Jaká byla výchozí situace a proč nestačilo stávající řešení?
Zákazník — český výrobce technických plastových komponentů se zhruba 200 zaměstnanci celkem ve třech lokalitách — provozoval síťovou infrastrukturu, která rostla organicky spolu s firmou: každá lokalita si postupně pořídila vlastní internetové připojení od lokálního poskytovatele a pobočky byly propojeny komerčními VPN tunely přes veřejný internet. Tento přístup fungoval, dokud firma nepřešla na centralizovaný ERP systém (SAP S/4HANA) provozovaný v Microsoft Azure a nezačala přenášet výrobní data, CAD dokumentaci a výstupní kontrolní protokoly mezi Prahou, výrobním závodem a Mnichovem v objemech, které stávající řešení neuneslo. Konkrétní problémy byly tři. Nestabilní VPN tunely mezi lokalitami způsobovaly výpadky přístupu do SAP uprostřed pracovní směny — pro výrobní závod znamená každý výpadek přístupu k výrobní dokumentaci přímé zastavení linky. Asymetrické připojení ve výrobním závodě (50/10 Mbit/s) nestačilo na upload výstupních kontrolních dat a videozáznamy z výstupní kontroly kvality. A přístup do Azure přes veřejný internet byl pomalý a nestabilní — SAP v cloudu reagoval na vstupy operátorů s viditelným zpožděním.Jak New Telekom navrhl architekturu pro tři lokality ve dvou zemích?
Tři lokality, tři vrstvy konektivity
New Telekom navrhl architekturu postavenou na třech vzájemně provázaných vrstvách — přičemž každá vrstva řeší jiný datový tok a má vlastní garantované parametry. Vrstva 1 — Firemní B2B internet v každé lokalitě: Garantované symetrické připojení k veřejnému internetu pro běžný firemní provoz — e-mail, videokonference (Microsoft Teams), přístup k veřejným webovým službám a aktualizace softwaru. Každá lokalita má vlastní dedikovanou FTTO nebo FTTH přípojku s kapacitou odpovídající počtu uživatelů a charakteru provozu. Vrstva 2 — Privátní MPLS VPN WAN mezi třemi lokalitami: Dedikované L3 MPLS VPN okruhy propojující Prahu, výrobní závod ve Středočeském kraji a Mnichov do jedné privátní podnikové sítě — bez průchodu veřejným internetem v jakémkoliv segmentu. ERP data, výrobní dokumentace, výstupní kontrolní protokoly a interní komunikace cestují po vyhrazené síti New Telekom a partnerských operátorů v Německu. Vrstva 3 — CloudConnect privátní linka do Microsoft Azure: Dedikovaný privátní okruh z pražské centrály do Microsoft Azure ExpressRoute — přímé propojení s cloudovým prostředím zákazníka mimo veřejný internet. SAP S/4HANA v Azure komunikuje s uživateli ve výrobním závodě a v Mnichově přes privátní WAN síť, nikoliv přes veřejný internet.SD-WAN orchestrace — automatické řízení tří vrstev
Všechny tři lokality jsou vybaveny SD-WAN CPE zařízeními Juniper NFX250, která automaticky řídí, kudy který typ provozu putuje:- SAP / ERP provoz: výhradně přes privátní MPLS VPN WAN — nikdy přes veřejný internet
- Microsoft Teams videokonference: přes B2B internet s QoS prioritizací (EF DSCP)
- Azure cloudový přístup: přes CloudConnect privátní okruh z Prahy, sdílený přes MPLS VPN pro výrobní závod a Mnichov
- Záložní scénář při výpadku MPLS WAN: automatický failover kritického provozu přes šifrovaný IPSec tunel přes B2B internet do 60 sekund
Co bylo realizováno v každé lokalitě?
