Vorbereiten Ihrer Umgebung

Entscheidungspunkte

Berücksichtigung Zu beantwortende Fragen Ressourcen

Architektur und Infrastruktur

Wie viele XSPs?

Wie nutzen sie mTLS?

Cisco BroadWorks-Systemkapazitätsplaner

Cisco BroadWorks System Engineering-Leitfaden

XSP CLI-Referenz

Dieses Dokument

Kunden- und Nutzerbereitstellung

Können Sie sicher sein, dass Sie den E-Mails in BroadWorks vertrauen?

Möchten Sie, dass die Benutzer E-Mail-Adressen bereitstellen, um ihre eigenen Konten zu aktivieren?

Können Sie Tools zur Verwendung unserer API erstellen?

Öffentliche API-Dokumente unter https://developer.webex.com

Dieses Dokument

Markenbildung Welche Farbe und welches Logo möchten Sie verwenden? Webex App Branding-Artikel
Vorlagen Was sind Ihre verschiedenen Kunden-Anwendungsfälle? Dieses Dokument
Funktionen des Abonnenten pro Kunde/Unternehmen/Gruppe Wählen Sie Paket, um die Serviceebene pro Vorlage zu definieren. Basic, Standard, Premium oder Softphone.

Dieses Dokument

Funktions-/Paketmatrix

Benutzerauthentifizierung BroadWorks oder Webex Dieses Dokument
Bereitstellungsadapter (für Flowthrough-Bereitstellungsoptionen)

Verwenden Sie bereits integriertes IM&P, z. B. für UC-One SaaS?

Möchten Sie mehrere Vorlagen verwenden?

Wird ein häufigerer Fall erwartet?

Dieses Dokument

CLI-Referenz für Anwendungsserver

Architektur und Infrastruktur

  • Mit welchem Umfang möchten Sie beginnen? Es ist möglich, in der Zukunft zu skalieren, aber Ihre aktuelle Nutzungsplanung sollte die Infrastrukturplanung unterstützen.

  • Arbeiten Sie mit Ihrem Cisco-Account-Manager/Vertriebsmitarbeiter zusammen, um Ihre XSP-Infrastruktur gemäß dem Cisco BroadWorks-Systemkapazitätsplaner () und dem Ciscohttps://xchange.broadsoft.com/node/1051462BroadWorks System Engineering Guide (https://xchange.broadsoft.com/node/1051496) zu erweitern.

  • Wie können Cisco Webex Mutual TLS-Verbindungen zu Ihren XSPs herstellen? Direkt zum XSP in einer DMZ oder über einen TLS-Proxy? Dies wirkt sich auf Ihre Zertifikats-Management und die URLs aus, die Sie für die Schnittstellen verwenden. ( Unverschlüsselte TCP-Verbindungen zum Rand Ihres Netzwerks werdennichtunterstützt).

Kunden- und Benutzerbereitstellung

Welche Benutzerbereitstellungsmethode eignet sich am besten?

  • Flowthrough-Bereitstellung mit vertrauenswürdigenE-Mails: Durch Zuweisen des Dienstes "Integriertes IM&P" in BroadWorks wird der Abonnent automatisch in BroadWorks Cisco Webex.

    Wenn Sie auch bestätigen können, dass die E-Mail-Adressen der Abonnenten in BroadWorks gültig und für Webex eindeutig sind, können Sie die "vertrauenswürdige E-Mail"-Variante der Flowthrough-Bereitstellung verwenden. Webex-Accounts für Abonnenten werden erstellt und ohne ihr Eingreifen aktiviert; Sie laden einfach den Client herunter und melden sich an.

    Die E-Mail-Adresse ist ein wichtiges Benutzerattribut auf Cisco Webex. Daher muss Dienstleister eine gültige E-Mail-Adresse für den Benutzer angeben, um sie für die Nutzung Cisco Webex bereitstellen zu können. Dies muss im E-Mail-ID-Attribut des Benutzers in BroadWorks sein. Wir empfehlen, dass Sie sie auch in das Attribut Alternative ID kopieren.

  • Flowthrough-Bereitstellung ohne vertrauenswürdigeE-Mails: Wenn Sie den E-Mail-Adressen der Abonnenten nicht vertrauen können, können Sie den integrierten IM&P-Dienst in BroadWorks dennoch zuweisen, um Benutzer in Webex bereitstellen zu können.

    Mit dieser Option werden die Konten erstellt, wenn Sie den Dienst zuweisen, aber die Abonnenten müssen ihre E-Mail-Adressen liefern und validieren, um die Webex-Konten zu aktivieren.

  • Selbstbereitstellung fürBenutzer: Für diese Option ist keine Im&P-Dienstzuweisung in BroadWorks erforderlich. Stattdessen stellen Sie (oder Ihre Kunden) einen Bereitstellungslink sowie die Links zum Herunterladen der verschiedenen Clients mit Ihrem Branding und Anweisungen bereit.

