Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

UCC-Ratgeber zu IP-Telefonie-Netzen

Enterprise Session Border Controller – Typen und Varianten

Frank Sinde ist Manager Consulting bei Damovo
Ein Enterprise Session Bord Controller (E-SBC) verbindet externe (unsichere) IP-Telefonie-Netze mit mit internen (sicheren) IT-Strukturen. Was bei der Auswahl des richtigen E-SBC zu beachten ist.

Ein Enterprise Session Bord Controller(E-SBC) wird beim Unternehmen innerhalb oder außerhalb der DMZ (Demilitarisierte Zone) installiert. Dabei gibt es verschiedene Faktoren, die die Wahl des passenden E-SBC beeinflussen:

Der Provider

Die unterstützten E-SBC Typen sind abhängig vom Provider des SIP-Trunks. Hierbei gibt es verschiedene Varianten, wie der E-SBC betrieben werden kann:

  1. In der einfachsten Variante wird der E-SBC vom SIP-Trunk Provider bereitgestellt, beim Unternehmen installiert und durch den Provider gemanaged. Dadurch ist auf jeden Fall sichergestellt, dass der E-SBC aus technischer Sicht vom Provider unterstützt wird und somit eventuell auftretende Fehler insbesondere in der Abstimmung mit dem E-SBC und SIP-Tunk Konfiguration schnell behoben werden können.

  2. Eine weitere Variante ist der vom Unternehmen gekaufte E-SBC, der vom SIP-Trunk Provider innerhalb eines Managed Service Vertrages technisch unterstützt wird. Auch hier kann im Fehlerfall schneller reagiert und eventuell sogar proaktiv, vorausschauend gehandelt werden. Bei einem Providerwechsel ist zu beachten, dass der neue Provider den bestehenden E-SBC technisch unterstützen muss, da dieser beim Unternehmen verbleibt.

  3. Die dritte Möglichkeit ist es, den vom Unternehmen gekauften E-SBC durch den Systemintegrator managen zu lassen, der auch das UC-System managt. Hier besteht der Vorteil, dass der Systemintegrator sowohl das UC-System als auch den E-SBC unter Wartung hat - gegebenenfalls auftretende Fehler zwischen den Systemen können ohne "Finger-Pointing" umgehend behoben werden. Zusätzlich bieten viele Systemintegratoren bei einem Managed Service Vertrag eine proaktive Überwachung der Systeme an, um aufkommende Fehler so rechtzeitig zu erkennen, dass die Beeinträchtigungen so gering wie möglich ausfallen.

Lesetipp: Die Modernisierung des Arbeitsplatzes

Die für ein Unternehmen sinnvolle Option hängt stark von den technischen, fachlichen und kommerziellen Anforderungen ab.

Die für ein Unternehmen sinnvolle Option des Enterprise Session Border Controllers hängt stark von den technischen, fachlichen und kommerziellen Anforderungen ab, hier die gängigsten Typen und Varianten.
Die für ein Unternehmen sinnvolle Option des Enterprise Session Border Controllers hängt stark von den technischen, fachlichen und kommerziellen Anforderungen ab, hier die gängigsten Typen und Varianten.
Foto: Damovo

Appliance vs. Virtualisierung

Ein weiterer Gesichtspunkt bei der Auswahl des richtige E-SBC ist die Größe und das zu erwartende Wachstum eines Unternehmens. Fast alle großen Hersteller von E-SBC Systemen bieten zusätzlich zu Appliances (fest zugeordnete Hardware) an, den E-SBC zu virtualisieren und so eine größere Flexibilität und Skalierbarkeit zu erreichen.

Bei einem Unternehmen mit mehreren Filialen mit eigenen SIP-Trunk macht es Sinn, die Niederlassungen mit Appliances und die Zentrale mit einem virtualisierten E-SBC auszustatten.

Lesetipp: 5 Tipps zu BYOD

Der Vorteil von lokalen Appliances ist, dass selbst im Falle eines WAN-Ausfalls die Basis-Telefonie noch möglich ist (Remote Survivability). Dagegen sprechen jedoch die erhöhten Aufwände (Beschaffung, Betrieb, Wartung) für die dezidierte E-SBC Hardware.

