VPN协议的比较

虚拟私人网络（VPN）通过在公共网络上建立安全的、加密的连接来实现这一目标。这样，数据就可以在一条私密通道中传输。这项技术将您的设备与VPN服务器连接起来，从而保护敏感信息不被他人窥探。不过，要使这种连接发挥作用，您的设备和服务器都需要遵循相同的规则。

这些规则是由…来定义的。VPN协议协议是一种指令集，它规定了如何建立和维护安全连接。协议中会明确说明诸如加密方式、认证流程以及数据处理等方面的细节。不同协议的特性各不相同：有些协议更注重传输速度，而另一些则通过增加多层安全检查来确保数据的完整性。

最受欢迎的VPN协议有：OpenVPN, IKEv2, L2TP/IPSec, TLS/SSL，以及NordLynx（基于WireGuard技术）。本文将分析目前最流行的各种加密方法的优点、差异以及理想的应用场景。了解这些特性是选择适合自己需求的加密方式的关键。

主要要点/核心内容

• 速度是一个非常重要的差异化因素。像 NordLynx这样的现代协议，相比OpenVPN和L2TP/IPSec这类较旧的协议，能够提供更快的传输速度，同时还能降低数据传输所需的资源消耗。
• NordLynx与OpenVPN之间的选择，其实是一种权衡取舍。NordLynx具有极高的传输速度，因此非常适合用于流媒体播放和游戏。而OpenVPN则提供了无与伦比的定制性，由于其丰富的配置选项以及长期以来的公开审计记录，它被认为是安全的首选方案。
• WireGuard与IKEv2在移动设备上的对比。虽然这两种协议都速度很快，但IKEv2在移动设备上的表现更为出色，因为其连接稳定性更高，能够无缝地在Wi-Fi和蜂窝网络之间切换。而WireGuard则拥有更好的整体性能，不过它依赖于提供商的应用程序来实现类似的稳定性功能。
• 安全性和加密方式各不相同。OpenVPN具有高度的可配置性，且得到了广泛的信任。NordLynx和WireGuard则采用了现代、高效的加密算法。而像L2TP/IPSec这样的旧式协议，由于存在潜在的安全漏洞，现在被认为不够安全了。
• 绕过防火墙。那些使用TCP端口443的协议，比如OpenVPN和TLS/SSL，在绕过网络防火墙方面最为可靠。因为TCP端口443通常用于处理标准的HTTPS流量，所以被封锁的可能性非常低。

主要的VPN协议有哪些？

通过隧道协议传输的数据会被分割成多个部分，然后被封装在加密的数据包中。当这些数据包到达目的地后，服务器会使用其配置的私钥来解密这些数据包，从而重新解析出原始数据。整个过程在您的设备与VPN服务器之间反复进行，以完成整个会话。

虽然隧道传输的原理保持不变，但不同的隧道协议在具体特性上有所不同。大多数硬件设备都支持这些协议，有些协议甚至被视作标准协议。

NordLynx（WireGuard）

WireGuard是一种开源的隧道协议，其代码设计得非常简洁，从而大大减少了攻击面，并显著提升了系统的可维护性。该协议基于用户数据报协议（UDP），通过省略握手过程来提升传输速度。

WireGuard无法为连接到服务器的所有用户动态分配IP地址。为了处理这种情况，并使连接能够顺利进行，服务器需要一个内部记录系统。这个系统可以记录每个用户的身份，从而确保各个用户的数据不会混淆在一起。在数据泄露的情况下，这种机制可以起到作用，因为很容易识别出由服务器分配的用户的身份。

NordLynx是由Nord Security团队开发的。它是对WireGuard核心代码的一次改进，能够解决与用户身份相关的问题。在比较NordLynx和OpenVPN时，NordLynx由于其轻量级的设计而具有更快的传输速度；而OpenVPN则拥有更多的可定制性，可以支持多种加密算法。