    Abonnenten folgen dem Link und geben ihre E-Mail-Adressen an, um ihre Webex-Konten zu erstellen und zu aktivieren. Anschließend laden sie den Client herunter und melden sich an. Webex ruft zusätzliche Konfigurationen über BroadWorks ab (einschließlich der primären Nummern).

  • SP Controlled Provisioning überAPIs: Cisco Webex eine Reihe von öffentlichen APIs aus, die es Dienstanbietern ermöglichen, Benutzer-/Abonnenten-Bereitstellungen in ihre vorhandenen Workflows zu erstellen.

Kundenvorlagen

Mit Kundenvorlagen können Sie die Parameter definieren, mit denen Kunden und verknüpfte Abonnenten automatisch in einer neuen Cisco Webex BroadWorks bereitgestellt werden. Sie können mehrere Kundenvorlagen nach Bedarf konfigurieren, aber wenn Sie einen Kunden an Bord holen, ist diese nur mit einer Vorlage verknüpft (Sie können nicht mehrere Vorlagen auf einen Kunden anwenden).

Einige der primären Vorlagenparameter sind unten aufgeführt.

Paket

  • Sie müssen beim Erstellen einer Vorlage ein Standardpaket auswählen .(Weitere Informationen finden Sie unter Pakete im Abschnitt Übersicht). Alle Benutzer, die mit dieser Vorlage bereitgestellt sind, unabhängig davon, ob sie über Flowthrough oder die Selbstbereitstellung bereitgestellt werden, erhalten das Standardpaket.

  • Sie haben die Kontrolle über die Paketauswahl für verschiedene Kunden, indem Sie mehrere Vorlagen erstellen und verschiedene Standardpakete auswählen. Anschließend können Sie je nach ausgewählter Benutzer-Bereitstellungsmethode für diese Vorlagen unterschiedliche Bereitstellungslinks oder unterschiedliche Bereitstellungsadapter pro Unternehmen verteilen.

  • Sie können das Paket bestimmter Abonnenten von diesem Standard mittels der Bereitstellungs-API (siehe Integration mit Webex für BroadWorks-Bereitstellungs-API im Abschnitt Referenz) oder über Partner Hub ändern.

  • Sie können das Paket eines Abonnenten nicht über BroadWorks ändern. Die Zuweisung des integrierten IM&P-Dienstes ist ein- oder ausgeschaltet; Wenn der Abonnent diesem Dienst in BroadWorks zugewiesen ist, wird das Paket durch die Partner Hub-Vorlage definiert, die mit der Bereitstellungs-URL des Unternehmens dieses Abonnenten verknüpft ist.

Reseller und Unternehmen oder Dienstleister und Gruppen?

  • Die Konfiguration Ihres BroadWorks-Systems hat Auswirkungen auf den Ablauf der Bereitstellung. Wenn Sie ein Reseller mit Unternehmen sind, müssen Sie beim Erstellen einer Vorlage den Enterprise-Modus aktivieren.
  • Wenn Ihr BroadWorks-System im Dienstleister konfiguriert ist, können Sie den Enterprise-Modus in Ihren Vorlagen deaktivieren.
  • Wenn Sie Kundenorganisationen unter Verwendung beider BroadWorks-Modi bereitstellen möchten, müssen Sie unterschiedliche Vorlagen für Gruppen und Unternehmen verwenden.

Authentifizierungsmodus

Wie authentifizieren sich Abonnenten von Kunden?

Authentifizierungsmodus BroadWorks Webex
Primäre Benutzeridentität BroadWorks-Benutzer-ID E-Mail-Adresse
Identitätsanbieter

BroadWorks.

Die Authentifizierung wird durch einen von einem Gastgeber veranstalteten Dienst Cisco Webex.

Cisco Gemeinsame Identität
Multi-Faktor-Authentifizierung? Nein Erfordert Kunden-IdP, der Multi-Faktor-Authentifizierung unterstützt.

Anmeldeinformationsvalidierungspfad

  1. Browser wird gestartet, wobei der Benutzer E-Mails für den anfänglichen Anmeldeablauf zur Verfügung stellt und seinen Authentifizierungsmodus entdeckt.

  2. Der Browser wird dann zu einer von Cisco Webex gehosteten BroadWorks-Login-Seite weitergeleitet (diese Seite kann als Marke verwendet werden)

  3. Benutzer gibt die Benutzer-ID und das Passwort von BroadWorks auf der Anmeldeseite an.

  4. Benutzeranmeldeinformationen werden für BroadWorks überprüft.

  5. Nach dem Erfolgreich erhalten Sie einen Autorisierungscode von Cisco Webex. Dies wird verwendet, um die erforderlichen Zugriffstoken für Cisco Webex erhalten.

  1. Browser wird gestartet, wobei der Benutzer E-Mails für den anfänglichen Anmeldeablauf zur Verfügung stellt und seinen Authentifizierungsmodus entdeckt.

  2. Browser wird zu IdP (entweder Cisco Gemeinsame Identität oder Customer IdP) weitergeleitet, wo ihnen ein Anmeldeportal angezeigt wird.

