Bu sayfada, tüketici ve kurumsal sanal özel ağ (VPN) uygulamalarının ağlarında iyi bir son kullanıcı deneyimi sunmasını sağlamak için ağ operatörlerine yönelik yönergeler sağlanmaktadır. Android, geliştiricilerin VPN çözümleri oluşturması için VpnManager sınıfını sağlar. Bu çözümler, tüketiciler ve kuruluşlar tarafından iletişimlerini şifrelemek veya farklı ağlara yönlendirmek için kullanılır.
Ağ operatörlerinin aşağıdaki kurallara uymasını öneririz:
- Ağınızda IPv6 Encapsulating Security Payload (ESP) protokolü (Sonraki Başlık 50) paketlerini destekleyin. Bu sayede, bu trafiğin kullanıcı datagram protokolü (UDP) veya iletim denetimi protokolü (TCP) bağlantılarıyla benzer performansa sahip olmasını sağlayabilirsiniz. ESP oturumlarının cihazlara gelene izin verilmelidir veya çok yüksek zaman aşımına ayarlanmalı ve hat hızında yönlendirilmelidir.
- VPN çözümlerinin aşırı güç maliyetlerine yol açmadan güvenilir bağlantı sağlayabilmesi için 4500 numaralı bağlantı noktasındaki UDP bağlantıları için en az 600 saniye olan ağ adresi çevirisi (NAT) ve durum bilgisine sahip güvenlik duvarı zaman aşımlarını ayarlayın.
IPv6 ESP protokolü (Sonraki Başlık 50) paketlerini destekleme
Encapsulating Security Payload (ESP), VPN çözümünde paketleri şifrelemek ve kimlik doğrulamak için Internet Protocol Security (IPSec) protokol grubu kapsamında tanımlanan paket biçimidir. Android OS, bu standart güvenlik protokolünü yerleşik VPN çözümünde uygular.
IPv6 uyumlu ağlarda ESP paketleri, 50'lik bir Sonraki Başlık alanıyla doğrudan IPv6 paketlerinde taşınır. Bir ağ bu tür paketleri düzgün şekilde desteklemiyorsa paketlerin daha fazla kapsüllenmeden bu protokolü kullanmayı amaçlayan VPN çözümlerinde bağlantı eksikliğine neden olabilir. Ağ, güvenlik duvarı yapılandırması nedeniyle bu paketleri düşürebilir. ESP paketleri, TCP veya UDP bağlantılarına kıyasla aktarım performansının ciddi şekilde düştüğü ağdaki yavaş yollarla karşılaşabilir.
İnternet Mühendisliği Görev Gücü (IETF), tüketici internet erişimi hizmetleri tarafından kullanılan güvenlik duvarları üzerinden IPsec'e izin verilmesini önerir. Örneğin, RFC 6092 bölüm 3.2.4'e bakın. Bir cihaz mevcut bir güvenlik ilişkisinin parçası olmayan bir ESP paketi alırsa paketi düşürdüğü için ESP paketlerine güvenlik duvarlarından her iki yönde de güvenli bir şekilde izin verilebilir. Sonuç olarak, cihazın VPN bağlantısını korumak için keepalive paketleri göndermesi gerekmez. Bu da pil ömrünü uzatır. Ağların, ESP paketlerinin cihazlara her zaman izin vermesini veya ESP oturumlarının yalnızca uzun süre boyunca işlem yapılmadığında (ör. 30 dakika) zaman aşımına uğramasını öneririz.
Ağ operatörlerinin ağlarında ESP protokol paketlerini (Sonraki Başlığı 50 olan IPv6 paketleri) desteklemesini ve bu paketleri hat hızında donanımda yönlendirmesini öneririz. Bu sayede VPN çözümleri bağlantı sorunlarıyla karşılaşmaz ve UDP veya TCP bağlantılarına benzer performans sağlar.
Yeterli NAT ve durum bilgisine sahip güvenlik duvarı zaman aşımlarını ayarlayın
Bağlantının güvenilirliğini korumak için VPN çözümünün, VPN sunucusuyla giden ve gelen bağlantı sağlayan uzun süreli bir bağlantı kurması gerekir (ör. gelen push bildirimleri, sohbet mesajları ve sesli veya görüntülü aramaları almak için). Çoğu IPsec VPN uygulaması, RFC 3948'de açıklandığı gibi, hedef bağlantı noktası 4500 olan IPv4 UDP paketlerine yerleştirilmiş ESP kullanır.
Bu bağlantıyı sürdürmek için cihazın sunucuya düzenli olarak paket göndermesi gerekir. Bu paketler, ağ operatörü tarafından uygulanan NAT ve güvenlik duvarı zaman aşımlarından daha yüksek bir sıklıkta gönderilmelidir. Sık keepalive isteklerinin istemci tarafında güç tüketimi yüksektir ve pil ömrünü önemli ölçüde etkiler. Ayrıca, cihaz boşta olsa bile ağda önemli miktarda sinyal trafiği oluşturur.
Operatörlerin, pil üzerindeki etkiyi önlemek için NAT ve durum bilgisine sahip güvenlik duvarı zaman aşımlarını yeterince yüksek bir değere ayarlamalarını öneririz. IPsec UDP kapsülleme (4500 numaralı bağlantı noktası) için önerilen zaman aşımı 600 saniye veya daha uzundur.
Mobil ağlarda, IPv4 adres sıkıntısı nedeniyle bağlantı noktası yeniden kullanım faktörleri yüksek olduğundan UDP NAT zaman aşımları genellikle düşük tutulur. Ancak bir VPN kurulduğunda, cihaz ağının gelen bildirimleri iletmek için kullanılanlar gibi uzun süreli TCP bağlantılarını desteklemesi gerekmez. Bu nedenle, ağın desteklemesi gereken uzun süreli bağlantıların sayısı, VPN çalışırken VPN çalışmadığından daha az veya aynıdır.