KOMMUNIKATIONSLÖSUNGEN VOICE

KOMMUNIKATION IST ALLES 

UND ALLES IST KOMMUNIKATION

Die Integration von modernen Kommunikationslösungen in bestehende Systeme und Netzwerke, ohne Daten und Sicherheitsverluste ist unser Spezialfeld. Folgend finden Sie Anwendungsbeispiele und Lösungen. Sprechen Sie uns an, gerne lösen wir auch Ihre Herausforderung:

 
 

SIP-PBX für den sicheren Betrieb an All-IP Netzen mit physikalisch getrennten Ethernet-Ports und Firewall-Funktionalität:

DATUS IP-PBX INDALI All-IP

SICHERER ALL-IP ANSCHLUSS (SBC/FW)

 
FIREWALL-FUNKTIONALITÄT

•       Firewall gem. Common-Criteria-Stufe EAL 3 

•       Verwerfen nicht erlaubter Pakete (z.B. alle IP-Pakete aus WAN)

•       NAT für dynamische und statische IPv4 Adressen

•       Stateful Paket-Filter (auf Interfaces LAN, WAN und LOCAL)

•       Unterbindung von ICMP redirect

•       Schutz vor source routed pakets

•       Anti-Spoof auf Basis reverse-path Erkennung

•       TCP SYN-FLOOD Schutz via SYN-Cookies

 

BCs werden zwischen Unternehmensnetzen und SIP-Trunking-Provider sowie zwischen verschiedenen UC-Telefonie-Plattformen verwendet. Session Border Controller setzt sich zusammen aus:

•       Session – bezieht sich auf Real Time Kommunikationsverbindungen zwischen zwei

         Endpunkten, in der Regel Sprach- und/oder Video-(Konferenz-) Verbindungen.
 

•       Border – bezieht sich auf den Übergang zwischen zwei Netzen mit verschiedenen

         Vertrauensstufen. 
 

•       Controller – bezieht sich auf die Fähigkeit, jede Session zu steuern, die den SBC

         durchläuft. 

Die Hauptaufgaben eines SBC sind die logische Trennung von Netzen und Anwendungen mit folgenden Funktionalitäten:

Security 

•       Network topology hiding – mit Network Address Translation (NAT), …

•       Voice application firewall – Denial of Service (DoS), Access Control (ACL), …

•       Encryption – SRTP, TLS, SIPS, IPSec, …

 

Interoperability 

•       Protocol interworking – SIP ó SIP, SIP ó H.323, SIP ó ISDN, …

•       Media interworking – Transcoding verschiedener Codecs, …

•       Media services – Echo Cancellation, Comfort Noise/Silence Suppression, …

 

Session control 

•       Call admission control – Quality of Service, Bandwidth Allocation, … 

•       High availability – Rerouting, Fallback, Backup, …

 

Availability / Resiliency 

•       SIP trunk load balancing – über alternative Routen, …

•       Service provider geographic redundancy – Failover Solutions, …

•       Local (PSTN or LTE) breakout – Erreichbarkeit bei Netzausfall, Notruf, …

SBC – BEGRIFFSERKLÄRUNG UND FUNKTIONEN
 
PATTON ENTERPRISE SESSION BORGER CONTROLLER (E-SBC)

WARUM ENTERPRISE SBC?

 

Reicht Operator-SBC nicht aus?

•       Betreiber schützt damit nur sein Netz.

•       Verwaltet damit nur Interoperabilität
         mit Core-Netzwerk-Geräte.

▶  E-SBC ist zum eigenen Schutz nötig!

Reicht eine „normale“ Firewall?

•       „Normale“ FW lässt SIP-Messages durch
         (Bedrohung: fraud, attacks).

▶  FW notwendig, reicht aber nicht aus!

E-SBC für Interoperabilität mit:

•       SIP-Translation für Interworking zwischen IP-PBX und UC-Plattformen.

•       SIP-Adaptation und Transcoding für Unabhängigkeit von verschiedenen Betreibern/Providern.

