Připravte si prostředí

Rozhodovací body

Úvaha Otázky k zodpovězení Zdroje

Architektura a infrastruktura

Kolik XSP?

Jak berou mTLS?

Plánovač kapacity systému Cisco BroadWorks

Průvodce systémovým inženýrstvím Cisco BroadWorks

Odkaz na XSP CLI

Tento dokument

Poskytování služeb zákazníkům a uživatelům

Můžete tvrdit, že věříte e-mailům v BroadWorks?

Chcete, aby uživatelé poskytli e-mailové adresy pro aktivaci vlastních účtů?

Můžete vytvořit nástroje pro použití našeho rozhraní API?

Veřejné dokumenty API na adrese https://developer.webex.com

Tento dokument

Branding Jakou barvu a logo chcete použít? Článek o značce aplikace Webex
Šablony Jaké jsou případy použití vašimi zákazníky? Tento dokument
Vlastnosti odběratele podle zákazníka/podniku/skupiny Vyberte balíček pro definování úrovně služeb podle šablony. Základní, standardní, Premium nebo Softphone.

Tento dokument

Matice prvku/balíčku

Ověření uživatele BroadWorks nebo Webex Tento dokument
Adaptér pro poskytování (pro možnosti průtokového poskytování)

Používáte již integrované IM&P, např. pro UC-One SaaS?

Máte v úmyslu použít více šablon?

Předpokládá se běžnější případ použití?

Tento dokument

Odkaz na CLI aplikačního serveru

Architektura a infrastruktura

  • S jakým měřítkem hodláte začít? V budoucnu je možné jej rozšířit, ale váš současný odhad využití by měl řídit plánování infrastruktury.

  • Podle Plánovače kapacity systému Cisco BroadWorks (https://xchange.broadsoft.com/node/1051462) a Průvodce technickým systémem Cisco BroadWorks spolupracujte se svým správcem účtu / obchodním zástupcem pro velikost infrastruktury XSP (https://xchange.broadsoft.com/node/1051496).

  • Jak bude Webex navazovat vzájemná TLS spojení s XSP? Přímo do XSP v DMZ, nebo přes TLS proxy? To ovlivňuje správu certifikátů a adresy URL, které používáte pro rozhraní. (Nepodporujeme nešifrovaná TCP připojení k okraji vaší sítě).

Poskytování služeb zákazníkům a uživatelům

Která metoda poskytování uživatelů vám nejlépe vyhovuje?

  • Poskytování průtoku pomocí důvěryhodných e-mailů: Přiřazením služby “Integrované IM&P” na BroadWorks je účastník automaticky poskytován ve Webexu.

    Pokud můžete také tvrdit, že e-mailové adresy odběratelů v BroadWorks jsou platné a jedinečné pro Webex, pak můžete použít variantu "důvěryhodného e-mailu" průtokového poskytování. Účty Subscriber Webex jsou vytvořeny a aktivovány bez jejich zásahu; jednoduše stáhnou klienta a přihlásí se.

    E-mailová adresa je klíčovým atributem uživatele na webexu. Poskytovatel služeb proto musí uživateli poskytnout platnou e-mailovou adresu, aby jej mohl poskytovat pro služby Webex. To musí být v atributu ID e-mailu uživatele v BroadWorks. Doporučujeme zkopírovat do atributu Alternativní ID.

  • Poskytování průtoku bez důvěryhodných e-mailů: Pokud nemůžete věřit e-mailovým adresám odběratele, stále můžete přiřadit integrovanou službu IM&P v BroadWorks k poskytování uživatelů ve Webexu.

    Pomocí této možnosti se účty vytvoří při přiřazení služby, ale odběratelé musí zadat a ověřit své e-mailové adresy pro aktivaci účtů Webex.

  • Vlastní dodávka uživatele: Tato možnost nevyžaduje přiřazení služby IM&P v BroadWorks. Vy (nebo vaši zákazníci) místo toho distribuujete odkaz na poskytování služeb a odkazy ke stažení různých klientů s vaší značkou a pokyny.

    Odběratelé sledují odkaz, poté zadávají a ověřují své e-mailové adresy a vytvářejí a aktivují své účty Webex. Poté stáhnou klienta a přihlásí se a Webex o nich získá další konfiguraci z BroadWorks (včetně jejich primárních čísel).

  • Poskytování řízené SP prostřednictvím rozhraní API: Webex zveřejňuje soubor veřejných rozhraní API, která poskytovatelům služeb umožňují začlenit poskytování uživatelů/předplatitelů do svých stávajících pracovních postupů.

Zákaznické šablony

Šablony zákazníků umožňují definovat parametry, podle kterých jsou zákazníci a přidružení odběratelé automaticky poskytováni na Webexu pro BroadWorks. Můžete nakonfigurovat více šablon zákazníků podle potřeby, ale když jste na palubě zákazníka, je přiřazen pouze k jedné šabloně (nemůžete použít více šablon na jednoho zákazníka).

Některé parametry primární šablony jsou uvedeny níže.

Balíček

  • Při vytváření šablony musíte vybrat výchozí balíček (podrobnosti viz Balíčky v sekci Přehled). Výchozí balíček obdrží všichni uživatelé, kterým je tato šablona poskytnuta, ať už prostřednictvím průtoku nebo samoobslužného poskytování.

