Архитектура

Общ преглед на Webex за BroadWorks

Какво е на диаграмата?

Клиенти

  • Клиентът на приложението Webex служи като основно приложение в офертите на Webex за Cisco BroadWorks. Клиентът е достъпен на настолни, мобилни и уеб платформи.

    Клиентът има вътрешни съобщения, присъствие и аудио/видео срещи с много участници, предоставяни от облака Webex. Клиентът на Webex използва вашата инфраструктура на BroadWorks за SIP и PSTN повиквания.

  • IP телефоните на Cisco и свързаните с тях принадлежности също използват вашата инфраструктура на BroadWorks за SIP и PSTN повиквания. Очакваме да можем да поддържаме телефони на трети страни.

  • Портал за активиране на потребители, за да могат потребителите да влизат в Webex с помощта на техните идентификационни данни за BroadWorks.

  • Partner Hub е уеб интерфейс за администриране на вашата организация в Webex и организациите на вашите клиенти. Центърът за партньори е мястото, където конфигурирате интеграцията между вашата инфраструктура на BroadWorks и Webex. Също така използвате Partner Hub за управление на конфигурацията на клиента и фактурирането.

Мрежа на доставчика на услуги

Зеленият блок отляво на схемата представлява вашата мрежа. Компоненти, хоствани във вашата мрежа, предоставят следните услуги и интерфейси към други части на решението:

  • Публично XSP|ADP, за Webex за Cisco BroadWorks: (Полето представлява една или няколко XSP|ADP ферми, вероятно оградени от буфери за зареждане.)

    • Хоства интерфейса за Xtended услуги (XSI-действия и XSI-събития), услуга за управление на устройства (DMS), CTI интерфейс и услуга за удостоверяване. Заедно тези приложения позволяват на телефоните и клиентите на Webex да се удостоверяват, да изтеглят своите конфигурационни файлове за повиквания, да извършват и получават повиквания и да виждат статуса на куката (присъствие на телефония) и хронологията на повикванията.

    • Публикува указател за клиентите на Webex.

  • Публичен XSP|ADP, изпълнява NPS:

    • пуш сървър за известия за повиквания на организатор: Сървър за пуш известия на XSP|ADP във вашата среда. Той взаимодейства между вашия сървър за приложения и нашия NPS прокси сървър. Прокси сървърът подава краткотрайни маркери на вашия NPS, за да упълномощи известия за услугите в облака. Тези услуги (APNS И FCM) изпращат известия за повиквания до клиенти на Webex на устройства с Apple iOS и Google Android.

  • Сървър на приложение:

    • Осигурява управление на повикванията и интерфейси към други системи на BroadWorks (обикновено)

    • За поточно осигуряване AS се използва от партньорския администратор за осигуряване на потребителите в Webex

    • Поставя потребителския профил в BroadWorks

  • oss/bss: Вашата система за поддръжка на операциите / бизнес SIP услуги за администриране на вашите предприятия на BroadWorks.

Webex Cloud

Синият блок на схемата представлява облака на Webex. Микроуслугите на Webex поддържат пълния спектър от възможности за сътрудничество на Webex:

  • Cisco Common Identity (CI) е услугата за самоличност в рамките на Webex.

  • Webex за Cisco BroadWorks представлява набора от микроуслуги, които поддържат интеграцията между Webex и BroadWorks, хоствани от доставчика на услуги:

    • API за осигуряване на потребители

    • Конфигурация на доставчика на услуги

    • Влизане на потребител с данни за вход на BroadWorks

  • Поле за съобщения на Webex за микроуслуги, свързани със съобщения.

  • Поле в Webex Meetings, представляващо сървъри за обработка на мултимедия и SBC за видео срещи на множество участници (SIP И SRTP)

Уеб услуги на трети страни

На схемата са представени следните компоненти на трети страни:

  • APNS (Apple Push Notifications Service) изтласква известията за повиквания и съобщения до приложения на Webex на устройства с Apple.

  • FCM (FireBase Cloud Messaging) подава известия за повиквания и съобщения до приложенията на Webex на устройства с Android.

