Arkitektur

Oversigt over Webex til BroadWorks

Hvad er i diagrammet?

Klienter

  • Webex App-klienten fungerer som den primære applikation i Webex til Cisco BroadWorks tilbud. Klienten er tilgængelig på desktop-, mobil- og webplatforme.

    Klienten har indbyggede meddelelser, tilstedeværelse og lyd/videomøder med flereparter i Webex-skyen. Webex-klienten bruger din BroadWorks-infrastruktur til SIP og PSTN opkald.

  • Cisco IP-telefoner og tilknyttede tilbehør bruger også din BroadWorks-infrastruktur til SIP- PSTN opkald. Vi forventer at kunne understøtte tredjepartstelefoner.

  • Brugeraktiveringsportal, så brugere kan logge ind på Webex ved hjælp af deres BroadWorks-legitimationsoplysninger.

  • Partner Hub er en webgrænseflade til administration af din Webex-organisation og dine kunders organisationer. Partner Hub er stedet, hvor du konfigurerer integrationen mellem din BroadWorks-infrastruktur og Webex. Du bruger også Partner Hub til at administrere klientkonfiguration og -fakturering.

Tjenesteudbyder netværk

Den grønne blok til venstre i diagrammet repræsenterer dit netværk. Komponenter, der hostes i dit netværk, leverer følgende tjenester og grænseflader til andre dele af løsningen:

  • Offentlig vendt XSP|ADP, til Webex til Cisco BroadWorks: (Feltet repræsenterer en eller flere XSP|ADP-bedrifter, muligvis fronteret af belastningsbalancere.)

    • Værter for Xtended Services Interface (XSI-Actions & XSI-Events), Device Administrationsservice (DMS), CTI-grænseflade og godkendelsestjeneste. Disse programmer giver sammen telefoner og Webex-klienter mulighed for at godkende sig selv, downloade deres opkaldskonfigurationsfiler, foretage og modtage opkald og se hinandens krogstatus (telefoni tilstedeværelse) og opkaldshistorik.

    • Udgiver adressebog til Webex-klienter.

  • Offentlig vendt XSP|ADP, kørende NPS:

    • host opkald meddelelser push-server: En push-server til notifikationer på en XSP|ADP i dit miljø. Den grænseflader mellem din applikationsserver og vores NPS-proxy. Proxyen leverer tokens med kort varsel til dine NPS for at autorisere underretninger til cloudtjenester. Disse tjenester (APNS & FCM) sender opkaldsmeddelelser til Webex-klienter på Apple iOS- og Google Android-enheder.

  • Applikationsserver:

    • Giver opkaldskontrol og grænseflader til andre BroadWorks-systemer (generelt)

    • For flowthr provisionering bruges AS af partneradministratoren til at klargøre brugere i Webex

    • Skubber brugerprofil ind i BroadWorks

  • OSS/BSS: Dit Driftssupportsystem/Business SIP-tjenester til administration af dine BroadWorks-virksomheder.

Webex Cloud

Blå blok i diagrammet repræsenterer Webex-skyen. Webex-mikrotjenester understøtter alle Webex-samarbejdsegenskaber:

  • Cisco Common Identity (CI) er den identitetstjeneste i Webex.

  • Webex til Cisco BroadWorks repræsenterer sættet af mikrotjenester, der understøtter integrationen mellem Webex og Tjenesteudbyder BroadWorks:

    • Bruger klargørings-API'er

    • Tjenesteudbyder konfiguration

    • Brugerlogin ved hjælp af BroadWorks-legitimationsoplysninger

  • Webex-meddelelsesboks til meddelelsesrelaterede mikrotjenester.

  • Webex Meetings, der repræsenterer mediebehandlingsservere og SBCs for flere deltagervideomøder (SIP & SRTP)

Tredjeparts-webtjenester

Følgende tredjepartskomponenter er repræsenteret i diagrammet:

  • APNS (Apple Push Notifications Service) pusher opkalds- og beskedunderretninger til Webex-applikationer på Apple-enheder.

  • FCM (FireBase Cloud Messaging) sender opkalds- og beskedunderretninger til Webex-applikationer på Android-enheder.

XSP|ADP-arkitekturovervejelser

Rollen som offentlige XSP|ADP-servere i Webex til Cisco BroadWorks

Den offentlige XSP|ADP i dit miljø leverer følgende grænseflader/tjenester til Webex og klienter:

  • Bekræftelsestjeneste (AuthService), sikret af TLS, som besvarer Webex-anmodninger om BroadWorks JWT (JSON Web Token) på brugerens vegne

  • CTI-grænseflade, sikret med mTLS, som Webex abonnerer på for opkaldshistorik begivenheder og telefoni-tilstedeværelsesstatus fra BroadWorks (hook-status).