  3. Benutzer gibt die entsprechenden Anmeldeinformationen auf der Anmeldeseite an

  4. Multi-Faktor-Authentifizierung kann stattfinden, wenn der Kunden-IdP dies unterstützt.

  5. Nach dem Erfolgreich erhalten Sie einen Autorisierungscode von Cisco Webex. Dies wird verwendet, um die erforderlichen Zugriffstoken für Cisco Webex erhalten.

Vereinbarungen mit mehreren Partnern

Werden Sie Webex für BroadWorks an einen anderen Serviceanbieter unterlizenzen? In diesem Fall benötigt jeder Dienstanbieter eine eindeutige Partnerorganisation in Webex Control Hub damit er die Lösung für seinen Kundenstamm bereitstellen kann.

Bereitstellungsadapter und Vorlagen

Wenn Sie die Flowthrough-Bereitstellung verwenden, wird die bereitstellungs-URL, die Sie in BroadWorks eingeben, aus der Vorlage im Control Hub abgeleitet. Sie können mehrere Vorlagen und somit mehrere Bereitstellungs-URLs haben. Auf diese Weise können Sie auf Unternehmen-für-Unternehmen-Basis auswählen, welches Paket auf Abonnenten angewendet werden soll, wenn ihnen der integrierte IM&P-Dienst gewährt wird.

Sie müssen überlegen, ob Sie eine Bereitstellungs-URL auf Systemebene als Standardbereitstellungspfad festlegen möchten und welche Vorlage Sie dafür verwenden möchten. Auf diese Weise müssen Sie nur die Bereitstellungs-URL für die Unternehmen festlegen, die eine andere Vorlage benötigen.

Denken Sie auch daran, dass Sie möglicherweise bereits eine Bereitstellungs-URL auf Systemebene verwenden, z. B. mit UC-One SaaS. Wenn dies der Fall ist, können Sie die URL auf Systemebene für die Bereitstellung von Benutzern auf UC-One SaaS beibehalten und für die Unternehmen, die zu Webex für BroadWorks verschieben, überschreiben. Alternativ können Sie auch in anderen Richtungen die URL auf Systemebene für Webex für BroadWorks festlegen und die Unternehmen, die Sie auf UC-One SaaS weiterverhalten möchten, neu konfigurieren.

Die mit dieser Entscheidung verbundenen Konfigurationsmöglichkeiten werden im Abschnitt Deploy Webex for BroadWorks (Anwendungsserver mit Bereitstellungsdienst-URL konfigurieren) im Abschnitt Deploy Webex for BroadWorks (Anwendungsserver mit Bereitstellungsdienst-URL konfigurieren) detailliert beschrieben.

Mindestanforderungen

Konten:

Alle Abonnenten, die Sie für Webex bereitstellen, müssen im BroadWorks-System vorhanden sein, das Sie in Webex integrieren. Sie können bei Bedarf mehrere BroadWorks-Systeme integrieren.

Alle Abonnenten müssen über BroadWorks-Lizenzen und Hauptnummern verfügen.

Webex verwendet E-Mail-Adressen als primäre IDs für alle Benutzer. Wenn Sie Flowthrough-Bereitstellung mit vertrauenswürdigen E-Mails verwenden, müssen Ihre Benutzer gültige Adressen im E-Mail-Attribut in BroadWorks haben.

Falls Ihre Vorlage BroadWorks-Authentifizierung verwendet, können Sie die E-Mail-Adressen der Abonnenten in das Alternative ID-Attribut in BroadWorks kopieren. Dies ermöglicht Benutzern die Anmeldung bei Webex mit ihrer E-Mail-Adresse und ihren BroadWorks-Passwörtern.

Ihre Administratoren müssen ihre Webex-Konten verwenden, um sich bei Partner Hub anmelden zu können.

Netzwerk- und Softwareanforderungen für Server

  • BroadWorks-Instanz(n) mit mindester Version R21 SP1. Unterstützte Versionen und Patches finden Sie unter BroadWorks-Softwareanforderungen (in diesem Dokument). Siehe auch Lifecycle Management - BroadSoft Server.


    R21 SP1 wird nur bis Mitte 2021 unterstützt. Obwohl Sie Webex derzeit mit R21 SP1 integrieren können, empfehlen wir dringend, R22 oder höher für die Integration mit Webex zu verwenden.

  • Die BroadWorks-Instanz(n) sollte mindestens die folgenden Server umfassen:

    • Anwendungsserver (AS) mit BroadWorks-Version wie oben beschrieben

    • Netzwerkserver (NS)

    • Profilserver (PS)

  • Öffentliche XSP-Server oder Application Delivery Platform (ADP) erfüllen die folgenden Anforderungen:

    • Authentifizierungsdienst (TOKENAuth)

    • XSI-Aktionen und Ereignisschnittstellen

    • DMS (Geräteverwaltungs-Webanwendung)

    • CTI-Schnittstelle (Computer Telephony Intergration)

    • TLS 1.2 mit einem gültigen Zertifikat (nicht selbstsigniert) und allen Zwischenzertifikaten, die erforderlich sind. Erfordert System Level Admin, um die Unternehmenssuche zu erleichtern.

