معمار

نظرة عامة على Webex من أجل BroadWorks

ماذا يوجد في الرسم البياني؟

العملاء

  • يعمل عميل تطبيق Webex كتطبيق أساسي في Webex لعروض Cisco BroadWorks. يتوفر العميل على سطح المكتب والجوال ومنصات الويب.

    لدى العميل مراسلة أصلية وحضور واجتماعات صوتية / مرئية متعددة الأطراف توفرها سحابة Webex. يستخدم عميل Webex البنية الأساسية ل BroadWorks لمكالمات SIP وPSTN.

  • تستخدم هواتف IP من Cisco والملحقات ذات الصلة أيضا البنية الأساسية ل BroadWorks لمكالمات SIP وPSTN. نتوقع أن نكون قادرين على دعم هواتف الجهات الخارجية.

  • مدخل تنشيط المستخدم للمستخدمين لتسجيل الدخول إلى Webex باستخدام بيانات اعتماد BroadWorks الخاصة بهم.

  • مركز الشركاء هو واجهة ويب لإدارة مؤسسة Webex ومؤسسات عملائك. مركز الشركاء هو المكان الذي تقوم فيه بتكوين التكامل بين البنية الأساسية ل BroadWorks وWebex. يمكنك أيضا استخدام مركز الشركاء لإدارة تكوين العميل والفوترة.

شبكة مقدمي الخدمة

تمثل الكتلة الخضراء الموجودة على يسار الرسم التخطيطي شبكتك. توفر المكونات المستضافة في شبكتك الخدمات والواجهات التالية لأجزاء أخرى من الحل:

  • XSP|ADP العامة، لتطبيق Webex من أجل Cisco BroadWorks: (يمثل الصندوق مزارع XSP|ADP واحدة أو متعددة، ربما تواجه بموازن الحمل.)

    • يستضيف واجهة خدمات Xtended (XSI-Actions & XSI-Events) وخدمة إدارة الأجهزة (DMS) وواجهة CTI وخدمة المصادقة. معا ، تمكن هذه التطبيقات الهواتف وعملاء Webex من مصادقة أنفسهم ، وتنزيل ملفات تكوين المكالمات الخاصة بهم ، وإجراء المكالمات وتلقيها ، ورؤية حالة ربط بعضهم البعض (وجود الهاتف الهاتفي) وسجلالمكالمات.

    • ينشر الدليل لعملاء Webex.

  • XSP|ADP الواجهة العامة، الذي يقوم بتشغيل NPS:

    • المضيف إشعارات المكالمات دفع الخادم: خادم دفع إعلام على XSP|ADP في بيئتك. إنه يتفاعل بين خادم التطبيق الخاص بك ووكيل NPS الخاص بنا. يوفر الوكيل الرموز المميزة قصيرة الأجل إلى NPS الخاص بك لتفويض الإشعارات إلى الخدمات السحابية. ترسل هذه الخدمات (APNS و FCM) إشعارات المكالمات إلى عملاء Webex على أجهزة Apple iOS و Google Android.

  • خادم التطبيقات:

    • يوفر التحكم في المكالمات والواجهات لأنظمة BroadWorks الأخرى (بشكل عام)

    • بالنسبة إلى إدارة الحسابات المتدفقة، يتم استخدام AS بواسطة مسؤول الشريك لتوفير المستخدمين في Webex

    • يدفع ملف تعريف المستخدم إلى BroadWorks

  • برمجيات المصدر المفتوح / BSS: نظام دعم العمليات / خدمات SIP للأعمال لإدارة مؤسسات BroadWorks الخاصة بك.

سحابة Webex

تمثل الكتلة الزرقاء في الرسم التخطيطي سحابة Webex. تدعم خدمات Webex المصغرة مجموعة كاملة من إمكانات التعاون في Webex:

  • Cisco Common Identity (CI) هي خدمة الهوية داخل Webex.

  • يمثل Webex for Cisco BroadWorks مجموعة من الخدمات المصغرة التي تدعم التكامل بين Webex ومزود الخدمة المستضاف BroadWorks:

    • واجهات برمجة تطبيقات إدارة حسابات المستخدمين

    • تكوين مقدم الخدمة

    • تسجيل دخول المستخدم باستخدام بيانات اعتماد BroadWorks

  • مربع مراسلة Webex للخدمات المصغرة المتعلقة بالمراسلة.

