MPLS-VPN macht
– All-IP erst rund

ISDN wurde abgekündigt, All-IP ist da, in öffentlichen Telefonnetzen ebenso wie in der Unternehmenskommunikation. Mit der MPLS-basierten Virtual-Private-Network (VPN)-Technologie sorgen Chefs von Unternehmen mit mehreren Standorten dafür, dass Telefonate ebenso sicher und störungsfrei übertragen werden wie mit ISDN. Außerdem bietet MPLS-VPN die Chance, eine heterogene TK-Anlagenlandschaft schrittweise aufzuräumen.

Bei den meisten Unternehmen mit mehreren Standorten – wie Filialen, Niederlassungen, Produktionsstandorten – flatterten vor einiger Zeit die Kündigungen für die Standard-ISDN-Anschlüsse ins Haus. Dann musste oft schnell entschieden werden, entweder auf einen Voice-over-IP (VoIP)-basierten ISDN-Anschluss – weil die Bestandanlagen noch in der Vertragslaufzeit waren – oder einen SIP-Trunk mit eigener DSL-Leitung zu wechseln.

Nicht nur, weil irgendwann die Vertragslaufzeiten der ISDN-Anlagen auslaufen, sondern weil All-IP immer wichtiger wird, gilt es nun, die Sprachvernetzungsstrategie an die heutigen Erfordernisse anzupassen. Bei der nötigen Bestandsaufnahme wird man meist feststellen, dass sich über die Jahre eine gewisse Heterogenität in die eigene Telekommunikations (TK)-Anlagenlandschaft eingeschlichen hat, wie beispielweise

• Verschiedene, meist dezentrale TK-Anlagen unterschiedlicher Hersteller
• Unterschiedliche Laufzeiten bei den Wartungsverträgen der dezentralen TK-Anlagen
• Ein gewisser Endgerätewildwuchs
• Ein Zoo an ISDN-MSN-Rufnummern, teilweise für verschiedene ISDN-Sonderdienste.

Wollte man diese Heterogenität nicht schon längst mal konsolidieren, um den Aufwand fürs Management und die Einkaufslogistik deutlich zu reduzieren? Oder endlich mal das Thema CTI weiter bringen, um die Effektivität der Mitarbeiterkommunikation zu steigern?

Nun, hier ist die Chance des seltenen Telefonie-Paradigmenwechsels, die man für diese Konsolidierung nutzen kann, ohne dabei das ITK-Budget erhöhen zu müssen. Und wenn man alles richtig macht, kann man sich dabei sogar noch das Geld verdienen, um einen typischen Wunsch der Kollegen zu finanzieren: eine höhere Bandbreite und bessere Verfügbarkeit der Standortvernetzung für die Computeranwendungen.

Wenn alle Computer- und Kommunikationsdienste auf IP aufsetzen und performant übertragen werden können, kann auch Collaboration deutlich besser in der Unternehmenszentrale, als Private- oder auch Public-Cloud-Lösung umgesetzt werden. Man denke nur an den zur Zeit prominentesten Vertreter des letztgenannten Lösungsansatzes – Microsoft Teams.

Im folgenden Beispielbild sieht man den Lösungsansatz, um all dies zu erreichen – mit einem Schwenk von klassischen, ortsgebundenen TK-Anlagen und Sprachanschlüssen zu einem modernen IP-VPN-Netz und zentraler TK-Anlage.

In der Regel hatte ein „verteiltes“ Unternehmen bisher an jedem Standort einen ISDN- oder SIP-Sprachanschluss und meist eine kleine bis mittlere TK-Anlage. War schon ein TK-Anlagenverbund gefordert, waren alle TK-Anlagen miteinander vernetzt – im teuersten Fall mit eigenen Standleitungen.

