IPSEC VPN中的Skype性能

Question

在我的公司内部，我被要求“提高Skype的性能”。

在阅读了Skype IT管理员指南之后，我想知道我们是否会有一个性能问题，电话中的Skype客户端都在我们的广域网上。

呼叫由我们总部的Skype客户端发起，并在通过IPSEC VPN连接的远程办公室中的Skype客户端上终止。

在发生这种情况时，我假设客户端A(用Skype加密)的流量到我们的ASA 5510，在那里它被加密，发送到远程ASA 5505解密，然后传送到客户端B，后者解密Skype加密。

如果流量不是通过VPN，而是只依赖Skype的加密，那么通话质量会受益吗？我想我可以通过在总部建立一个SOCKS5代理来实现这一点。

然后，流量从客户端A到代理，通过Skype中继网络，然后到达思科ASA 5505作为任何其他互联网流量，然后到客户B。

这样做有可能带来任何性能上的好处吗？如果是这样的话，有没有一种不需要代理的方法？

还有其他人处理过这个问题吗？

Answer 1

由于加密处理和对TCP的依赖，IPSEC VPN肯定会降低性能。如果您拥有支持它的许可证，您可以在两个ASA之间尝试SSL，使用TLS可以提高性能一些(UDP)。

我不熟悉Skype流量或SOCKS5代理，但我不知道为什么需要这样做，因为你说Skype已经在加密流量了。为了提高性能，您需要消除跳转和处理。找出Skype所依赖的端口，并创建一个规则，允许它们通过ASA而不被IPSEC VPN策略捕获。这可能也涉及到一些非北约组织。

Answer 2

不确定你对Skype工作原理的理解是否正确。

Skype通话不会像正常的TCP会话那样在用户之间启动和终止。

每个Skype客户端都向Skype的中央服务器注册其位置。当一个用户调用另一个用户时，发起客户端询问目标客户端在哪里，然后启动客户端开始将UDP (或中继UDP，有时甚至TCP)流到终止客户端。

然而，因为所有这一切都必须涉及一个独立的公开Skype主机，所有这些交流将发生在公共互联网上，而不是在您的VPN上。

要让Skype在VPN上流动是非常困难的，因为一旦Skype能够找到一种进入Internet的方法，它就会一直以这种方式流动，不管您是否将它配置为使用代理。

您需要在网络设备上路由Skype流量，以便阻止它访问Internet，然后将其代理到VPN另一端的服务器，反之亦然，这显然是非常痛苦的。

底线是Skype可能永远不会使用您的VPN。

您的性能问题很可能是由于Skype无法在防火墙中输入一个整体来执行纯UDP，并返回到中继UDP或TCP。

一个快速的胜利是允许所有UDP进出您的防火墙，但这仍然不能保证纯粹的UDP。这将取决于您的端口地址翻译有多拥挤。

http://www.nightbluefruit.com/blog/2014/05/is-skype-an-appropriate-tool-in-corporate-environments/