Praha — centrála a hlavní síťový uzel
Pražská centrála je primárním uzlem celé sítě — odsud vychází MPLS VPN okruhy do obou výrobních lokalit i CloudConnect linka do Azure. Fyzická přípojka: FTTO 1 Gbit/s symetricky na optickém vlákně New Telekom s přímým napojením na páteřní síť a přístupem k NIX.CZ. Naměřená latence k NIX.CZ: < 1,2 ms. Latence do Azure West Europe přes CloudConnect: < 8 ms. Aktivní prvky v Praze: Juniper MX204 páteřní router se třemi VRF instancemi (internet, MPLS WAN, CloudConnect), Juniper EX3400 přístupový přepínač, Fortinet FortiGate 200F NGFW firewall s IPS a SSL/TLS inspekcí pro internetovou vrstvu, Juniper NFX250 SD-WAN CPE. Záložní konektivita: LTE-A Pro přes eSIM New Telekom s automatickým failover do 10 sekund.Výrobní závod — Středočeský kraj
Výrobní závod je z pohledu síťových požadavků nejnáročnější lokalita: 150 výrobních pracovníků, desítky CNC strojů připojených do sítě přes průmyslový Ethernet, výstupní kontrolní stanice s přenosem obrazových dat a SCADA systém pro monitoring výroby. Fyzická přípojka: FTTO 500 Mbit/s symetricky — symetrický upload byl klíčový pro přenos výstupních kontrolních dat a výrobní dokumentace do Prahy. Přípojka je napojena na regionální distribuční uzel New Telekom ve Středočeském kraji. MPLS VPN okruh závod—Praha: kapacita 200 Mbit/s symetricky, garantovaná 1:1, latence < 5 ms. QoS nastavení prioritizuje SAP provoz a přenos výrobní dokumentace před ostatním provozem. Aktivní prvky ve výrobním závodě: Juniper NFX250 SD-WAN CPE s integrovaným firewallem, Cisco Catalyst 9300 průmyslový přístupový přepínač s PoE+ pro průmyslové IP kamery a terminály, oddělená VLAN pro OT (Operational Technology) síť SCADA a výrobních strojů — izolovaná od IT provozu.Mnichov — obchodní pobočka
Mnichovská pobočka (25 obchodních zástupců a technici aplikační podpory) je z pohledu síťové architektury méně náročná co do kapacity, ale kritická z pohledu dostupnosti — výpadek přístupu do SAP nebo zákaznického CRM přímo ovlivňuje obchodní procesy. Fyzická přípojka v Mnichově: 100 Mbit/s symetricky přes partnerského operátora New Telekom v Německu — koordinovaného a fakturovaného přes New Telekom Praha, bez nutnosti samostatné smlouvy s německým poskytovatelem. MPLS VPN okruh Mnichov—Praha: kapacita 100 Mbit/s symetricky, latence Praha—Mnichov < 15 ms — standardní hodnota pro tuto vzdálenost přes páteřní síť přes Frankfurt. Pro SAP a Microsoft Teams hovory plně dostačující. Aktivní prvky v Mnichově: Juniper NFX250 SD-WAN CPE, Cisco Catalyst 9200 přístupový přepínač. Záložní konektivita: LTE záložní spoj přes mobilního operátora v Německu s automatickým failover.Jaké výsledky architektura přinesla?
| Parametr | Po realizaci | Původní stav |
|---|---|---|
| Dostupnost SAP pro výrobní závod | 99,9 % SLA, výpadky pod 1 hod/měsíc | Výpadky VPN tunelů 3–8× měsíčně |
| Upload výrobní dokumentace | 200 Mbit/s garantovaně | Reálně 8–10 Mbit/s (asymetrie) |
| Latence Praha ↔ výrobní závod | < 5 ms (MPLS VPN) | 20–60 ms proměnlivá (VPN přes internet) |
| Latence Praha ↔ Mnichov | < 15 ms (MPLS VPN) | 25–80 ms proměnlivá |
| Latence do Azure (SAP) | < 8 ms (CloudConnect) | 25–70 ms (přes internet) |
| Počet smluv s operátory | 1 (New Telekom) | 3 separátní smlouvy ve 2 zemích |
| Záložní konektivita | Auto-failover do 60 sekund | Manuální, hodiny výpadku |
| Bezpečnost přenosu ERP dat | Privátní WAN, žádný veřejný internet | VPN tunely přes veřejný internet |
| Egress náklady Azure | Snížení ~45 % (CloudConnect) | Plné Azure egress sazby |
Proč je pro výrobní firmu s pobočkami v zahraničí důležitý jeden operátor?