  • مربع اجتماعات Webex الذي يمثل خوادم معالجة الوسائط و SBCs لاجتماعات الفيديو متعددة المشاركين (SIP و SRTP)

خدمات ويب الجهات الخارجية

يتم تمثيل مكونات الجهات الخارجية التالية في الرسم البياني:

  • تدفع APNS (خدمة إشعارات الدفع من Apple) إشعارات المكالمات والرسائل إلى تطبيقات Webex على أجهزة Apple.

  • تدفع FCM (FireBase Cloud Messaging) إشعارات المكالمات والرسائل إلى تطبيقات Webex على أجهزة Android.

اعتبارات بنية XSP|ADP

دور خوادم XSP|ADP العامة في Webex من أجل Cisco BroadWorks

يوفر XSP|ADP الذي يواجه الجمهور في بيئتك الواجهات/الخدمات التالية إلى Webex والعملاء:

  • خدمة المصادقة (AuthService) ، المضمونة بواسطة TLS ، والتي تستجيب لطلبات Webex ل BroadWorks JWT (JSON Web Token) نيابة عن المستخدم

  • واجهة CTI ، مؤمنة بواسطة mTLS ، والتي يشترك فيها Webex لأحداث سجل المكالمات وحالة التواجد الهاتفي من BroadWorks (حالة الخطاف).

  • واجهات إجراءات وأحداث Xsi (واجهة خدمات eXtended ) للتحكم في مكالمات المشتركين وأدلة قوائم جهات الاتصال والمكالمات وتكوين خدمة الاتصال الهاتفي للمستخدم النهائي

  • خدمة DM (إدارة الأجهزة) للعملاء لاسترداد ملفات تكوين المكالمات الخاصة بهم

قم بتوفير عناوين URL لهذه الواجهات عند تكوين Webex ل Cisco BroadWorks. (ارجع إلى تكوين مجموعات BroadWorks الخاصة بك في Partner Hub في هذا المستند.) لكل مجموعة، يمكنك توفير عنوان URL واحد فقط لكل واجهة. إذا كان لديك واجهات متعددة في البنية الأساسية ل BroadWorks، فيمكنك إنشاء مجموعات متعددة.

بنية XSP|ADP

بنية XSP|ADP: الخيار 1
بنية XSP|ADP: الخيار 2

نطلب منك استخدام مثيل XSP|ADP منفصل أو مزرعة لاستضافة تطبيق NPS (خادم دفع الإعلام) الخاص بك. يمكنك استخدام نفس NPS مع UC-One SaaS أو UC-One Collaborate. ومع ذلك، قد لا تستضيف التطبيقات الأخرى المطلوبة من أجل Webex من أجل Cisco BroadWorks على نفس XSP|ADP الذي يستضيف تطبيق NPS.

نوصي باستخدام مثيل/مزرعة XSP|ADP مخصص لاستضافة التطبيقات المطلوبة لدمج Webex للأسباب التالية

  • على سبيل المثال، إذا كنت تقدم UC-One SaaS، فإننا نوصي بإنشاء مزرعة XSP|ADP جديدة لتطبيق Webex for Cisco BroadWorks. وبهذه الطريقة يمكن أن تعمل الخدمتان بشكل مستقل أثناء ترحيل المشتركين.

  • إذا وضعت تطبيقات Webex for Cisco BroadWorks على مزرعة XSP|ADP المستخدمة لأغراض أخرى، فإنك تتحمل مسؤولية مراقبة الاستخدام وإدارة التعقيد الناتج عن ذلك والتخطيط لزيادة الحجم.

  • يفترض مخطط سعة نظام Cisco BroadWorks مزرعة XSP|ADP مخصصة وقد لا تكون دقيقة إذا استخدمتها لعمليات حساب التجميع.

