Bu sayfada, tüketici ve kurumsal sanal özel ağ (VPN) uygulamalarının ağlarında iyi bir son kullanıcı deneyimi sunmasını sağlamak için ağ operatörlerine yönelik yönergeler sağlanmaktadır. Android, geliştiricilerin tüketiciler ve kuruluşlar tarafından iletişimlerini şifrelemek veya bunları farklı ağlara yönlendirmek için kullandıkları VPN çözümleri oluşturmaları için VpnManager sınıfını sağlar.
Ağ operatörlerinin şu yönergelere uymasını öneririz:
- Ağınızda IPv6 Kapsüllenen Güvenlik Yükü (ESP) protokolü (Sonraki Başlık 50) paketlerini destekleyerek bu trafiğin kullanıcı datagram protokolü (UDP) veya iletim kontrol protokolü (TCP) bağlantılarıyla karşılaştırılabilir performansa sahip olmasını sağlayın. ESP oturumlarının cihazlara gelmesine izin verilmeli veya çok yüksek zaman aşımlarına ayarlanmalı ve hat hızında iletilmelidir.
- VPN çözümlerinin aşırı güç maliyetlerine yol açmadan güvenilir bağlantıyı koruyabilmesini sağlamak için , ağ adresi çevirisini (NAT) ve durum bilgisi olan güvenlik duvarı zaman aşımlarını, 4500 numaralı bağlantı noktasındaki UDP bağlantıları için en az 600 saniye olacak şekilde ayarlayın .
IPv6 ESP protokolü (Sonraki Başlık 50) paketlerini destekleyin
Kapsüllenen Güvenlik Yükü (ESP), bir VPN çözümündeki paketleri şifrelemek ve kimlik doğrulamak için İnternet Protokolü Güvenliği (IPSec) protokol kümesinin bir parçası olarak tanımlanan paket formatıdır. Android işletim sistemi bu standart güvenlik protokolünü yerleşik VPN çözümünde uygular.
IPv6 özellikli ağlarda, ESP paketleri, Sonraki Başlık alanı 50 olan IPv6 paketleri halinde doğrudan taşınır. Bir ağ, bu tür paketleri düzgün şekilde desteklemiyorsa, bunu kullanmayı amaçlayan VPN çözümleri için bağlantı eksikliğine neden olabilir. paketlerin daha fazla kapsüllenmesine gerek kalmadan protokol. Ağ, güvenlik duvarı yapılandırması nedeniyle bu paketleri bırakabilir. Veya ESP paketleri, TCP veya UDP bağlantılarına kıyasla ciddi ölçüde düşük verim performansıyla ağ üzerinde yavaş yollara çarpabilir.
İnternet Mühendisliği Görev Gücü (IETF), tüketici internet erişim hizmetleri tarafından kullanılan güvenlik duvarları aracılığıyla IPsec'e izin verilmesini önerir. Örneğin RFC 6092 bölüm 3.2.4'e bakın. ESP paketlerine güvenlik duvarları aracılığıyla her iki yönde de güvenli bir şekilde izin verilebilir, çünkü bir cihaz mevcut bir güvenlik ilişkisinin parçası olmayan bir ESP paketi alırsa cihaz paketi bırakır. Sonuç olarak, cihazın VPN bağlantısını sürdürmek için canlı tutma paketleri göndermesine gerek kalmaz, bu da pil ömründen tasarruf sağlar. Ağların cihazlara ESP paketlerine her zaman izin vermesini veya ESP oturumlarının yalnızca uzun süre işlem yapılmadığında (örneğin 30 dakika) zaman aşımına uğramasını öneririz.
Ağ operatörlerinin ağlarında ESP protokol paketlerini (Sonraki Başlığı 50 olan IPv6 paketleri) desteklemelerini ve bu paketleri donanımda hat hızında iletmelerini öneririz. Bu, VPN çözümlerinin bağlantı sorunlarıyla karşılaşmamasını ve UDP veya TCP bağlantılarıyla karşılaştırılabilir performans sağlamasını sağlar.
Yeterli NAT ve durum bilgisi olan güvenlik duvarı zaman aşımlarını ayarlayın
Bağlantı güvenilirliğini korumak için bir VPN çözümünün, giden ve gelen bağlantı sağlayan (örneğin, gelen anında bildirimleri, sohbet mesajlarını ve sesli/görüntülü aramaları almak için) VPN sunucusuyla uzun süreli bir bağlantı sürdürmesi gerekir. Çoğu IPsec VPN uygulaması, RFC 3948'de açıklandığı gibi hedef bağlantı noktası 4500 ile IPv4 UDP paketlerinde kapsüllenmiş ESP'yi kullanır.
Bu bağlantıyı sürdürmek için cihazın sunucuya periyodik olarak paket göndermesi gerekir. Bu paketlerin, ağ operatörünün uyguladığı NAT ve güvenlik duvarı zaman aşımlarından daha yüksek bir sıklıkta gönderilmesi gerekir. Sık sık canlı tutma, istemci tarafında güç tüketir ve pil ömrü üzerinde büyük bir etkiye sahiptir. Ayrıca, cihaz boşta olsa bile ağ üzerinde önemli miktarda sinyal trafiği oluştururlar.
Operatörlerin NAT ve durum bilgisi olan güvenlik duvarı zaman aşımlarını pilin etkisini önleyecek kadar yükseltmelerini öneririz. IPsec UDP kapsülleme (bağlantı noktası 4500) için önerilen zaman aşımı 600 saniye veya daha fazladır.
Mobil ağlarda, IPv4 adresi kıtlığı yüksek bağlantı noktası yeniden kullanım faktörlerini zorunlu kıldığından, UDP NAT zaman aşımları genellikle düşük tutulur. Ancak bir VPN kurulduğunda cihaz ağının, gelen bildirimleri iletmek için kullanılanlar gibi uzun ömürlü TCP bağlantılarını desteklemesi gerekmez. Dolayısıyla, bir VPN çalışırken ağın desteklemesi gereken uzun ömürlü bağlantıların sayısı, VPN'in çalışmadığı duruma kıyasla aynı veya daha azdır.