Správa síťové infrastruktury ve třech lokalitách ve dvou zemích pod třemi různými smlouvami znamená tři různé kontaktní body při výpadku, tři různé eskalační postupy a tři různé faktury s různými měnami a fakturačními cykly. Při výpadku MPLS VPN okruhu Praha—Mnichov zákazník dříve volal německého operátora, který odkazoval na tranzitního partnera, který odkazoval zpět — a mezitím výrobní závod nemohl přistoupit do SAP. Pod architekturou New Telekom je kontaktní bod jeden: NOC New Telekom v Praze, dostupný 24/7, který koordinuje řešení výpadku na všech segmentech — včetně německého posledního úseku přes partnerského operátora. Zákazník neřeší, kde na trase výpadek vznikl. Tento princip platí i pro fakturaci: jedna faktura pokrývá B2B internet ve všech třech lokalitách, MPLS VPN okruhy mezi nimi i CloudConnect linka do Azure — bez ohledu na to, že část infrastruktury fyzicky leží v Německu.Jak CloudConnect změnil přístup k SAP v Azure pro všechny tři lokality?
CloudConnect privátní okruh je zaústěn v pražské centrále, ale jeho výhody sdílejí všechny tři lokality. Výrobní závod ve Středočeském kraji a mnichovská pobočka přistupují do Azure přes MPLS VPN okruh do Prahy a odtud přes CloudConnect — tedy stále po privátní síti, bez průchodu veřejným internetem. Výsledkem je konzistentní latence přístupu do SAP S/4HANA v Azure pro všechny uživatele bez ohledu na lokalitu — operátor výrobní linky v závodě, obchodní zástupce v Mnichově i finanční ředitel v Praze pracují se systémem se srovnatelnou odezvou. Předchozí stav — kdy mnichovská pobočka přistupovala do Azure přes německý internet s latencí 50–70 ms — způsoboval viditelné prodlevy při práci s rozsáhlými sestavami a reporty. Snížení Azure egress nákladů o přibližně 45 % bylo pozitivním vedlejším efektem — pro zákazníka přenášejícího desítky TB výrobních a obchodních dat měsíčně z Azure zpět do lokalit jde o nezanedbatelnou finanční úsporu. Podrobný přehled technologie CloudConnect a kalkulace potenciálních úspor jsou dostupné na cloudconnect.cz.Často kladené otázky k firemnímu internetu a propojení poboček
Co konkrétně znamená „internet pro firmy" od New Telekom oproti běžnému komerčnímu připojení?
Internet pro firmy od New Telekom je garantované symetrické připojení — stejná rychlost pro download i upload — bez agregace, s přímým peeringem na NIX.CZ v Praze a smluvně garantovanou dostupností 99,9 %. Retailové a komerční připojení je zpravidla asymetrické (vyšší download, nízký upload), agregované (kapacita sdílená s ostatními zákazníky) a bez SLA garance. Pro výrobní firmy přenášející výrobní data, dokumentaci nebo zálohy je symetrický upload stejně důležitý jako download.Dokáže New Telekom zajistit MPLS VPN propojení do Německa pod jednou smlouvou?
Ano. New Telekom má partnerskou síť 120+ operátorů v zahraničí a zajišťuje mezinárodní MPLS VPN okruhy do celé Evropy — Německo, Rakousko, Slovensko, Polsko, Maďarsko a další — pod jedinou smlouvou uzavřenou v České republice. Zákazník nekomunikuje se zahraničními operátory samostatně. Mezinárodní okruh je spravován a monitorován NOC New Telekom v Praze 24/7.Jak funguje CloudConnect pro firmu s více pobočkami — musí mít každá pobočka vlastní okruh?
Ne. CloudConnect okruh stačí zaústit v jedné lokalitě — typicky v hlavní centrále, kde je páteřní router a nejsilnější připojení. Ostatní pobočky přistupují do cloudu přes MPLS VPN okruh do centrály a odtud přes CloudConnect. Celá cesta zůstává privátní — žádný úsek neprochází veřejným internetem. Kapacitu CloudConnect okruhu lze dimenzovat na součet potřeb všech lokalit a škálovat v čase bez fyzického zásahu do infrastruktury.Jak dlouho trvá realizace sítě pro tři lokality ve dvou zemích?