VOICE MIGRATION / All-IP UMSTELLUNG
 

Bezüglich einer Voice-Migration von ISDN zu IP (SIP) können mindestens 4 grobe Szenarien unterschieden werden, die mit DATUS Systemlösungen realisiert werden können:

 

•     SIP Flooding protection – SIP packet flooding (Überflutung) wird verhindert.

•     Trusted Peers – nur vertrauenswürdige IP-Adresse und Domänen werden zugelassen. 

•     SIP Registrar – nur authentifizierte aus- und eingehende Anrufe werden zugelassen. 

•     Fraud protection – Schutz vor Missbrauchs- und Betrugsangriffen.

•     Stateful Firewall – Berechtigungsprüfung anhand von Paket-, Header-, Verkehrs- und      
       Verbindungsstatus-Analysen und Bewertungen.

•     Access Control Lists (ACL) – Schutz anhand der Quell-/Ziel-IP-Adressen.

•     Network Address Translation (NAT/NAPT) – Topology Hiding durch Adress-Umsetzungen.

•     SIP TLS/SRTP – Sicherung der Datenübertragung und Verschlüsselung des Datenverkehrs.

•     IPSec VPN (Option) – verschlüsselte Verbindungen durch Netze.

•     SIP-Adaption – Anpassungen zwischen verschiedenen SIP-Derivaten, z.B. zwischen der

       eigenen SIP-Infrastruktur (IP-PBX) und Providern (SIP Trunk) oder Unified Communication

       Plattformen (z.B. MS Lync / Skype for Business).
 

•     VoIP und Transcoding – zwischen PBX, SIP Trunk und UC Plattform. 
 

       •     Codecs:       G.711 a-law/mu-law, G.723, G.729ab, G.726, G.727 u.a.m.
 

       •     Fax:              T.38 fax relay (9.6 k, 14.4 k), G.711 transparent fax and bypass 

       •     VoIP:             128 ms Echo Cancellation, Silence Suppression und Comfort Noise, 

                                   Adaptive und konfigurierbare Dejitter Buffer und Paketlängen

•     Netzzugänge – SIP/IP über Ethernet, ADSL, G.SHDSL (EFM/ATM), Fiber (SFP)

       •     ISDN:           S0/BRI (TE/NT), S2M/PRI/E1 (TE/NT) – Endgeräte-, Anlagen-, Amtsanschluss.

       •     Mobile:         UMTS (3G) und LTE (4G) – Break Out, Dial In, Fallback …

•     Protokoll Konvertierungen – TCP/UDP, Encryption, TLS/SRTP, …

•     Call Router – Der Call Router ist das Herzstück der SmartNode E-SBC und ist zuständig
       für das Routing, Rufnummern-Änderungen, Ziel-Bestimmung etc.

       •     Bietet Schutz vor nicht autorisierten Rufnummern und IP-Adressen.

       •     Der Call Router kann auf Domäne-Namen von Anrufen filtern und verschiedene Aktionen

              auslösen. Wichtig, um Anrufe von nicht autorisierten Domänen daran zu hindern, in das 

              eigene Netz einzudringen.

•     Call Routing & Services – vielfältige Routing-Möglichkeiten, wie z.B.:

       •     Number Matching, Number Manipulation 

       •     Least Cost Routing

       •     Number blocking

       •     Short-Dialing

       •     Digit collection

       •     Distribution- und Hunt-Groups

•     Quality of Service Mechanismen:
 

       •     Traffic Management, Shaping und Policing, Burst-Tolerant Shaping

       •     IEEE 802.1p, TOS, DiffServ Labeling 

       •     IEEE 802.1q, VLAN Tag Insertion/Deletion (4096 VLAN IDs, multipler VLAN Support)

       •     Weighted Fair Queuing (WFQ)

•     Voice Priorisierung und DownStreamQoS™
 

       •     SmartNode erzeugt einen virtuellen Bottleneck für TCP Datenverkehre, um Realtime

              Verkehre (Sprache) bevorzugt empfangen zu können:

 

Nachdem die ISDN Fest- und Wählverbindungen abgekündigt sind, kann ein bestehender ISDN TKAnlagen-Verbund auch über ein IP-Netz abgebildet werden. Mit den DATUS Systemen (NTG/SBC = Gateways und Session Border Controller) werden folgende Leistungen und Features geboten:

ISDN TKANLAGEN-VERBUND ÜBER IP-NETZ

•       Punkt-zu-Mehrpunkt-Verbindungen und auch der Übergang von

         S0 auf S2M werden unterstützt. 