Doch dies lässt sich über ein MPLS-VPN deutlich einfacher organisieren. Dessen zentrales Element ist der „Mehrstandort“-SIP-Trunk, der IP-basierte Anlagen mit dem NGN verbindet. Ein ausgereifter SIP-Trunk wie der von Plusnet bietet den geldwerten Vorteil, dass der zentralen Telefonanlage alle Rufnummernblöcke und Einzelrufnummern aller Standorte zugeführt werden können. Dies ersetzt die hohen Kosten aller bisherigen, lokalen Sprachanschlüsse durch die niedrigen Kosten des zentralen SIP-Trunks, der bei Plusnet pro zusätzlichem Standort keine zusätzlichen Grundgebühren verursacht.

Der gemeinsame SIP-Trunk muss zudem deutlich weniger Sprachkanäle zur Verfügung stellen als die bisherigen, lokalen Sprachanschlüsse: Bei vielen, vereinzelten Primärmultiplex-Anschlüssen brauchte man gar nicht 30 Kanäle und es muss nicht mehr pro Standort, sondern gemittelt über alle Standorte eine Kanalreserve vorgehalten werden. Da die Wahrscheinlichkeit geringer ist, dass alle Standorte gleichzeitig diese Reserve ausschöpfen, erhält man einen Bündelgewinn.

Weiterer Kostenvorteil: An den Standorten sind weder Gateways noch eigene TK-Anlagen mehr nötig, sondern nur noch Telefone und eine IP-Verbindung zur Zentrale. Damit spart man weitere Hardware- und Managementkosten, da sich die zentrale Telefonanlage einfacher und mit deutlich weniger Personalaufwand managen lässt.

Trotzdem nutzen alle Mitarbeiter ihre ortsrichtige, geografische Rufnummer und jeder Notruf wird zur ortsrichtigen Notrufzentrale inklusive Übermittlung der postalischen Nutzungsadresse geleitet. Mit dem eingesparten Geld kann nun der vielfach geäußerte Wunsch der „verteilten“ Mitarbeiter erfüllt werden: mehr Bandbreite und Betriebssicherheit für die standortübergreifende, die Cloud- und die Internet-Kommunikation.

Grundsätzlich bieten sich bei IP-basierten VPNs drei Varianten an:

• VPN via Router-basiertem IPsec
• Netzbasiertes MPLS-VPN und
• SD-WAN-Lösungen.

Unsere Empfehlung geht eindeutig in Richtung eines MPLS-VPN – gegebenenfalls durch SD-WAN weiter optimiert –, wie es zum Beispiel Plusnet anbietet. Dessen Standortanbindungen sind zwar geringfügig teurer als gemeine Internet-Anschlüsse, bieten aber die in der folgenden Übersicht genannten Vorteile gegenüber der Kombination aus IPSec-Router und Internetleitung:

Gilt es beispielsweise, einen neuen Standort anzuschließen, müssten beim „Fully Meshed“-IPsec-Verfahren alle WAN-Router neu konfiguriert werden, während Plusnet für das MPLS-VPN nur einen fertig eingerichteten WAN-Router für den neuen Standort bereitstellen muss. Darüber hinaus kann ein IPsec-Router nur in Upstream-Richtung eine saubere Sprachpriorisierung bewirken. Im Plusnet-VPN à la MPLS werden IP-Pakete aber sowohl im Up- als auch im Downstream priorisiert.

Auch für SD-WAN-Lösungen ist dies ein entscheidender Vorteil: nutzet man bei SD-WAN nur „gemeine“ Internet-Leitungen, können die SD-WAN-Appliances nur im Upstream priorisierte Queues aufbauen, nicht jedoch im Downstream. Kombiniert man jedoch SD-WAN mit einer MPLS-Leitung, nutzt auch SD-WAN die durch den Carrier in seinen BNG/BRAS-Routern realisierte Downstream-Priorisierung.