ما لم يتم الإشارة إلى خلاف ذلك، يجب أن يستضيف Webex المكرس لموفري Cisco BroadWorks XSP|ADP التطبيقات التالية:

  • AuthService (TLS مع التحقق من صحة CI Token أو mTLS)

  • CTI (mTLS)

  • إجراءات XSI (TLS)

  • XSI-الأحداث (TLS)

  • DMS (TLS) - اختياري. ليس من الضروري نشر مثيل DMS منفصل أو مزرعة خاصة ب Webex ل Cisco BroadWorks. يمكنك استخدام نفس مثيل DMS الذي تستخدمه ل UC-One SaaS أو UC-One Collaborate.

  • عرض ويب لإعدادات المكالمات (TLS)—اختياري. إعدادات الاتصال عرض الويب (CSW) مطلوبة فقط إذا كنت تريد Webex لمستخدمي Cisco BroadWorks ليتمكنوا من تكوين ميزات الاتصال على تطبيق Webex.

يتطلب Webex الوصول إلى CTI من خلال واجهة مؤمنة بمصادقة TLS المتبادلة. لدعم هذا المطلب، نوصي بأحد الخيارات التالية:

  • (تسمى الخيار 1 الرسم التخطيطي) مثيل XSP|ADP واحد أو مزرعة لجميع التطبيقات، مع تكوين واجهتين على كل خادم: واجهة mTLS ل CTI وواجهة TLS للتطبيقات الأخرى مثل AuthService.

  • (تم تسمية الرسم التخطيطي الخيار 2) مثيلان أو مزارع XSP|ADP، أحدهما مع واجهة MTLS لـ CTI، والآخر مع واجهة TLS للتطبيقات الأخرى، مثل AuthService.

إعادة استخدام XSP|ADP

إذا كان لديك مزرعة XSP|ADP حالية تتوافق مع إحدى الهياكل المقترحة أعلاه (الخيار 1 أو 2) وتم تحميلها بشكل خفيف، فمن الممكن إعادة استخدام وحدات XSP|ADP الحالية الخاصة بك. ستحتاج إلى التحقق من عدم وجود متطلبات تكوين متعارضة بين التطبيقات الحالية ومتطلبات التطبيق الجديدة ل Webex. والاعتباران الرئيسيان هما:

  • إذا كنت بحاجة إلى دعم العديد من المؤسسات الشريكة لـ Webex على XSP|ADP، فهذا يعني أنه يجب عليك استخدام MTLS على خدمة المصادقة (يتم دعم التحقق من رمز CI فقط لمؤسسة شريك واحدة على XSP|ADP). إذا كنت تستخدم mTLS على خدمة المصادقة، فهذا يعني أنه لا يمكن أن يكون لديك عملاء يستخدمون المصادقة الأساسية على خدمة المصادقة في نفس الوقت. سيمنع هذا الموقف إعادة استخدام أداة XSP|ADP.

  • إذا تم تكوين خدمة CTI الحالية لاستخدامها من قبل العملاء باستخدام المنفذ الآمن (عادة 8012) ولكن بدون mTLS (أي مصادقة العميل) ، فسيتعارض ذلك مع متطلبات webex للحصول على mTLS.

نظرًا لأن XSP|ADP لها العديد من التطبيقات وعدد تبديلات هذه التطبيقات كبير، فقد تكون هناك حالات تعارض أخرى غير محددة. لهذا السبب، يجب التحقق من أي إعادة استخدام محتملة لـ XSP|ADP في مختبر بالتكوين المقصود قبل الالتزام بإعادة الاستخدام.

تكوين مزامنة NTP على XSP|ADP

يتطلب النشر مزامنة الوقت لجميع موفري XSP|ADP التي تستخدمها مع Webex.

قم بتثبيت حزمة ntp بعد تثبيت نظام التشغيل وقبل تثبيت برنامج BroadWorks. بعد ذلك، يمكنك تكوين NTP أثناء تثبيت برنامج XSP|ADP. راجع دليل إدارة برامج BroadWorks لمزيد من التفاصيل.

أثناء التثبيت التفاعلي لبرنامج XSP|ADP، يتم منحك خيار تكوين NTP. تابع على النحو التالي:

  1. عندما يطلب المثبّت، هل تريد تكوين NTP؟، أدخل y.

  2. عندما يطلب المثبّت، هل سيكون هذا الخادم خادم NTP؟، أدخل n.

  3. عندما يسأل المثبّت، ما هو عنوان NTP أو اسم المضيف أو FQDN؟، أدخل عنوان خادم NTP أو خدمة NTP العامة، على سبيل المثال، pool.ntp.org.