  • Xsi-handlinger og -begivenhedsgrænseflader (eXtended Services Interface) til opkaldskontrol for abonnenten, kontakt- og opkaldslistemapper og konfiguration af slutbrugertelefonitjeneste

  • DM (Device Management) tjeneste for klienter til at hente deres opkaldskonfigurationsfiler

Levering af URL-adresser for disse grænseflader, når du konfigurerer Webex til Cisco BroadWorks. (Se Konfigurer dine BroadWorks-klynger i Partner Hub i dette dokument) For hver klynge kan du kun angive én URL-adresse for hver grænseflade. Hvis du har flere grænseflader i din BroadWorks-infrastruktur, kan du oprette flere klynger.

XSP|ADP-arkitektur

XSP|ADP-arkitektur: Indstilling 1
XSP|ADP-arkitektur: Valgmulighed 2

Vi kræver, at du bruger en separat, dedikeret XSP|ADP-forekomst eller gård til at være vært for din NPS-applikation (Notification Push Server). Du kan bruge de samme NPS med UC-One SaaS eller UC-One samarbejd. Du kan dog ikke være vært for de andre applikationer, der kræves for Webex til Cisco BroadWorks på den samme XSP|ADP, som er vært for NPS-applikationen.

Vi anbefaler, at du bruger en dedikeret XSP|ADP-forekomst/gård til at være vært for de påkrævede applikationer til Webex-integration af følgende årsager

  • Hvis du f.eks. tilbyder UC-One SaaS, anbefaler vi, at du opretter en ny XSP|ADP-gård til Webex til Cisco BroadWorks. På den måde kan de to tjenester fungere uafhængigt, mens du migrerer abonnenter.

  • Hvis du placerer Webex til Cisco BroadWorks-applikationer på en XSP|ADP-gård, der bruges til andre formål, er det dit ansvar at overvåge brugen, administrere den resulterende kompleksitet og planlægge den øgede skala.

  • Cisco BroadWorks System Capacity Planner antager en dedikeret XSP|ADP-bedrift og er muligvis ikke nøjagtig, hvis du bruger den til beregninger af placering.

Medmindre andet er angivet, skal den dedikerede Webex til Cisco BroadWorks XSP|ADP'er være vært for følgende applikationer:

  • AuthService (TLS med CI-tokenvalidering eller mTLS)

  • CTI (mTLS)

  • XSI-handlinger (TLS)

  • XSI-Begivenheder (TLS)

  • DMS (TLS) – valgfrit. Det er ikke obligatorisk, at du installerer en separat DMS-forekomst eller bedrift, der er specifikt for Webex til Cisco BroadWorks. Du kan bruge den samme DMS-forekomst, som du bruger til UC-One SaaS eller UC-One Collaborate.

  • Webvisning for opkaldsindstillinger (TLS) – valgfri. Webvisning for opkaldsindstillinger (CSW) er kun påkrævet, hvis du ønsker, at Webex til Cisco BroadWorks-brugere skal kunne konfigurere opkaldsfunktioner i Webex-appen.

Webex kræver adgang til CTI igennem en grænseflade, der er sikret fælles TLS godkendelse. For at understøtte dette krav anbefaler vi en af disse valgmuligheder:

  • (Diagram mærket Valgmulighed 1) En XSP|ADP-forekomst eller gård til alle applikationer, med to grænseflader konfigureret på hver server: en mTLS-grænseflade for CTI og en TLS-grænseflade til andre apps, såsom AuthService.

  • (Diagram mærket Valgmulighed 2) To XSP|ADP-forekomster eller bedrifter, en med en mTLS-grænseflade til CTI, og den anden med en TLS-grænseflade til andre apps, såsom AuthService.

XSP|ADP genbrug

Hvis du har en eksisterende XSP|ADP-gård, der er i overensstemmelse med en af de foreslåede arkitekturer ovenfor (valgmulighed 1 eller 2) og den er let indlæst, er det muligt at genbruge dine eksisterende XSP|ADP'er. Du skal bekræfte, at der ikke er nogen modstridende konfigurationskrav mellem eksisterende applikationer og de nye applikationskrav til Webex. De to primære overvejelser er:

  • Hvis du har brug for at understøtte flere Webex-partnerorganisationer på XSP|ADP, betyder det, at du skal bruge mTLS på godkendelsestjenesten (CI-tokenvalidering understøttes kun for en enkelt partnerorganisation på en XSP|ADP). Hvis du bruger mTLS på godkendelsestjenesten, betyder det, at du ikke kan have klienter, der bruger basisgodkendelse på bekræftelsestjenesten på samme tid. Denne situation ville forhindre genbrug af XSP|ADP.