Durch die Nutzung des MPLS-basierten Plusnet-VPN für den Sprachverkehr lässt sich dieser auch zwischen den verschiedenen Standorten mit QoS (Quality of Service) übertragen – was bei der Verwendung normaler Internetleitungen nicht möglich ist. Soll heißen: Auch VoIP-Pakete, die zwischen den Unternehmensstandorten übertragen werden, haben einen eigenen Bandbreitenschutz in beide Übertragungsrichtungen. So sorgt Plusnet für eine hervorragende Sprachqualität. Neben dem Sprachverkehr können Kunden bis zu fünf weitere Dienste – zum Beispiel Citrix- oder SAP-Verkehr – in eigenen Serviceklassen (Class of Service, CoS) priorisieren.

Wer für seine Unternehmensvernetzung ein Plusnet-VPN einsetzt, benötigt für den Zugang zum öffentlichen Sprachnetz keine gesonderte Firewall. Plusnet stellt ohne Aufpreis in den IP-Backbone-Routern einen „NAT Break-Out“ zur Verfügung. Dabei werden beim Netzübergang vom VPN ins öffentliche Telefonnetz die Datenpakete via NAT (Network Address Translation) umadressiert – aus einer privaten IP-Adresse wird eine öffentliche IP-Adresse. Und es werden aus Sicht des Plusnet-VPN nur VoIP-Sessions „von innen nach außen“ geöffnet und zwar nur zum geschützten Plusnet-NGN.

In größeren Projekten bietet Plusnet als weitere Schutzmaßnahmen für Unternehmen mit sehr hohem Schutzbedarf zusätzliche Verschlüsselung der Kommunikation innerhalb des Plusnet-VPN an: Der SIP-Trunk kann optional mit TLS/SRTP verschlüsselt werden und/oder alle IP-Pakete im Plusnet-VPN werden mit Hilfe des Cisco-Verfahrens „Get VPN“ geschützt.

Im ehemaligen ISDN-Land Deutschland funktionierte ein ISDN-Anschluss gefühlt immer, aber ein Internetanschluss nicht immer. Somit kommt die Frage „Wie stellen wir eine VoIP-Verfügbarkeit von 99,nn Prozent sicher?“ spätestens dann auf, wenn die Telefonie am Standort als unternehmenskritisch eingestuft wird.

Hier ist zu berücksichtigen, dass alle vier „Einzelgewerke“ funktionieren müssen, damit VoIP funktioniert: das NGN-Netz des ITSP samt seinem Backbone, das den SIP-Trunk-Dienst liefert, die LAN-IP-Vernetzung am Kundenstandort, die Kunden-TK-Anlage samt ihrer Telefone und die WAN-IP-Vernetzung des Providers/Carriers.

1. ITSP-Backbone: Die Plusnet GmbH hat als ITSP und Carrier ihr Backbone und alle NGN-Komponenten redundant als „Highly Available“ (HA) ausgeführt und mit einem ISO-27001-zertifizierten Informationssicherheits-Managementsystems (ISMS) über Jahre hinweg stabilisiert. Der SIP-Trunk-Dienst kann konkret über redundante, ortsunabhängige Session Border Controller (SBC) zur Verfügung gestellt werden und erreicht so die höchste Verfügbarkeit der vier Einzelgewerke.
2. LAN-Infrastruktur des Kunden: Setzt der Kunde eine professionelle LAN-Infrastruktur wie insbesondere in sein Management integrierte und VLAN-fähige Ethernet-Switche ein, kann man diesem Gewerk die zweithöchste Verfügbarkeit zubilligen.
3. TK-Anlagen und -Endgeräte: Auch die Hersteller von VoIP-basierten TK-Anlagen haben sich dem Thema des unterbrechungsfreien Dauereinsatzes gestellt und sukzessive ihre Betriebs-Firmware stabilisiert bzw. „gehärtet“, damit diese auch bei unberücksichtigten Ereignissen nicht abstürzt. Spätestens wenn zentrale Komponenten der eingesetzten TK-Anlage  – wie insbesondere die „Mediation“-Server, die den SIP-Trunk terminieren –  redundant aufgebaut sind, erreicht so eine Anlage die dritthöchste Verfügbarkeit der VoIP-Kette.
4. WAN-IP-Vernetzung: Als schwächstes Glied in dieser Kette bleibt die IP-Standortanbindung, weil sie durch externe Angreifer wie Bagger, Einbrecher oder EMV*-Störer und auch Natureinflüsse gefährdet ist. (* EMV=Elektromagnetische Verträglichkeit)

