Wie war die Ausgangssituation und warum reichte die bestehende Lösung nicht aus?
Der Kunde – ein tschechischer Hersteller technischer Kunststoffkomponenten mit insgesamt etwa 200 Mitarbeitern an den drei Standorten – betrieb eine Netzwerkinfrastruktur, die organisch mit dem Unternehmen gewachsen war: Jeder Standort besorgte sich nach und nach einen eigenen Internetzugang von einem lokalen Anbieter, und die Niederlassungen wurden über kommerzielle VPN-Tunnel über das öffentliche Internet verbunden. Dieser Ansatz funktionierte, bis das Unternehmen auf ein zentrales ERP-System (SAP S/4HANA) in Microsoft Azure umstellte und begann, Produktionsdaten, CAD-Dokumentationen und Qualitätskontrollberichte zwischen Prag, dem Produktionswerk und München in einem Umfang zu übertragen, den die bestehende Lösung nicht bewältigen konnte. Drei spezifische Probleme traten auf. Instabile VPN-Tunnel zwischen den Standorten führten während der Arbeitsschichten zu Zugriffsausfällen auf SAP – für das Produktionswerk bedeutet jeder Zugriffsverlust auf die Produktionsdokumentation einen sofortigen Stillstand der Linie. Der asymmetrische Anschluss im Produktionswerk (50/10 Mbit/s) reichte für den Upload von Qualitätskontroll- und Videodaten aus der Qualitätsprüfung nicht aus. Und der Zugriff auf Azure über das öffentliche Internet war langsam und instabil – das SAP in der Cloud reagierte mit spürbaren Verzögerungen auf Eingaben der Bediener.Wie hat New Telekom die Architektur für drei Standorte in zwei Ländern entworfen?
Drei Standorte, drei Konnektivitätsebenen
New Telekom entwarf eine Architektur, die auf drei miteinander verbundenen Ebenen basiert – wobei jede Ebene unterschiedliche Datenströme verarbeitet und eigene garantierte Parameter hat. Ebene 1 – B2B-Business-Internet an jedem Standort: Garantierter symmetrischer Internetzugang für den regulären Geschäftsbetrieb – E-Mail, Videokonferenzen (Microsoft Teams), Zugriff auf öffentliche Webdienste und Software-Updates. Jeder Standort verfügt über einen eigenen dedizierten FTTO- oder FTTH-Anschluss mit einer Kapazität, die der Anzahl der Benutzer und der Art des Datenverkehrs entspricht. Ebene 2 – Privates MPLS-VPN-WAN zwischen den drei Standorten: Dedizierte L3-MPLS-VPN-Ringe, die Prag, das Produktionswerk in Mittelböhmen und München in einem einzigen privaten Unternehmensnetzwerk verbinden – ohne dass ein Segment das öffentliche Internet durchläuft. ERP-Daten, Produktionsdokumentationen, Qualitätskontrollberichte und interne Kommunikation reisen über das dedizierte Netzwerk der New Telekom und Partnerbetreiber in Deutschland. Ebene 3 – CloudConnect-Privatleitung zu Microsoft Azure: Eine dedizierte private Leitung vom Hauptsitz in Prag zu Microsoft Azure ExpressRoute – eine direkte Verbindung zur Cloud-Umgebung des Kunden außerhalb des öffentlichen Internets. SAP S/4HANA in Azure kommuniziert mit Benutzern im Produktionswerk und in München über das private WAN-Netzwerk, nicht über das öffentliche Internet.SD-WAN-Orchestrierung – Automatisches Management der drei Ebenen
Alle drei Standorte sind mit Juniper NFX250 SD-WAN-CPE-Geräten ausgestattet, die automatisch steuern, welcher Verkehr welchen Weg nimmt:- SAP-/ERP-Verkehr: ausschließlich über das private MPLS-VPN-WAN – niemals über das öffentliche Internet
- Microsoft Teams-Videokonferenzen: über B2B-Internet mit QoS-Priorisierung (EF DSCP)
- Azure-Cloudzugriff: über die CloudConnect-Privatleitung von Prag, über MPLS-VPN für das Produktionswerk und München geteilt
- Backupszenario bei MPLS-WAN-Ausfall: automatisches Failover des kritischen Verkehrs über verschlüsselten IPSec-Tunnel über B2B-Internet innerhalb von 60 Sekunden
Was wurde an jedem Standort realisiert?