  • Máte kontrolu nad výběrem balíčků pro různé zákazníky vytvořením více šablon a výběrem různých výchozích balíčků v každém. Poté můžete distribuovat různé odkazy na poskytování služeb nebo různé adaptéry pro poskytování služeb pro jednotlivé podniky v závislosti na zvolené metodě poskytování služeb uživateli pro tyto šablony.

  • Balíček konkrétních odběratelů můžete změnit z tohoto výchozího nastavení pomocí rozhraní API pro poskytování služeb (viz Integrace s rozhraním API pro poskytování služeb BroadWorks v části Reference) nebo prostřednictvím Centra partnerů.

  • Balíček odběratele nelze změnit z BroadWorks. Přiřazení integrované služby IM&P je zapnuto nebo vypnuto; pokud je účastníkovi přiřazena tato služba v BroadWorks, balíček definuje šablona Centra partnerů přidružená k podnikové provisioningové adrese URL tohoto účastníka.

Prodejce a podniky nebo poskytovatel služeb a skupiny?

  • Způsob konfigurace systému BroadWorks má vliv na průtok prostřednictvím poskytování. Jste-li prodejcem Enterprises, musíte při vytváření šablony povolit režim Enterprise.
  • Pokud je váš systém BroadWorks nakonfigurován v režimu Service Provider (Poskytovatel služeb), můžete v šablonách ponechat vypnutý režim Enterprise (Podnikový).
  • Pokud plánujete poskytovat zákaznické organizace pomocí obou režimů BroadWorks, musíte použít různé šablony pro skupiny a podniky.

Ujistěte se, že jste použili opravy BroadWorks, které jsou vyžadovány pro průtokové poskytování. Podrobnosti naleznete v části Požadované opravy s průtokovým zabezpečením.

Režim ověření

Jak se budou odběratelé zákazníků ověřovat?

Režim ověření BroadWorks Webex
Identita primárního uživatele ID uživatele BroadWorks E-mailová adresa
Poskytovatel identity

BroadWorks.

  • Pokud nakonfigurujete přímé připojení k aplikaci BroadWorks, aplikace Webex se autentizuje přímo k serveru BroadWorks. Upozorňujeme, že tato volba vyžaduje, aby byl aktivován přepínač funkcí.

  • V opačném případě je autentizace do BroadWorks usnadněna prostřednictvím zprostředkovatelské služby, kterou hostuje Webex.

Společná identita Cisco
Vícefaktorová autentizace? Ne Vyžaduje IdP zákazníka, který podporuje víceúrovňové ověřování.

Cesta ověření pověření

  1. Prohlížeč je spuštěn tam, kde uživatel dodá e-mail k počátečnímu přihlašovacímu toku a objeví jeho autentizační režim.

  2. Prohlížeč je poté přesměrován na přihlašovací stránku BroadWorks hostovanou webexem (tato stránka je značková)

  3. Uživatel poskytne uživatelské ID a heslo BroadWorks na přihlašovací stránce.

  4. Přihlašovací údaje uživatele jsou validovány proti BroadWorks.

  5. Při úspěchu je z Webexu získán autorizační kód. Slouží k získání potřebných přístupových tokenů pro služby Webex.

  1. Prohlížeč je spuštěn tam, kde uživatel dodá e-mail k počátečnímu přihlašovacímu toku a objeví jeho autentizační režim.

  2. Prohlížeč je přesměrován na IdP (buď Cisco Common Identity nebo Customer IdP), kde budou prezentovány s přihlašovacím portálem.

  3. Uživatel poskytne příslušné přihlašovací údaje na přihlašovací stránce

  4. Vícefaktorová autentizace může proběhnout, pokud to IdP zákazníka podporuje.

  5. Při úspěchu je z Webexu získán autorizační kód. Slouží k získání potřebných přístupových tokenů pro služby Webex.


Podrobnější rozpis přihlašovacího toku SSO s přímou autentizací do BroadWorks naleznete v tématu SSO Login Flow v sekci Webex for BroadWorks Reference.

Vícenásobná partnerská ujednání

Chystáte se sublicencovat Webex pro BroadWorks jinému poskytovateli služeb? V tomto případě bude každý poskytovatel služeb potřebovat v Webex Control Hubu samostatnou partnerskou organizaci, která mu umožní poskytnout řešení pro svou zákaznickou základnu.

Adaptér a šablony pro poskytování

Pokud používáte průtokové poskytování, adresa URL poskytování, kterou zadáte v aplikaci BroadWorks, je odvozena ze šablony v centru řízení. Můžete mít více šablon, a tudíž více adres URL pro poskytování. To vám umožní vybrat, podle jednotlivých podniků, který balíček se bude vztahovat na účastníky, když jim bude poskytnuta integrovaná služba IM&P.

Je třeba zvážit, zda chcete nastavit adresu URL poskytování na úrovni systému jako výchozí cestu k poskytování a jakou šablonu pro to chcete použít. Tímto způsobem stačí explicitně nastavit URL pro poskytování pro ty podniky, které potřebují jinou šablonu.

