KOMMUNIKATIONSLÖSUNGEN VOICE
KOMMUNIKATION IST ALLES
UND ALLES IST KOMMUNIKATION
Die Integration von modernen Kommunikationslösungen in bestehende Systeme und Netzwerke, ohne Daten und Sicherheitsverluste ist unser Spezialfeld. Folgend finden Sie Anwendungsbeispiele und Lösungen. Sprechen Sie uns an, gerne lösen wir auch Ihre Herausforderung:
SICHERER ALL-IP ANSCHLUSS (SBC/FW)
DATUS IP-PBX INDALI All-IP
SIP-PBX für den sicheren Betrieb an All-IP Netzen mit physikalisch getrennten Ethernet-Ports und Firewall-Funktionalität:
FIREWALL-FUNKTIONALITÄT
-
Firewall gem. Common-Criteria-Stufe EAL 3
-
Verwerfen nicht erlaubter Pakete (z.B. alle IP-Pakete aus WAN)
-
NAT für dynamische und statische IPv4 Adressen
-
Stateful Paket-Filter (auf Interfaces LAN, WAN und LOCAL)
-
Unterbindung von ICMP redirect
-
Schutz vor source routed pakets
-
Anti-Spoof auf Basis reverse-path Erkennung
-
TCP SYN-FLOOD Schutz via SYN-Cookies
SBC – BEGRIFFSERKLÄRUNG UND FUNKTIONEN
Session Border Controller werden zwischen Unternehmensnetzen und SIP-Trunking-Provider sowie zwischen verschiedenen UC-Telefonie-Plattformen verwendet. SBCs setzen sich zusammen aus:
Session
bezieht sich auf Real Time Kommunikationsverbindungen zwischen zwei Endpunkten, in der Regel Sprach- und/oder Video-(Konferenz-) Verbindungen.
Border
bezieht sich auf den Übergang zwischen zwei Netzen mit verschiedenen Vertrauensstufen.
Controller
bezieht sich auf die Fähigkeit, jede Session zu steuern, die den SBC durchläuft.
Die Hauptaufgaben eines SBC sind die logische Trennung von Netzen und Anwendungen mit folgenden Funktionalitäten:
-
Network topology hiding – mit Network Address Translation (NAT), …
-
Voice application firewall – Denial of Service (DoS), Access Control (ACL), …
-
Encryption – SRTP, TLS, SIPS, IPSec, …
Security
Interoperability
-
Protocol interworking – SIP ó SIP, SIP ó H.323, SIP ó ISDN, …
-
Media interworking – Transcoding verschiedener Codecs, …
-
Media services – Echo Cancellation, Comfort Noise/Silence Suppression, …
-
Call admission control – Quality of Service, Bandwidth Allocation, …
-
High availability – Rerouting, Fallback, Backup, …
Session control
-
SIP trunk load balancing – über alternative Routen, …
-
Service provider geographic redundancy – Failover Solutions, …
-
Local (PSTN or LTE) breakout – Erreichbarkeit bei Netzausfall, Notruf, …
Availability / Resiliency
PATTON ENTERPRISE SESSION BORDER CONTROLLER (E-SBC)
WARUM ENTERPRISE SBC?
Reicht Operator-SBC nicht aus?
-
Betreiber schützt damit nur sein Netz.
-
Verwaltet damit nur Interoperabilität mit Core-Netzwerk-Geräte.
▶ E-SBC ist zum eigenen Schutz nötig!
Reicht eine „normale“ Firewall?
-
„Normale“ FW lässt SIP-Messages durch (Bedrohung: fraud, attacks).
▶ FW notwendig, reicht aber nicht aus!
E-SBC für Interoperabilität mit:
-
SIP-Translation für Interworking zwischen IP-PBX und UC-Plattformen.
-
SIP-Adaptation und Transcoding für Unabhängigkeit von verschiedenen Betreibern/Providern.
-
SIP Flooding protection
SIP packet flooding (Überflutung) wird verhindert.