Prag – Hauptsitz und zentraler Netzwerkknoten
Der Prager Hauptsitz ist der zentrale Knoten des gesamten Netzwerks – von hier gehen die MPLS-VPN-Ringe zu beiden Produktionsstandorten und die CloudConnect-Leitung zu Azure aus. Physischer Anschluss: FTTO 1 Gbit/s symmetrisch auf New Telekom-Glasfaser mit direktem Zugang zum Backbone-Netzwerk und zum NIX.CZ. Gemessene Latenz zum NIX.CZ: < 1,2 ms. Latenz zu Azure Westeuropa über CloudConnect: < 8 ms. Aktive Komponenten in Prag: Juniper MX204 Backbone-Router mit drei VRF-Instanzen (Internet, MPLS WAN, CloudConnect), Juniper EX3400 Access-Switch, Fortinet FortiGate 200F NGFW-Firewall mit IPS und SSL/TLS-Inspektion für die Internetebene, Juniper NFX250 SD-WAN-CPE. Backup-Konnektivität: LTE-A Pro über New Telekom eSIM mit automatischem Failover innerhalb von 10 Sekunden.Produktionswerk – Mittelböhmen
Aus Netzwerksicht ist das Produktionswerk der anspruchsvollste Standort: 150 Produktionsmitarbeiter, Dutzende CNC-Maschinen, die über industrielles Ethernet mit dem Netzwerk verbunden sind, Qualitätskontrollstationen mit Bilddatenübertragung und ein SCADA-System zur Produktionsüberwachung. Physischer Anschluss: FTTO 500 Mbit/s symmetrisch – symmetrischer Upload war entscheidend für die Übertragung von Qualitätskontroll- und Produktionsdokumentationsdaten nach Prag. Der Anschluss ist mit dem regionalen Verteilungsknoten von New Telekom in Mittelböhmen verbunden. MPLS-VPN-Ring Werk–Prag: Kapazität 200 Mbit/s symmetrisch, garantiert 1:1, Latenz < 5 ms. QoS-Einstellungen priorisieren SAP-Verkehr und die Übertragung von Produktionsdokumentationen vor anderem Verkehr. Aktive Komponenten im Produktionswerk: Juniper NFX250 SD-WAN-CPE mit integrierter Firewall, Cisco Catalyst 9300 industrieller Access-Switch mit PoE+ für industrielle IP-Kameras und Terminals, separates VLAN für das OT (Operational Technology)-Netzwerk für SCADA und Produktionsmaschinen – isoliert vom IT-Verkehr.München – Vertriebsniederlassung
Die Münchner Niederlassung (25 Vertriebsmitarbeiter und Anwendungstechniker) ist aus Netzwerksicht weniger kapazitätsintensiv, aber aus Verfügbarkeitsperspektive kritisch – ein Zugriffsverlust auf SAP oder das Kunden-CRM beeinträchtigt direkt die Geschäftsprozesse. Physischer Anschluss in München: 100 Mbit/s symmetrisch über den Partnerbetreiber von New Telekom in Deutschland – koordiniert und abgerechnet über New Telekom Prag, ohne dass ein separater Vertrag mit einem deutschen Anbieter erforderlich ist. MPLS-VPN-Ring München–Prag: Kapazität 100 Mbit/s symmetrisch, Latenz Prag–München < 15 ms – ein Standardwert für diese Entfernung über das Backbone-Netzwerk via Frankfurt. Für SAP und Microsoft Teams-Anrufe völlig ausreichend. Aktive Komponenten in München: Juniper NFX250 SD-WAN-CPE, Cisco Catalyst 9200 Access-Switch. Backup-Konnektivität: LTE-Backup-Verbindung über einen Mobilfunkbetreiber in Deutschland mit automatischem Failover.Welche Ergebnisse hat die Architektur gebracht?