    • Mutual TLS (mTLS)-Authentifizierung für den Authentifizierungsdienst (erfordert, dass die öffentliche Cisco Webex-Client-Zertifikatskette als Vertrauensanker installiert ist)

    • Mutual TLS (mTLS) Authentifizierung für CTI-Schnittstelle (erfordert, dass die öffentliche Cisco Webex-Client-Zertifikatskette als Vertrauensanker installiert ist)

  • Ein separater XSP/ADP-Server, der als "Call Notifications Push Server" (ein NPS in Ihrer Umgebung zum Senden von Anrufbenachrichtigungen an Apple/Google) agiert. Wir nennen es hier "CNPS", um ihn vom Dienst in Webex zu unterscheiden, der Push-Benachrichtigungen für Nachrichten und Anwesenheit liefert.

    Dieser Server muss auf R22 oder höher sein.

  • Wir empfehlen einen separaten XSP/ADP-Server für CNPS, da sich die unvorandbare Last von Webex für ANDERE CLOUD-Verbindungen negativ auf die Leistung des NPS-Servers auswirken könnte, was auf die zunehmende Benachrichtigungslatenz hinaus führen kann. Weitere Informationen aufhttps://xchange.broadsoft.com/node/422649XSP-Skala finden Sie im Cisco BroadWorks System Engineering Guide ().

Physische Telefone und Zubehör

Geräteprofile

Dies sind die DTAF-Dateien, die Sie auf Ihre Anwendungsserver laden müssen, um Webex-Apps als Calling-Clients zu unterstützen. Es handelt sich dabei um dieselben DTAF-Dateien wie für UC-One SaaS, es gibt jedoch ein neuesconfig-wxt.xml.templateDatei, die für Webex-Apps verwendet wird.

Client-Name

Geräteprofiltyp und Paketname

Webex Mobil-Vorlage

https://xchange.broadsoft.com/support/uc-one/connect/software

Identitäts-/Geräteprofiltyp: Connect – Mobil

DTAF:ucone-mobile-ucaas-X.X.XX-wxt-MonthYear_DTAF.zip

Konfigurationsdatei:config-wxt.xml

Webex-Tablet-Vorlage

https://xchange.broadsoft.com/support/uc-one/connect/software

Identitäts-/Geräteprofiltyp: Verbinden – Tablet

DTAF:ucone-tablet-ucaas-X.X.XX-wxt-MonthYear_DTAF.zip

Konfigurationsdatei:config-wxt.xml

Webex-Desktopvorlage

https://xchange.broadsoft.com/support/uc-one/communicator/software

Identitäts-/Geräteprofiltyp: Business Communicator – PC

DTAF:ucone-desktop-ucaas-X.X.XX-wxt-MonthYear_DTAF.zip

Konfigurationsdatei:config-wxt.xml

Bestellzertifikate

Zertifikatsanforderungen für die TLS-Authentifizierung

Sie benötigen für alle erforderlichen Anwendungen Sicherheitszertifikate, die von einer bekannten Zertifizierungsstelle signiert und auf Ihren Public Facing XSPs bereitgestellt wurden. Diese werden verwendet, um die TLS-Zertifikatsverifizierung für alle eingehenden Verbindungen zu Ihren XSP-Servern zu unterstützen.

Diese Zertifikate sollten Ihre XSP-Public-vollqualifizierter Domänenname Subject Common Name oder Subject Alternate Name (Alternativer Betreffname) enthalten.

Die genauen Anforderungen für die Bereitstellung dieser Serverzertifikate hängen von der Bereitstellung Ihrer öffentlichen XSPs ab:

  • Über einen TLS-Bridge-Proxy

  • Über einen TLS-Pass-Through-Proxy

  • Direkt zum XSP

Das folgende Diagramm fasst zusammen, wo das ca-signierte öffentliche Serverzertifikat in den folgenden drei Fällen geladen werden muss:

Die öffentlich unterstützten Zertifizierungsstellen, die von der Webex-App für die Authentifizierung unterstützt werden, sind unter Unterstützte Zertifizierungsstellen für Cisco Webex-Diensteaufgeführt.

TLS-Zertifikatanforderungen für TLS-Bridge-Proxy

  • Das öffentlich signierte Serverzertifikat wird in den Proxy geladen.

  • Der Proxy präsentiert dieses öffentlich signierte Serverzertifikat an Webex.

  • Webex vertraut der öffentlichen Zertifizierungsstelle, die das Serverzertifikat des Proxy signiert hat.

  • Ein internes CA-signiertes Zertifikat kann auf den XSP geladen werden.

  • Der XSP stellt dieses intern signierte Serverzertifikat dem Proxy vor.

