Desempenho do Skype em VPN IPSEC

Navegue suas respostas
1

Eu fui desafiado a "melhorar o desempenho do Skype" para chamadas dentro da minha organização.

Depois de ler o Guia de administradores de TI do Skype Gostaria de saber se poderemos ter um problema de desempenho em que os clientes do Skype em uma chamada estejam todos em nossa WAN.

A chamada é iniciada por um cliente Skype em nossa sede e terminada em um cliente Skype em um escritório remoto conectado via VPN IPSEC.

Quando isso acontece, presumo que o tráfego do Cliente A (criptografado pelo Skype) vai para o nosso ASA 5510, onde é criptografado, enviado para o ASA 5505 remoto descriptografado e passado para o Cliente B, que descriptografa a criptografia do Skype. / p>

A qualidade da chamada seria beneficiada se o tráfego não ultrapassasse a VPN, mas apenas dependesse da criptografia do Skype? Eu imagino que eu poderia conseguir isso através da criação de um proxy SOCKS5 no nosso HQ DMZ para o tráfego do Skype.

Em seguida, o tráfego vai do Cliente A para o Proxy, pela rede de retransmissão do Skype, chega ao Cisco ASA 5505 como qualquer outro tráfego da Internet e, em seguida, ao Cliente B.

Existe algum benefício de desempenho em fazer isso? Em caso afirmativo, existe uma maneira de fazer isso que não requer um proxy?

Alguém mais abordou isso?

    
por dunxd 25.06.2012 / 16:26

2 respostas

1

As VPNs IPSEC definitivamente degradam o desempenho, tanto por causa do processamento de criptografia quanto pela dependência do TCP. Se você tem as licenças para suportá-lo, você pode tentar SSL VPN entre os dois ASAs, que com o TLS, pode melhorar o desempenho alguns (UDP).

Não estou familiarizado com o tráfego do Skype nem com os proxies do SOCKS5, mas não tenho certeza de por que essa etapa seria necessária, já que você diz que o Skype já está criptografando o tráfego. Para melhorar o desempenho, você deve eliminar o hops & em processamento. Descubra em quais portos o Skype confia e crie uma regra para permitir que eles passem pelos ASAs sem serem pegos pela sua política IPSEC VPN. Provavelmente isso também pode envolver algumas unNATs.

    
por 26.06.2012 / 18:22
1

Não tenho certeza se sua compreensão de como o Skype funciona está correta.

As chamadas do Skype não são iniciadas e terminadas entre os usuários da mesma maneira que uma conversa TCP normal ocorreria.

Cada cliente Skype registra sua localização nos servidores centrais do Skype. Quando um usuário chama outro usuário, o cliente iniciador pergunta onde o cliente alvo está, e o cliente iniciador então inicia o streaming UDP (ou retransmite UDP, ou às vezes até TCP) para o cliente final.

No entanto, como tudo isso envolve um host Skype independente, toda essa comunicação ocorrerá pela Internet pública, e não pela VPN.

Para que o Skype flua através de uma VPN é muito difícil, porque uma vez que o Skype possa encontrar um caminho para a Internet, ele sempre fluirá dessa forma, independentemente de você configurá-lo para usar um proxy.

Você precisaria originar o tráfego do Skype de rota em seu dispositivo de rede para que ele seja impedido de acessar a Internet e, em seguida, procurá-lo para um servidor no lado outro de sua VPN e vice-versa , o que claramente é uma grande dor.

A conclusão é que o Skype provavelmente nunca usará sua VPN.

O mais provável é que o seu problema de desempenho seja causado pelo Skype não ser capaz de abrir um ponto inteiro em seu firewall para fazer UDP puro e reverter para Relayed UDP ou TCP.

Uma rápida vitória é permitir que todo o UDP entre e saia do seu firewall, mas isso ainda não garante o UDP puro. Isso dependerá de como é congestionada sua tradução de endereço de porta.

link

    
por 15.09.2014 / 20:48

Tags

Debian Simple Gui para adicionar / remover usuários para diretórios de proteção NIC do servidor Intel PRO / 1000 em latência do Windows. Como medir?