इस पेज का अनुवाद Cloud Translation API से किया गया है.

वीपीएन इस्तेमाल करने वाले लोगों के अनुभव को बेहतर बनाएं

इस पेज पर नेटवर्क ऑपरेटर के लिए दिशा-निर्देश दिए गए हैं. इनसे यह पक्का किया जा सकता है कि उपभोक्ता और एंटरप्राइज़ वर्चुअल प्राइवेट नेटवर्क (वीपीएन) ऐप्लिकेशन अपने नेटवर्क पर असली उपयोगकर्ताओं को अच्छा अनुभव दें. Android, डेवलपर के लिए VpnManager क्लास उपलब्ध कराता है, ताकि वे वीपीएन समाधान बना सकें. इसका इस्तेमाल, उपभोक्ता और एंटरप्राइज़ अपनी बातचीत को एन्क्रिप्ट करने या अलग-अलग नेटवर्क पर रूट करने के लिए करते हैं.

हमारा सुझाव है कि नेटवर्क ऑपरेटर इन दिशा-निर्देशों का पालन करें:

अपने नेटवर्क पर IPv6 Encapsulating Security Payload (ESP) प्रोटोकॉल (नेक्स्ट हेडर 50) पैकेट के साथ काम करना. इससे यह पक्का होता है कि इस ट्रैफ़िक की परफ़ॉर्मेंस, यूज़र डेटाग्राम प्रोटोकॉल (UDP) या ट्रांसमिशन कंट्रोल प्रोटोकॉल (TCP) कनेक्शन के बराबर हो. ईएसपी सेशन को डिवाइसों पर इनबाउंड करने की अनुमति दी जानी चाहिए या उन्हें बहुत ज़्यादा टाइम आउट पर सेट किया जाना चाहिए. साथ ही, उन्हें लाइन रेट पर फ़ॉरवर्ड किया जाना चाहिए.
नेटवर्क पते का अनुवाद (एनएटी) और स्टेटफ़ुल फ़ायरवॉल टाइम आउट सेट करें, जो पोर्ट 4500 पर यूडीपी कनेक्शन के लिए कम से कम 600 सेकंड के हों. इससे यह पक्का किया जा सकता है कि वीपीएन समाधान, बिजली की ज़्यादा खपत किए बिना भरोसेमंद कनेक्टिविटी बनाए रख सकें.

IPv6 ESP प्रोटोकॉल (नेक्स्ट हेडर 50) पैकेट के साथ काम करना

एनकैप्सुलेटिंग सिक्योरिटी पेलोड (ईएसपी) एक पैकेट फ़ॉर्मैट है. इसे वीपीएन समाधान में पैकेट को एन्क्रिप्ट (सुरक्षित) और प्रमाणित करने के लिए, प्रोटोकॉल के इंटरनेट प्रोटोकॉल सिक्योरिटी (आईपीसेक) सेट के हिस्से के तौर पर तय किया जाता है. Android OS इस स्टैंडर्ड सुरक्षा प्रोटोकॉल को, पहले से मौजूद वीपीएन सलूशन में लागू करता है.

IPv6 नेटवर्क पर, ESP पैकेट सीधे IPv6 पैकेट में भेजे जाते हैं. इन पैकेट में, अगले हेडर फ़ील्ड की वैल्यू 50 होती है. अगर कोई नेटवर्क इस तरह के पैकेट के साथ काम नहीं करता है, तो हो सकता है कि वीपीएन समाधानों के लिए कनेक्टिविटी पूरी न हो. इस प्रोटोकॉल का मकसद, पैकेट को एन्क्रिप्ट (सुरक्षित) किए बिना इस प्रोटोकॉल का इस्तेमाल करना होता है. फ़ायरवॉल कॉन्फ़िगरेशन की वजह से, नेटवर्क इन पैकेट को छोड़ सकता है. इसके अलावा, हो सकता है कि ईएसपी पैकेट, नेटवर्क पर धीमे पाथ से गुज़रें. इससे टीसीपी या यूडीपी कनेक्शन की तुलना में, थ्रूपुट की परफ़ॉर्मेंस काफ़ी खराब हो जाती है.