| Parameter | Nach der Implementierung | Vorheriger Zustand |
|---|---|---|
| SAP-Verfügbarkeit für Produktionswerk | 99,9 % SLA, Ausfälle < 1 Stunde/Monat | VPN-Tunnel-Ausfälle 3–8× pro Monat |
| Upload Produktionsdokumentation | 200 Mbit/s garantiert | Tatsächlich 8–10 Mbit/s (asymmetrisch) |
| Latenz Prag ↔ Produktionswerk | < 5 ms (MPLS-VPN) | 20–60 ms variabel (VPN über Internet) |
| Latenz Prag ↔ München | < 15 ms (MPLS-VPN) | 25–80 ms variabel |
| Latenz zu Azure (SAP) | < 8 ms (CloudConnect) | 25–70 ms (über Internet) |
| Anzahl der Betreiberverträge | 1 (New Telekom) | 3 separate Verträge in 2 Ländern |
| Backup-Konnektivität | Auto-Failover innerhalb von 60 Sekunden | Manuell, stundenlange Ausfälle |
| Sicherheit der ERP-Datenübertragung | Privates WAN, kein öffentliches Internet | VPN-Tunnel über öffentliches Internet |
| Azure-Egress-Kosten | Reduzierung ~45 % (CloudConnect) | Volle Azure-Egress-Tarife |
Warum ist ein einziger Betreiber für ein produzierendes Unternehmen mit Auslandsniederlassungen wichtig?
Die Verwaltung der Netzwerkinfrastruktur an drei Standorten in zwei Ländern mit drei verschiedenen Verträgen bedeutet drei verschiedene Ansprechpartner bei einem Ausfall, drei verschiedene Eskalationsverfahren und drei verschiedene Rechnungen mit unterschiedlichen Währungen und Abrechnungszyklen. Bei einem früheren Ausfall des MPLS-VPN-Rings Prag–München rief der Kunde den deutschen Betreiber an, der sich auf einen Transitpartner verwies, der wiederum zurückverwies – und währenddessen konnte das Produktionswerk nicht auf SAP zugreifen. Unter der New Telekom-Architektur gibt es einen Ansprechpartner: das New Telekom NOC in Prag, erreichbar 24/7, das die Ausfallbehebung auf allen Segmenten koordiniert – einschließlich der deutschen letzten Meile über den Partnerbetreiber. Der Kunde muss nicht herausfinden, wo auf der Strecke der Ausfall aufgetreten ist. Dieses Prinzip gilt auch für die Abrechnung: Eine Rechnung deckt B2B-Internet an allen drei Standorten, die MPLS-VPN-Ringe zwischen ihnen und die CloudConnect-Leitung zu Azure ab – unabhängig davon, dass ein Teil der Infrastruktur physisch in Deutschland liegt.Wie hat CloudConnect den Zugriff auf SAP in Azure für alle drei Standorte verändert?
Die CloudConnect-Privatleitung wird am Prager Hauptsitz terminiert, aber ihre Vorteile werden von allen drei Standorten geteilt. Das Produktionswerk in Mittelböhmen und die Münchner Niederlassung greifen über den MPLS-VPN-Ring nach Prag und von dort über CloudConnect auf Azure zu – also immer noch über das private Netzwerk, ohne das öffentliche Internet zu durchqueren. Das Ergebnis ist eine konsistente Latenz für den Zugriff auf SAP S/4HANA in Azure für alle Benutzer, unabhängig vom Standort – der Produktionslinienbediener im Werk, der Vertriebsmitarbeiter in München und der Finanzvorstand in Prag arbeiten alle mit dem System mit vergleichbaren Antwortzeiten. Der vorherige Zustand – bei dem die Münchner Niederlassung über das deutsche Internet mit einer Latenz von 50–70 ms auf Azure zugriff – verursachte spürbare Verzögerungen bei der Arbeit mit umfangreichen Berichten und Dashboards. Die Reduzierung der Azure-Egress-Kosten um etwa 45 % war ein positiver Nebeneffekt – für einen Kunden, der monatlich Dutzende TB an Produktions- und Geschäftsdaten von Azure zurück zu den Standorten überträgt, ist das eine nicht zu vernachlässigende finanzielle Ersparnis. Eine detaillierte Übersicht über die CloudConnect-Technologie und eine Berechnung der potenziellen Einsparungen finden Sie unter cloudconnect.cz (tschechische Sprache).Häufig gestellte Fragen zu Business-Internet und Standortvernetzung
Was genau bedeutet "Business-Internet" von New Telekom im Vergleich zu gewöhnlichen kommerziellen Anschlüssen?