Will man die Gesamtverfügbarkeit der externen Telefonie am Unternehmensstandort erhöhen, fängt man folgerichtig mit einer Redundanz der IP-Standortanbindung an: Neben der IP-Hauptverbindung kommt eine IP-Backup-Verbindung zum Einsatz, die die Verbindung zum MPLS-VPN aufrecht erhält, wenn die IP-Hauptverbindung ausfällt.

Bei Plusnet-VPN geht dies mit allen Access-Technologien, so dass auch medienredundant z. B. mit WLL (Wireless Local Loop) und DSL per Funk und Draht angebunden werden kann. Dies reduziert die Erfolgsquote von Baggern und Einbrechern deutlich und wird im Übrigen auch vom VdS empfohlen: Industrielle Gefahrenmeldeanlagen sollten jeweils über eine VdS-zertifizierte IP-Haupt- und Backup-Verbindung mit der Notrufzentrale verbunden werden, wie es mit allen Plusnet-VPN-Anbindungen der Fall ist, da sie eben vom VdS für den Betrieb von GMA (Gefahrenmeldeanlagen) zertifiziert sind.

Hier sieht man den All-IP-Mehrfachnutzen des IP-Backups für das ITK-konvergente MPLS-VPN: Nicht nur die gute Verfügbarkeit der VoIP-Kommunikation inklusive des Notrufs wird erreicht, sondern auch die der GMA- und natürlich der Computerkommunikation. Denkt man an Computeranwendungen wie die oben erwähnten von Citrix, SAP oder Microsoft Teams, wird klar, dass diese genauso wenig ausfallen dürfen wie die Telefonie. Also ist IP-Backup in einem konvergenten Netz eine Investition, die sich dreifach auszahlt.

Alternativ zum IP-Backup kann auch mit einer die beiden IP-Standortzuführungen noch besser ausnutzenden SD-WAN-Lösung dieser dreifach-Nutzen und diese hohe Ausfallsicherheit erreicht werden. Im Vergleich zum einfachen IP-Backup erhöht sich zwar die Systemkomplexität und meist auch der Preis, dafür erhöht sich die „User Experience“ der Unternehmensmitarbeiter, weil die IP-Pakete Applikations-abhängig über beide IP-Standortanbindungen gleichzeitig übertragen werden.

Besonders die oben genannten Treiber Sicherheit und Verfügbarkeit führen in der Praxis zu vielfältigen Lösungsansätzen der Projektbeteiligten zur IP-Vernetzung und zum Redundanzkonzept. Diese müssen zudem berücksichtigen, wann welcher Standort wie umgebaut werden kann. Das wiederum hängt von individuellen Gegebenheiten ab – oftmals von der restlichen Vertragslaufzeit des TK-Anlagenwartungsvertrages.

So wird die Vielfalt in das Erfolgversprechendste gewandelt: Mit einem Lastenheft/Pflichtenhaft-Ansatz findet das Plusnet Presales Consulting gemeinsam mit dem Kunden und gegebenenfalls einem dritten Projektpartner – zum Beispiel einem TK-Anlagenbauer – heraus, was die konkreten Kundenanforderungen sind und entwickelt daraus das konkrete Realisierungskonzept, von Plusnet „Leistungsschein“ genannt. Aus der Erfahrung des Autors ergeben sich somit typische Übergangs-Migrationsschritte oder dauerhaftere Migrationsstufen, von denen nachfolgend die häufigsten dargestellt werden:

Bei der zentralen TK-Anlage stellt sich primär die Frage, ob diese in der Unternehmenszentrale oder in einem Rechenzentrum – insbesondere des ITSP oder Carriers – betrieben wird. Sinnvolle Entscheidungskriterien hierzu: Die zentrale TK-Anlage kann in der Unternehmenszentrale aufgebaut werden, wenn

• in der Unternehmenszentrale deutlich mehr Mitarbeiter Telefonie nutzen, als in allen anderen Standorten zusammen und
• dort eine redundante MPLS-VPN-Anbindung mit genügend Bandbreite bezahlbar ist.