  • Hvis den eksisterende CTI-tjeneste, der er konfigureret til at blive brugt af klienter med den sikre port (typisk 8012), men uden mTLS (dvs. klientgodkendelse), vil det være i konflikt med Webex-kravet om at have mTLS.

Da XSP|ADP'er har mange applikationer, og antallet af permutationer af disse applikationer er stort, kan der være andre uidentificerede konflikter. Af denne grund bør enhver potentiel genbrug af XSP|ADP'er bekræftes i et laboratorium med den tilsigtede konfiguration, før genbrug påbegyndes.

Konfigurer NTP-synkronisering på XSP|ADP

Installationen kræver tidssynkronisering for alle XSP|ADP'er, som du bruger med Webex.

Installer ntp-pakken, når du har installeret OS'et, og før du installerer BroadWorks-softwaren. Derefter kan du konfigurere NTP under XSP|ADP-softwareinstallationen. Se BroadWorks Software Management Guide for yderligere oplysninger.

Under den interaktive installation af XSP|ADP-softwaren får du mulighed for at konfigurere NTP. Fortsæt som følger:

  1. Når installeringsprogrammet spørger, Vil du konfigurere NTP?, indtast y.

  2. Når installeringsprogrammet spørger, Vil denne server være en NTP-server? , indtast n .

  3. Når installeringsprogrammet spørger, hvad er NTP-adressen, værtsnavnet eller FQDN? , indtast adressen på din NTP-server eller en offentlig NTP-tjeneste, for eksempel pool.ntp.org.

Hvis dine XSP|ADP'er bruger lydløs (ikke-interaktiv) installation, skal installationskonfigurationsfilen indeholde følgende Key=Value-par:

NTP
NTP_SERVER=

XSP|ADP-identitet og sikkerhedskrav

Baggrund

Protokollerne og koderne for Cisco BroadWorks TLS-forbindelser kan konfigureres på forskellige specificitetsniveauer. Disse niveauer varierer fra den mest generelle (SSL-udbyder) til den mest specifikke (individuel grænseflade). En mere specifik indstilling tilsidesætter altid en mere generel indstilling. Hvis de ikke er angivet, så nedarves SSL-indstillinger på lavere niveau fra "højere" niveauer.

Hvis ingen indstillinger ændres fra deres standardindstillinger, så overtager alle niveauer SSL-udbyderens standardindstillinger (JSSE Java Secure Sockets Extension).

Kravliste

  • XSP|ADP skal godkende sig selv til klienter ved hjælp af et CA-signeret certifikat, hvor det fælles navn eller det alternative emnenavn matcher domænedelen af XSI-grænsefladen.

  • Xsi-grænsefladen skal understøtte TLSv1.2-protokollen.

  • Xsi-grænsefladen skal bruge en kodepakke, der opfylder følgende krav.

    • Diffie-Hellman kortvarig (DHE) eller elliptisk kurve Diffie-Hellman kortvarig (ECDHE) key-exchange

    • AES (Avanceret krypteringsstandard) kode med en minimumsblokstørrelse på 128 bits (f.eks. AES-128 eller AES-256)

    • GCM (kugleskædnings-/tællertilstand) eller CBC (kodeblokkædning) kodetilstand

      • Hvis en CBC-kode bruges, er det kun SHA2-serien af hash-funktioner, der er tilladt for nøglefunktioner (SHA256, SHA384, SHA512).

For eksempel opfylder følgende koder kravene:

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

XSP|ADP CLI kræver IANA-navngivningskonventionen for krypteringsprogrammer, som vist ovenfor, ikke openSSL-konventionen.