  • Der Proxy vertraut der internen Zertifizierungsstelle, die das XSP-Serverzertifikat signiert hat.

TLS-Zertifikatanforderungen für TLS-Passthrough-Proxy oder XSP im DMZ

  • Das öffentlich signierte Serverzertifikat wird in die XSPs geladen.

  • Die XSPs präsentieren Webex öffentlich signierte Serverzertifikate.

  • Webex vertraut der öffentlichen Zertifizierungsstelle, die die XSPs-Serverzertifikate signiert hat.

Zusätzliche Zertifikatanforderungen für die Mutual TLS-Authentifizierung über CTI-Schnittstelle

Beim Herstellen einer Verbindung zur CTI-Schnittstelle stellt Cisco Webex im Rahmen der Mutual TLS-Authentifizierung ein Client-Zertifikat bereit. Das CA-/Kette-Zertifikat des Webex-Clients steht über Control Hub zum Download zur Verfügung.

So laden Sie das Zertifikat herunter:

Melden Sie sich bei Partner Hub an, rufen Sie einstellungen > BroadWorks Calling auf und klicken Sie auf den Link Zertifikat herunterladen.

Die genauen Anforderungen für die Bereitstellung dieser Webex CA-Zertifikatskette hängen von der Bereitstellung Ihrer öffentlichen XSPs ab:

  • Über einen TLS-Bridge-Proxy

  • Über einen TLS-Pass-Through-Proxy

  • Direkt zum XSP

Das folgende Diagramm fasst die Zertifikatsanforderungen in den folgenden drei Fällen zusammen:

Abbildung 1. mTLS-Zertifikatsaustausch für CTI über verschiedene Edge-Konfigurationen

(Option) Zertifikatsanforderungen für TLS-Bridge-Proxy

  • Webex stellt dem Proxy ein öffentlich signiertes Client-Zertifikat vor.

  • Der Proxy vertraut der internen Cisco-Zertifizierungsstelle, die das Client-Zertifikat signiert hat. Sie können diese CA/Kette vom Control Hub herunterladen und zum Vertrauensspeicher des Proxys hinzufügen. Das öffentlich signierte XSP-Serverzertifikat wird ebenfalls in den Proxy geladen.

  • Der Proxy stellt das öffentlich signierte Serverzertifikat an Webex vor.

  • Webex vertraut der öffentlichen Zertifizierungsstelle, die das Serverzertifikat des Proxy signiert hat.

  • Der Proxy stellt den XSPs ein intern signiertes Client-Zertifikat vor.

    Bei diesem Zertifikat muss das Feld erweiterte Schlüsselverwendung x509.v3 mit der BroadWorks-OID 1.3.6.1.4.1.6431.1.1.8.2.1.3 und dem Zweck der TLS-Clientauthentifizierung ausgefüllt sein. E.g.:

    X509v3 extensions:
        X509v3 Extended Key Usage:
            1.3.6.1.4.1.6431.1.1.8.2.1.3, TLS Web Client Authentication

    Der CN des internen Zertifikats muss auf bwcticlient.webex.com.


    • Beachten Sie beim Generieren interner Client-Zertifikate für den Proxy, dass SAN-Zertifikate nicht unterstützt werden. Interne Serverzertifikate für das XSP können SAN sein.

    • Öffentliche Zertifizierungsstellen sind möglicherweise nicht bereit, Zertifikate mit der proprietären BroadWorks-OID zu signieren, die erforderlich ist. Im Falle eines Bridge-Proxys müssen Sie möglicherweise eine interne CA verwenden, um das Client-Zertifikat zu signieren, das der Proxy dem XSP präsentiert.

  • Die XSPs vertrauen der internen Zertifizierungsstelle.

  • Die XSPs stellen ein intern signiertes Serverzertifikat vor.

  • Der Proxy vertraut der internen Zertifizierungsstelle.

  • Die ClientIdentity des Anwendungsservers enthält den CN des intern signierten Client-Zertifikats, das dem XSP vom Proxy vorgelegt wird.

(Option) Zertifikatsanforderungen für TLS-Passthrough-Proxy oder XSP im DMZ

  • Webex stellt den XSPs ein von Cisco internes CA-signiertes Client-Zertifikat vor.

  • Die XSPs vertrauen der internen Cisco-Zertifizierungsstelle, die das Client-Zertifikat signiert hat. Sie können diese CA/Kette vom Control Hub herunterladen und zum Vertrauensspeicher des Proxys hinzufügen. Das öffentlich signierte XSP-Serverzertifikat wird ebenfalls in die XSPs geladen.

  • Die XSPs präsentieren die öffentlich signierten Serverzertifikate an Webex.

  • Webex vertraut der öffentlichen Zertifizierungsstelle, die die XSPs-Serverzertifikate signiert hat.

  • Die ClientIdentity des Anwendungsservers enthält den CN des cisco-signierten Client-Zertifikats, das XSP von Webex präsentiert wird.

