تقدّم هذه الصفحة إرشادات لمشغّلي الشبكات لضمان توفير تجربة جيدة للمستخدمين النهائيين في شبكاتهم من خلال تطبيقات الشبكة الافتراضية الخاصة (VPN) للمستهلكين والمؤسسات. يوفر Android فئة
VpnManager
للمطوّرين لإنشاء حلول VPN، التي يستخدمها المستهلكون و
المؤسسات لتشفير اتصالاتهم أو توجيهها إلى شبكات مختلفة.
ننصح مشغّلي الشبكات باتّباع هذه الإرشادات:
- السماح بحِزم بروتوكول تغليف حمولة البيانات الأمنية (ESP) في الإصدار 6 من بروتوكول الإنترنت (حقل "الرأس التالي" 50) على شبكتك، ما يضمن أن يكون أداء هذه الزيارات مماثلاً لأداء اتصالات بروتوكول مخطط بيانات المستخدم (UDP) أو بروتوكول التحكم في النقل (TCP) يجب السماح لجلسات ESP بالوصول إلى الأجهزة، أو ضبطها على مهلات طويلة جدًا، وإعادة توجيهها بمعدّل سرعة الخط.
- ضبط مهلات ترجمة عنوان الشبكة (NAT) وجدار الحماية الذي يحافظ على الحالة بحيث لا تقل عن 600 ثانية لاتصالات UDP على المنفذ 4500 لضمان قدرة حلول VPN على الحفاظ على اتصال موثوق بدون تكبّد تكاليف طاقة مفرطة
السماح بحِزم بروتوكول ESP في الإصدار 6 من بروتوكول الإنترنت (حقل "الرأس التالي" 50)
تغليف حمولة البيانات الأمنية (ESP) هو تنسيق الحِزم المحدّد كجزء من مجموعة بروتوكولات أمان بروتوكول الإنترنت (IPSec) لتشفير الحِزم والمصادقة عليها في حل VPN. يطبّق نظام التشغيل Android بروتوكول الأمان المعياري هذا في حل VPN المُضمَّن.
على الشبكات المتوافقة مع الإصدار 6 من بروتوكول الإنترنت، يتم نقل حِزم ESP مباشرةً في حِزم الإصدار 6 من بروتوكول الإنترنت مع حقل "الرأس التالي" بقيمة 50. إذا كانت الشبكة لا تتيح هذه الأنواع من الحِزم بشكل صحيح، قد يؤدي ذلك إلى عدم توفّر الاتصال لحلول VPN التي تهدف إلى استخدام هذا البروتوكول بدون إجراء المزيد من عمليات التغليف للحِزم. قد تحظر الشبكة هذه الحِزم بسبب إعدادات جدار الحماية. أو قد تصل حِزم ESP إلى مسارات بطيئة على الشبكة، ما يؤدي إلى انخفاض كبير في أداء معدّل النقل مقارنةً باتصالات TCP أو UDP.
تنصح فرقة هندسة الإنترنت (IETF) بالسماح ببروتوكول IPsec من خلال جدران الحماية التي تستخدمها خدمات الوصول إلى الإنترنت للمستهلكين. على سبيل المثال، اطّلِع على القسم 3.2.4 من RFC 6092. يمكن السماح لحِزم ESP بالمرور بأمان من خلال جدران الحماية في كلا الاتجاهَين، لأنّه إذا تلقّى الجهاز حزمة ESP ليست جزءًا من رابطة أمان حالية، سيحظر الجهاز الحزمة. نتيجةً لذلك، لا يحتاج الجهاز إلى إرسال رسائل تحقّق من الاتصال للحفاظ على الاتصال عبر شبكة VPN، ما يحافظ على عمر البطارية. ننصح الشبكات إما بالسماح لحِزم ESP بالوصول إلى الأجهزة في جميع الأوقات، أو بانتهاء مهلة جلسات ESP بعد فترات طويلة من عدم النشاط (مثل 30 دقيقة).
ننصح مشغّلي الشبكات بالسماح بحِزم بروتوكول ESP (حِزم الإصدار 6 من بروتوكول الإنترنت مع حقل "الرأس التالي" بقيمة 50) على شبكاتهم وإعادة توجيه هذه الحِزم في الأجهزة بمعدّل سرعة الخط. يضمن ذلك ألا تواجه حلول VPN مشاكل في الاتصال وأن تقدّم أداءً مماثلاً لأداء اتصالات UDP أو TCP.
ضبط مهلات كافية لترجمة عنوان الشبكة وجدار الحماية الذي يحافظ على الحالة
للحفاظ على موثوقية الاتصال، يحتاج حل VPN إلى الحفاظ على اتصال طويل الأمد بخادم VPN الذي يوفّر الاتصال الصادر والوارد (على سبيل المثال، لتلقّي الإشعارات اللحظية الواردة ورسائل المحادثة والمكالمات الصوتية أو مكالمات الفيديو). تستخدم معظم تطبيقات IPsec VPN بروتوكول ESP المُغلَّف في حِزم UDP للإصدار 4 من بروتوكول الإنترنت مع منفذ الوجهة 4500، كما هو موضّح في RFC 3948.
للحفاظ على هذا الاتصال، يحتاج الجهاز إلى إرسال حِزم إلى الخادم بشكل دوري. يجب إرسال هذه الحِزم بتردد أعلى من مهلات ترجمة عنوان الشبكة وجدار الحماية التي يفرضها مشغّل الشبكة. تستهلك عمليات الإبقاء على الاتصال المتكررة الكثير من الطاقة على جانب العميل، وتؤثر بشكل كبير في عمر البطارية. تؤدي هذه العمليات أيضًا إلى إنشاء زيارات إشارات كبيرة على الشبكة، حتى إذا كان الجهاز في وضع الخمول.
ننصح المشغّلين برفع مهلات ترجمة عنوان الشبكة وجدار الحماية الذي يحافظ على الحالة إلى مستوى عالٍ بما يكفي لتجنُّب التأثير في البطارية. المهلة المقترَحة لتغليف UDP في بروتوكول IPsec (المنفذ 4500) هي 600 ثانية أو أكثر.
في شبكات الجوّال، غالبًا ما يتم إبقاء مهلات ترجمة عنوان الشبكة لبروتوكول UDP منخفضة لأنّ ندرة عناوين الإصدار 4 من بروتوكول الإنترنت تفرض عوامل عالية لإعادة استخدام المنافذ. ومع ذلك، عند إنشاء شبكة VPN، لا تحتاج شبكة الجهاز إلى السماح باتصالات TCP طويلة الأمد، مثل تلك المستخدَمة لعرض الإشعارات الواردة. لذلك، يكون عدد الاتصالات طويلة الأمد التي تحتاج الشبكة إلى السماح بها هو نفسه أو أقل عند تشغيل شبكة VPN مقارنةً بعدم تشغيلها.