-
Trusted Peers
nur vertrauenswürdige IP-Adresse und Domänen werden zugelassen.
-
SIP Registrar
nur authentifizierte aus- und eingehende Anrufe werden zugelassen.
-
Fraud protection
Schutz vor Missbrauchs- und Betrugsangriffen.
-
Stateful Firewall
Berechtigungsprüfung anhand von Paket-, Header-, Verkehrs- und Verbindungsstatus-Analysen und Bewertungen.
-
Access Control Lists (ACL)
Schutz anhand der Quell-/Ziel-IP-Adressen.
-
Network Address Translation (NAT/NAPT)
Topology Hiding durch Adress-Umsetzungen.
-
SIP TLS/SRTP
Sicherung der Datenübertragung und Verschlüsselung des Datenverkehrs.
-
IPSec VPN (Option)
verschlüsselte Verbindungen durch Netze.
SIP-Adaption
Anpassungen zwischen verschiedenen SIP-Derivaten, z.B. zwischen der eigenen SIP-Infrastruktur (IP-PBX) und Providern (SIP Trunk) oder Unified Communication Plattformen (z.B. MS Lync / Skype for Business).
VoIP und Transcoding
zwischen PBX, SIP Trunk und UC Plattform.
-
Codecs:
G.711 a-law/mu-law, G.723, G.729ab, G.726, G.727 u.a.m.
Fax
T.38 fax relay (9.6 k, 14.4 k), G.711 transparent fax and bypass
-
VoIP:
128 ms Echo Cancellation, Silence Suppression und Comfort Noise, Adaptive und konfigurierbare Dejitter Buffer und Paketlängen
Netzzugänge
SIP/IP über Ethernet, ADSL, G.SHDSL (EFM/ATM), Fiber (SFP)
-
ISDN:
S0/BRI (TE/NT), S2M/PRI/E1 (TE/NT) – Endgeräte-, Anlagen-, Amtsanschluss.
-
Mobile:
UMTS (3G) und LTE (4G) – Break Out, Dial In, Fallback …
-
Protokoll Konvertierungen
TCP/UDP, Encryption, TLS/SRTP, …
Call Router
Der Call Router ist das Herzstück der SmartNode E-SBC und ist zuständig für das Routing, Rufnummern-Änderungen, Ziel-Bestimmung etc.
-
Bietet Schutz vor nicht autorisierten Rufnummern und IP-Adressen.
-
Der Call Router kann auf Domäne-Namen von Anrufen filtern und verschiedene Aktionen auslösen. Wichtig, um Anrufe von nicht autorisierten Domänen daran zu hindern, in das eigene Netz einzudringen.
-
Call Routing & Services
vielfältige Routing-Möglichkeiten, wie z.B.:
-
Number Matching, Number Manipulation
-
Least Cost Routing
-
Number blocking
-
Short-Dialing
-
Digit collection
-
Distribution- und Hunt-Groups
Quality of Service Mechanismen:
-
Traffic Management, Shaping und Policing, Burst-Tolerant Shaping
-
IEEE 802.1p, TOS, DiffServ Labeling
-
IEEE 802.1q, VLAN Tag Insertion/Deletion (4096 VLAN IDs, multipler VLAN Support)
-
Weighted Fair Queuing (WFQ)
Voice Priorisierung und DownStreamQoS™
-
SmartNode erzeugt einen virtuellen Bottleneck für TCP Datenverkehre, um Realtime Verkehre (Sprache) bevorzugt empfangen zu können:
VOICE MIGRATION / All-IP UMSTELLUNG
Bezüglich einer Voice-Migration von ISDN zu IP (SIP) können mindestens 4 grobe Szenarien unterschieden werden, die mit DATUS Systemlösungen realisiert werden können:
ISDN TKANLAGEN-VERBUND ÜBER IP-NETZ
Nachdem die ISDN Fest- und Wählverbindungen abgekündigt sind, kann ein bestehender ISDN TKAnlagen-Verbund auch über ein IP-Netz abgebildet werden. Mit den DATUS Systemen (NTG/SBC = Gateways und Session Border Controller) werden folgende Leistungen und Features geboten:
-
Punkt-zu-Mehrpunkt-Verbindungen und auch der Übergang von S0 auf S2M werden unterstützt.
