Назад | Перейти на главную страницу

Производительность Skype в IPSEC VPN

Передо мной стояла задача «улучшить производительность Skype» при звонках внутри моей организации.

Прочитав Руководство для ИТ-администраторов Skype Мне интересно, может ли у нас проблема с производительностью, если все клиенты Skype в вызове находятся в нашей глобальной сети.

Вызов инициируется клиентом Skype в нашем головном офисе и завершается в клиенте Skype в удаленном офисе, подключенном через IPSEC VPN.

Когда это происходит, я предполагаю, что трафик от клиента A (зашифрованный Skype) идет на наш ASA 5510, где он зашифровывается, отправляется на удаленный ASA 5505, расшифровывается, а затем передается клиенту B, который расшифровывает шифрование Skype.

Будет ли улучшено качество связи, если трафик не будет проходить через VPN, а будет полагаться только на шифрование Skype? Я полагаю, что смогу добиться этого, установив прокси-сервер SOCKS5 в нашей HQ DMZ для трафика Skype.

Затем трафик идет от клиента A к прокси-серверу через сеть ретрансляции Skype, затем поступает на Cisco ASA 5505 как любой другой интернет-трафик, а затем на клиент B.

Будет ли от этого какое-то преимущество в производительности? Если да, есть ли способ сделать это, не требующий прокси-сервера?

Кто-нибудь еще занимался этим?

Не уверен, что вы правильно понимаете, как работает Skype.

Вызовы Skype не инициируются и не завершаются между пользователями так же, как обычный TCP-разговор.

Каждый клиент Skype регистрирует свое местоположение на центральных серверах Skype. Когда один пользователь вызывает другого пользователя, инициирующий клиент спрашивает, где находится целевой клиент, и инициирующий клиент затем начинает потоковую передачу UDP (или ретранслируемого UDP, или иногда даже TCP) конечному клиенту.

Однако, поскольку все это требует участия независимого общедоступного хоста Skype, все это общение будет происходить через общедоступный Интернет, а не через вашу VPN.

Заставить Skype работать через VPN очень сложно, потому что, как только Skype сможет найти выход в Интернет, он всегда будет работать таким образом, независимо от того, настроили ли вы его для использования прокси.

Вам нужно будет направить трафик Skype на свое сетевое устройство, чтобы он не мог получить доступ к Интернету, а затем проксировать его на сервер на Другой сторона вашего VPN, и наоборот, что явно является большой болью.

Суть в том, что Skype, вероятно, никогда не будет использовать ваш VPN.

Скорее всего, проблема с производительностью вызвана тем, что Skype не может пробить весь ваш брандмауэр, чтобы выполнить чистый UDP, и возвращается к ретранслированному UDP или TCP.

Быстрая победа - разрешить всем UDP входить и выходить из вашего брандмауэра, но это все еще не гарантирует чистый UDP. Это будет зависеть от того, насколько перегружен ваш преобразователь адресов порта.

http://www.nightbluefruit.com/blog/2014/05/is-skype-an-appistent-tool-in-corporate-environments/

IPSEC VPN определенно снизит производительность как из-за обработки шифрования, так и из-за использования TCP. Если у вас есть лицензии для его поддержки, вы можете попробовать SSL VPN между двумя ASA, что с помощью TLS может немного улучшить производительность (UDP).

Я не знаком с трафиком Skype или прокси-серверами SOCKS5, но не уверен, почему этот шаг был бы необходим, поскольку вы говорите, что Skype уже шифрует трафик. Чтобы повысить производительность, вам нужно исключить скачки и обработку. Узнайте, какие порты использует Skype, и создайте правило, разрешающее им проходить через ASA, не попадая в ловушку вашей политики IPSEC VPN. Вероятно, это также может включать некоторые unNAT.