Im unwahrscheinlichen Fall, dass IP-Haupt- und -Backup-Leitung ausfallen, „überlebt“ (Englisch: survivability) die lokale Telefonie zwischen den Mitarbeitern der Unternehmenszentrale.

Anders sieht es aus, wenn an den anderen Unternehmensstandorten ähnlich viele oder gar mehr Telefonie-Nutzer als in der Zentrale arbeiten. Oder wenn ausreichende und redundante Bandbreite für die IP-Anbindung der Unternehmenszentrale zu teuer ist: Dann sollte die TK-Anlage mitten in das NGN gestellt werden – in die Rechenzentren von Plusnet. Sie sind hochredundant und hochperformant an das Plusnet-NGN und die Plusnet-VPN angebunden und können so die höchste Anbindungsverfügbarkeit bieten. Und egal, welcher Kundenstandort offline sein sollte, alle anderen Kundenstandorte können weiter telefonieren, was somit die beste, standortübergreifende Gesamtverfügbarkeit einer kundenindividuellen TK-Anlage ergibt.

Ein Spezialfall dieser gehosteten TK-Anlage ist die Centrex-Anlage: Diese hoch- und ortsredundant aufgebaute Multi-Mandanten-TK-Anlage kann ebenfalls in das MPLS-VPN des Kunden integriert werden. Im Fall der Cloud-Telefonanlage von Plusnet (Tengo Centraflex) managt Plusnet diese Anlage so gut, dass sich die höchste Verfügbarkeitsstufe für die zentrale TK-Anlagenfunktionen ergibt.

An den weiteren Unternehmensstandorten werden meist diese drei Migrationsschritte oder -Stufen installiert:

1. Weiterbetrieb der ISDN-TK-Anlage: Kann die lokale ISDN-TK-Anlage nach wie vor noch nicht ersetzt werden, kommt der Betrieb gemäß Migrationsschritt 1 (siehe Bild oben „VoIP-Migrationslösungen im Plusnet-VPN“) zum Einsatz. Hierzu wird ein ISDN-zu-IP-Gateway zwischen ISDN-Amtsanschluss der TK-Anlage und dem Plusnet-VPN geschaltet. Die von Plusnet gelieferte Komplettlösung bietet eine sehr hohe Kompatibilität zu TDM-basiertem ISDN, so dass auch ISDN-Sonderdienste weiterhin betrieben werden können.
2. Dezentrale Survival-Anlage: In Migrationsstufe 2 kommt auf Empfehlung des TK-Anlagenherstellers der zentralen TK-Anlage eine dezentrale „Survival“-Anlage zum Einsatz – durchaus mit vielfältigen Bezeichnungen wie „Survival Remote Server“ oder „Standard Local Survivability“ (Avaya) oder „Survival Branch Appliance“ (Microsoft). Immer soll die lokale Telefonie zwischen den Mitarbeitern des Standortes „überleben“, also möglich bleiben, wenn die IP-Standortanbindung ausfällt und die externe Telefonie, wenn „nur“ die Kommunikation zur zentralen TK-Anlage unterbrochen ist. Letzteres bedingt jedoch, dass ein eigener Standort-SIP-Trunk aufgelegt wird, der die Sprachanschlusskosten erhöht. Eine „Survival“-Stufe wird für dezentrale Standorte mit vielen Nutzern empfohlen, die Telefonie unternehmenskritisch nutzen, muss sich jedoch dem Kostenvergleich mit redundanten MPLS-VPN-Standortanbindungen und einer zentralen SIP-Trunk-Zuführung stellen.
3. TK-Anlagen-Zentralisierung: Diese Migrationsstufe 3 stellt die vollendete TK-Anlagen-Zentralisierung dar. Am Standort werden nur noch VoIP-Telefonie-Endgeräte betrieben. Sie kann mit praktisch allen TK-Anlagen genutzt werden, die ihre Telefone über IP steuern, da das Plusnet-VPN alle VoIP-Pakete zwischen zentraler TK-Anlage und den Endgeräten so transparent überträgt, wie in einem lokalen LAN, solange die MTU-Size von 1492 nicht überschritten wird. Selbst in dieser Stufe muss nicht auf die Unterstützung klassischer Sonderdienste verzichtet werden: So können Telefonie-Endgeräte mit analoger a/b-Schnittstelle weiterhin über Analoge Telefonie Adapter (ATA) betrieben werden. Fax und andere Modem-Codec-basierte Kommunikation profitiert hierbei von einem weiteren Vorteil des MPLS-VPN: Delay, Jitter und insbesondere Packet Loss sind minimal, was Übertragungsabbrüche verhindert.