-
Da der Takt aus dem ISDN-Netz entfällt, werden die ISDN-TKAnlagen mit einem hochpräzisen Takt von den NTG/SBC versorgt.
-
ISDN-seitig werden die Protokolle DSS1 und Q.SIG unterstützt. Mit Q.SIG sind auch übergreifende Leistungsmerkmale, wie z.B. Nummern-Namens-Auflösung gegeben.
-
Im IP-Netz können die Protokolle SIP und H.323 genutzt werden.
-
Zur erhöhten Sicherheit und Verfügbarkeit werden VPN mit QoS sowie SBC/FW Funktionalitäten genutzt
-
Übergänge ins öffentliche SIP-Netz sowie Backup über das Mobilfunknetz (z.B. LTE) sind ebenfalls über die NTG/SBC zu realisieren.
ISDN TKANLAGEN AM ALL-IP NETZ
Zum Schutz ihrer getätigten Investitionen in die bestehenden ISDN TKAnlagen können diese auch nach Abkündigung des ISDN-Netzes mit den DATUS Systemen (NTG/SBC = Gateways und Session Border Controller) an einem All-IP Netz weiter betrieben werden:
-
Die NZG/SBC unterstützen sowohl ISDN S0 wie auch ISDN S2M Schnittstellen zu ihren TKAnlagen.
-
Da der Takt aus dem ISDN-Netz entfällt, werden die ISDN-TKAnlagen mit einem hochpräzisen Takt von den NTG/SBC versorgt.
-
ISDN-seitig werden die Protokolle DSS1 und Q.SIG unterstützt.
-
Zum All-IP Netz wird sowohl SIP Mehrgeräteanschluss (TR114) als auch SIP Anlagenanschluss (Trunk TR118) unterstützt.
-
Zur erhöhten Sicherheit sind SBC/FW Funktionali-täten gegeben
-
Dialin und Breakout über das Mobilfunknetz (z.B. LTE) ist mit den NTG/SBC möglich, z.B. als Backup und auch für Notrufe (110/112) zu den regional zuständigen Notruf-Leitstellen.
IP-TELEFONIE-ERWEITERUNG
Neue Standorte können direkt mit IP-Telefonie ausgestattet und in den Telefonie-Verbund integriert werden:
-
Die Standort-Telefonie-Erweiterung mit IP-Telefonen kann mit SIP oder H.323 realisiert werden.
-
Die IP-Telefone werden auf den lokalen Gateways registriert.
-
Die Gateways übernehmen auch die Vermittlung der Telefonate, sowohl im lokalen Netz wie die standortübergreifende Telefonie.
-
Investition in „alte“ ISDN-TKAnlagen entfallen.
-
Ebenso sind die erhöhten Sicherheit-Funktionen durch die SBC/FW gegeben.
-
Dialin und Breakout über das Mobilfunknetz (z.B. LTE) ist mit den NTG/SBC möglich, z.B. als Backup und auch für Notrufe (110 / 112) zu den regional zuständigen Notruf-Leitstellen.
DURCHGÄNGIGE IP-TELEFONIE
Schrittweise und bedarfsgereich können sie so ihre Telefonie gemäß ihren Anforderungen (und nicht der der Netzbetreiber) auf IP umstellen, bis sie eine durchgängige IP-Telefonie Infrastruktur haben:
-
Zentralseitige empfiehlt sich dabei eine hochverfügbare und redundante IP-PBX Lösung (z.B. indali HA), die im Bedarfsfall auch gehostet sein kann (s. 2.2.2).
