1. A. Anforderungen
  2. B. Router / Firewall Einstellungen
  3. C. Switch Einstellungen
  4. A. Allgemeines
  5. B. Firewall Einstellungen
  6. C. Router
  7. D. Systemanforderungen für DFN VoIP-Centrex
  8. E. Pflichten des Kunden
  9. F. Abgrenzung der Leistungen
Dokument herunterladen

Suche in Dokumentation

A. Allgemeines

Bitte beachten Sie folgende Punkte bzgl. Ihres Netzwerks, um das Plug & Play zu ermöglichen:

 

Allgemein

 

  • Informieren Sie Ihre zuständige IT über den geplanten Anfangstermin und klären Sie bitte im Vorfeld ab, ob Konfigurationsmaßnahmen am Router oder Ihrer Firewall notwendig sind.
  • Grundsätzlich benötigt jedes Endgerät eine eigene IP-Adresse, die entweder manuell am entsprechenden Endgerät oder über einen DHCP-Server vergeben werden kann.
  • Falls Sie einen DHCP-Server einsetzen achten Sie bitte darauf genügend IP-Adressen zur Vergabe verfügbar zu haben. Der DHCP-Server darf keine Option 66 propagieren. Eine ggf. existierende DHCP-Conflict-Database ist optional für die Telefone zu deaktivieren.

 


Einstellungen für Switches

 

  • Generell empfehlen wir den Einsatz vom Spanning Tree Protocol (vgl. Wikipedia) auf Ihren Switchen. Bei aktiviertem Spanning Tree sollte jedoch darauf geachtet werden, dass die Ports, an denen Sie Telefone oder ähnliche Endgeräte anschließen, passend konfiguriert sind. Je nach Switch-Hersteller und Firmware ist die empfohlene Option als „PortFast“ oder „Edge Mode“ bekannt. Die Option sorgt dafür, dass ein angestecktes Gerät sofort eine Verbindung bekommt und nicht wie bei Spanning Tree üblich zunächst für 30 Sekunden o.ä. blockiert wird. Ein lastabhängiges Spanning-Tree auf Cisco-Switchen (PVST+ Mode) ist in jedem Fall zu deaktivieren!
  • Deaktivierung von Proxy-ARP Mechanismen, wir empfehlen darüber hinaus einen Schutz gegen MAC-Spoofing.
  • Die meisten Telefone können VLANs nutzen. Die verwendeten VLAN-IDs werden entweder in den Standortoptionen des Kunden im Administrationsportal konfiguriert oder müssen von der lokalen Switch-Infrastruktur mithilfe von LLDP bereitgestellt werden. Wir empfehlen das LLDP-MED-Protokoll. Bei den meisten von NFON gelieferten Telefonen ist standardmäßig das LLDP-MED-Protokoll (Link Layer Discover Protocol - Media Endpoint Devices) aktiviert. Dieses Protokoll ist ein Layer2-Protokoll um die Interoperabilität von VoIP-Endgeräten mit anderen Geräten im Netzwerk zu unterstützen und um z.B. deren Identitäten und Fähigkeiten bekannt zu machen sowie die Verwaltung der lokalen Netzwerkumgebung, insbesondere der VLAN-Segmentation, zu unterstützen. Wenn Sie eine dieser Funktionen für die VLAN-Konfiguration im Kunden-LAN nutzen möchten, sollten Sie die gewünschte Funktion auf den Netzwerkgeräten des Kunden aktivieren. Bei Verwendung von LLDP unterstützen und verwenden die NFON-Telefone alle VLAN-IDs, die in der Infrastruktur für den Kunden-Switch (als Teil des LLDP) konfiguriert sind, sowohl für Sprache als auch für Daten. Wenn der Kunde Laptops oder PCs, die den Switch-Port der Telefone verwenden, in Reihe schalten möchte, wird jeglicher Datenverkehr von diesem Port in das Daten-VLAN geleitet.
  • Bitte beachten Sie, dass Softphone-Clients, WebRTC-Clients, ATAs (nur Patton SN4xxx) und DECT-Systeme die VLAN-Bereitstellung über das Portal derzeit nicht unterstützen.
  • In diesem Fall ist es möglich, eine feste VLAN-Zuordnung am Switchport mit einem nicht getaggten VLAN-Port zu verwenden.

 

 

Einstellungen für den Router / Firewall

 

  • Es ist nicht notwendig Port-Forwardings einzurichten. In den auf den Folgeseiten genannten Portbereichen dürfen auch keine Port-Forwardings eingerichtet werden!
  • Basierend auf der Annahme, dass eventuelle Firewalls Stateful sind und Antworten in offenen TCP und UDP Sessions akzeptiert werden, achten Sie auf die folgenden Punkte:

    • Ein vorhandenes SIP ALG ist in jedem Fall zu deaktivieren, ebenso ein Store&Forward.
    • Setzen Sie ein Intrusion Detection oder Prevention System (IDS/IPS) ein, stellen Sie  sicher, dass es sich nicht negativ auf die Telefonie auswirkt. Ggf. müssen die Einstellungen entsprechend angepasst oder das System deaktiviert werden.
    • Zudem empfehlen wir einen evtl. vorhandenen Schutz gegen ICMP Redirect, Route Injection und DoS.
    • Bei Einsatz von Network Address Translation (NAT) ist ein UDP-NAT Timeout von mehr als 130 Sekunden zwingend. 
    • Aktivierung eines evtl. vorhandenen „Consistant-NAT“ Modus (dies ist speziell bei SonicWall zwingend nötig!)

  • Wir empfehlen unseren Kunden unser Netz (109.68.96.0/21) bei Ihren E-Mail-Providern zu whitelisten, da eventuell sonst keine E-Mails ankommen könnten.
  • Sobald für einen Kunden Verschlüsselung aktiviert wird, werden alle zur Verschlüsselung zertifizierten Geräte automatisch auf diese umgestellt. Es ist möglich, einzelne Standorte oder ggf. Endgeräte selektiv zur Verschlüsselung freizugeben. Bei der Abrechnung werden immer nur die zur Verschlüsselung fähigen Geräte betrachtet.