Netzwerk vorbereiten

Verbindungskarte

Das folgende Diagramm stellt die Integrationspunkte dar. Das Diagramm zeigt an, dass Sie IPs und Ports auf Verbindungen zur und aus Ihrer Umgebung überprüfen müssen. Die von Webex für BroadWorks verwendeten Verbindungen sind in den folgenden Tabellen beschrieben.

Die Firewall-Anforderungen für die normale Funktion der Client-Anwendung werden jedoch als Referenz aufgeführt, da sie bereits auf dem help.webex.com.

Konfiguration der Firewall

In der Karte Connection Map (Verbindung) und in den folgenden Tabellen werden die Verbindungen und Protokolle beschrieben, die zwischen den Clients (ein- oder aus dem Kundennetzwerk), Ihrem Netzwerk und der Webex-Plattform erforderlich sind.

Wir dokumentieren nur die Webex-spezifischen Verbindungen für BroadWorks. Wir zeigen keine allgemeinen Verbindungen zwischen der Webex-App und der Webex-Cloud, die dokumentiert sind unter:

EMEA-Gress-Regeln

(In Ihr Netzwerk)

Zweck Quelle Protokoll Ziel Zielport

WebexCloud

CTI/Auth/XSI

18.196.116.47

35.156.83.118

35.158.206.190

44.232.54.0

52.39.97.25

54.185.54.53

69.26.160.0/19

144.254.96.0/20

173.37.32.0/20

216.151.128.0/19

HTTPS

Cti

Ihr XSP

TCP/TLS 8012

443

Webex-App

Xsi/DMS

Alle

HTTPS

Ihr XSP

443

Webex-App VoIP SIP-Endpunkte

Alle

SIP

Ihr SBC

SP-definiertes Protokoll und Port

TCP/UDP


Es ist dringend ratsam, dass der SIP-Port von 5060 abgesehen wird (z. B. 5075), aufgrund von bekannten Problemen mit der Verwendung des Standard-SIP-Ports (5060) bei mobilen Geräten.

EMEA Egress-Regeln

(Nicht in Ihrem Netzwerk)

Zweck

Quelle

Protokoll

Ziel

Zielport

Benutzerbereitstellung über APIs

Ihr Anwendungsserver

HTTPS

webexapis.com

443

Proxy-Pushbenachrichtigungen (Produktionsservice)

Ihr NPS-Server

HTTPS

https://nps.uc-one.broadsoft.com/

ODER 34.64.0.0/10, 35.208.0.0/12, 35.224.0.0/12, 35.240.0.0/13

443

Webex-Gemeinsame Identität

Ihr NPS-Server

HTTPS

https://idbroker-eu.webex.com

443

APNS- und FCM-Dienste

Ihr NPS-Server

HTTPS

JedeIP-Adresse *

443

Proxy-Pushbenachrichtigungen (Produktionsservice)

Webex-Gemeinsame Identität

APNS- und FCM-Dienste

Ihr NPS-Server

HTTPS

https://nps.uc-one.broadsoft.com/ *

https://idbroker-eu.webex.com

JedeIP-Adresse *

443

Benutzerbereitstellung über BroadWorks-Bereitstellungsadapter

Ihr BroadWorks AS

HTTPS

https://broadworks-Provisioning-bridge-*.wbx2.com/

(wobei * ein beliebiger Buchstabe sein könnte. Die genaue Bereitstellungs-URL ist in der im Partner Hub erstellten Vorlage verfügbar.)

443

† Diese Bereiche enthalten die Hosts für den NPS-Proxy, aber wir können die genauen Adressen nicht geben. Die Bereiche können auch Hosts enthalten, die nicht mit Webex für BroadWorks in Verbindung stehen. Wir empfehlen Ihnen, Ihre Firewall so zu konfigurieren, dass der Datenverkehr zum NPS-Proxy FQDN zulässig ist, um sicherzustellen, dass Ihre Egress nur den Hosts gegenüber ist, die wir dem NPS-Proxy aussetzen.

* APNS und FCM haben keinen festen Satz von IP-Adressen.

US-Gress-Regeln

(In Ihr Netzwerk)

Zweck

Quelle

Protokoll

Ziel

Zielport

WebexCloud

CTI/Auth/XSI

13.58.232.148

18.217.166.80

18.221.216.175

44.232.54.0

52.39.97.25

54.185.54.53

69.26.160.0/19

144.254.96.0/20

173.37.32.0/20

216.151.128.0/19

HTTPS

Cti

Ihr XSP

TCP/TLS 8012

TLS 443

Webex-App   

Xsi/DMS

Alle

HTTPS

Ihr XSP

443

Webex App VoIP SIP-Endpunkte

Alle

SIP

Ihr SBC

SP-definiertes Protokoll und Port

TCP/UDP


Es ist dringend ratsam, dass der SIP-Port von 5060 abgesehen wird (z. B. 5075), aufgrund von bekannten Problemen mit der Verwendung des Standard-SIP-Ports (5060) bei mobilen Geräten.