Ganz nach ihrem Bedarf kombinieren Kunden ein Plusnet-VPN modular mit Plusnet-Sprachprodukten. Der All-IP-Baukasten von Plusnet erlaubt es, den gewünschten Sprachdienst mit allen verfügbaren Zugangstechnologien zu verknüpfen: xDSL, Standleitung (Leased Line), Richtfunk (WLL), Glasfaser und Mobilfunk (LTE). Die Zugangstechnologien wiederum können für IP-Haupt- und Backup-Leitung bedarfsgerecht kombiniert werden.

Die VPN- und Sprachbausteine sind standardisiert und optimal aufeinander abgestimmt. Durch die Kombinationsmöglichkeit entstehen individuelle Lösungen mit hoher Servicequalität und Redundanz für jeden Standort – bei nahezu deutschlandweiter Verfügbarkeit. Zur Verfügung stehen dabei diese Sprachdienste:

• Plusnet-ISDN – für S0- und S2M-Anschlüsse als Übergangstechnologie in die All-IP-Welt (IPfonie Business / IPfonie Corporate)
• Plusnet-SIP-Trunking – für alle IP-fähigen TK-Anlagen (IPfonie Extended Connect / IPfonie Extended Team)
• Plusnet-SIP-Endgeräte-Accounts – für einzelne Endgeräte wie ATAs (IPfonie Basic)
• Plusnet-Centrex – preisgekrönte IP-Centrex-Anlage, die in deutschen Rechenzentren von Plusnet AG gehostet wird (Tengo Centraflex).

Die Umsetzung eines MPLS-VPN von Plusnet erfolgt immer innerhalb eines Projektes mit einem Lastenheft/Pflichtenheft-Prozess. Den späteren Rollout steuert und überwacht ein Plusnet-Projektmanager. Optional steht für den Wirkbetrieb ein Servicemanager zur Verfügung. Damit ist der Aufwand für den Kunden minimal. Hierbei kooperiert Plusnet erfolgreich mit TK-Anlagenherstellern und ITK-Systemhäusern, so dass verschiedenste TK-Anlagen perfekt betrieben und betreut werden können.

Durchweg haben die Kunden es dabei mit erfahrenen Ansprechpartnern zu tun: In Sachen VoIP und MPLS-VPN verfügt Plusnet mittlerweile über einen mehr als zwölfjährigen Wissensschatz aus zahlreichen erfolgreichen, großen und kleineren Projekten und stellt technisch erprobte und ausgereifte Lösungen zur Verfügung.

Weitere Informationen:

• Plusnet-Website: Alle Details zu Plusnet VPN
• Plusnet-Website: Alle Details zu Plusnet SD-WAN
• News-Beiträge zum Thema SIP-Trunk
• News-Beiträge zum Thema SIP-Trunk-Redundanz

Zuletzt aktualisiert am 23. September 2021