Mějte také na paměti, že možná již používáte systémovou adresu URL pro poskytování služeb, například s UC-One SaaS. Pokud tomu tak je, můžete se rozhodnout zachovat systémovou adresu URL pro poskytování uživatelů na UC-One SaaS a přepsat pro ty podniky, které se stěhují do Webexu pro BroadWorks. Případně můžete přejít na druhou stranu a nastavit systémovou adresu URL pro Webex pro BroadWorks a překonfigurovat ty podniky, které chcete ponechat na UC-One SaaS.

Volby konfigurace související s tímto rozhodnutím jsou podrobně popsány v části Konfigurace aplikačního serveru s adresou URL provisioningové služby v sekci Zavést Webex pro BroadWorks.

Minimální požadavky

Účty

Všichni odběratelé, které poskytujete pro Webex, musí existovat v systému BroadWorks, který integrujete s Webexem. V případě potřeby můžete integrovat více systémů BroadWorks.

Všichni odběratelé musí mít licence BroadWorks a primární čísla.

Webex používá e-mailové adresy jako primární identifikátory pro všechny uživatele. Pokud používáte průtokové poskytování s důvěryhodnými e-maily, musí mít vaši uživatelé platné adresy v atributu e-mailu v BroadWorks.

Pokud vaše šablona používá ověření BroadWorks, můžete zkopírovat e-mailové adresy odběratele do atributu Alternativní ID v BroadWorks. To umožňuje uživatelům přihlásit se do Webexu pomocí svých e-mailových adres a hesel BroadWorks.

Administrátoři se musí přihlásit do Centra partnerů pomocí svých účtů Webex.

Servery ve vašich síťových a softwarových požadavcích

  • Instance BroadWorks s minimální verzí R21 SP1. Podporované verze a záplaty naleznete v části Požadavky na software BroadWorks (v tomto dokumentu). Viz také Správa životního cyklu - BroadSoft Servery.


    R21 SP1 je podporován pouze do poloviny roku 2021. I když v současné době můžete integrovat Webex s R21 SP1, důrazně doporučujeme R22 nebo novější pro integraci s Webex.

  • Instance BroadWorks by měla obsahovat alespoň tyto servery:

    • Aplikační server (AS) s verzí BroadWorks viz výše

    • Síťový server (NS)

    • Profilový server (PS)

  • Veřejně orientovaný XSP server(servery) nebo platforma pro doručování aplikací (ADP) splňující tyto požadavky:

    • Ověřovací služba (BWAuth)

    • Rozhraní akcí A UDÁLOSTÍ XSI

    • DMS (webová aplikace pro správu zařízení)

    • Rozhraní CTI (Integrace počítačové telefonie)

    • TLS 1.2 s platným certifikátem (bez vlastního podpisu) a požadovanými meziprodukty. Pro usnadnění podnikového vyhledávání vyžaduje správce systémové úrovně.

    • Vzájemné ověřování TLS (mTLS) pro autentizační službu (vyžaduje veřejný řetězec certifikátů klienta Webex nainstalovaný jako důvěryhodné kotvy)

    • Vzájemné ověřování TLS (mTLS) pro rozhraní CTI (vyžaduje veřejný řetězec certifikátů klienta Webex nainstalovaný jako důvěryhodné kotvy)

  • Samostatný server XSP/ADP, který funguje jako “push server oznámení o volání” (NPS ve vašem prostředí používaný k odesílání oznámení o volání do Apple/Google. Nazýváme ji “CNPS” zde, abychom ji odlišili od služby Webex, která poskytuje push notifikace pro zasílání zpráv a přítomnost).

    Tento server musí být na R22 nebo novější.

  • Pro CNPS nařizujeme samostatný XSP/ADP server, protože nepředvídatelnost zatížení z Webexu pro cloudová připojení BWKS by mohla negativně ovlivnit výkon NPS serveru, v důsledku rostoucí latence upozornění. Další informace o měřítku XSP naleznete v příručce Cisco BroadWorks System Engineering Guide (https://xchange.broadsoft.com/node/422649).

Fyzické telefony a příslušenství

Profily zařízení

Toto jsou soubory DTAF, které potřebujete načíst na aplikační servery pro podporu aplikací Webex jako volajících klientů. Jedná se o stejné DTAF soubory, které se používají pro UC-One SaaS, nicméně existuje nová config-wxt.xml.template soubor, který se používá pro aplikace Webex.

Jméno klienta

Typ profilu zařízení a název balíčku

Mobilní šablona Webex

https://xchange.broadsoft.com/support/uc-one/connect/software

Typ profilu identity/zařízení: Připojit - mobilní

DTAF: ucone-mobile-ucaas-X.X.XX-wxt-MonthYear_DTAF.zip

Konfigurační soubor: config-wxt.xml

Šablona tabletu Webex

https://xchange.broadsoft.com/support/uc-one/connect/software

Typ profilu identity/zařízení: Connect - Tablet

DTAF: ucone-tablet-ucaas-X.X.XX-wxt-MonthYear_DTAF.zip

Konfigurační soubor: config-wxt.xml

Šablona pracovní plochy Webex

https://xchange.broadsoft.com/support/uc-one/communicator/software

Typ profilu identity/zařízení: Business Communicator - PC

DTAF: ucone-desktop-ucaas-X.X.XX-wxt-MonthYear_DTAF.zip

Konfigurační soubor: config-wxt.xml

Objednat certifikáty

Požadavky na certifikát pro ověření TLS

Pro všechny požadované aplikace budete potřebovat bezpečnostní certifikáty podepsané známou certifikační autoritou a nasazené na vašich veřejně přístupných XSP. Ty budou použity k podpoře ověření certifikátu TLS pro veškeré příchozí připojení k vašim XSP serverům.

