Standortanbindung via VPN: „Bei All-IP besser MPLS wählen“
Quelle: © iStock.com/Vertigo3d Posted on von Netze/All-IP

Schlagworte: , ,

Standortanbindung via VPN: „Bei All-IP besser MPLS wählen“

Im Zuge der All-IP-Umstellung greifen vor allem mittelständische Unternehmen vorschnell zu IPsec, um ihre Filialen sicher via VPN anzubinden. Warum ein MPLS-VPN meist die bessere Wahl ist, erklärt QSC-Produktmanager Andreas Steinkopf.

DWW: Herr Steinkopf, die All-IP-Umstellungswelle rollt über die deutschen Unternehmen hinweg. Mittlerweile sind auch zunehmend mittelständische Firmen betroffen, die mehrere Filialen oder Standorte betreiben. Können Sie nachvollziehen, dass die Notwendigkeit, ihre Telefonanlagen auf das Internetprotokoll umzustellen, bei vielen Unternehmen Bauchschmerzen auslöst?

Andreas Steinkopf: Ja und nein. Natürlich ist der Zeitpunkt der Umstellung nicht frei gewählt, sondern von außen vorgegeben. Aber man kann das Thema auch als Chance begreifen, endlich mal mit seiner Telefonie im Haus aufzuräumen und die ITK-Konvergenz preiswert zu erreichen. Unternehmen betreiben an ihren Standorten oft TK-Anlagen unterschiedlicher Typen oder gar Hersteller. Dazu kommt ein Wirrwarr an Endgeräten und ISDN-MSN-Rufnummern. Jetzt ist der richtige Zeitpunkt, die Telefonie zu zentralisieren und zu vereinheitlichen. Wenn man es richtig macht, lässt sich sogar noch Geld einsparen, mit dem Unternehmen die Bandbreite und Verfügbarkeit der Standortvernetzung für die Computeranwendungen erhöhen können.

DWW: Was ist aus Ihrer Sicht denn der richtige Weg für dieses Großreinemachen?

Steinkopf: Der erste Gedanke beim Unternehmen ist oft: Wir bauen uns mit unseren WAN-Routern selbst VPN-Tunnel zu unseren Filialen, abgesichert durch Internet Protocol Security – über gemeine Internetverbindungen. Doch es gibt eine deutlich bessere Technik als WAN-Router-basiertes IPsec über Internetleitungen, um eine sichere Verbindung zu allen Standorten herzustellen: Netz-basiertes MPLS, das Multi-Protocol Label Switching, das Carrier in ihren Netzen einrichten können.

DWW: Welche Vorteile bietet ein MPLS-VPN gegenüber einem IPsec-VPN?

Steinkopf: Beim „Hub-and-Spoke“-IPsec können die einzelnen Filialen nur mit der Zentrale kommunizieren. Wenn ich also etwas von Filiale zu Filiale schicken will, müssen die IP-Pakete erst über die Zentrale gehen, was zu Bandbreitenengpässen und Verschlechterung der Quality of Service (QoS) führen kann. Beim „Fully Meshed“-IPsec hingegen können IP-Pakete direkt zu anderen Standorten übertragen werden, aber wenn das Unternehmen einen neuen Standort anschließt, muss es alle IPsec-Router neu konfigurieren. Mit einem MPLS-VPN stellt der Anbieter nur einen fertig eingerichteten Router für den neuen Standort bereit und alle Standorte können direkt miteinander kommunizieren. Und es gibt weitere Negativeinflüsse auf die QoS der VoIP-Telefonie: Mit IPsec stößt die durchgängige Priorisierung der VoIP-Pakete an Grenzen, denn damit lässt sich die Sprache nur im Upstream des WAN-Routers priorisieren, nicht aber im Downstream. Das MPLS-VPN dagegen sorgt für eine deutlich bessere Sprachqualität zwischen den Standorten, da es die VoIP-Pakete bidirektional – also in beide Richtungen – priorisiert. Auch die um den Faktor 1,5 geringere IP-Paketverzögerung in den WAN-Routern hilft der Sprach- und Fax-Qualität durchaus.

DWW: Und Quality of Service ist ja nicht nur bei Voice-over-IP gefordert.

Steinkopf: Genau, denken wir nur an Computeranwendungen wie SAP und Citrix, ERP und CRM: Diese Dienste müssen immer in guter Qualität verfügbar sein, weil etwa der Vertriebsmitarbeiter ansonsten nicht arbeiten kann. MPLS ist auch hier die bessere Wahl, weil es die gleichzeitige Priorisierung mehrerer IP-basierter Dienste auf allen Standortanbindungen ermöglicht.

DWW: Apropos Verfügbarkeit: Wie lässt sich die erhöhen?