-
alle Standorte sind auf IP-Telefonie umgestellt, wobei die Lokationen wahlweise mit einer eigenen IP-PBX (z.B. indali S oder M) oder nur mit IP-Telefonen, die auf der zentralen IP-PBX registriet sind, ausgestattet werden können.
-
Die netzweite Vermittlung erfolgt über die zentrale IP-PBX.
-
Eine Notfall-Vermittlung, Breakout und Dial-in ist in jedem Standort über die lokalen Gateways (z.B. LTE) gegeben, ebenso wie die lokale Notrufalamierung.
-
VPN-, QoS-Verwaltung ist ebso mit den Gateways gegeben, wie der gesicherte Netzzugang mit den SBC/FW Funktionalitäten der NTG/SBC Systeme.
KOMMUNIKATIONSLÖSUNG PRIVATE CLOUD FIRMEN-VPN
Mit der hochverfügbaren und vollredundanten IP-PBX DATUS indali HA können sowohl eigene Telefonie-Lösungen in einem VPN wie auch gehostete Telefonie-Lösungen in eine Private Cloud realisiert werden.
TELEFONIE-LÖSUNG IM EIGENEN VPN
Der zentrale Standort ihres Firmen- oder Behördennetzes wird mit eine hochverfügbaren und vollredundanten IP-PBX DATUS indali HA ausgestattet. Die Netzzugänge werden mit Session Border Controller (DATUS NTG/SBC) abgesichert:
Zentrale:
-
indali HA (High Availibility) – voll-redundante virtuelle IP-PBX auf redundanten Servern am Standort.
-
SBC-Redu – redundanter SBC zum sicheren Netzzugang ins private VPN und öffentliche Netz (logische Trennung).
-
Zentraler Telefonieübergang ins öffentliche Netz.
-
IP-Telefone im LAN – eine Registrierung auf indali HA.
Lokationen:
-
eSBC – SBC zum sicheren Netzzugang und Voice-Routing.
-
IP-Telefone registriert auf indali HA – standortübergreifende Telefonie.
-
Zweite Registrierung der IP-Telefone auf eSBC für lokale Telefonie, Backup und Breakout Notruf.
LTE – Zugang zum Mobilfunk von jedem SBC:
-
Breakout, z.B. für Notrufe (110/112) zur zuständigen regionalen Leitstelle.
-
Backup über LTE-VPN zur Zentrale bei Ausfall Festnetz (VPN).
GEHOSTETE TELEFONIE-LÖSUNG IN DER PRIVATE CLOUD
Alternativ kann die hochverfügbare und vollredundante IP-PBX DATUS indali HA auch in einem Hosting Center installiert werden. Der Zugriff auf diese private Cloud wird über ihr VPN mit Session Border Controller (DATUS NTG/SBC) abgesichert:
Hosting Center:
-
indali HA (High Availibility) – voll-redundante virtuelle IP-PBX auf redundanten Servern im eigenen (privaten) Bereich des Hostings Centers.
-
gesicheren Netzzugang in die Private Cloud über ihr VPN.
Zentrale:
-
SBC-Redu – redundanter SBC zum sicheren Netzzugang ins private VPN und öffentliche Netz (logische Trennung).
-
Zentraler Telefonieübergang ins öffentliche Netz.
-
IP-Telefone im LAN – registriert auf gehostete indali HA und dem lokalen SBC-Redu.
Lokationen:
-
eSBC – SBC zum sicheren Netzzugang und Voice-Routing.
-
IP-Telefone registriert auf gehostete indali HA – standortübergreifende Telefonie.
-
Zweite Registrierung der IP-Telefone auf eSBC für lokale Telefonie, Backup und Breakout Notruf.
LTE – Zugang zum Mobilfunk von jedem SBC:
-
Breakout, z.B. für Notrufe (110/112) zur zuständigen regionalen Leitstelle.
-
Backup über LTE-VPN zur Zentrale bei Ausfall Festnetz (VPN).