Tyto certifikáty by měly obsahovat váš veřejný plně kvalifikovaný název domény XSP jako obecný název subjektu nebo alternativní název subjektu.

Přesné požadavky na nasazení těchto serverových certifikátů závisí na způsobu nasazení XSP určených pro veřejnost:

  • Prostřednictvím překlenovacího proxy TLS

  • Prostřednictvím proxy serveru TLS

  • Přímo do XSP

Následující schéma shrnuje, kde je třeba načíst certifikát veřejného serveru podepsaný CA v těchto třech případech:

Veřejně podporované CA, které aplikace Webex podporuje pro autentizaci, jsou uvedeny v části Podporované certifikační autority pro hybridní služby Webex.

Požadavky na certifikát TLS pro proxy modul TLS

  • Veřejně podepsaný certifikát serveru se načte do serveru proxy.

  • Proxy představuje tento veřejně podepsaný certifikát serveru Webexu.

  • Webex důvěřuje veřejné CA, která podepsala certifikát serveru proxy.

  • Na XSP lze načíst interní certifikát podepsaný CA.

  • XSP předkládá tento interně podepsaný certifikát serveru proxy.

  • Proxy důvěřuje internímu CA, které podepsalo certifikát serveru XSP.

Požadavky na certifikát TLS pro TLS-passthrough Proxy nebo XSP v DMZ

  • Veřejně podepsaný certifikát serveru se načte do XSP.

  • XSP předkládají Webexu veřejně podepsané serverové certifikáty.

  • Webex důvěřuje veřejné CA, která podepsala certifikáty serveru XSP.

Dodatečné požadavky na certifikát pro vzájemné ověřování TLS přes rozhraní CTI

Při připojení k rozhraní CTI Webex prezentuje klientský certifikát jako součást vzájemného ověřování TLS. Certifikát klienta Webex CA/certifikát řetězce je k dispozici ke stažení přes Control Hub.

Pro stažení certifikátu:

Přihlaste se do Centra partnerů, přejděte na Nastavení > Volání BroadWorks a klikněte na odkaz ke stažení certifikátu.

Přesné požadavky na nasazení tohoto certifikačního řetězce Webex CA závisí na způsobu nasazení vašich veřejných XSP:

  • Prostřednictvím překlenovacího proxy TLS

  • Prostřednictvím proxy serveru TLS

  • Přímo do XSP

Následující schéma shrnuje požadavky na certifikát v těchto třech případech:

Obrázek 1. Výměna certifikátů mTLS pro CTI prostřednictvím různých konfigurací hran

(Volitelně) Požadavky na certifikát pro proxy modul TLS

  • Webex předkládá proxy veřejně podepsaný klientský certifikát.

  • Proxy důvěřuje interní CA společnosti Cisco, která podepsala klientský certifikát. Tento CA / řetězec si můžete stáhnout z Control Hubu a přidat jej do obchodu důvěry serveru proxy. Do proxy serveru je také načten veřejně podepsaný certifikát XSP serveru.

  • Proxy představuje veřejně podepsaný certifikát serveru Webexu.

  • Webex důvěřuje veřejné CA, která podepsala certifikát serveru proxy.

  • Proxy předkládá XSP interně podepsaný klientský certifikát.

    Tento certifikát musí mít rozšířené pole x509.v3 Rozšířené použití klíče naplněné OID BroadWorks 1.3.6.1.4.1.6431.1.1.8.2.1.3 a účelem TLS clientAuth. Např.:

    X509v3 extensions:
        X509v3 Extended Key Usage:
            1.3.6.1.4.1.6431.1.1.8.2.1.3, TLS Web Client Authentication

    KN interního certifikátu musí být bwcticlient.webex.com.


    • Při generování interních klientských certifikátů pro proxy mějte na paměti, že certifikáty SAN nejsou podporovány. Interní serverové certifikáty pro XSP mohou být SAN.

    • Veřejné certifikační orgány nemusí být ochotny podepsat certifikáty s proprietárním OID BroadWorks, které je vyžadováno. V případě překlenovacího proxy serveru můžete být nuceni použít interní CA k podepsání klientského certifikátu, který proxy předkládá XSP.

  • XSP důvěřují internímu CA.

  • XSP prezentují interně podepsaný certifikát serveru.

  • Zástupce důvěřuje internímu CA.

  • Klientská identita aplikačního serveru obsahuje KN interně podepsaného klientského certifikátu předloženého XSP proxy.

(Volitelně) Certifikační požadavky pro TLS-passthrough Proxy nebo XSP v DMZ

  • Webex předkládá XSP interní certifikát klienta podepsaný společností Cisco.