Съображения за XSP|ADP архитектура

Ролята на публичните XSP|ADP сървъри в Webex за Cisco BroadWorks

Публичният XSP|ADP във вашата среда предоставя следните интерфейси/услуги на Webex и клиенти:

  • Услуга за удостоверяване (AuthService), защитена от TLS, която отговаря на заявки от Webex за BroadWorks JWT (JSON уеб маркер) от името на потребителя

  • CTI интерфейс, защитен от mTLS, за който Webex се абонира за събития в хронологията на повикванията и статус на присъствие на телефония от BroadWorks (статус на куката).

  • Интерфейси за действия и събития на XSI (интерфейс за услуги eXtended) за управление на повикванията на абонати, директории за контакти и списъци на повиквания и конфигурация на услугата за телефония на крайния потребител

  • Услуга DM (управление на устройства) за клиенти за извличане на своите конфигурационни файлове за повиквания

Доставяне на URL адреси за тези интерфейси, когато конфигурирате Webex за Cisco BroadWorks. (Вижте Конфигуриране на вашите клъстери на BroadWorks в Partner Hub в този документ.) За всеки клъстер можете да предоставите само един URL адрес за всеки интерфейс. Ако имате няколко интерфейса във вашата инфраструктура на BroadWorks, можете да създадете няколко клъстера.

XSP|ADP архитектура

Архитектура на XSP|ADP: Опция 1
Архитектура на XSP|ADP: Вариант 2

Изискваме да използвате отделен, специализиран XSP|ADP екземпляр или ферма, за да хоствате вашето приложение NPS (Notification Push Server). Можете да използвате същия NPS с UC-One SaaS или UC-One Collaborate. Не може обаче да хоствате другите приложения, необходими за Webex за Cisco BroadWorks, на същия XSP|ADP, който хоства приложението NPS.

Препоръчваме ви да използвате специализиран XSP|ADP екземпляр/ферма, за да хоствате необходимите приложения за интеграция на Webex, поради следните причини

  • Например, ако предлагате UC-One SaaS, препоръчваме да създадете нова XSP|ADP ферма за Webex за Cisco BroadWorks. По този начин двете услуги могат да работят независимо, докато мигрирате абонати.

  • Ако разположите приложенията Webex за Cisco BroadWorks на XSP|ADP ферма, която се използва за други цели, ваша е отговорността да наблюдавате използването, да управлявате произтичащата от това сложност и да планирате увеличения мащаб.

  • Cisco BroadWorks System Capacity Planner предполага специална XSP|ADP ферма и може да не е точна, ако я използвате за изчисления на съвместно местоположение.

Освен ако не е посочено друго, специализираният Webex за Cisco BroadWorks XSP|ADP трябва да хоства следните приложения:

  • AuthService (TLS с валидиране на CI маркер или mTLS)

  • CTI (mTLS)

  • XSI- действия (TLS)

  • XSI- събития (TLS)

  • DMS (TLS) – по желание. Не е задължително да разположите отделен екземпляр на DMS или ферма конкретно за Webex за Cisco BroadWorks. Можете да използвате същия DMS екземпляр, който използвате за UC-One SaaS или UC-One Collaborate.

  • Уеб преглед на настройките за повиквания (TLS) – по желание. Webview на настройките за повиквания (CSW) се изисква само ако искате потребителите на Webex за Cisco BroadWorks да могат да конфигурират функциите за повиквания в приложението Webex.

Webex изисква достъп до CTI чрез интерфейс, защитен с взаимно TLS удостоверяване. За да поддържаме това изискване, препоръчваме една от следните опции:

  • (Схемата е маркирана с Опция 1) Един XSP|ADP екземпляр или ферма за всички приложения, с два интерфейса, конфигурирани на всеки сървър: mTLS интерфейс за CTI и TLS интерфейс за други приложения като AuthService.

  • (Диаграмата е маркирана с Опция 2) Две XSP|ADP екземпляри или ферми, едната с mTLS интерфейс за CTI, а другата с TLS интерфейс за други приложения, като например AuthService.

Повторно използване на XSP|ADP

Ако имате съществуваща XSP|ADP ферма, която съответства на една от предложените архитектури по-горе (опция 1 или 2) и е леко заредена, тогава е възможно да използвате отново съществуващите си XSP| ADP. Ще трябва да потвърдите, че няма конфликтни изисквания за конфигуриране между съществуващите приложения и новите изисквания за приложенията за Webex. Двете основни съображения са:

  • Ако трябва да поддържате няколко партньорски организации на Webex на XSP|ADP, това означава, че трябва да използвате mTLS в услугата за удостоверяване (Валидирането на CI маркер се поддържа само за една партньорска организация на XSP|ADP). Ако използвате mTLS в услугата за удостоверяване, това означава, че не можете да имате клиенти, които използват базово удостоверяване в услугата за удостоверяване едновременно. Тази ситуация ще предотврати повторното използване на XSP|ADP.

