यह पृष्ठ नेटवर्क ऑपरेटरों के लिए दिशानिर्देश प्रदान करता है ताकि यह सुनिश्चित किया जा सके कि उपभोक्ता और एंटरप्राइज़ वर्चुअल प्राइवेट नेटवर्क (वीपीएन) ऐप्स अपने नेटवर्क में एक अच्छा अंतिम-उपयोगकर्ता अनुभव प्रदान करते हैं। एंड्रॉइड डेवलपर्स को वीपीएन समाधान बनाने के लिए VpnManager क्लास प्रदान करता है, जिसका उपयोग उपभोक्ताओं और उद्यमों द्वारा अपने संचार को एन्क्रिप्ट करने या उन्हें विभिन्न नेटवर्क पर रूट करने के लिए किया जाता है।
हम अनुशंसा करते हैं कि नेटवर्क ऑपरेटर इन दिशानिर्देशों का पालन करें:
- आपके नेटवर्क पर IPv6 एनकैप्सुलेटिंग सिक्योरिटी पेलोड (ESP) प्रोटोकॉल (नेक्स्ट हेडर 50) पैकेट का समर्थन करें , यह सुनिश्चित करते हुए कि इस ट्रैफ़िक का उपयोगकर्ता डेटाग्राम प्रोटोकॉल (UDP) या ट्रांसमिशन कंट्रोल प्रोटोकॉल (TCP) कनेक्शन के साथ तुलनीय प्रदर्शन हो। ईएसपी सत्रों को उपकरणों में इनबाउंड की अनुमति दी जानी चाहिए, या बहुत उच्च टाइमआउट पर सेट किया जाना चाहिए, और लाइन दर पर अग्रेषित किया जाना चाहिए।
- नेटवर्क एड्रेस ट्रांसलेशन (NAT) और स्टेटफुल फ़ायरवॉल टाइमआउट सेट करें जो पोर्ट 4500 पर यूडीपी कनेक्शन के लिए न्यूनतम 600 सेकंड है ताकि यह सुनिश्चित किया जा सके कि वीपीएन समाधान अत्यधिक बिजली लागत के बिना विश्वसनीय कनेक्टिविटी बनाए रख सकें।
IPv6 ESP प्रोटोकॉल (नेक्स्ट हैडर 50) पैकेट का समर्थन करें
इनकैप्सुलेटिंग सिक्योरिटी पेलोड (ईएसपी) एक पैकेट प्रारूप है जिसे वीपीएन समाधान में पैकेट को एन्क्रिप्ट और प्रमाणित करने के लिए इंटरनेट प्रोटोकॉल सिक्योरिटी (आईपीएसईसी) प्रोटोकॉल सेट के हिस्से के रूप में परिभाषित किया गया है। एंड्रॉइड ओएस इस मानक सुरक्षा प्रोटोकॉल को अपने अंतर्निहित वीपीएन समाधान में लागू करता है।
IPv6-सक्षम नेटवर्क पर, ESP पैकेट सीधे IPv6 पैकेट में 50 के नेक्स्ट हेडर फ़ील्ड के साथ ले जाए जाते हैं। यदि कोई नेटवर्क इस प्रकार के पैकेट का ठीक से समर्थन नहीं करता है, तो यह उन वीपीएन समाधानों के लिए कनेक्टिविटी की कमी का कारण बन सकता है जिनका उद्देश्य इसका उपयोग करना है पैकेटों के और अधिक एनकैप्सुलेशन के बिना प्रोटोकॉल। फ़ायरवॉल कॉन्फ़िगरेशन के कारण नेटवर्क इन पैकेटों को छोड़ सकता है। या ईएसपी पैकेट टीसीपी या यूडीपी कनेक्शन की तुलना में गंभीर रूप से खराब थ्रूपुट प्रदर्शन के साथ नेटवर्क पर धीमे पथ पर पहुंच सकते हैं।