Understøttede TLS-koder til AuthService- og XSI-grænseflader

Denne liste kan blive ændret, efterhånden som vores cloud-sikkerhedskrav ændres. Følg den aktuelle Cisco Cloud-sikkerhedsanbefaling ved valg af kode, som beskrevet på listen over krav i dette dokument.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

  • TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

  • TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_PSK_WITH_AES_256_CBC_SHA384

  • TLS_PSK_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_PSK_WITH_AES_128_CBC_SHA256

  • TLS_PSK_WITH_AES_128_CBC_SHA

Skaleringsparametre for Xsi Events

Du er muligvis nødt til at øge Xsi-Events-køstørrelsen og trådantallet for at håndtere lydstyrken for begivenheder, som Webex til Cisco BroadWorks-løsningen kræver. Du kan øge parametrene til de minimumsværdier, der vises, som følger (du skal ikke sænke dem, hvis de ligger over disse minimumsværdier):

XSP|ADP_CLI/Applikationer/Xsi-Events/BWIntegration> EventQueueSize = 2000

XSP|ADP_CLI/Applikationer/Xsi-Events/BWIntegration> eventHandlerTrådAntal = 50

Flere XSP|ADP'er

Indlæs balancerings edge-element

Hvis du har et belastningsbalanceringselement på din netværkskant, skal det på gennemsigtig vis håndtere fordelingen af trafik mellem dine flere XSP|ADP-servere og Webex til Cisco BroadWorks-clouden og -klienter. I dette tilfælde skal du angive URL-adressen for indlæsningsbalancen i Webex til Cisco BroadWorks-konfiguration.

Noter til denne arkitektur:

  • Konfigurer DNS, så klienterne kan finde indlæsnings balanceren, når du opretter forbindelse til Xsi-grænsefladen (se DNS-konfiguration).

  • Vi anbefaler, at du konfigurerer Edge-elementet i omvendt SSL-proxytilstand for at sikre, at peger på datakryptering.

  • Certifikater fra XSP|ADP01 og XSP|ADP02 skal begge have XSP|ADP-domænet, f.eks. din-XSP|ADP.example.com, i det alternative emnenavn. De skal have deres egne FQDN'er, for eksempel XSP|ADP01.example.com, i det fælles navn. Du kan bruge jokertegn certifikater, men vi anbefaler dem ikke.

Internetvendt XSP|ADP-servere

Hvis du eksponerer Xsi-grænsefladerne direkte, skal du bruge DNS til at distribuere trafikken til flere XSP|ADP-servere.

Noter til denne arkitektur:

  • Der kræves to poster for at oprette forbindelse til XSP|ADP-serverne:

    • For Webex-mikrotjenester: Round-robin A/AAAA-poster er nødvendige for at målrette de flere XSP|ADP IP-adresser. Dette skyldes, at Webex-mikrotjenesterne ikke kan udføre SRV-opslag. Se eksempler i Webex Cloud-tjenester.

    • Til Webex-appen: En SRV-post, der opløses til A-poster, hvor hver A-post opløses til en enkelt XSP|ADP. Se eksempler i Webex-appen.

      Brug prioriterede SRV-poster til at målrette XSI-tjenesten for flere XSP ADP-adresser.| Prioriter dine SRV-poster, så mikrotjenesterne altid går til den samme A-post (og efterfølgende IP-adresse) og kun flyttes til den næste A-post (og IP-adresse), hvis den første IP-adresse er nede. Brug IKKE en round-robin-tilgang til Webex-appen.

  • Certifikater fra XSP|ADP01 og XSP|ADP02 skal begge have XSP|ADP-domænet, f.eks. din-XSP|ADP.example.com, i det alternative emnenavn. De skal have deres egne FQDN'er, for eksempel XSP|ADP01.example.com, i det fælles navn.

  • Du kan bruge jokertegn certifikater, men vi anbefaler dem ikke.

Undgå HTTP-omdirigeringer

Nogle gange er DNS konfigureret til at løse XSP|ADP URL-adressen til en HTTP-belastningsbalancering, og belastningsbalancering er konfigureret til at omdirigere via en omvendt proxy til XSP|ADP-serverne.

Webex følger ikke en omdirigering , når der oprettes forbindelse til de URL-adresser, du angiver, så denne konfiguration fungerer ikke.

Arkitektur & infrastruktur

  • Hvilken skala vil du starte med? Det er muligt at skalere i fremtiden, men dit aktuelle forbrugsestimat bør føre til planlægning af infrastrukturen.

  • Arbejd med din Cisco-kontoadministrator/salgsrepræsentant for at få din XSP|ADP-infrastruktur i henhold til Cisco BroadWorks-systemkapacitetsplanlægningsprogram og Cisco BroadWorks-systemteknikervejledning.

  • Hvordan opretter Webex fælles TLS-forbindelser til dine XSP|ADP'er? Direkte til XSP|ADP i en DMZ eller via TLS-proxy? Dette påvirker din certifikatadministration og de URL-adresser, du bruger til grænsefladerne. (Vi understøtter ikke ukrypterede TCP-forbindelser til kanten af dit netværk).