  • Ако съществуващата CTI услуга, конфигурирана да се използва от клиенти със защитен порт (обикновено 8012), но без mTLS (т.е. удостоверяване на клиент), тогава това ще е в конфликт с изискването на Webex да има mTLS.

Тъй като XSP|ADP има много приложения и броят на пермутациите на тези приложения е голям, може да има други неидентифицирани конфликти. Поради тази причина всяка потенциална повторна употреба на XSP|ADP трябва да се провери в лаборатория с предвидената конфигурация, преди да се ангажира с повторна употреба.

Конфигуриране на синхронизиране на NTP на XSP|ADP

Разполагането изисква синхронизиране на времето за всички XSP|ADP, които използвате с Webex.

Инсталирайте пакета ntp , след като инсталирате операционната система и преди да инсталирате софтуера BroadWorks. След това можете да конфигурирате NTP по време на инсталирането на софтуера XSP|ADP. Вижте Ръководството за управление на софтуера на BroadWorks за повече подробности.

По време на интерактивната инсталация на XSP|ADP софтуера получавате възможност да конфигурирате NTP. Продължете както следва:

  1. Когато инсталаторът попита, Искате ли да конфигурирате NTP?, въведете y.

  2. Когато инсталаторът попита, Този сървър ще бъде ли NTP сървър?, въведете n.

  3. Когато инсталаторът попита: Какво е NTP адресът, името на хоста или FQDN?, въведете адреса на вашия NTP сървър или публична NTP услуга, например pool.ntp.org.

Ако вашите XSP|ADP използват тиха (неинтерактивна) инсталация, конфигурационният файл на инсталатора трябва да включва следните двойки Key=Стойности:

NTP
NTP_сървър=

Изисквания за самоличност и защита на XSP|ADP

Фон

Протоколите и шифрите на Cisco BroadWorks TLS връзките могат да се конфигурират при различни нива на специфичност. Тези нива варират от най-общия (SSL доставчик) до най-специфичния (индивидуален интерфейс). По-конкретната настройка винаги замества по-общата. Ако не са посочени, SSL настройките от „по-ниско“ ниво се наследяват от „по-високи“ нива.

Ако не се променят настройки по подразбиране, всички нива наследяват настройките по подразбиране на доставчика на SSL (JSSE Java Secure Sockets Extension).

Списък с изисквания

  • XSP|ADP трябва да се удостовери към клиентите, използвайки подписан от CA сертификат, в който общото име или алтернативно име на субекта съответства на частта на домейна на XSI интерфейса.

  • Интерфейсът Xsi трябва да поддържа протокол TLSv1.2.

  • Xsi интерфейсът трябва да използва пакет за шифроване, който отговаря на следните изисквания.

    • Дифи-Хелман ефимерен (DHE) или елиптични криви Дифи-Хелман ефимерен (ECDHE) ключ-обмен

    • AES (Advanced Encryption Standard) шифър с минимален размер на блока от 128 бита (напр. AES-128 или AES-256)

    • GCM (Galois/брояч режим) или CBC (шифроващ блок верига) режим шифър

      • Ако се използва шифър на CBC, само семейството от хеш функции SHA2 е разрешено за извеждане на ключове (SHA256, SHA384, SHA512).

Например следните шифри отговарят на изискванията:

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

XSP|ADP CLI изисква конвенцията за именуване на IANA за шифровъчните пакети, както е показано по-горе, а не конвенцията openSSL.