USA – Egressregeln

(Nicht in Ihrem Netzwerk)

Zweck

Quelle

Protokoll

Ziel

Zielport

Benutzerbereitstellung über APIs

Ihr Anwendungsserver

HTTPS

webexapis.com

443

Proxy-Pushbenachrichtigungen (Produktionsservice)

Ihr NPS-Server

HTTPS

https://nps.uc-one.broadsoft.com/

ODER 34.64.0.0/10, 35.208.0.0/12, 35.224.0.0/12, 35.240.0.0/13

443

Webex-Gemeinsame Identität

Ihr NPS-Server

HTTPS

https://idbroker.webex.com

https://idbroker-b-us.webex.com

443

APNS- und FCM-Dienste

Ihr NPS-Server

HTTPS

JedeIP-Adresse *

443

Benutzerbereitstellung über BETEKS-Bereitstellungsadapter

Ihr BroadWorks AS

HTTPS

https://broadworks-Provisioning-bridge-*.wbx2.com/

(wobei * ein beliebiger Buchstabe sein könnte. Die genaue Bereitstellungs-URL ist in der im Partner Hub erstellten Vorlage verfügbar.)

443

† Diese Bereiche enthalten die Hosts für den NPS-Proxy, aber wir können die genauen Adressen nicht geben. Die Bereiche können auch Hosts enthalten, die nicht mit Webex für BroadWorks in Verbindung stehen. Wir empfehlen Ihnen, Ihre Firewall so zu konfigurieren, dass der Datenverkehr zum NPS-Proxy FQDN zulässig ist, um sicherzustellen, dass Ihre Egress nur den Hosts gegenüber ist, die wir dem NPS-Proxy aussetzen.

* APNS und FCM haben keinen festen Satz von IP-Adressen.

DNS-Konfiguration

Webex für BroadWorks-Clients muss in der Lage sein, Ihre BroadWorks XSP-Server für die Authentifizierung, Autorisierung, Anrufsteuerung und Geräteverwaltung zu finden.

Die Webex-Cloud-Microservices müssen Ihre BroadWorks XSP-Server finden können, um eine Verbindung mit den Xsi-Schnittstellen und dem Authentifizierungsdienst herzustellen.

Möglicherweise müssen Sie mehrere DNS-Einträge aufzeichnen, wenn Sie unterschiedliche XSP-Server für verschiedene Zwecke verwenden.

Wie Cisco Webex Cloud XSP-Adressen findet

Cisco Webex Clouddienste führen eine DNS A/AAAA-Suche des konfigurierten XSP-Hostnamens durch und verbinden sich mit der zurückgegebenen IP-Adresse. Dies kann ein Edge-Element beim Lastenausgleich sein oder der XSP-Server selbst. Wenn mehrere IP-Adressen zurückgegeben werden, wird der ursprüngliche Eintrag in der Liste ausgewählt.

In den Beispielen 2 und 3 unten werden A/AAAA-Datensätze zu einzelnen und mehreren IP-Adressen erfasst.

So finden Webex-Apps XSP-Adressen

Der Client versucht, die XSP-Knoten anhand des folgenden DNS-Ablaufs zu finden:

  1. Der Client ruft zu Beginn Xsi-Actions-/Xsi-Events-URLs aus Cisco Webex Cloud ab (sie wurden beim Erstellen des zugehörigen BroadWorks-Anrufclusters eingegeben). Der Xsi-Hostname/die Domäne wird über die URL analysiert und der Client führt SRV wie folgt aus:

    1. Client führt eine SRV Suche durch_xsi-client._tcp.<xsi domain>

      (Siehe folgendes Beispiel 1)

    2. Wenn die SRV-Suche ein oder mehrere Ziele wiedergibt:

      Der Client sucht nach diesen Zielen und speichert die zurückgegebenen IP-Adressen.


      Jeder A/AAAA-Datensatz muss einer IP-Adresse zuordnen. Wir empfehlen diese Konfiguration, da die XSI-Ereignis-Heartbeats des Clients an dieselbe IP-Adresse gehen müssen, die zum Einrichten des Event-Channels verwendet wird.

      Wenn Sie den A/AAAA-Namen mehr als einer IP-Adresse zuordnen, sendet der Client letztendlich Heartbeats an eine Adresse, an die er keinen Event-Kanal richtete. Dies führt zu einem Abbruch des Channels und zu einem erheblichen internen Datenverkehr, der die Leistungsfähigkeit Ihres XSP-Clusters beeinträchtigt.

      Der Client verbindet sich mit einem der Ziele (und somit mit seinem A/AAAA-Datensatz mit einer einzigen IP-Adresse) basierend auf der SRV-Priorität und anschließend mit der Gewichtung (oder zufällig, wenn alle gleich sind).

    3. Wenn die SRV-Suche keine Ziele enthält:

      Der Client sucht nach dem Xsi-Stammparameter und versucht, eine Verbindung zur zurückgegebenen IP-Adresse herzustellen. Dies kann ein Edge-Element beim Lastenausgleich sein oder der XSP-Server selbst.