  • XSP důvěřují interní CA společnosti Cisco, která podepsala klientský certifikát. Tento CA / řetězec si můžete stáhnout z Control Hubu a přidat jej do obchodu důvěry serveru proxy. Veřejně podepsaný certifikát XSP serveru je také načten do XSP.

  • XSP předkládají Webexu veřejně podepsané serverové certifikáty.

  • Webex důvěřuje veřejné CA, která podepsala certifikáty serveru XSP.

  • Identifikace klienta aplikačního serveru obsahuje KN klientského certifikátu podepsaného společností Cisco, který XSP předkládá Webex.

Připravte si síť

Mapa připojení

Následující diagram znázorňuje integrační body. Smyslem diagramu je ukázat, že je třeba zkontrolovat IP a porty pro připojení do a z vašeho prostředí. Připojení, která Webex používá pro BroadWorks, jsou popsána v následujících tabulkách.

Požadavky firewallu pro normální fungování klientské aplikace jsou uvedeny jako reference, protože jsou již zdokumentovány na help.webex.com.

Konfigurace brány firewall

Mapa připojení a následující tabulky popisují připojení a protokoly požadované mezi klienty (v síti zákazníka nebo mimo ni), vaší sítí a platformou Webex.

Zásady pro vstup do EMEA

(Do vaší sítě)

Účel Zdroj Protokol Cíl Cílový přístav

WebexCloud

CTI/Auth/XSI

18.196.116.47

35.156.83.118

35.158.206.190

44.232.54.0

52.39.97.25

54.185.54.53

69.26.160.0/19

144.254.96.0/20

173.37.32.0/20

216.151.128.0/19

HTTPS

CTI

Váš XSP

TCP/TLS 8012

443

Aplikace Webex

Xsi/DMS

Jakákoli položka

HTTPS

Váš XSP

443

Webex aplikace VoIP koncové body SIP

Jakákoli položka

Protokol SIP

Váš SBC

Protokol a port definovaný SP

TCP/UDP


Důrazně se doporučuje, aby se SIP port lišil od 5060 (například 5075) kvůli známým problémům s používáním standardního SIP portu (5060) s mobilními zařízeními.

Pravidla pro odchod z EMEA

(mimo vaši síť)

Účel

Zdroj

Protokol

Cíl

Cílový přístav

Poskytování uživatelů prostřednictvím rozhraní API

Váš aplikační server

HTTPS

webexapis.com

443

Proxy push notifikace (výrobní služba)

Váš server NPS

HTTPS

https://nps.uc-one.broadsoft.com/

NEBO 34.64.0.0/10, 35.208.0.0/12, 35.224.0.0/12, 35.240.0.0/13

443

Společná identita webexu

Váš server NPS

HTTPS

https://idbroker-eu.webex.com

443

Společná identita webexu

Auth Service XSP

HTTPS

https://idbroker-eu.webex.com/idb

https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

443

Služby APN a FCM

Váš server NPS

HTTPS

Jakákoliv IP adresa*

443

Proxy push notifikace (výrobní služba)

Společná identita webexu

Služby APN a FCM

Váš server NPS

HTTPS

https://nps.uc-one.broadsoft.com/ *

https://idbroker-eu.webex.com

Jakákoliv IP adresa*

443

Poskytování uživatelů prostřednictvím BroadWorks Provisioning Adapteru

Vaše BroadWorks AS

HTTPS

https://broadworks-provisioning-bridge-*.wbx2.com/

(kde * může být libovolné písmeno. Přesná adresa URL poskytnutí je k dispozici v šabloně, kterou vytvoříte v Centru partnerů)

443

† Tyto rozsahy obsahují hostitele pro NPS proxy, ale nemůžeme uvést přesné adresy. Rozsahy mohou také obsahovat hostitele, kteří nesouvisejí s Webexem pro BroadWorks. Doporučujeme nastavit firewall tak, aby umožňoval provoz na NPS proxy FQDN, abyste zajistili, že váš odchod bude směřovat pouze k hostitelům, které odhalíme pro NPS proxy.

* APN a FCM nemají pevnou sadu IP adres.

Pravidla vstupu do USA

(Do vaší sítě)

Účel

Zdroj

Protokol

Cíl

Cílový přístav

WebexCloud

CTI/Auth/XSI

13.58.232.148

18.217.166.80

18.221.216.175

44.232.54.0

52.39.97.25

54.185.54.53

69.26.160.0/19

144.254.96.0/20

173.37.32.0/20

216.151.128.0/19

HTTPS

CTI

Váš XSP

TCP/TLS 8012

TLS 443

Aplikace Webex   

Xsi/DMS

Jakákoli položka

HTTPS

Váš XSP

443

Webex App VoIP koncové body SIP

Jakákoli položka

Protokol SIP

Váš SBC

Protokol a port definovaný SP

TCP/UDP


Důrazně se doporučuje, aby se SIP port lišil od 5060 (například 5075) kvůli známým problémům s používáním standardního SIP portu (5060) s mobilními zařízeními.

