IKEv1 还是 IKEv2？

FortiGate 同时支持 IKEv1 和 IKEv2，两者配置方式相近。IKEv2 底层协议更简洁，协商 SA 时需要的消息交互比 IKEv1 更少。

两者的主要差异：

• IKEv1 使用 XAuth（Extended Authentication）进行用户认证。
• IKEv2 使用 EAP（Extensible Authentication Protocol）进行用户认证。
• IKEv2 支持使用 TCP 作为传输方式，使 IPSec 可以通过 TCP 协商，并将 ESP 报文封装在 TCP 中，例如使用 TCP/443。

IKEv1 使用广泛、行为固定，通常更容易排障。IKEv2 提供更多灵活性，但也会带来更多配置组合，排障时变量更多。

重要

从 FortiClient 7.4.4 开始，客户端不再支持 IKEv1。如果计划部署 FortiClient 7.4.4 及以上版本，应选择 IKEv2。