Поддържани TLS шифри за интерфейсите AuthService и XSI

Този списък подлежи на промяна с развитието на изискванията ни за защита от облака. Следвайте текущата препоръка за защита в облака на Cisco относно избора на шифър, както е описано в списъка с изисквания в този документ.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

  • TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

  • TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_PSK_WITH_AES_256_CBC_SHA384

  • TLS_PSK_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_PSK_WITH_AES_128_CBC_SHA256

  • TLS_PSK_WITH_AES_128_CBC_SHA

Параметри на скалата на Xsi Events

Може да се наложи да увеличите размера на опашката на Xsi-Events и броя на нишките, за да обработите обема на събитията, изисквани от решението Webex за Cisco BroadWorks. Можете да увеличите параметрите до показаните минимални стойности, както следва (не ги намалявайте, ако са над тези минимални стойности):

XSP|ADP_CLI/Приложения/Xsi-Events/BWIntegration> eventQueueSize = 2000

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventHandlerThreadCount = 50

Няколко XSP|ADP

Зареждане на елемент за балансиране на ръба

Ако имате елемент за балансиране на натоварването на границата на вашата мрежа, той трябва прозрачно да се справи с разпределението на трафика между вашите множество XSP|ADP сървъри и облака и клиенти на Webex за Cisco BroadWorks. В този случай бихте предоставили URL адреса на балансиращата програма за зареждане на конфигурацията на Webex за Cisco BroadWorks.

Бележки за тази архитектура:

  • Конфигурирайте DNS, така че клиентите да могат да намерят баланса на натоварването при свързване към Xsi интерфейса (вижте DNS конфигурация).

  • Препоръчваме да конфигурирате граничния елемент в режим на обратно SSL прокси, за да гарантирате шифроване на данните от точка до точка.

  • Сертификатите от XSP|ADP01 и XSP|ADP02 трябва да имат домейна XSP|ADP, например your-XSP|ADP.example.com, в алтернативно име на субекта. Те трябва да имат свои собствени FQDN, например XSP|ADP01.example.com, в общото име. Можете да използвате заместващи сертификати, но не ги препоръчваме.

Интернет-насочени XSP|ADP сървъри

Ако изложите директно Xsi интерфейсите, използвайте DNS, за да разпространите трафика към множеството XSP ADP|сървъри.

Бележки за тази архитектура:

  • Необходими са два записа за свързване към XSP|ADP сървърите:

    • За микроуслуги на Webex: Необходими са кръгли A/AAAA записи, за да бъдат насочени към множеството XSP|ADP IP адреси. Това е така, защото микроуслугите на Webex не могат да извършват SRV търсения. За примери вижте Услуги в облака на Webex.

    • За приложение Webex: SRV запис, който се преобразува в A записи, където всеки A запис се преобразува в един XSP|ADP. За примери вижте Приложение Webex.

      Използвайте SRV записи с приоритет, за да насочите XSI услугата за множеството XSP ADP адреси|. Приоритизирайте своите SRV записи, така че микроуслугите винаги да отиват към един и същ запис (и следващия IP адрес) и да се преместват към следващия запис (и IP адрес) само ако първият IP адрес не работи. НЕ използвайте кръгъл подход за приложението Webex.

  • Сертификатите от XSP|ADP01 и XSP|ADP02 трябва да имат домейна XSP|ADP, например your-XSP|ADP.example.com, в алтернативно име на субекта. Те трябва да имат свои собствени FQDN, например XSP|ADP01.example.com, в общото име.

  • Можете да използвате заместващи сертификати, но не ги препоръчваме.

Избягване на HTTP пренасочвания

Понякога DNS се конфигурира да преобразува XSP|ADP URL адреса в HTTP балансира на натоварването, а балансът на натоварването се конфигурира да пренасочва през обратен прокси сървър към XSP| ADP сървърите.

Webex не следва пренасочване при свързване към URL адресите, които предоставяте, така че тази конфигурация не работи.

Архитектура & Инфраструктура

  • С какъв мащаб възнамерявате да започнете? Възможно е да мащабирате в бъдеще, но текущата ви оценка на използването трябва да стимулира планирането на инфраструктурата.

  • Работете със своя мениджър на акаунти/представител по продажбите в Cisco, за да увеличите вашата XSP|ADP инфраструктура, според Cisco BroadWorks System Capacity Planner и Cisco BroadWorks System Engineering Guide.

  • Как Webex ще направи взаимни TLS връзки с вашите XSP|ADP? Директно към XSP|ADP в DMZ или чрез TLS прокси? Това засяга управлението на вашия сертификат и URL адресите, които използвате за интерфейсите. (Не поддържаме нешифровани TCP връзки към ръба на вашата мрежа).