba a haɗa ka da ɗaya kawai ba. Za ka iya gwada IKEv2, OpenVPN, da WireGuard a ƙarƙashin yanayi ɗaya kuma ka zaɓi wanda ya fi haɗa gudu, kwanciyar hankali, da jituwa don takamaiman buƙatunka.
Don fahimtar yadda IKEv2 ke aiki, yadda ya bambanta da sauran zaɓuɓɓuka, da kuma yadda ake saita shi Wannan yana ba ku damar cin gajiyar VPN ɗinku, ko kuna amfani da sabis na kasuwanci ko kuma kuna kafa tsarin ku na kanku. Tare da wannan tushe mai haske, zaku iya yanke shawara mai kyau game da lokacin da za ku yi amfani da IKEv2/IPsec da kuma lokacin da za ku zaɓi wasu ka'idoji a cikin tsarin VPN na yanzu.