إذا كانت أجهزة XSP|ADP تستخدم تثبيت صامت (غير تفاعلي)، يجب أن يشتمل ملف تكوين المثبت على أزواج Key=Value التالية:

NTP
NTP_SERVER=

متطلبات هوية والأمان لـ XSP|ADP

الخلفية

يمكن تكوين بروتوكولات وأصفار اتصالات Cisco BroadWorks TLS على مستويات مختلفة من الخصوصية. تتراوح هذه المستويات من الأكثر عمومية (مزود SSL) إلى الأكثر تحديدا (الواجهة الفردية). يتجاوز الإعداد الأكثر تحديدا دائما إعدادا أكثر عمومية. إذا لم يتم تحديدها، توريث إعدادات طبقة المقابس الآمنة "ذات المستوى الأدنى" من المستويات "الأعلى".

إذا لم يتم تغيير أي إعدادات من الإعدادات الافتراضية، فإن جميع المستويات ترث الإعدادات الافتراضية لموفر طبقة المقابس الآمنة (ملحق مآخذ التوصيل الآمنة ل JSSE Java).

قائمة المتطلبات

  • يجب أن يقوم XSP|ADP بمصادقة نفسه للعملاء باستخدام شهادة موقعة من CA والتي يتطابق فيها الاسم العام أو الاسم البديل للموضوع مع جزء المجال من واجهة XSI.

  • يجب أن تدعم واجهة Xsi بروتوكول TLSv1.2.

  • يجب أن تستخدم واجهة Xsi مجموعة تشفير تفي بالمتطلبات التالية.

    • Diffie-Hellman Ephemeral (DHE) أو Hivliptic Curves Diffie-Hellman Ephemeral (ECDHE) تبادل المفاتيح

    • تشفير AES (معيار التشفير المتقدم) بحد أدنى لحجم الكتلة يبلغ 128 بت (على سبيل المثال AES-128 أو AES-256)

    • GCM (Galois / وضع العداد) أو CBC (سلسلة كتل التشفير) وضع التشفير

      • إذا تم استخدام تشفير CBC، فلن يسمح إلا لعائلة SHA2 من وظائف التجزئة باشتقاق المفاتيح (SHA256 وSHA384 وSHA512).

على سبيل المثال، تفي الأصفار التالية بالمتطلبات:

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

يتطلب XSP|ADP CLI اتفاقية تسمية IANA لمجموعات التشفير، كما هو موضح أعلاه، وليس اتفاقية openSSL.

شفرات TLS المدعومة لواجهات AuthService و XSI

تخضع هذه القائمة للتغيير مع تطور متطلبات الأمان السحابية الخاصة بنا. اتبع توصية أمان سحابة Cisco الحالية بشأن تحديد التشفير، كما هو موضح في قائمة المتطلبات في هذا المستند.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

  • TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

  • TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_PSK_WITH_AES_256_CBC_SHA384

  • TLS_PSK_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_PSK_WITH_AES_128_CBC_SHA256

  • TLS_PSK_WITH_AES_128_CBC_SHA

معلمات مقياس أحداث Xsi

قد تحتاج إلى زيادة حجم قائمة انتظار Xsi-Events وعدد مؤشرات الترابط للتعامل مع حجم الأحداث التي يتطلبها حل Webex for Cisco BroadWorks. يمكنك زيادة المعلمات إلى القيم الدنيا المعروضة، على النحو التالي (لا تخفضها إذا كانت أعلى من هذه القيم الدنيا):

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventQueueSize = 2000

XSP|ADP_CLI/التطبيقات/Xsi-Events/BWIntegration> eventHandlerThreadCount = 50

XSP|ADP متعددة

عنصر حافة موازنة التحميل

إذا كان لديك عنصر موازنة الأحمال على حافة الشبكة، فيجب أن يتعامل بشفافية مع توزيع حركة المرور بين خوادم XSP|ADP المتعددة الخاصة بك وسحابة Webex for Cisco BroadWorks والعملاء. في هذه الحالة، يمكنك توفير عنوان URL الخاص بموازن التحميل إلى Webex لتكوين Cisco BroadWorks.