इंटरनेट इंजीनियरिंग टास्क फोर्स (IETF) उपभोक्ता इंटरनेट एक्सेस सेवाओं द्वारा उपयोग किए जाने वाले फ़ायरवॉल के माध्यम से IPsec को अनुमति देने की अनुशंसा करता है। उदाहरण के लिए, RFC 6092 अनुभाग 3.2.4 देखें। ईएसपी पैकेट को दोनों दिशाओं में फ़ायरवॉल के माध्यम से सुरक्षित रूप से अनुमति दी जा सकती है क्योंकि यदि किसी डिवाइस को ईएसपी पैकेट प्राप्त होता है जो मौजूदा सुरक्षा एसोसिएशन का हिस्सा नहीं है, तो डिवाइस पैकेट को छोड़ देता है। परिणामस्वरूप, डिवाइस को वीपीएन कनेक्टिविटी बनाए रखने के लिए कीपअलाइव पैकेट भेजने की आवश्यकता नहीं होती है, जिससे बैटरी जीवन की बचत होती है। हम अनुशंसा करते हैं कि नेटवर्क या तो हर समय उपकरणों को ईएसपी पैकेट की अनुमति दें, या लंबी अवधि की निष्क्रियता (उदाहरण के लिए, 30 मिनट) के बाद ही ईएसपी सत्र को टाइम आउट करें।
हम अनुशंसा करते हैं कि नेटवर्क ऑपरेटर अपने नेटवर्क पर ईएसपी प्रोटोकॉल पैकेट (50 के अगले हेडर के साथ आईपीवी6 पैकेट) का समर्थन करें और उन पैकेटों को लाइन दर पर हार्डवेयर में अग्रेषित करें। यह सुनिश्चित करता है कि वीपीएन समाधान कनेक्टिविटी समस्याओं का सामना न करें और यूडीपी या टीसीपी कनेक्शन के बराबर प्रदर्शन प्रदान करें।
पर्याप्त NAT और स्टेटफुल फ़ायरवॉल टाइमआउट सेट करें
कनेक्शन की विश्वसनीयता बनाए रखने के लिए, एक वीपीएन समाधान को वीपीएन सर्वर से लंबे समय तक चलने वाला कनेक्शन बनाए रखने की आवश्यकता होती है जो आउटबाउंड और इनबाउंड कनेक्टिविटी प्रदान करता है (उदाहरण के लिए, आने वाली पुश सूचनाएं, चैट संदेश और ऑडियो/वीडियो कॉल प्राप्त करने के लिए)। अधिकांश IPsec VPN ऐप्स गंतव्य पोर्ट 4500 के साथ IPv4 UDP पैकेट में इनकैप्सुलेटेड ESP का उपयोग करते हैं, जैसा कि RFC 3948 में वर्णित है।
इस कनेक्शन को बनाए रखने के लिए, डिवाइस को समय-समय पर सर्वर पर पैकेट भेजने की आवश्यकता होती है। इन पैकेटों को नेटवर्क ऑपरेटर द्वारा लगाए गए NAT और फ़ायरवॉल टाइमआउट की तुलना में उच्च आवृत्ति पर भेजा जाना चाहिए। बार-बार कीपअलाइव करने से ग्राहक पक्ष पर बिजली की खपत होती है और बैटरी जीवन पर बड़ा प्रभाव पड़ता है। वे नेटवर्क पर पर्याप्त सिग्नलिंग ट्रैफ़िक भी उत्पन्न करते हैं, भले ही डिवाइस अन्यथा निष्क्रिय हो।
हम अनुशंसा करते हैं कि ऑपरेटर बैटरी प्रभाव से बचने के लिए NAT और स्टेटफुल फ़ायरवॉल टाइमआउट को पर्याप्त बढ़ा दें। IPsec UDP एनकैप्सुलेशन (पोर्ट 4500) के लिए अनुशंसित टाइमआउट 600 सेकंड या उससे अधिक है।
मोबाइल नेटवर्क में, यूडीपी एनएटी टाइमआउट को अक्सर कम रखा जाता है क्योंकि आईपीवी4 एड्रेस की कमी उच्च पोर्ट पुन: उपयोग कारकों को लगाती है। हालाँकि, जब कोई वीपीएन स्थापित होता है, तो डिवाइस नेटवर्क को लंबे समय तक चलने वाले टीसीपी कनेक्शन का समर्थन करने की आवश्यकता नहीं होती है, जैसे कि इनबाउंड सूचनाएं देने के लिए उपयोग किया जाता है। इसलिए जब कोई वीपीएन चल रहा हो तो नेटवर्क को समर्थन देने के लिए जितने लंबे समय तक चलने वाले कनेक्शन की आवश्यकता होती है वह उतनी ही या कम होती है जब कोई वीपीएन नहीं चल रहा होता है।