我面临的挑战是“提高 Skype 性能”,以便在我的组织内进行通话。
读过Skype IT 管理员指南我想知道我们是否会遇到性能问题,即通话中的 Skype 客户端全部位于我们的 WAN 上。
通话由我们总部的 Skype 客户端发起,并在通过 IPSEC VPN 连接的远程办公室的 Skype 客户端上终止。
当发生这种情况时,我假设来自客户端 A(由 Skype 加密)的流量进入我们的 ASA 5510,在那里进一步加密,发送到远程 ASA 5505 解密,然后传递给客户端 B,解密 Skype 加密。
如果流量不通过 VPN,而是仅依赖 Skype 的加密,通话质量是否会有所提高?我想我可以通过在我们的 HQ DMZ 中为 Skype 流量设置 SOCKS5 代理来实现这一点。
然后,流量从客户端 A 流向代理,通过 Skype 中继网络,像任何其他互联网流量一样到达 Cisco ASA 5505,然后到达客户端 B。
这样做是否有可能提高性能?如果可以,有没有不需要代理的方法?
还有其他人解决过这个问题吗?
答案1
IPSEC VPN 肯定会降低性能,这既是因为加密处理,也是因为对 TCP 的依赖。如果您有支持它的许可证,您可以尝试在两个 ASA 之间使用 SSL VPN,使用 TLS 可以提高一些性能(UDP)。
我不熟悉 Skype 流量或 SOCKS5 代理,但我不确定为什么需要执行该步骤,因为您说 Skype 已经在加密流量。为了提高性能,您需要消除跳数和处理。找出 Skype 所依赖的端口,并创建一条规则以允许它们通过 ASA,而不会被您的 IPSEC VPN 策略捕获。这可能还涉及一些 unNAT。
答案2
不确定您对 Skype 工作原理的理解是否正确。
用户之间发起和终止 Skype 呼叫的方式与普通 TCP 对话的方式不同。
每个 Skype 客户端都会向 Skype 的中央服务器注册自己的位置。当一个用户呼叫另一个用户时,发起方客户端会询问目标客户端的位置,然后发起方客户端开始向终止方客户端传输 UDP(或中继 UDP,有时甚至是 TCP)。
但是,由于所有这些都必须涉及独立的公共 Skype 主机,因此所有这些通信都将通过公共互联网进行,而不是通过您的 VPN 进行。
让 Skype 通过 VPN 传输非常困难,因为一旦 Skype 能够找到通往互联网的途径,它就会一直沿着这条途径传输,无论您是否将其配置为使用代理。
您需要在网络设备上对 Skype 流量进行源路由,以阻止其访问互联网,然后将其代理到其他VPN 一侧,反之亦然,这显然非常麻烦。
底线是 Skype 可能永远不会使用您的 VPN。
最有可能的是,您的性能问题是由于 Skype 无法突破防火墙的限制来执行纯 UDP,而是恢复为中继 UDP 或 TCP。
一个快速的方法是允许所有 UDP 进出防火墙,但这仍然不能保证纯 UDP。这取决于端口地址转换的拥塞程度。
http://www.nightbluefruit.com/blog/2014/05/is-skype-an-appropriate-tool-in-corporate-environments/