Eines der ereignisreichsten Jahre in der Unternehmensgeschichte von IP-Projects ging zu Ende. Ein großer Serverumzug von FirstColo zu nLighten, zahlreiche Netzwerkumstrukturierungen und vieles mehr wurde gemeinsam mit unseren Partnern auf die Reise gebracht. Mit diesem Beitrag möchten wir unseren Kunden tiefe und transparente Einblicke in die Umstrukturierungen unseres Netzwerks im Jahr 2025 gewähren und die weitere Planung für 2026 vorstellen.
Vorwort
Seit 2007 betreiben wir Serversysteme an verschiedenen Rechenzentrumsstandorten. Wir starteten als Einzelunternehmen im Rechenzentrum der Core-Backbone GmbH in Nürnberg. Später sind wir mit unseren Servern zur damaligen Accelerated IT Services in Frankfurt umgezogen, um näher an den Datenknotenpunkten in Frankfurt zu sein. Bis 2020 haben wir bei der heutigen FirstColo eigene Switche und einen eigenen Netzwerkaufbau mit verschiedenen Netzwerkausrüstern betrieben, allerdings noch kein eigenes Routing / ASN.
Im Zuge der Erschließung eines neuen Standorts (NTT-FRA1) haben wir dann erstmals unser eigenes ASN (Autonomes System) mit 7 Racks bei der NTT aufgebaut. Nach etwa 5 Jahren konnten wir am Standort NTT mittlerweile 80 Racks für unsere Kunden in Betrieb nehmen und unser Netzwerk erstreckt sich inzwischen über vier Rechenzentren in Frankfurt, wovon jeder Standort mehrfach redundant angebunden ist.
Dieses unerwartet schnelle und intensive Wachstum am Standort NTT hat uns im Bereich Netzwerk vor große Herausforderungen gestellt. Durch die wachsende Anzahl an Kunden mussten striktere Netzwerk-Härtungsmaßnahmen getroffen werden, um die Auswirkungen z.B. einer Loop einzugrenzen. Für häufige DDoS-Angriffe musste eine eigene Anti-DDoS Lösung implementiert werden, Firmwareupdates unserer eingesetzten Enterprise Netzwerk Geräte von Juniper führten oftmals zu mehr Problemen als Verbesserungen und zudem zu größeren Ausfällen während der Update Zyklen.
Da uns die Kritikalität der Netzwerkverfügbarkeit bewusst ist, haben wir uns für eine komplette Erneuerung des Netzwerks sowie eine Änderung des Netzwerk Designs entschieden. Diese Änderung des Netzwerk Designs wollen wir transparent darstellen.
Bisheriger Aufbau des IP-Projects Netzwerks (Switched Edge Design)
| Mit der Erschließung unseres Rechenzentrumstandorts FRA1-NTT am 04. August 2020 wurde unser eigenes ASN AS48314 erstmals aktiv an das Internet angebunden. Da sich unser Netzwerk zu diesem Zeitpunkt noch in der Aufbauphase befand und Router-Ports entsprechend kostenintensiv sowie nur begrenzt verfügbar waren, entschieden wir uns bewusst für den Einsatz eines sogenannten Switched Edge Designs.
In diesem Architekturansatz werden sämtliche Internet-Carrier- und Transit-Verbindungen über einen vorgelagerten Switch terminiert, der zugleich als zentrales Gateway für das gesamte Netzwerk fungiert. Die nachgelagerten Router sind über kombinierte Layer-2- und Layer-3-Verbindungen angebunden und erhalten jeweils ein dediziertes VLAN, über das die BGP-Sessions mit den Internetdienstleistern aufgebaut und der Internet-Traffic geroutet wird. Auf Empfehlung unseres damaligen Netzwerkpartners fiel die Wahl der Netzwerkausrüstung für die Edge- und Routing-Komponenten auf Juniper. Zum Einsatz kamen Router der Serien MX204 und MX240 sowie QFX-Switches als Edge-Switches. |
Routing Rack Standort FRA1 – NTT |
Für die Core Unterverteilung mit 10 G und später auch 100 G / 400 G setzten wir bereits sehr früh Switche der Firma Huawei ein.
Das Notfall-Management der Infrastruktur erfolgte damals ausschließlich über ein eigenes Out-of-Band Management mit Hilfe von Opengear Konsolenservern.
 Switched Edge Design |
Das Switched Edge Design hat dabei zahlreiche Vor- und Nachteile
Vorteile:
Nachteile:
|
Dieser Standard hat uns viele Jahre geholfen, Kosten für teurere Routerports zu reduzieren und eine Zentralisierung unseres Netzwerks durchzuführen. Leider war dieser Ansatz in der Vergangenheit und im Hinblick auf die neuen Herausforderungen mit DDoS-Angriffen fehleranfällig. Dies führte teilweise dazu, dass LACP Channel nicht mehr nutzbar waren, BGP Verbindungen abgebrochen sind oder DDoS-Angriffe teils ungefiltert im Netzwerk verteilt wurden.