इंटरनेट इंजीनियरिंग टास्क फ़ोर्स (आईईटीएफ़) का सुझाव है कि उपभोक्ता इंटरनेट ऐक्सेस सेवाओं के लिए इस्तेमाल किए जाने वाले फ़ायरवॉल के ज़रिए, आईपीएसईसी को अनुमति दी जाए. उदाहरण के लिए, आरएफ़सी 6092 का सेक्शन 3.2.4 देखें. ईएसपी पैकेट को फ़ायरवॉल के ज़रिए, दोनों दिशाओं में सुरक्षित तरीके से भेजा जा सकता है. ऐसा इसलिए, क्योंकि अगर किसी डिवाइस को कोई ऐसा ईएसपी पैकेट मिलता है जो किसी मौजूदा सुरक्षा असोसिएशन का हिस्सा नहीं है, तो डिवाइस उस पैकेट को छोड़ देता है. इस वजह से, डिवाइस को वीपीएन कनेक्शन बनाए रखने के लिए, 'कनेक्शन बनाए रखें' पैकेट भेजने की ज़रूरत नहीं पड़ती. इससे बैटरी लाइफ़ बचती है. हमारा सुझाव है कि नेटवर्क, डिवाइसों को हमेशा ईएसपी पैकेट भेजने की अनुमति दें या लंबे समय तक कोई गतिविधि न होने पर (उदाहरण के लिए, 30 मिनट) ही ईएसपी सेशन को टाइम आउट करें.

हमारा सुझाव है कि नेटवर्क ऑपरेटर अपने नेटवर्क पर ईएसपी प्रोटोकॉल पैकेट (50 के अगले हेडर वाले आईपीवी6 पैकेट) का इस्तेमाल करें और उन पैकेट को हार्डवेयर में, लाइनों की दर पर फ़ॉरवर्ड करें. इससे यह पक्का होता है कि वीपीएन सुविधाओं में कनेक्टिविटी से जुड़ी समस्याएं नहीं आतीं. साथ ही, इसकी परफ़ॉर्मेंस, यूडीपी या टीसीपी कनेक्शन की तुलना में नहीं मिलती.

एनएटी और स्टेटफ़ुल फ़ायरवॉल के लिए ज़रूरत के मुताबिक टाइम आउट सेट करना

कनेक्शन को भरोसेमंद बनाए रखने के लिए, वीपीएन सर्वर से लंबे समय तक कनेक्ट रहना ज़रूरी है. यह सर्वर, आउटबाउंड और इनबाउंड कनेक्टिविटी देता है. उदाहरण के लिए, इनकमिंग पुश सूचनाएं, चैट मैसेज, और ऑडियो या वीडियो कॉल पाने के लिए. ज़्यादातर आईपीएसईसी वीपीएन ऐप्लिकेशन, डेस्टिनेशन पोर्ट 4500 के साथ आईपीवी4 यूडीपी पैकेट में एन्कैप्सुलेट किए गए ईएसपी का इस्तेमाल करते हैं. इस बारे में आरएफ़सी 3948 में बताया गया है.

इस कनेक्शन को बनाए रखने के लिए, डिवाइस को समय-समय पर सर्वर को पैकेट भेजने होंगे. इन पैकेट को, नेटवर्क ऑपरेटर की ओर से लगाए गए NAT और फ़ायरवॉल टाइमआउट की फ़्रीक्वेंसी से ज़्यादा फ़्रीक्वेंसी पर भेजा जाना चाहिए. क्लाइंट साइड पर बार-बार keepalives करने से ज़्यादा बैटरी खर्च होती है. साथ ही, इससे बैटरी लाइफ़ पर भी काफ़ी असर पड़ता है. साथ ही, इनसे नेटवर्क पर सिग्नलिंग के लिए ज़्यादा ट्रैफ़िक भी जनरेट होता है, भले ही डिवाइस का इस्तेमाल न किया जा रहा हो.

हमारा सुझाव है कि ऑपरेटर, बैटरी पर असर से बचने के लिए, NAT और स्टेटफ़ुल फ़ायरवॉल के टाइम आउट को ज़्यादा से ज़्यादा बढ़ाएं. IPsec UDP encapsulation (पोर्ट 4500) के लिए, 600 सेकंड या उससे ज़्यादा का टाइम आउट इस्तेमाल करने का सुझाव दिया जाता है.

मोबाइल नेटवर्क में, यूडीपी NAT टाइम आउट को अक्सर कम रखा जाता है, क्योंकि आईपीवी4 पते की कमी की वजह से पोर्ट का फिर से इस्तेमाल करने की संभावना ज़्यादा होती है. हालांकि, वीपीएन चालू होने पर, डिवाइस नेटवर्क को लंबे समय तक चलने वाले टीसीपी कनेक्शन के साथ काम करने की ज़रूरत नहीं होती. उदाहरण के लिए, वे कनेक्शन जिनका इस्तेमाल इनबाउंड सूचनाएं देने के लिए किया जाता है. इसलिए, वीपीएन के चालू होने पर, नेटवर्क को लंबे समय तक चलने वाले उतने ही या उससे कम कनेक्शन के साथ काम करना पड़ता है जितने कनेक्शन के साथ उसे वीपीएन के बंद होने पर काम करना पड़ता है.