Projekt pro tři lokality (Praha, výrobní závod ve Středočeském kraji, Mnichov) byl dokončen za 10 týdnů od podpisu smlouvy. Přípojky v Praze a výrobním závodě byly aktivní v 5. týdnu, mnichovský okruh přes německého partnera New Telekom byl zprovozněn v 8. týdnu. Zbývající dva týdny proběhlo testování SD-WAN failover scénářů a QoS nastavení pro SAP provoz. Projekty s více lokalitami nebo přeshraniční koordinací realizujeme souběžně, nikoliv sekvenčně — zkracuje to celkovou dobu realizace.Co se stane, když výpadne MPLS VPN okruh mezi výrobním závodem a Prahou?
SD-WAN logika na Juniper NFX250 v závodě detekuje výpadek do 30 sekund a automaticky přesměruje kritický SAP provoz přes záložní cestu — šifrovaný IPSec tunel přes B2B internet přípojku závodu. Výkon bude nižší a latence vyšší než na privátní MPLS WAN, ale přístup do SAP a výrobní dokumentace bude zachován bez manuálního zásahu. NOC New Telekom je o výpadku notifikován okamžitě a zahajuje řešení.Závěr
Internet pro firmy s více lokalitami ve více zemích není produkt z katalogu — je to architektura navržená na míru datovým tokům, aplikacím a bezpečnostním požadavkům konkrétní firmy. Projekt popsaný v tomto článku — centrála v Praze, výrobní závod ve Středočeském kraji a pobočka v Mnichově propojené privátní MPLS VPN sítí s CloudConnect okruhem do Azure — je jedním z typických příkladů toho, jak New Telekom tento úkol řeší. Výsledek v číslech: 99,9 % SLA pro přístup do SAP ve výrobě, < 5 ms latence mezi výrobním závodem a centrálou, < 8 ms latence do Azure, snížení Azure egress nákladů o ~45 % a jeden operátor místo tří pro dvě země. Pokud vaše firma řeší propojení více lokalit — v České republice, Německu nebo kdekoliv v Evropě — a hledáte internet pro firmy s garancí, dedikované datové propojení poboček nebo CloudConnect privátní linka do cloudu, kontaktujte odborný tým New Telekom přes kontaktní stránku. Navrhneme architekturu, která odpovídá vašim provozním požadavkům — bez přebytečných vrstev a bez zbytečných nákladů.Článek byl zpracován odborným týmem New Telekom s.r.o. Technické parametry odpovídají stavu ke dni předání projektu. Odvětví zákazníka a počty zaměstnanců jsou uvedeny se souhlasem zákazníka; přesné obchodní jméno a adresy lokalit nejsou z obchodních důvodů zveřejňovány. Informace odpovídají technologickému stavu k dubnu 2026.
Použité technologie a standardy
- Juniper MX204, NFX250, EX3400 — páteřní router, SD-WAN CPE, přístupový přepínač Praha
- Cisco Catalyst 9300, 9200 — průmyslový a kancelářský přístupový přepínač
- Fortinet FortiGate 200F — NGFW firewall s IPS a SSL/TLS inspekcí
- CloudConnect / cloudconnect.cz — privátní MPLS VPN okruh do Microsoft Azure ExpressRoute
- Microsoft Azure ExpressRoute — privátní okruh do Azure West Europe
- MPLS VPN, L3 VRF, BGP, MP-BGP — technologie privátní WAN sítě
- SD-WAN, IPSec, QoS DiffServ, EF DSCP — orchestrace provozu a záložní konektivita
- SAP S/4HANA — ERP systém zákazníka v Microsoft Azure
- NIX.CZ — Neutral Internet eXchange Praha, přímý peering New Telekom
- SNMPv3, NetFlow, syslog — monitoring NOC New Telekom Praha 24/7
- 3GPP LTE-A Pro — záložní mobilní konektivita (eSIM New Telekom)
- ČSN EN 50173 — strukturovaná kabeláž
- Nařízení EU 2016/679 (GDPR) — ochrana dat při přenosu přes mezinárodní WAN
- Zákon č. 181/2014 Sb. (NIS2 transpozice) — kybernetická bezpečnost