Pravidla pro odchod do USA

(mimo vaši síť)

Účel

Zdroj

Protokol

Cíl

Cílový přístav

Poskytování uživatelů prostřednictvím rozhraní API

Váš aplikační server

HTTPS

webexapis.com

443

Proxy push notifikace (výrobní služba)

Váš server NPS

HTTPS

https://nps.uc-one.broadsoft.com/

NEBO 34.64.0.0/10, 35.208.0.0/12, 35.224.0.0/12, 35.240.0.0/13

443

Společná identita webexu

Váš server NPS

HTTPS

https://idbroker.webex.com

https://idbroker-b-us.webex.com

443

Společná identita webexu

Auth Service XSP

HTTPS

https://idbroker.webex.com/idb

https://idbroker-b-us.webex.com/idb

https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

443

Služby APN a FCM

Váš server NPS

HTTPS

Jakákoliv IP adresa*

443

Poskytování uživatelů prostřednictvím BWKS Provisioning Adapteru

Vaše BroadWorks AS

HTTPS

https://broadworks-provisioning-bridge-*.wbx2.com/

(kde * může být libovolné písmeno. Přesná adresa URL poskytnutí je k dispozici v šabloně, kterou vytvoříte v Centru partnerů)

443

† Tyto rozsahy obsahují hostitele pro NPS proxy, ale nemůžeme uvést přesné adresy. Rozsahy mohou také obsahovat hostitele, kteří nesouvisejí s Webexem pro BroadWorks. Doporučujeme nastavit firewall tak, aby umožňoval provoz na NPS proxy FQDN, abyste zajistili, že váš odchod bude směřovat pouze k hostitelům, které odhalíme pro NPS proxy.

* APN a FCM nemají pevnou sadu IP adres.

Síťové požadavky na služby Webex

Předcházející tabulky firewallu pravidel vstupu a výstupu dokumentují pouze spojení, která jsou specifická pro Webex pro BroadWorks. Obecné informace o připojení mezi aplikací Webex a cloudem Webex naleznete v části Síťové požadavky na služby Webex. Tento článek je pro Webex obecný, ale v následující tabulce jsou uvedeny různé části článku a jak relevantní je každá část pro Webex pro BroadWorks.

Tabulka 1. Síťové požadavky na připojení aplikací Webex (obecné)

Oddíl Požadavky na síť Článek

Relevance informací

Přehled typů zařízení a protokolů podporovaných společností Webex

Informační

Přepravní protokoly a šifrovací šifry pro aplikace a zařízení Webex registrované v cloudu

Informační

Webex Services – Port Numbers and Protocols

Musí být přečteno

IP podsítě pro mediální služby Webex

Musí být přečteno

Domény a adresy URL, ke kterým je třeba přistupovat pro služby Webex

Musí být přečteno

Další adresy URL pro hybridní služby Webex

Volitelný

Funkce proxy

Volitelný

802.1X – Řízení přístupu k síti založené na portu

Volitelný

Síťové požadavky na služby Webex založené na SIP

Volitelný

Požadavky na síť pro Webex Edge Audio

Volitelný

Shrnutí dalších Webex Hybridních služeb a dokumentace

Volitelný

Webex služby pro zákazníky FedRAMP

Doplňující informace

Další informace naleznete v části Webex App Firewall Whitepaper (PDF).

Podpora redundance BroadWorks

Webex Cloud Services a Webex Client Apps, které potřebují přístup do sítě partnera, plně podporují redundanci Broadworks XSP poskytovanou partnerem. Pokud XSP nebo web není z důvodu plánované údržby nebo neplánovaného důvodu k dispozici, mohou služby a aplikace Webex postoupit na jiný XSP nebo web poskytnutý partnerem za účelem dokončení žádosti.

Topologie sítě

Broadworks XSP mohou být nasazeny přímo na internetu, nebo se mohou nacházet v DMZ s čelním prvkem vyrovnávání zatížení, jako je F5 BIG-IP. Pro zajištění geografické odolnosti mohou být XSP nasazeny ve dvou (nebo více) datových centrech, z nichž každé může být frontováno vyrovnávačem zatížení, z nichž každé má veřejnou IP adresu. Pokud jsou XSP za vyrovnávačem zatížení, mikroslužby Webex a aplikace vidí pouze IP adresu vyrovnávače zatížení a zdá se, že Broadworks mají pouze jeden XSP, i když je za nimi více XSP.

V níže uvedeném příkladu jsou XSP nasazeny na dvou pracovištích, na pracovišti A a na pracovišti B. Na každém pracovišti jsou dva XSP, kterým čelí vyrovnávač zatížení. Místo A má XSP1 a XSP2 v čele s LB1 a místo B má XSP3 a XSP4 v čele s LB2. Ve veřejné síti jsou vystaveny pouze vyrovnávače zatížení a XSP jsou v soukromých sítích DMZ.

Cloudové služby Webex

Konfigurace DNS

Mikroslužby Webex Cloud musí být schopny najít XSP server (servery) Broadworks pro připojení k rozhraním Xsi, autentizační službě a CTI.

Mikroslužby Webex Cloud provedou vyhledávání DNS A/AAAA nakonfigurovaného jména XSP hostitele a připojí se k vrácené IP adrese. Může to být prvek hrany vyrovnávání zatížení nebo samotný XSP server. Pokud je vráceno více IP adres, bude vybrána první IP adresa v seznamu. Vyhledávání SRV není momentálně podporováno.