NordLynx与WireGuard的对比

NordLynx在几个关键方面优于WireGuard。

• 增加了双网络地址转换（NAT）系统，从而提升了安全性。
• 为每个用户会话分配一个唯一的IP地址。
• 仅适用于Nord Security系列产品，如NordVPN和思博。

IKEv2

Internet Key Exchange版本2是一种VPN密钥管理协议，它负责处理建立和维护IPsec安全关联所需的请求和响应操作。在密钥建立过程中，该协议使用Diffie-Hellman密钥交换算法来生成共享的会话密钥，而IPsec加密算法则利用这个会话密钥进行数据加密。IKEv2支持多种认证方式，包括X.509证书、预共享密钥以及基于EAP的机制。

IKEv2属于一种互联网安全协议，该协议负责处理安全关联相关的功能。它的作用就是寻找双方都能接受的条件来建立VPN隧道。由于IKEv2使用UDP协议，因此其延迟相对较低，因此对于大多数应用场景来说都是非常合适的选择。此外，IKEv2对性能的要求并不高，因此即使在硬件性能相对较弱的情况下也能正常运作。

IKE VPN协议还能够在无线网络和移动数据网络之间切换时保持连接。因此，对于那些依赖蜂窝数据网络但又能切换到无线网络的移动设备来说，这是一种很好的选择。此外，IKEv2还具备在连接中断时自动重新连接的功能。

OpenVPN

OpenVPN是最常用的VPN协议。它是一种开源的隧道协议和系统，能够建立安全的点对点和站点对站点的连接。Transport Layer Security与OpenSSL加密库算法相结合，可以处理私钥的交换过程，从而提升虚拟私有网络的安全性。

从网络连接的角度来看，OpenVPN协议可以有两种运行模式：UDP模式或传输控制协议（TCP）模式。

• UDP它不使用握手机制，也就是说，在发送数据包时，不需要等待确认这些数据包是否已经到达目的地。这种传输方式与 WireGuard 所使用的技术类似。而 IKEv2 则更注重传输速度，而非连接的稳定性。
• TCP它采用发起方与接收方之间的三路握手机制。客户端发送请求，服务器确认收到请求后给予回应，而客户端则再次发送确认消息。虽然这个过程看起来有些繁琐，但这种方式能够确保连接的可靠性，不过相应地，延迟也会稍微增加一些。

无论是UDP还是TCP，在传输数据时都会将数据分割成更小的数据包。这些数据包中包含了发送方和接收方的IP地址、实际数据以及其他配置信息。因此，虽然OpenVPN是一种更先进的传输协议，但它仍然遵循相同的隧道传输原理。

L2TP

第二层隧道协议（L2TP）结合了多种技术，用于实现安全的网络连接。点对点隧道协议（PPTP）还有二层转发用于创建VPN隧道。单独来看，L2TP并不提供加密功能。通常，加密功能是由IPSec来提供的（详见下文）。

L2TP最初于1999年发布。它用于在接入集中器（LAC）与网络服务器（LNS）之间建立连接。这种连接可以支持多个会话，并且可以在OSI模型的第二层上进行传输。

该协议的优点之一就是其兼容性：现代版本的Microsoft Windows和macOS都支持L2TP/IPSec协议。通过这两种操作系统，可以轻松设置隧道连接。此外，L2TP协议还兼容Linux系统。

不过，该协议本身缺乏加密和认证功能。因此，很少有现代VPN支持这种协议。

IPSec

互联网协议安全（IPSec）与L2TP一起工作，其形式为L2TP/IPSec。IPSec能够为通过L2TP隧道传输的数据提供身份验证和加密功能。这样一来，就能以一种更为可靠的方式来安全地传输数据了。

IPSec使用AES加密算法来加密数据。VPN协议则利用共享的IKE密钥来建立安全连接。当安全连接可用时，该协议会创建封装安全载荷（ESP）。这种机制通过将数据包包裹在两层信息中，使得两个设备能够相互通信。此外，这种机制还通过添加一层IP地址数据来隐藏原始发送方的身份。

