对于我公司内部的电话,我一直面临着“提高Skype性能”的挑战。
阅读Skype ITpipe理员指南我想知道我们是否可能遇到性能问题,Skype客户端在通话中都在我们的广域网上。
该呼叫由总部的Skype客户端发起,并在通过IPSEC VPN连接的远程办公室的Skype客户端终止。
发生这种情况时,我假设来自客户端A(Skypeencryption)的stream量进入我们的ASA 5510,在那里它被encryption,发送到解密的远程ASA 5505,然后传递给解密Skypeencryption的客户端B.
如果stream量不通过VPN,通话质量是否会受益,而只依靠Skype的encryption? 我想我可以通过在我们的总部DMZ中为Skypestream量设置一个SOCKS5代理来实现这一点。
然后通过Skype中继networking将stream量从客户端A传输到代理服务器,然后以任何其他Internetstream量的forms到达Cisco ASA 5505,然后到达客户端B.
这样做有没有什么性能好处? 如果是这样,有没有办法做到这一点,不需要代理?
有没有其他人解决这个问题?
由于encryption处理和对TCP的依赖,IPSEC VPN绝对会降低性能。 如果您有许可证支持它,您可以尝试使用TLS的两个ASA之间的SSL VPN可以提高某些(UDP)的性能。
我不熟悉Skypestream量或SOCKS5代理,但我不知道为什么这一步是必要的,因为你说Skype已经在encryptionstream量。 为了提高性能,你需要消除啤酒花和处理。 找出Skype所依赖的端口,并创build一条规则,允许它们通过ASA,而不会被IPSEC VPN策略所捕获。 可能这也可能涉及一些unNAT。
不知道您对Skype工作方式的理解是否正确。
Skype通话不会像通常的TCP通话一样在用户之间发起和终止。
每个Skype客户端都通过Skype的中央服务器注册其位置。 当一个用户呼叫另一个用户时,发起客户端询问目标客户端在哪里,然后发起客户端开始向终止客户端streamUDP(或中继UDP,或者有时甚至是TCP)。
但是,由于所有这些都需要一个独立的公共Skype主机,所有这些通信都将通过公共互联网进行,而不是通过您的VPN进行。
让Skypestream过VPN是非常困难的,因为一旦Skypefind通往互联网的途径,无论您是否将其configuration为使用代理,它总是以这种方式stream动。
您需要在您的networking设备上获取路由Skypestream量,以阻止其访问Internet,然后将其代理到VPN 另一端的服务器,反之亦然,这显然是一大烦恼。
底线是,Skype可能永远不会使用您的VPN。
性能问题很可能是由于Skype无法在您的防火墙中打出一个完整的UDP来恢复为中继的UDP或TCP。
一个快速的胜利是允许所有的UDP进出你的防火墙,但是这仍然不能保证纯粹的UDP。 这将取决于您的端口地址转换的拥塞程度。
http://www.nightbluefruit.com/blog/2014/05/is-skype-an-appropriate-tool-in-corporate-environments/