Business-Internet von New Telekom ist ein garantierter symmetrischer Anschluss – gleiche Geschwindigkeit für Download und Upload – nicht aggregiert, mit direkter Anbindung an den NIX.CZ in Prag und vertraglich garantierter Verfügbarkeit von 99,9 %. Einzelhandels- und kommerzielle Anschlüsse sind typischerweise asymmetrisch (höherer Download, niedriger Upload), aggregiert (Kapazität wird mit anderen Kunden geteilt) und ohne SLA-Garantien. Für produzierende Unternehmen, die Produktionsdaten, Dokumentationen oder Backups übertragen, ist der symmetrische Upload genauso wichtig wie der Download.Kann New Telekom MPLS-VPN-Anbindungen nach Deutschland unter einem einzigen Vertrag bereitstellen?
Ja. New Telekom verfügt über ein Partnernetzwerk von 120+ Betreibern im Ausland und stellt internationale MPLS-VPN-Ringe in ganz Europa bereit – Deutschland, Österreich, Slowakei, Polen, Ungarn und andere – unter einem einzigen, in der Tschechischen Republik abgeschlossenen Vertrag. Der Kunde kommuniziert nicht separat mit ausländischen Betreibern. Die internationale Verbindung wird vom New Telekom NOC in Prag 24/7 verwaltet und überwacht.Wie funktioniert CloudConnect für ein Unternehmen mit mehreren Niederlassungen – benötigt jede Niederlassung eine eigene Leitung?
Nein. Die CloudConnect-Leitung muss nur an einem Standort terminiert werden – typischerweise am Hauptsitz, wo sich der Backbone-Router und die stärkste Verbindung befinden. Andere Niederlassungen greifen über den MPLS-VPN-Ring zum Hauptsitz und von dort über CloudConnect auf die Cloud zu. Der gesamte Pfad bleibt privat – kein Segment durchläuft das öffentliche Internet. Die Kapazität der CloudConnect-Leitung kann auf die Summe der Anforderungen aller Standorte dimensioniert und im Laufe der Zeit ohne physischen Eingriff in die Infrastruktur skaliert werden.Wie lange dauert die Implementierung eines Netzwerks für drei Standorte in zwei Ländern?
Das Projekt für drei Standorte (Prag, Produktionswerk in Mittelböhmen, München) wurde innerhalb von 10 Wochen nach Vertragsunterzeichnung abgeschlossen. Die Anschlüsse in Prag und im Produktionswerk waren in Woche 5 aktiv, die Münchner Leitung über den deutschen Partner von New Telekom wurde in Woche 8 aktiviert. Die verbleibenden zwei Wochen umfassten Tests von SD-WAN-Failover-Szenarien und QoS-Einstellungen für den SAP-Verkehr. Projekte mit mehreren Standorten oder grenzüberschreitender Koordinierung werden parallel und nicht sequenziell durchgeführt – dies verkürzt die Gesamtimplementierungszeit.Was passiert, wenn der MPLS-VPN-Ring zwischen dem Produktionswerk und Prag ausfällt?