      Wie bereits erwähnt, muss der A/AAAA-Datensatz aus denselben Gründen in eine IP-Adresse auflösen.

      (Siehe folgendes Beispiel 2)

  2. (Optional) Sie können anschließend unter Verwendung der folgenden Tags benutzerdefinierte XSI-Actions/XSI-Events-Details in der Gerätekonfiguration für die Webex-App bereitstellen:

    
    <protocols>
        <xsi>
            <paths>
                <root>%XSI_ROOT_WXT%</root>
                <actions>%XSI_ACTIONS_PATH_WXT%</actions>
                <events>%XSI_EVENTS_PATH_WXT%</events>
            </paths>
        </xsi>
    </protocols>
    1. Diese Konfigurationsparameter haben Vorrang vor jeder Konfiguration in Ihrem BroadWorks-Cluster im Control Hub.

    2. Wenn sie vorhanden sind, vergleicht der Client die ursprüngliche XSI-Adresse, die sie über die BroadWorks-Clusterkonfiguration erhalten haben.

    3. Wenn ein Unterschied festgestellt wird, initialisiert der Client seine XSI Actions/XSI Events-Konnektivität erneut. Der erste Schritt dabei besteht im Durchführen des gleichen DNS-Abfragevorgangs, der in Schritt 1 aufgeführt ist. Dieses Mal wird eine Suche nach dem Wert im%XSI_ROOT_WXT%Parameter aus der Konfigurationsdatei.


      Stellen Sie sicher, dass die entsprechenden Aufzeichnungen SRV, wenn Sie diesen Tag verwenden, um die Xsi-Schnittstellen zu ändern.

DNS-Beispieldatensätze

Tabelle 1: Beispiel 1: DNS SRV datensätze für die Erkennung mehrerer XSP-Server mit Internet-Zugang durch Webex-Apps (SRV-Suche wird noch nicht von Webex für BroadWorks-Cloud-Microservices unterstützt)

Aufzeichnungstyp

Aufzeichnen

Ziel

Zweck

SRV

_xsi-client._tcp.your-xsp.example.com.

xsp01.example.com

Client-Erkennung von Xsi-Schnittstelle

SRV

_xsi-client._tcp.your-xsp.example.com.

xsp02.example.com

Client-Erkennung von Xsi-Schnittstelle

A

xsp01.example.com.

198.51.100.48

Suchen von XSP-IP

A

xsp02.example.com.

198.51.100.49

Suchen von XSP-IP

Tabelle 2. Beispiel 2: DNS A Record for Discovery von XSP-Serverpool vor dem Lastenausgleichsserver durch Webex-Apps oder Webex-Cloud-Microservices

Aufzeichnungstyp

Name

Ziel

Zweck

A

your-xsp.example.com.

198.51.100.50

Suchen der IP-Adresse des Edge-Lastenausgleichs

Tabelle 3. Beispiel 3: DNS A Record for Discovery des Round-Robin-gekoppelten Internet-XSP-Serverpools durch Webex-Cloud-Microservices (nicht von Webex-Apps unterstützt)

Aufzeichnungstyp

Name

Ziel

Zweck

A

your-xsp.example.com.

198.51.100.48

Suchen von XSP-IP

A

your-xsp.example.com.

198.51.100.49

Suchen von XSP-IP


Wenn Sie Ihren DNS A/AAAA-Datensatz mehreren IP-Adressen zuordnen (um redundante Verbindungen für die Microservices zu ermöglichen, wie in der vorherigen Tabelle gezeigt), dann dürfen Sie nicht denselben A/AAAA-Datensatz wie die XSI-Adresse des Clients verwenden.

In diesem Fall können Sie einen SRV-Eintrag für die Clients konfigurieren (wie in Tabelle 1 oben gezeigt). Die SRV muss jedoch zu einem anderen Satz von A/AAAA-Datensätzenauflösen. Wie bereits erwähnt, müssen diese A/AAAA-Datensätze jeweils einer IP-Adresse zuordnen.

DNS-Empfehlungen für XSP-Knoten

  • Sie sollten einen einzelnen A/AAAA-Datensatz verwenden, wenn Sie einen Lastenausgleich-Reverseproxy zu den XSP-Servern lösen müssen.

  • Sie sollten round-robin A/AAAA-Aufzeichnungen nur verwenden, wenn:

    • Sie verfügen über mehrere internetorientierte XSP-Server, nach denen die Webex-Microservices suchen können.

    • Sie verwenden nicht die Round-Robin-A/AAAA-Datensätze, um die XSI-Adresse des Kunden zu auflösen.

  • Sie müssen DNS Service Discovery verwenden, wenn Sie:

    • Verzeichnissuche in Umgebungen mit mehreren XSPs benötigt.

    • Verfügen Sie über bereits vorhandene Integrationen, die eine SRV erfordern.

    • Eindeutige Konfigurationen für A/AAAA-Standarddatensätze, die nicht ausreichend sind.