•       Da der Takt aus dem ISDN-Netz entfällt, werden die ISDN-

         TKAnlagen mit einem hochpräzisen Takt von den NTG/SBC

         versorgt.

•       ISDN-seitig werden die Protokolle DSS1 und Q.SIG unterstützt.
         Mit Q.SIG sind auch übergreifende Leistungsmerkmale, wie z.B.    
         Nummern-Namens-Auflösung gegeben. 

   

•       Im IP-Netz können die Protokolle SIP und H.323 genutzt werden.

         

•       Zur erhöhten Sicherheit und Verfügbarkeit werden VPN mit QoS
         sowie SBC/FW Funktionalitäten genutzt

•       Übergänge ins öffentliche SIP-Netz sowie Backup über das
         Mobilfunknetz (z.B. LTE) sind ebenfalls über die NTG/SBC
         zu realisieren.

 
ISDN TKANLAGEN AM ALL-IP NETZ

Zum Schutz ihrer getätigten Investitionen in die bestehenden ISDN TKAnlagen können diese auch nach Abkündigung des ISDN-Netzes mit den DATUS Systemen (NTG/SBC = Gateways und Session Border Controller) an einem All-IP Netz weiter betrieben werden:

•       Die NZG/SBC unterstützen sowohl ISDN S0 wie auch ISDN
         S2M Schnittstellen zu ihren TKAnlagen. 
 

•       Da der Takt aus dem ISDN-Netz entfällt, werden die ISDN-

         TKAnlagen mit einem hochpräzisen Takt von den NTG/SBC

         versorgt.
 

•       ISDN-seitig werden die Protokolle DSS1 und Q.SIG unterstützt.  
 

•       Zum All-IP Netz wird sowohl SIP Mehrgeräteanschluss (TR114) als

         auch SIP Anlagenanschluss (Trunk TR118) unterstützt.      
 

•       Zur erhöhten Sicherheit sind SBC/FW Funktionali-täten gegeben
 

•       Dialin und Breakout über das Mobilfunknetz (z.B. LTE) ist mit den
         NTG/SBC möglich, z.B. als Backup und auch für Notrufe (110/112)
         zu den regional zuständigen Notruf-Leitstellen.

Neue Standorte können direkt mit IP-Telefonie ausgestattet werden und in den Telefonie-Verbund integriert werden:

 
IP-TELEFONIE-ERWEITERUNG         

•       Die Standort-Telefonie-Erweiterung mit IP-Telefonen kann mit SIP
         oder H.323 realisiert werden.

•       Die IP-Telefone werden auf den lokalen Gateways registriert.  

  

•       Die Gateways übernehmen auch die Vermittlung der Telefonate,
         sowohl im lokalen Netz wie die standortübergreifende Telefonie.  

       

•       Investition in „alte“ ISDN-TKAnlagen entfallen.

•       Ebenso sind die erhöhten Sicherheit-Funktionen durch die SBC/FW
         gegeben.

•       Dialin und Breakout über das Mobilfunknetz (z.B. LTE) ist mit den    
         NTG/SBC möglich, z.B. als Backup und auch für Notrufe (110 / 112)

         zu den regional zuständigen Notruf-Leitstellen.

 
DURCHGÄNGIGE IP-TELEFONIE

Schrittweise und bedarfsgereich können sie so ihre Telefonie gemäß ihren Anforderungen (und nicht der der Netzbetreiber) auf IP umstellen, bis sie eine durchgängige IP-Telefonie Infrastruktur haben:

•       Zentralseitige empfiehlt sich dabei eine hochverfügbare und
         redundante IP-PBX Lösung (z.B. indali HA), die im Bedarfsfall auch
         gehostet sein kann (s. 2.2.2).