Die SD-WAN-Logik auf der Juniper NFX250 im Werk erkennt den Ausfall innerhalb von 30 Sekunden und leitet kritischen SAP-Verkehr automatisch über den Backup-Pfad um – einen verschlüsselten IPSec-Tunnel über den B2B-Internet-Anschluss des Werks. Die Leistung wird geringer und die Latenz höher sein als im privaten MPLS-WAN, aber der Zugriff auf SAP und die Produktionsdokumentation bleibt ohne manuellen Eingriff erhalten. Das New Telekom NOC wird sofort über den Ausfall informiert und beginnt mit der Behebung.Fazit
Business-Internet mit mehreren Standorten in mehreren Ländern ist kein Katalogprodukt – es ist eine Architektur, die speziell auf die Datenflüsse, Anwendungen und Sicherheitsanforderungen eines bestimmten Unternehmens zugeschnitten ist. Das in diesem Artikel beschriebene Projekt – Hauptsitz in Prag, Produktionswerk in Mittelböhmen und Niederlassung in München, verbunden durch ein privates MPLS-VPN-Netzwerk mit einer CloudConnect-Leitung zu Azure – ist ein typisches Beispiel dafür, wie New Telekom diese Aufgabe löst. Die Ergebnisse in Zahlen: 99,9 % SLA für den SAP-Zugriff in der Produktion, < 5 ms Latenz zwischen Produktionswerk und Hauptsitz, < 8 ms Latenz zu Azure, Reduzierung der Azure-Egress-Kosten um ~45 % und ein Betreiber anstelle von drei für zwei Länder. Wenn Ihr Unternehmen Standortverbindungen benötigt – in der Tschechischen Republik, in Deutschland oder irgendwo in Europa – und Sie nach Business-Internet mit Garantien, dedizierter Standortvernetzung oder einer CloudConnect-Privatleitung in die Cloud suchen, kontaktieren Sie das Expertenteam von New Telekom über die Kontaktseite. Wir entwerfen eine Architektur, die Ihren betrieblichen Anforderungen entspricht – ohne überflüssige Ebenen und ohne unnötige Kosten.Dieser Artikel wurde vom Expertenteam der New Telekom s.r.o. erstellt. Die technischen Parameter entsprechen dem Stand zum Zeitpunkt der Projektübergabe. Die Branche des Kunden und die Mitarbeiterzahlen werden mit Zustimmung des Kunden offengelegt; der genaue Firmenname und die Adressen der Standorte werden aus geschäftlichen Gründen nicht veröffentlicht. Die Informationen entsprechen dem technologischen Stand von April 2026.
Verwendete Technologien und Standards
- Juniper MX204, NFX250, EX3400 – Backbone-Router, SD-WAN-CPE, Access-Switch Prag
- Cisco Catalyst 9300, 9200 – industrielle und Büro-Access-Switches
- Fortinet FortiGate 200F – NGFW-Firewall mit IPS und SSL/TLS-Inspektion
- CloudConnect / cloudconnect.cz – Privater MPLS-VPN-Ring zu Microsoft Azure ExpressRoute
- Microsoft Azure ExpressRoute – Private Leitung zu Azure Westeuropa
- MPLS VPN, L3 VRF, BGP, MP-BGP – Private WAN-Technologien
- SD-WAN, IPSec, QoS DiffServ, EF DSCP – Verkehrsorchestrierung und Backup-Konnektivität
- SAP S/4HANA – ERP-System des Kunden in Microsoft Azure
- NIX.CZ – Neutral Internet eXchange Prag, New Telekom Direct Peering
- SNMPv3, NetFlow, syslog – New Telekom NOC Prag 24/7 Überwachung
- 3GPP LTE-A Pro – Backup-mobile Konnektivität (New Telekom eSIM)
- ČSN EN 50173 – Strukturierte Verkabelung
- EU-Verordnung 2016/679 (DSGVO) – Datenschutz bei internationaler WAN-Übertragung
- Gesetz Nr. 181/2014 Slg. (NIS2-Umsetzung) – Cybersicherheit