Steinkopf: Das schwächste Glied in der Verfügbarkeitskette ist die IP-Standortanbindung. Das NGN-Netz des Anbieters bietet eine echte Hochverfügbarkeit und sein Management ist optimalerweise ISO-27001-zertifiziert. Die LAN-Infrastruktur beim Kunden sowie die TK-Anlagen und Endgeräte laufen heutzutage in der Regel ebenfalls stabil. Die WAN-IP-Vernetzung am Standort jedoch kann durch einen Bagger oder Einbrecher, der die Leitung durchtrennt, oder durch ein Störgerät gefährdet sein. Hier kann der Provider eine IP-Backup-Verbindung einrichten, die einspringt, wenn die Hauptverbindung ausfällt. Das ist nicht nur bei Sonderdiensten wie Gefahrenmeldeanlagen relevant: Mittlerweile sind die Computeranwendungen für viele Unternehmen – siehe SAP & Co. – mindestens ebenso wichtig wie die Telefonie.

DWW: Wie sieht es beim Thema Sicherheit aus?

Steinkopf: In einem MPLS-VPN sind die WAN-Router und -Daten mit privaten IP-Adressen vor dem Zugriff aus dem Internet oder anderen MPLS-VPNs geschützt. Und der Provider kann die Sprachdaten vom öffentlichen Telefonnetz sicher in sein NGN überführen, ohne dass der Kunde eine performante Firewall wie bei IPsec dafür benötigt. Kunden mit erhöhtem Sicherheitsbedarf wie etwa eine Bank wünschen gerne eine zusätzliche Verschlüsselung der Sprachdaten. Das ist mit dem SIP-Trunk als zentralem Sprachanschluss im MPLS-VPN – übrigens im Gegensatz zu ISDN – ebenfalls möglich.

DWW: Was sind die typischen Schritte bei der All-IP-Umstellung?

Steinkopf: Zunächst überlegt das Unternehmen gemeinsam mit seinem Provider, wann welcher Standort wie umgebaut werden soll und kann. Die zentrale TK-Anlage sollte optimalerweise in der Firmenzentrale stehen, wenn dort die große Mehrheit der Mitarbeiter Telefonie nutzt. Wird dagegen mehrheitlich in den Filialen telefoniert, ist das Rechenzentrum des Providers der beste TK-Anlagenstandort. Auch die dort installierte Carrier-IP-Centrex-Anlage, die mehrere Kunden bedienen kann, kommt hier in Frage. Übertragungsredundanz und -Performanz sind hier am höchsten und gewährleisten so die beste, standortübergreifende Gesamtverfügbarkeit für die Telefonie. Nach vollendeter TK-Anlagen-Migration werden in den Filialen nur noch VoIP-Endgeräte genutzt, die sich leichter zentral managen lassen als die bisherigen, dezentralen ISDN-TK-Anlagen. Will das Unternehmen diese zunächst noch weiterbetreiben, etwa weil die Wartungsverträge noch laufen, lässt sich das mit einem ISDN-zu-IP-Gateway lösen.

Grafik zur TK-Anlagenkonsolidierung und -Zentralisierung
TK-Anlagenkonsolidierung und -Zentralisierung: ITK-konvergentes MPLS-VPN ist optimal für Unternehmen mit mehreren Standorten. Grafik: QSC AG.

DWW: Und was ist die beste Strategie, solch einen Umstellungsprozess anzugehen?

Steinkopf: Unternehmen sollten bereits bei den ersten strategischen Überlegungen zur All-IP-Migration Fachleute des Providers hinzuziehen. Die haben die nötige Erfahrung und bieten fundierte Beratung. Der Prozess sollte nach dem Prinzip eines Lasten- und Pflichtenhefts funktionieren: Der Kunde sagt, was er erreichen möchte – und der Anbieter weiß, wie das Projekt am besten technisch umgesetzt wird. Denn er hat im Zweifel immer das bewährtere Konzept.

Über Andreas Steinkopf

Andreas Steinkopf studierte an der RWTH Aachen Elektrotechnik und kam nach 20 Jahren Erfahrung im Hardwarebereich (Modems, ISDN-Karten) 2001 zur QSC AG. Dort war er zunächst zuständig für die zugekauften Internetprovider Ginko AG und ISB GmbH. Ab 2005 widmete er sich während des Aufbaus des Next Generation Networks der QSC der IP-Telefonie und führte neben SIP-Trunks erste gehostete und softwarebasierte QSC-TK-Anlagen im Markt ein. Neben dem Produktmanagement für SIP-Trunks engagiert er sich in SIP-Protokoll-Gremien.

zurück zur Startseite

Kommentar

Wenn Sie die E-Mail-Adresse eingeben, die Sie bei Twitter oder Gravatar verwenden, erscheint Ihr Bild neben dem Kommentar.

mit * gekennzeichnete Felder sind Pflichtfelder. Sie erhalten zur Freischaltung ihres Kommentars eine E-Mail. Ihre E-Mail-Adresse wird nicht veröffentlicht.