IPSec被归类为一种安全协议。不过，有消息称，NSA试图利用256位AES加密技术来破坏其Bullrun计划中的安全措施。因此，该加密算法的实际安全性仍然不确定。

IPSec的传输速度可能会因为双重封装而受到影响。而L2TP和IPSec在穿越防火墙时都会遇到困难，这可能会导致性能问题。

TLS/SSL

Transport Layer Security (TLS) 包含两个组成部分：TLS记录协议和TLS握手协议。记录协议通过握手过程中生成的密钥来保护应用程序数据；而握手协议则负责协商加密参数，并在客户端和服务器之间建立共享的密钥。

TLS是一种经过更新和改进的版本。安全套接层协议（SSL）它超越了SSL的局限，还提供了HMAC认证、PRF密钥生成功能，以及AES加密算法。这些连接通过端口443进行通信，而端口443在大多数情况下都是可用的。因此，TLS是一种非常适合用于穿越防火墙的VPN协议。

TLS通常是基于浏览器的技术。它常被用作安全套接字隧道协议（SSTP）的基础协议——而SSTP正是用于实现始终在线运行的基于Web的VPN的解决方案。

在这种情况下，TLS被用于连接Web应用程序与用户设备或服务器。不过，它也可以用来加密IP语音连接。基于浏览器的连接也可以是无客户端的连接，这样就不需要额外的VPN软件了。

TLS的缺点在于，它只能通过浏览器或受支持的应用程序来使用。因此，用户通常会结合使用IPSec和TLS VPN技术，以实现更全面的网络覆盖。

VPN协议之间有哪些主要的区别呢？

无论你是自己托管VPN服务器，还是选择使用VPN服务提供商，你都需要为你的连接选择一个合适的VPN协议。这是构建VPN连接时不可或缺的一部分。

以下是各种常见VPN协议的比较概述。选择合适的VPN协议有助于优化您的网络使用体验，同时避免在不必要的情况下浪费资源。

速度对比

Nord Security的研究表明，NordLynx VPN协议的传输速度最高可达1200 Mbps，而IKEv2则只能达到600 Mbps。至于OpenVPN，其最佳传输速度仅为400 Mbps。无论VPN服务器与客户端之间的距离如何，这种趋势都是相同的。

根据这些研究结果，如果你在寻找最快速且安全的隧道协议的话，那么应该选择 NordLynx（或 WireGuard）。而第二快的方案则是 IKEv2。即使是在连接到世界的另一端时，IKEv2也能很好地满足需求。

以上所有协议的性能都优于L2TP/IPSec，尤其是在速度方面。不过，TLS的协商时间相对较长，因此其性能不如IKEv2/IPSec、OpenVPN和NordLynx。

加密

OpenVPN通过OpenSSL库提供了最强大的加密功能。它支持多种加密算法，如AES、ChaCha20、Poly1305等。此外，OpenVPN还可以使用MD5、BLAKE2等哈希算法来处理认证信息。RSA、DSA等多种算法也可以被用于处理协议的私钥派生问题。由于拥有丰富的定制选项，OpenVPN非常适合用于各种应用场景，无论您的VPN设置如何配置，它都能提供良好的适应性。

NordLynx/WireGuard在加密方面则没有那么灵活。其加密方式完全依赖于ChaCha20算法（该算法被认为比AES更安全）。WireGuard和NordLynx都使用ChaCha20-Poly1305算法来进行数据包的认证加密，而BLAKE2算法则用于协议的哈希处理和密钥生成功能。该协议的传输层仅支持UDP协议。

IKEv2提供的选择比NordLynx更多，但相比OpenVPN则略少一些。它提供了多种强大的加密算法供用户选择，比如AES 256加密、Blowfish等。主要区别在于，IKEv2仅支持UDP协议。

