توفر هذه الصفحة إرشادات لمشغلي الشبكات للتأكد من أن تطبيقات الشبكة الخاصة الافتراضية (VPN) للمستهلكين والمؤسسات توفر تجربة جيدة للمستخدم النهائي في شبكاتهم. يوفر Android فئة VpnManager للمطورين لإنشاء حلول VPN، والتي يستخدمها المستهلكون والمؤسسات لتشفير اتصالاتهم أو توجيهها إلى شبكات مختلفة.
نوصي مشغلي الشبكات باتباع الإرشادات التالية:
- دعم حزم بروتوكول IPv6 لتغليف حمولة الأمان (ESP) (الرأس التالي 50) على شبكتك ، مما يضمن أن حركة المرور هذه تتمتع بأداء مماثل لاتصالات بروتوكول مخطط بيانات المستخدم (UDP) أو بروتوكول التحكم في الإرسال (TCP). يجب السماح لجلسات ESP بالدخول إلى الأجهزة، أو ضبطها على مهلات عالية جدًا، وإعادة توجيهها بمعدل الخط.
- قم بتعيين ترجمة عنوان الشبكة (NAT) ومهلات جدار الحماية ذات الحالة التي لا تقل عن 600 ثانية لاتصالات UDP على المنفذ 4500 لضمان قدرة حلول VPN على الحفاظ على اتصال موثوق به دون تكبد تكاليف طاقة زائدة.
دعم حزم بروتوكول IPv6 ESP (الرأس التالي 50).
إن تغليف حمولة الأمان (ESP) هو تنسيق الحزمة المحدد كجزء من مجموعة بروتوكولات أمان بروتوكول الإنترنت (IPSec) لتشفير الحزم ومصادقتها في حل VPN. يطبق نظام التشغيل Android بروتوكول الأمان القياسي هذا في حل VPN المدمج الخاص به.
على الشبكات التي تدعم IPv6، يتم نقل حزم ESP مباشرة في حزم IPv6 مع حقل الرأس التالي الذي يبلغ 50. إذا كانت الشبكة لا تدعم هذه الأنواع من الحزم بشكل صحيح، فقد يتسبب ذلك في نقص الاتصال بحلول VPN التي تهدف إلى استخدام هذا بروتوكول دون مزيد من التغليف للحزم. قد تقوم الشبكة بإسقاط هذه الحزم بسبب تكوين جدار الحماية. أو قد تصل حزم ESP إلى مسارات بطيئة على الشبكة، مع انخفاض شديد في أداء الإنتاجية مقارنة باتصالات TCP أو UDP.
يوصي فريق عمل هندسة الإنترنت (IETF) بالسماح لـ IPsec من خلال جدران الحماية التي تستخدمها خدمات الوصول إلى الإنترنت للمستهلك. على سبيل المثال، راجع قسم RFC 6092 3.2.4 . يمكن السماح بحزم ESP بأمان من خلال جدران الحماية في كلا الاتجاهين لأنه إذا تلقى الجهاز حزمة ESP ليست جزءًا من اقتران أمان موجود، فسيقوم الجهاز بإسقاط الحزمة. ونتيجة لذلك، لا يحتاج الجهاز إلى إرسال حزم البقاء على قيد الحياة للحفاظ على اتصال VPN، مما يوفر عمر البطارية. نوصي بأن تسمح الشبكات إما بوصول حزم ESP إلى الأجهزة في جميع الأوقات، أو إنهاء جلسات ESP فقط بعد فترات طويلة من عدم النشاط (على سبيل المثال، 30 دقيقة).
نوصي مشغلي الشبكات بدعم حزم بروتوكول ESP (حزم IPv6 ذات الرأس التالي 50) على شبكاتهم وإعادة توجيه تلك الحزم في الأجهزة بمعدل الخط. وهذا يضمن عدم مواجهة حلول VPN لمشكلات الاتصال وتوفير أداء مماثل لاتصالات UDP أو TCP.
قم بتعيين مهلات NAT وجدار الحماية الكافية
للحفاظ على موثوقية الاتصال، يحتاج حل VPN إلى الحفاظ على اتصال طويل الأمد بخادم VPN الذي يوفر اتصالاً صادرًا وواردًا (على سبيل المثال، لتلقي إشعارات الدفع الواردة ورسائل الدردشة ومكالمات الصوت/الفيديو). تستخدم معظم تطبيقات IPsec VPN ESP المغلف في حزم IPv4 UDP بمنفذ الوجهة 4500، كما هو موضح في RFC 3948 .
للحفاظ على هذا الاتصال، يحتاج الجهاز إلى إرسال الحزم بشكل دوري إلى الخادم. يجب إرسال هذه الحزم بتردد أعلى من مهلة NAT وجدار الحماية التي يفرضها مشغل الشبكة. تستهلك عمليات الاحتفاظ المتكررة الطاقة من جانب العميل، ولها تأثير كبير على عمر البطارية. كما أنها تولد حركة مرور إشارات كبيرة على الشبكة، حتى لو كان الجهاز خاملاً.
نوصي المشغلين برفع مهلات NAT وجدار الحماية إلى مستوى عالٍ بما يكفي لتجنب التأثير على البطارية. المهلة الموصى بها لتغليف IPsec UDP (المنفذ 4500) هي 600 ثانية أو أكبر.
في شبكات الهاتف المحمول، غالبًا ما تظل مهلات UDP NAT منخفضة لأن ندرة عنوان IPv4 تفرض عوامل إعادة استخدام عالية للمنافذ. ومع ذلك، عند إنشاء VPN، لا تحتاج شبكة الجهاز إلى دعم اتصالات TCP طويلة الأمد، مثل تلك المستخدمة لتوصيل الإشعارات الواردة. لذا فإن عدد الاتصالات طويلة الأمد التي تحتاج الشبكة إلى دعمها هو نفسه أو أقل عند تشغيل VPN مقارنةً بوقت عدم تشغيل VPN.