این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

تجربه کاربر VPN را بهبود بخشید

این صفحه دستورالعمل‌هایی را برای اپراتورهای شبکه ارائه می‌کند تا اطمینان حاصل کنند که برنامه‌های شبکه خصوصی مجازی مجازی (VPN) مصرف‌کننده و شرکت تجربه خوبی برای کاربر نهایی در شبکه‌های خود ارائه می‌دهند. Android کلاس VpnManager را برای توسعه دهندگان فراهم می کند تا راه حل های VPN را ایجاد کنند، که توسط مصرف کنندگان و شرکت ها برای رمزگذاری ارتباطات خود یا مسیریابی آنها به شبکه های مختلف استفاده می شود.

ما به اپراتورهای شبکه توصیه می کنیم این دستورالعمل ها را دنبال کنند:

از بسته‌های پروتکل IPv6 محفظه بار امنیتی (ESP) (Next Header 50) در شبکه خود پشتیبانی کنید و اطمینان حاصل کنید که این ترافیک عملکردی قابل مقایسه با اتصالات پروتکل دیتاگرام کاربر (UDP) یا پروتکل کنترل انتقال (TCP) دارد. جلسات ESP باید اجازه ورود به دستگاه‌ها را داشته باشند یا روی بازه‌های زمانی بسیار بالا تنظیم شوند و با نرخ خط ارسال شوند.
ترجمه آدرس شبکه (NAT) و وقفه های فایروال حالتی را تنظیم کنید که حداقل 600 ثانیه برای اتصالات UDP در پورت 4500 باشد تا مطمئن شوید که راه حل های VPN می توانند اتصال قابل اعتماد را بدون متحمل شدن هزینه های انرژی بیش از حد حفظ کنند.

پشتیبانی از بسته های پروتکل IPv6 ESP (Next Header 50).

محصور کردن بار امنیتی (ESP) قالب بسته ای است که به عنوان بخشی از مجموعه پروتکل های امنیت پروتکل اینترنت (IPSec) برای رمزگذاری و احراز هویت بسته ها در یک راه حل VPN تعریف شده است. سیستم عامل اندروید این پروتکل امنیتی استاندارد را در راه حل داخلی VPN خود پیاده سازی می کند.

در شبکه‌های دارای IPv6، بسته‌های ESP مستقیماً در بسته‌های IPv6 با فیلد Next Header 50 حمل می‌شوند. اگر شبکه به‌درستی از این نوع بسته‌ها پشتیبانی نکند، می‌تواند باعث عدم اتصال راه‌حل‌های VPN شود که هدفشان استفاده از این است. پروتکل بدون کپسوله سازی بیشتر بسته ها. شبکه ممکن است این بسته ها را به دلیل پیکربندی فایروال رها کند. یا بسته های ESP ممکن است به مسیرهای آهسته در شبکه برخورد کنند، با عملکرد توان عملیاتی به شدت در مقایسه با اتصالات TCP یا UDP.

کارگروه مهندسی اینترنت (IETF) توصیه می‌کند که IPsec از طریق فایروال‌های مورد استفاده توسط سرویس‌های دسترسی به اینترنت مصرف‌کننده مجاز باشد. برای مثال، بخش 3.2.4 RFC 6092 را ببینید. بسته‌های ESP می‌توانند با خیال راحت از طریق فایروال‌ها در هر دو جهت مجاز شوند، زیرا اگر یک دستگاه بسته ESP را دریافت کند که بخشی از یک انجمن امنیتی موجود نیست، دستگاه بسته را حذف می‌کند. در نتیجه، دستگاه برای حفظ اتصال VPN نیازی به ارسال بسته های نگهدارنده ندارد، که باعث صرفه جویی در عمر باتری می شود. توصیه می‌کنیم که شبکه‌ها همیشه به بسته‌های ESP اجازه دسترسی به دستگاه‌ها را بدهند یا جلسات ESP را فقط پس از مدت‌های طولانی عدم فعالیت (مثلاً 30 دقیقه) متوقف کنند.

ما به اپراتورهای شبکه توصیه می‌کنیم از بسته‌های پروتکل ESP (بسته‌های IPv6 با سربرگ بعدی 50) در شبکه‌های خود پشتیبانی کرده و آن بسته‌ها را در سخت‌افزار با نرخ خط ارسال کنند. این تضمین می کند که راه حل های VPN با مشکلات اتصال مواجه نمی شوند و عملکردی قابل مقایسه با اتصالات UDP یا TCP ارائه می دهند.

NAT کافی و وقفه های فایروال حالت دار را تنظیم کنید

برای حفظ قابلیت اطمینان اتصال، یک راه حل VPN نیاز به حفظ یک اتصال طولانی مدت به سرور VPN دارد که اتصال خروجی و ورودی را فراهم می کند (به عنوان مثال، برای دریافت اعلان های فشار ورودی، پیام های چت، و تماس های صوتی یا تصویری). اکثر برنامه های IPsec VPN از ESP کپسوله شده در بسته های IPv4 UDP با پورت مقصد 4500 استفاده می کنند، همانطور که در RFC 3948 توضیح داده شده است.

برای حفظ این اتصال، دستگاه باید به صورت دوره ای بسته هایی را به سرور ارسال کند. این بسته‌ها باید با فرکانس بالاتری نسبت به زمان‌بندی NAT و فایروال تحمیل‌شده توسط اپراتور شبکه ارسال شوند. نگهدارنده های مکرر در سمت مشتری انرژی زیادی دارند و تأثیر زیادی بر عمر باتری دارند. آنها همچنین ترافیک سیگنالینگ قابل توجهی را در شبکه ایجاد می کنند، حتی اگر دستگاه غیرفعال باشد.

توصیه می‌کنیم که اپراتورها NAT و زمان‌بندی فایروال حالتی را به اندازه کافی بالا ببرند تا از تأثیر باتری جلوگیری کنند. زمان توصیه شده برای کپسوله سازی IPsec UDP (پورت 4500) 600 ثانیه یا بیشتر است.

در شبکه‌های تلفن همراه، زمان‌بندی UDP NAT اغلب کم نگه داشته می‌شود، زیرا کمبود آدرس IPv4 فاکتورهای استفاده مجدد پورت بالایی را تحمیل می‌کند. با این حال، هنگامی که یک VPN ایجاد می شود، شبکه دستگاه نیازی به پشتیبانی از اتصالات TCP طولانی مدت، مانند اتصالاتی که برای ارائه اعلان های ورودی استفاده می شود، ندارد. بنابراین تعداد اتصالات طولانی مدتی که شبکه باید از آنها پشتیبانی کند، در هنگام اجرای VPN در مقایسه با زمانی که VPN در حال اجرا نیست، یکسان یا کمتر است.