OpenVPN、NordLynx和IKEv2都应被视为安全的隧道协议。而L2TP/IPSec和TLS则不太适合作为安全隧道协议使用。

仅使用第2层隧道协议本身是无法实现加密的，不过用户可以根据需要添加其他加密方式。鉴于爱德华·斯诺登透露的信息，专家们现在认为IPSec并非完全安全。IPsec是一种开放的IETF标准，既有开源实现方式，也有专有实现方式。因此，系统的安全性取决于所使用的软件是否得到了良好的维护以及配置是否正确。

SSL/TLS通过公钥加密技术提供安全的AES加密功能。不过，TLS协议的灵活性不如其他更先进的协议。

安全性

虽然 WireGuard 是开源的，但 NordLynx 则属于专有软件。如果用户需要完全了解该应用程序的安全代码，那么这可能会成为一个问题。不过，NordLynx 所使用的 WireGuard 并没有已知的安全漏洞。OpenVPN 也是如此。

不过，由于OpenVPN的存在时间更长，那些独立测试人员有更多的时间来修复其中的大部分漏洞。因此，可以说OpenVPN是最安全的VPN协议。而WireGuard则仍处于发展阶段。

IKEv2的安全性略低一些。根据美国国家安全局泄露的演示文稿来看，利用IKEv2协议中的漏洞就能成功解密数据。虽然这只是一种推测，但就安全性而言，OpenVPN和WireGuard显然更为可靠。

SSL/TLS协议与中间人攻击有关，这种攻击往往是由于使用了不可信的安全证书所导致的。用户可能会因为配置错误而面临风险。不过，大多数专家认为，TLS所使用的256位AES加密方式是非常安全的。

L2TP/IPSec同样存在与IKEv2相同的问题。人们对该协议的安全性持怀疑态度，因此在安全VPN协议的排名中，L2TP/IPSec的排名低于OpenVPN和NordLynx。

网络端口要求

如果网络不支持所选VPN协议所使用的特定端口，那么VPN用户可能会遇到连接问题。一些网络管理员或互联网服务提供商可能会关闭某些端口，以限制攻击面。这样做的话，他们实际上也会限制用户通过VPN访问工作资源的能力。

NordLynx和IKEv2都是基于UDP协议的。不过，一些网络管理员可能会阻止这种协议的使用。不过，许多常见的服务（如DNS、VoIP、流媒体以及QUIC/HTTP3）仍然使用UDP协议。

OpenVPN在兼容性方面是最优秀的选项之一。它可以通过UDP或TCP协议在可配置的端口上运行（默认情况下通常使用UDP 1194端口；如果需要与HTTPS流量融合在一起，则可以使用TCP/UDP 443端口）。

L2TP/IPSec在利用双重封装机制时，可能会遇到防火墙的阻碍。单独来看，Layer 2隧道协议本身能够很好地处理防火墙问题，但它缺乏安全功能。另一方面，TLS则使用端口443进行通信。因此，TLS隧道可以轻松通过大多数防火墙。

数据使用情况

使用VPN协议时，数据消耗通常会增加。这是因为每个数据包都会被重新打包。在原有数据的基础上再添加额外的数据，就会使得总数据量增大。随着时间的推移，这种累积效应会越来越明显。而当用户使用的是有流量限制的连接时，他们可能会更快地达到每月的数据上限。

不过，并非所有协议都包含相同数量的数据开销。例如，OpenVPN会增加高达20%的数据开销，而WireGuard（以及NordLynx）则只会增加4%的数据开销。IKEv2则处于两者之间，其数据开销为7%，这个数值仍然属于比较合理的范围。因此，如果你想减少用户所需处理的数据量，那么选择NordLynx会是一个不错的选择。

从数据使用的角度来看，L2TP/IPSec通常优于所有这些协议。双重封装机制会为每次数据包传输增加额外的开销。虽然TLS使用的数据量比IKEv2和NordLynx要多，但其消耗的数据量应该会比OpenVPN要少一些。

设备兼容性

在兼容性方面，IKEv2、L2TP/IPSec和OpenVPN通常是最优秀的选择。

大多数设备都原生支持IKEv2协议，因此手动建立连接相对容易。通常，用户只需按照以下步骤操作即可。