ملاحظات حول هذه البنية:

  • قم بتكوين DNS حتى يتمكن العملاء من العثور على موازن التحميل عند الاتصال بواجهة Xsi (راجع تكوينDNS).

  • نوصي بتكوين عنصر الحافة في وضع وكيل SSL العكسي، لضمان تشفير البيانات من نقطة إلى نقطة.

  • يجب أن تحتوي الشهادات من XSP|ADP01 وXSP|ADP02 على حد سواء على مجال XSP|ADP، على سبيل المثال الخاص بك-XSP|ADP.example.com، في الاسم البديل للموضوع. يجب أن يكون لديهم أسماء FQDN الخاصة بهم، على سبيل المثال XSP|ADP01.example.com، في الاسم العام. يمكنك استخدام شهادات أحرف البدل، ولكننا لا نوصي بها.

خوادم XSP|ADP التي تواجه الإنترنت

إذا قمت بتعريض واجهات XSI مباشرةً، فاستخدم DNS لتوزيع حركة المرور على خوادم XSP|ADP متعددة.

ملاحظات حول هذه البنية:

  • يلزم وجود سجلين للاتصال بخوادم XSP|ADP:

    • بالنسبة لخدمات Webex المصغرة: تكون سجلات A/AAAA ROUND ROBIN مطلوبة لاستهداف عناوين IP لـ XSP|ADP متعددة. وذلك لأن خدمات Webex الصغيرة لا يمكنها إجراء عمليات بحث عن SRV. للحصول على أمثلة، ارجع إلى خدمات Webex Cloud.

    • لتطبيق Webex: سجل SRV الذي يتم تحليله إلى سجلات A حيث يتم تحليل كل سجل A إلى XSP|ADP واحد. للحصول على أمثلة، ارجع إلى تطبيق Webex.

      استخدم سجلات SRV ذات أولوية لاستهداف خدمة XSI لعناوين XSP|ADP المتعددة. امنح الأولوية لسجلات SRV الخاصة بك حتى تنتقل الخدمات الصغيرة دائمًا إلى نفس سجل A (وعنوان IP اللاحق) وستنتقل إلى سجل A التالي (وعنوان IP) فقط إذا كان عنوان IP الأول معطلاً. لا تستخدم نهج round robin لتطبيق Webex.

  • يجب أن تحتوي الشهادات من XSP|ADP01 وXSP|ADP02 على حد سواء على مجال XSP|ADP، على سبيل المثال الخاص بك-XSP|ADP.example.com، في الاسم البديل للموضوع. يجب أن يكون لديهم أسماء FQDN الخاصة بهم، على سبيل المثال XSP|ADP01.example.com، في الاسم العام.

  • يمكنك استخدام شهادات أحرف البدل، ولكننا لا نوصي بها.

تجنب عمليات إعادة توجيه HTTP

في بعض الأحيان، يتم تكوين DNS لحل عنوان URL الخاص بـ XSP|ADP إلى موازنة تحميل HTTP، ويتم تكوين موازنة التحميل لإعادة التوجيه من خلال وكيل عكسي إلى خوادم XSP|ADP.

لا يتبع Webex عملية إعادة توجيه عند الاتصال بعناوين URL التي توفرها، وبالتالي لا يعمل هذا التكوين.

الهندسة المعمارية والبنية التحتية

  • ما نوع المقياس الذي تنوي البدء به؟ من الممكن التوسع في المستقبل ، ولكن يجب أن يؤدي تقدير الاستخدام الحالي إلى تخطيط البنية التحتية.

  • اعمل مع مدير حساب Cisco/ممثل المبيعات لديك لتحجيم بنية XSP|ADP الأساسية، وفقًا لمخطط سعة نظام Cisco BroadWorks ودليل هندسة نظام Cisco BroadWorks.

  • كيف سيعمل Webex على إجراء اتصالات TLS متبادلة بوحدات XSP|ADP الخاصة بك؟ مباشرةً إلى XSP|ADP في DMZ، أو عبر وكيل TLS؟ يؤثر هذا الأمر على إدارة شهادتك وعناوين URL التي تستخدمها للواجهات. (لا ندعم اتصالات TCP غير المشفرة بحافة شبكتك).