Příklad: DNS A záznam partnera pro objevení Round-Robin vyváženého internetového XSP serveru/Load Balancers

Typ záznamu

Název

Cíl

Účel

Odpověď

xsp.example.com

198.51.100.48

Body do LB1 (místo A)

Odpověď

xsp.example.com

198.51.100.49

Body do LB2 (místo B)

Selhání

Pokud mikroslužby Webex odešlou požadavek XSP/Load Balancer a požadavek selže, může se stát několik věcí:

  • Je-li porucha způsobena chybou sítě (např.: TCP, SSL), mikroslužby Webex označí IP jako zablokované a okamžitě provedou posun trasy do další IP.

  • Pokud je vrácen chybový kód (HTTP 5xx), mikroslužby Webex označí IP jako zablokovanou a okamžitě provedou postup k další IP.

  • Pokud do 2 sekund neobdržíte ŽÁDNOU HTTP odpověď, vyprší časový limit požadavku a mikroslužby Webex označí IP jako zablokovanou a provedou postup k další IP.

Každý požadavek je vyzkoušen třikrát předtím, než je selhání nahlášeno zpět mikroslužbě.

Pokud je IP adresa v blokovaném seznamu, nebude zahrnuta do seznamu adres, které lze vyzkoušet při odesílání požadavku do XSP. Po předem stanovené době vyprší zablokovaná IP adresa a vrátí se zpět do seznamu, aby vyzkoušela, kdy je podána další žádost.

Pokud jsou všechny IP adresy zablokovány, mikroslužba se bude i nadále pokoušet odeslat požadavek náhodným výběrem IP adresy z blokovaného seznamu. Pokud je tato IP adresa úspěšná, bude ze seznamu blokovaných odstraněna.

Stav

Stav připojení služeb Webex Cloud k XSP nebo Load Balancers lze vidět v Control Hubu. V rámci klastru volání BroadWorks se zobrazí stav připojení pro každé z těchto rozhraní:

  • Akce XSI

  • Události XSI

  • Služba ověření

Stav připojení se aktualizuje při načtení stránky nebo při vstupních aktualizacích. Stavy připojení mohou být:

  • Zelená: Pokud je možné dosáhnout rozhraní na jedné z IP adres při vyhledávání záznamu A.

  • Červená: Pokud jsou všechny IP adresy v vyhledávání záznamu A nedostupné a rozhraní není k dispozici.

Následující služby využívají mikroslužby k připojení k XSP a jsou ovlivněny dostupností rozhraní XSP:

  • Přihlášení k aplikaci Webex

  • Obnovení tokenu aplikace Webex

  • Nedůvěryhodný e-mail/samoaktivace

  • Zdravotní kontrola širokopásmových služeb

Aplikace Webex

Konfigurace DNS

Aplikace Webex přistupuje ke službám Xtended Services Interface (XSI-Actions & XSI-Events) a Device Management Service (DMS) na XSP.

Bude provádět vyhledávání DNS SRV pro _xsi-client._tcp.<xsi domain> nakonfigurované adresy URL pro nalezení XSP hostitelů nebo vyrovnávačů zatížení pro službu XSI.

Níže je uveden příklad záznamů SRV.

Typ záznamu

Záznam

Cíl

Účel

SRV

_xsi-client._tcp.xsp.example.com

xsp-dc1.example.com

Objevení rozhraní Xsi klientem

SRV

_xsi-client._tcp.xsp.example.com

xsp-dc2.example.com

Objevení rozhraní Xsi klientem

Odpověď

xsp-dc1.example.com

198.51.100.48

Body na LB1 (místo A)

Odpověď

xsp-dc2.example.com

198.51.100.49

Body na LB2 (místo B)


Každý záznam A/AAAA musí mapovat na jednu IP adresu. Pokud je v DMZ za zařízením pro vyrovnávání zatížení/okrajovým zařízením více XSP, je požadováno, aby bylo zařízení pro vyrovnávání zatížení nakonfigurováno tak, aby udržovalo perzistenci relace tak, aby směřovalo všechny požadavky stejné relace ke stejnému XSP.

Tuto konfiguraci nařizujeme, protože tlukot srdce klientovy události XSI musí jít na stejný XSP, který se používá k vytvoření kanálu události.

Pokud zmapujete název A/AAAA na více než jednu IP adresu, nebo pokud prvek vyvážení zatížení/hrana neudrží perzistenci relace, klient nakonec odešle tlukot srdce do XSP, kde nezavedl kanál událostí. To má za následek stržení kanálu a také výrazně větší vnitřní provoz, což zhoršuje výkonnost klastru XSP.

Během přihlašovacího procesu aplikace Webex také načte adresu URL DMS a stáhne konfigurační soubor. Hostitel v adrese URL bude analyzován a aplikace Webex provede vyhledávání DNS A/AAAA hostitele, aby se připojil k XSP, který hostí službu DMS.

