Standortvernetzung via VPN
War die bisherige Nutzung von VPNs rein auf den Transport von Applikationsdaten (E-Mail, Terminal-Server, etc.) ausgelegt - und somit tolerant gegen ein bestimmtes Maß an Störungen - stellt nun die Übermittlung von Sprachdaten eine mehrschichtige Anforderung an die virtuellen Netzwerkverbindungen und die darin zu transportierenden Daten. Die für Sprache relevanten (S)RTP- und SIP(S)-Pakete müssen den Tunnel möglichst ungehindert passieren können. Störgrößen dürfen die noch vertretbaren Grenzen keinesfalls signifikant überschreiten, da diese die Sprachqualität sonst nachhaltig negativ beeinflussen. Hierzu zählen Paketverlust, Latency und Jitter (Paketverlust kleiner 1%; Latency: möglichst kleiner 150ms pro Richtung; Jitter: kleiner 30ms). Parallel ist es notwendig den Datenfluss der VPN-Trägerverbindung zu priorisieren, da davon auszugehen ist, dass neben der VPN Verbindung weitere Daten (z.B. für HTTP, SMTP, etc.) über den Internetanschluss fließen.
Werden diese Aspekte nicht berücksichtigt, sind inakzeptable Sprachverzögerungen, Echoeffekte, störendes Knacken und sogar Totalausfälle während des Telefongespräches die Folge. In einem optimal funktionierenden VoVPN-Netzwerk ist der mehrstufige Einsatz von QoS-Mechanismen an den Tunnelendpunkten und innerhalb des Netzwerkes somit unverzichtbar. VPN-Gateways, Router und Switches müssen diese Disziplinen beherrschen. Darüber hinaus müssen die VPN Strecken betriebssicher ausgelegt sein, wenn die Standort-zu-Standort-Vernetzung keinen lokalen Ausstieg der angebundenen Standorte ins PSTN vorsieht. Für einen reibungslosen Transport innerhalb des öffentlichen Netzes können Carrier und ISPs mittels spezieller ATM Funktionalitäten oder dem Einsatz von MPLS die Implementierung ihrerseits noch unterstützen.
Sicherheit bis zum Endgerät
Um die durchgängige Sicherheit bis hin zum Endgerät (IP-Telefon oder Soft-Client) zu gewährleisten, muss auch der Weg von der virtualisierten Telefondose bis zum Endgerät entsprechend abgesichert werden. Hierzu stehen beispielsweise Protokolle wie SIPS (SIP Secure/SIP over SSL) zur Signalisierung und SRTP (Secure RTP) für den Sprachdatentransport zur Verfügung, wobei Endgerät oder VoIP-Applikation diese Protokolle unterstützen müssen. Darüber hinaus kommen SSL-Zertifikate zum Einsatz. Nimmt ein Endgerät Kontakt zum SIP Registrar auf, wird zunächst anhand des Server-Zertifikates die mögliche Verschlüsselungstiefe ausgehandelt. In der Regel wird heute eine 128 Bit-Verschlüsselung verwendet. Anschließend werden die öffentlichen Verschlüsselungs-Codes, auch Keys genannt, gegenseitig ausgetauscht (Public-Key-Verfahren). Das Endgerät muss sich also zunächst im Unternehmensnetzwerk authentisieren, bevor die eigentliche Sprachdatenübertragung beginnt - verschlüsselt mit den öffentlichen Keys.
Um eine vollständige Abbildung der klassischen TK-Welt zu erreichen, müssen auch schnurlose Endgeräte - also WLAN Telefone (Voice over WLAN) - in das Netzwerk integriert werden. Um hier keine weitere Angriffsfläche zu bieten, sollten hierbei zusätzlich Sicherheitsstandards wie WPA Enterprise, also die Authentisierung des Endgerätes gegen eine zentrale Instanz wie einen RADIUS Server, implementiert werden.