•       alle Standorte sind auf IP-Telefonie umgestellt, wobei die Lokationen
         wahlweise mit einer eigenen IP-PBX (z.B. indali S oder M) oder nur  

         mit IP-Telefonen, die auf der zentralen IP-PBX registriet sind, ausge-

         stattet werden können.

•       Die netzweite Vermittlung erfolgt über die zentrale IP-PBX.

•       Eine Notfall-Vermittlung, Breakout und Dial-in ist in jedem Standort

         über die lokalen Gateways (z.B. LTE) gegeben, ebenso wie die

         lokale Notrufalamierung.

•       VPN-, QoS-Verwaltung ist ebso mit den Gateways gegeben, wie der
         gesicherte Netzzugang mit den SBC/FW Funktionalitäten der NTG/

         SBC Systeme.

 

KOMMUNIKATIONSLÖSUNG PRIVATE CLOUD FIRMEN-VPN

Mit der hochverfügbaren und vollredundanten IP-PBX DATUS indali HA können sowohl eigene Telefonie-Lösungen in einem VPN wie auch gehostete Telefonie-Lösungen in eine Private Cloud realisiert werden.

 
TELEFONIE-LÖSUNG IM EIGENEN VPN        

Der zentrale Standort ihres Firmen- oder Behördennetzes wird mit eine hochverfügbaren und vollredundanten IP-PBX DATUS indali HA ausgestattet. Die Netzzugänge werden mit Session Border Controller (DATUS NTG/SBC) abgesichert:

Zentrale:

•       indali HA (High Availibility) – voll-redundante virtuelle IP-PBX auf
         redundanten Servern am Standort. 

•       SBC-Redu – redundanter SBC zum sicheren Netzzugang ins                private VPN und öffentliche Netz (logische Trennung).

•       Zentraler Telefonieübergang ins öffentliche Netz.

•       IP-Telefone im LAN – eine Registrierung auf indali HA.

Lokationen:

•       eSBC – SBC zum sicheren Netzzugang und Voice-Routing.

•       IP-Telefone registriert auf indali HA – standortübergreifende
         Telefonie.

•       Zweite Registrierung der IP-Telefone auf eSBC für lokale Telefonie,
         Backup und Breakout Notruf.

LTE – Zugang zum Mobilfunk von jedem SBC:

•       Breakout, z.B. für Notrufe (110/112) zur zuständigen regionalen
         Leitstelle.

•       Backup über LTE-VPN zur Zentrale bei Ausfall Festnetz (VPN).

 
GEHOSTETE TELEFONIE-LÖSUNG IN DER PRIVATE CLOUD

Alternativ kann die hochverfügbare und vollredundante IP-PBX DATUS indali HA auch in einem Hosting Center installiert werden. Der Zugriff auf diese private Cloud wird über ihr VPN mit Session Border Controller (DATUS NTG/SBC) abgesichert:

Hosting Center:
 

•       indali HA (High Availibility) – voll-redundante virtuelle IP-PBX auf
         redundanten Servern im eigenen (privaten) Bereich des Hostings
         Centers. 
 

•       gesicheren Netzzugang in die Private Cloud über ihr VPN.
 

Zentrale:
 

•       SBC-Redu – redundanter SBC zum sicheren Netzzugang ins private
         VPN und öffentliche Netz (logische Trennung).
 

•       Zentraler Telefonieübergang ins öffentliche Netz.
 

•       IP-Telefone im LAN – registriert auf gehostete indali HA und dem
         lokalen SBC-Redu.
 

Lokationen:
 

•       eSBC – SBC zum sicheren Netzzugang und Voice-Routing.
 

•       IP-Telefone registriert auf gehostete indali HA –
         standortübergreifende Telefonie.
 

•       Zweite Registrierung der IP-Telefone auf eSBC für lokale Telefonie,
         Backup und Breakout Notruf.
 

LTE – Zugang zum Mobilfunk von jedem SBC:
 

•       Breakout, z.B. für Notrufe (110/112) zur zuständigen regionalen
         Leitstelle.
 

•       Backup über LTE-VPN zur Zentrale bei Ausfall Festnetz (VPN).