Příklad: DNS Záznam pro objevení Round-Robin vyvážený internet čelí XSP server/Load Balancers by Webex App stáhnout konfigurační soubory přes DMS:

Typ záznamu

Název

Cíl

Účel

Odpověď

xsp-dms.example.com

198.51.100.48

Body na LB1 (místo A)

Odpověď

xsp-dms.example.com

198.51.100.49

Body na LB2 (místo B)

Jak aplikace Webex najde XSP adresy

Klient se pokusí lokalizovat uzly XSP pomocí následujícího toku DNS:

  1. Klient zpočátku načte adresy URL Xsi-Actions/Xsi-Events z Webex Cloud (zadali jste je při vytváření přidruženého klastru volání BroadWorks). Hostitelské jméno/doména Xsi je analyzována z adresy URL a klient provádí vyhledávání SRV následovně:

    1. Klient provádí vyhledávání SRV pro _xsi-client._tcp.<xsi domain="">

    2. Pokud vyhledávání SRV vrací jeden nebo více cílů:

      1. Klient tyto cíle vyhledává A/AAAA a ukládá do mezipaměti vrácené IP adresy.

      2. Klient se připojí k jednomu z cílů (a tedy k jeho A/AAAA záznamu s jedinou IP adresou) na základě priority SRV, pak váhy (nebo náhodně, pokud jsou všechny stejné).

    3. Pokud vyhledávání SRV nevrátí žádné cíle:

      Klient provede A/AAAA vyhledávání kořenového parametru Xsi a poté se pokusí připojit k vrácené IP adrese. Může to být prvek hrany vyrovnávání zatížení nebo samotný XSP server.

      Jak bylo uvedeno , záznam A/AAAA musí být ze stejných důvodů vyřešen na jednu IP adresu.

  2. (Nepovinné) Následně můžete v konfiguraci zařízení pro aplikaci Webex zadat vlastní podrobnosti XSI-Actions/XSI-Events pomocí následujících značek:

    <protocols>
    	<xsi>
    		<paths>
    			<root>%XSI_ROOT_WXT%</root>
    			<actions>%XSI_ACTIONS_PATH_WXT%</actions>
    			<events>%XSI_EVENTS_PATH_WXT%</events>
    		</paths>
    	</xsi>
    </protocols>
    1. Tyto konfigurační parametry mají přednost před jakoukoli konfigurací v klastru BroadWorks v Control Hubu.

    2. Pokud existují, klient porovná s původní XSI adresou, kterou obdržel prostřednictvím konfigurace BroadWorks Cluster.

    3. Pokud je zjištěn nějaký rozdíl, klient znovu inicializuje připojení XSI Actions/ XSI Events. Prvním krokem je provést stejný proces vyhledávání DNS uvedený v kroku 1 – tentokrát požadovat vyhledávání hodnoty v parametru %XSI_ROOT_WXT% z konfiguračního souboru.


      Pokud používáte tuto značku ke změně rozhraní Xsi, nezapomeňte vytvořit odpovídající záznamy SRV.
Selhání

Během přihlašování Webex App provádí vyhledávání DNS SRV pro _xsi-client._tcp<xsi domain="">., sestaví seznam hostitelů a připojí se k jednomu z hostitelů na základě priority SRV, pak váhy. Tento připojený hostitel se stane vybraným hostitelem pro všechny budoucí žádosti. Kanál událostí se poté otevře vybranému hostiteli a pravidelně se odesílá tlukot srdce k ověření kanálu. Všechny požadavky odeslané po prvním obsahují soubor cookie, který je vrácen v HTTP odpovědi, proto je důležité, aby vyrovnávač zatížení udržoval setrvalost relace (afinitu) a vždy odesílal požadavky na stejný backend XSP server.

Pokud žádost nebo žádost o tlukot srdce hostiteli selže, může se stát několik věcí:

  • Je-li porucha způsobena chybou sítě (např.: TCP, SSL), aplikace Webex okamžitě přesměruje postup k dalšímu hostiteli na seznamu.

  • Pokud je vrácen chybový kód (HTTP 5xx), požadavek okamžitě selže.

  • Pokud odpověď neobdržíš do určité doby, pak je žádost považována za neúspěšnou z důvodu vypršení časového limitu a další žádosti jsou odeslány dalšímu hostiteli. Požadavek na vypršení časového limitu se však považuje za neúspěšný. Některé požadavky se opakují po selhání (s prodlužujícím se časem opakování). Žádosti, že předpokládané nežádoucí látky nejsou přezkoumány znovu.

Když je nový hostitel úspěšně vyzkoušen, stane se novým vybraným hostitelem, pokud je hostitel přítomen v seznamu. Po vyzkoušení posledního hostitele v seznamu přejde aplikace Webex na první.

V případě srdečního tepu, pokud dojde ke dvěma po sobě jdoucím selháním požadavku, aplikace Webex znovu inicializuje kanál události.

Upozorňujeme, že Webex App neprovádí zpětnou vazbu a vyhledávání služeb DNS se provádí pouze jednou při přihlášení.

Během přihlašování se aplikace Webex pokusí stáhnout konfigurační soubor přes rozhraní XSP/Dms. Provádí vyhledávání záznamů A/AAAA hostitele v načtené adrese URL DMS a připojuje se k první IP adrese. Nejprve se pokusí odeslat požadavek ke stažení konfiguračního souboru pomocí SSO tokenu. Pokud se to z nějakého důvodu nezdaří, zkusí to znovu, ale s uživatelským jménem a heslem zařízení.