Neuer Aufbau des IP-Projects Netzwerks (Edge Router Design)
Seit 2025 bauen wir unser Netzwerk bereits auf neue Router- und Edge Switches der Firma Huawei um. Seitdem konnten zahlreiche Verbesserungen im Netzwerk umgesetzt werden, welche die Stabilität deutlich verbessert haben. Dennoch sahen wir das Switched Edge Design im Hinblick auf zunehmende DDoS-Angriffe als hohes Risiko für unsere Infrastruktur .
|
Im Oktober 2025 haben wir gemeinsam mit unserem Partner WOBCOM eine strukturierte Bewertung der Vor- und Nachteile des bestehenden Switched Edge Designs im Vergleich zu einem Edge Router Design durchgeführt. Im Rahmen dieser Analyse konnten wir mehrere strukturelle Schwächen des bisherigen Designs identifizieren, insbesondere im Hinblick auf Skalierbarkeit, Fehleranfälligkeit und den Umgang mit zunehmenden DDoS-Bedrohungen. Auf Basis dieser Erkenntnisse haben wir im November 2025 mit der schrittweisen Umstellung unseres Netzwerks sowie unserer Carrier-Uplinks begonnen. Sämtliche Internetdienstleister werden seither direkt auf die Router aufgeschaltet, sodass der Datenverkehr nicht mehr über vorgelagerte Edge-Switches geführt wird.
|
|
Durch dieses Design entsteht eine klare und saubere Aufgabentrennung zwischen Router- und Switch-Stack. Darüber hinaus können Traffic-Policies, wie beispielsweise Bandbreitenlimitierungen oder Flow-basierte Filterregeln, direkt auf Router-Ebene umgesetzt werden. Diese greifen bereits am Netzwerkrand und entfalten ihre Wirkung, bevor der Datenverkehr das dahinterliegende Netzwerk erreicht.
Edge Router Design
|
Auch das Edge Router Design hat Vor- und Nachteile.
Vorteile:
Nachteile:
|
Dank der im Jahr 2025 durchgeführten Erneuerung unserer Router-Infrastruktur stehen uns routerseitig nun ausreichend 100-Gigabit/s-Ports zur Verfügung, um den Umbau auf unser neues Netzwerk-Zieldesign konsequent und vollständig umzusetzen.
Die Standorte FRA5-Equinix und FRA1-NTT sind bereits vollständig auf das neue Design migriert. Am Standort FRA11-InterXion / Digital Realty wurden die hierfür erforderlichen Vorbereitungen noch vor Weihnachten abgeschlossen. Die BGP-Sessions wurden erfolgreich auf die neuen Router umgestellt und die Systeme vollständig in unser bestehendes Netzwerk integriert.
Der Abschluss dieser Designumstellung ist planmäßig vorgesehen und wird nach aktuellem Stand bis Ende Januar 2026 erfolgen.
Schlusswort
Das Jahr 2025 war aus Netzwerksicht außergewöhnlich herausfordernd. Es kam zu zwei größeren Netzwerkstörungen, die unter anderem auf einen externen Stromausfall unseres Rechenzentrumsdienstleisters nLighten am Standort FRA4 zurückzuführen waren. Parallel dazu verzeichnete das Internet im Jahr 2025 die bislang höchste Anzahl an DDoS-Angriffen – auch unser ASN war hiervon betroffen.
Vor diesem Hintergrund haben wir gezielt in die Neuausrichtung und Modernisierung unseres Netzwerkdesigns investiert. Ziel dieser Maßnahmen ist es, die für IP-Projects gewohnte hohe Netzwerkstabilität und Verfügbarkeit nachhaltig sicherzustellen und unsere Infrastruktur konsequent auf zukünftige Anforderungen auszurichten. Die bereits umgesetzten Änderungen zeigen deutlich messbare Verbesserungen in Stabilität, Resilienz und Kontrollierbarkeit des Netzwerkverkehrs.
Solche tiefgreifenden Umbau- und Designänderungen erfordern einen erheblichen Planungs- und Migrationsaufwand und können daher nicht kurzfristig umgesetzt werden. Der Großteil der Arbeiten ist inzwischen erfolgreich abgeschlossen, und wir befinden uns aktuell in den finalen Phasen der Umsetzung. Die größten technischen und organisatorischen Herausforderungen liegen bereits hinter uns.
Abschließend danken wir unseren Kunden für ihr Vertrauen und ihre Loyalität im Jahr 2025. Gerade in herausfordernden Phasen zeigt sich die Qualität einer Partnerschaft – und wir wissen dieses Vertrauen nach wie vor sehr zu schätzen.