Reine Softwarelösung

Darüber hinaus gibt es Anbieter, die einen reinen Software E-SBC anbieten. Hier ist sogar die Wahl des darunterliegenden Betriebssystems komplett frei. Ein Kriterium ist hier auch die Limitierungen der Session- Anzahl sowie der Verschlüsselung aufgrund der CPU / RAM-Performance. Der Funktionsumfang einer reinen Softwarelösung unterscheidet sich im Regelfall nicht von dem einer Appliance oder eines virtualisierten E-SBC. Ein Vorteil dieser Lösung ist der schnelle Testaufbau, um die Funktionalität in einem Proof of Concept schnell und kostenschonend testen zu können.

Der Funktionsumfang

Ein E-SBC hat verschiedene Funktionen in der VoIP-Infrastruktur.

Einer der wichtigsten Funktionen ist der Sicherheitsaspekt. Wie auch in einem normalen Netzwerk, in dem verschiedene Vertrauenszonen existieren, wird auch in einem UC-Netzwerk ein Punkt benötigt, der z.B. das interne Unternehmensnetzwerk, ein BYOD-Netzwerk, ein Gastnetzwerk, eine demilitarisierten Zone oder das öffentlichen Internet voneinander trennt. Dieser Knotenpunkt, respektive diese Trennlinie kann von einem E-SBC übernommen werden.

Ein zweiter Faktor, bei der diese Topologie der getrennten Netze durchaus eine Rolle spielt, ist der Schutz der UC-Infrastruktur vor DDoS-Angriffen (Distributed Denial of Service). Ferner kann der E-SBC nach einem UC-Systemausfall die erhöhte Anzahl von SIP-Registrierungen regeln.

Der E-SBC kann zusätzlich das interne Adressierungsschema des Netzwerkes über Network Address Traversal (NAT) auf allen Protokollebenen gegenüber externen Nutzern verstecken.

Kommunikationsflüsse, die über öffentliche Netzwerke geführt werden, sollten aus Security-Sicht immer verschlüsselt ablaufen. Selbst in privaten Netzwerken kann es sinnvoll sein, die Kommunikation zu verschlüsseln, um z.B. das Abhören zu verhindern und die Identitäten sicherzustellen.

Lesetipp: 5 Gründe für Managed Services

Allerdings kann es sein, dass die Verschlüsselung ein rechtmäßiges Abfangen der Gespräche oder andere Compliance- Anforderungen behindern. Hierbei ist die Einrichtung eines Punktes auf der Netzgrenze notwendig, der die Kommunikation ent- und wieder verschlüsselt, um die Sitzungsdaten im Klartext vorliegen zu haben. Auch diese Funktion kann der E-SBC übernehmen.

Das Zusammenspiel des E-SBC mit dem TK- und UCC-System

UCC- und TK-Anbieter (Unified Communications and Collaborations) nutzen das SIP-Protokoll häufig mit unterschiedlichen Parametern. Um trotzdem miteinander zu kommunizieren, können E-SBCs die Protokollunterschiede normalisieren. Zusätzlich schützt die Normalisierung davor, dass durch besagte Protokollunterschiede Interoperabilitätsprobleme zwischen Produkten verschiedener Hersteller entstehen (z.B. Telefon, Fax, Gateway, Multifunktionsdrucker), die im schlimmsten Fall zu Ausfällen führen können.

Viele Anbieter von TK- und UCC-Systemen bieten zusätzlich auch eigene E-SBCs an. Dem Vorteil der abgestimmten und unterstützten Integration steht der Nachteil gegenüber, dass bestimmte Funktionen nur im exakten Zusammenspiel zur Verfügung stehen.

Andere E-SBC Hersteller, die keine eigenen UC-Systeme herstellen, haben wiederum Zertifizierungsprogramme, die die Abhängigkeiten zu den UC-Systemen, Funktionen, Header etc. im Detail aufzeigen.

Anschaffung und Inbetriebnahme des E-SBC

Viele Faktoren spielen bei der Auswahl eines E-SBC eine Rolle. Um all diese Faktoren zu beleuchten, wird zunächst ein Anforderungskatalog erstellt und die verschiedenen Funktionen zusätzlich gewichtet. Idealerweise wird aus diesem Anforderungskatalog eine Nutzwertanalyse erstellt, in der die verschiedenen Anbieterfunktionen verglichen und bewertet werden.

Betrachtet man zusätzlich das Lizenz- und Preisgefüge sowie die detaillierte Planung der Anschaffung und der Inbetriebnahme des SBCs, so kann eine übersichtliche und nachvollziehbare Analyse und Empfehlung erarbeitet werden, die einem Unternehmen als Entscheidungsvorlage dienen kann. (rw)

Lesetipp: Cisco zeichnet Damovo für besonders gelungene Collaboration-Architektur aus.