Arquitectura

Descripción general de Webex para BroadWorks

¿Qué se encuentra en el diagrama?

Clientes

  • El cliente de aplicaciones de Webex se utiliza como la aplicación principal en Webex para las ofertas de Cisco BroadWorks. El cliente está disponible en plataformas web, móviles y de escritorio.

    El cliente tiene reuniones nativas de mensajería, presencia y audio/vídeo entre varias partes proporcionadas por la nube de Webex. El cliente de Webex utiliza su infraestructura de BroadWorks para sip y PSTN llamadas.

  • Los teléfonos IP de Cisco y accesorios relacionados también utilizan su infraestructura de BroadWorks para llamadas SIP PSTN red. Esperamos poder admitir teléfonos de otros proveedores.

  • Portal de activación de usuarios para que los usuarios inicien sesión en Webex con sus credenciales de BroadWorks.

  • Partner Hub es una interfaz web para administrar su organización de Webex y las organizaciones de sus clientes. El Concentrador del socio es el lugar donde usted configura la integración entre su infraestructura de BroadWorks y Webex. También puede utilizar Partner Hub para administrar la configuración y la facturación de clientes.

Proveedor de servicios de red

El bloque verde a la izquierda del diagrama representa su red. Los componentes alojados en su red proporcionan los siguientes servicios e interfaces a otras partes de la solución:

  • XSP|ADP orientado al público, para Webex para Cisco BroadWorks: (La caja representa una o varias granjas XSP|ADP, posiblemente encabezadas por niveladores de carga).

    • Organiza la interfaz de servicios Xtended (XSI-Actions & XSI-Events), el dispositivo Servicio de administración (DMS), la interfaz CTI y el servicio de autenticación. Juntos, estas aplicaciones permiten que los teléfonos y clientes de Webex se autentiquen, descarguen sus archivos de configuración de llamadas, realicen y reciban llamadas, y vean el estado de enlace de los demás (presencia de telefonía) y historial de llamadas.

    • Publica el directorio en los clientes de Webex.

  • XSP|ADP orientada al público, que ejecuta NPS:

    • notificaciones de llamada del host Servidor de push: Un servidor de push de notificación en un ADP XSP|en su entorno. Se interfaces entre su servidor de aplicaciones y nuestro proxy NPS. El proxy provee tokens de breve duración a su NPS para autorizar las notificaciones a los servicios en la nube. Estos servicios (APNS & FCM) envían notificaciones de llamadas a los clientes de Webex en dispositivos Apple iOS y Google Android.

  • Servidor de aplicaciones:

    • Proporciona control de llamadas e interfaces a otros sistemas de BroadWorks (generalmente)

    • Para el aprovisionamiento de flujo, el administrador del socio utiliza el AS para aprovisionar a los usuarios en Webex

    • Inserta perfil de usuario a BroadWorks

  • SO/BSS: Su sistema de soporte de operaciones/servicios SIP empresariales para administrar sus empresas de BroadWorks.

Nube de Webex

El bloque azul del diagrama representa la nube de Webex. Los microservicios de Webex admiten el gama completa de las capacidades de colaboración de Webex:

  • Cisco Common Identity (CI) es la servicio de identidad dentro de Webex.

  • Webex para Cisco BroadWorks representa el conjunto de microservicios que admiten la integración entre Webex y Proveedor de servicios BroadWorks alojado:

    • API de aprovisionamiento de usuarios

    • Proveedor de servicios de la aplicación

    • Inicio de sesión del usuario mediante credenciales de BroadWorks

  • Cuadro de mensajes de Webex para microservicios relacionados con la mensajería.

  • Webex Meetings que representa servidores de procesamiento de medios y SBC para reuniones de vídeo con varios participantes (SIP & SRTP)

Servicios web de terceros

En el diagrama se representan los siguientes componentes de terceros:

  • APNS (Servicio de notificaciones de push de Apple) envía notificaciones de llamadas y mensajes a las aplicaciones de Webex en los dispositivos Apple.

  • FCM (FireBase Cloud Messaging) envía notificaciones de llamadas y mensajes a las aplicaciones de Webex en dispositivos Android.

Consideraciones de la arquitectura de XSP|ADP

La función de los servidores ADP XSP|orientados al público en Webex para Cisco BroadWorks

El XSP|ADP orientado al público en su entorno proporciona las siguientes interfaces/servicios a Webex y a los clientes:

  • Servicio de autenticación (AuthService), asegurada por TLS, que responde a solicitudes de Webex de BroadWorks JWT (token de web JSON) a nombre del usuario

  • Interfaz CTI, asegurada por mTLS, a la que Webex se suscribe para los eventos historial de llamadas y estado de presencia de telefonía de BroadWorks (estado de enlace).

  • Interfaces de eventos y acciones de Xsi (interfaz de servicios eXtended) para el control de llamadas suscriptores, directorios de listas de contactos y llamadas y configuración del servicio de telefonía del usuario final

  • Servicio DM (Administración de dispositivos) para que los clientes recuperen sus archivos de configuración de llamadas

Proporcione DIRECCIONES URL para estas interfaces cuando configure Webex para Cisco BroadWorks. (Consulte Configurar sus grupos de BroadWorks en el concentrador de socios en este documento). Para cada grupo, solo puede proporcionar una URL para cada interfaz. Si tiene varias interfaces en su infraestructura de BroadWorks, puede crear varios grupos.

Arquitectura XSP|ADP

XSP|Arquitectura de ADP: Opción 1
XSP|Arquitectura de ADP: Opción 2

Le solicitamos que utilice una instancia o una granja XSP|ADP dedicada y aparte para alojar su aplicación NPS (Servidor de envío de notificaciones). Puede utilizar los mismos NPS con SaaS de UC-One o UC-One Collaborate. Sin embargo, no puede alojar las otras aplicaciones necesarias para Webex para Cisco BroadWorks en el mismo ADP XSP|que aloja la aplicación NPS.

Le recomendamos que utilice una instancia/granja de ADP XSP|exclusiva para alojar las aplicaciones necesarias para la integración de Webex por los siguientes motivos.

  • Por ejemplo, si está ofreciendo UC-One SaaS, le recomendamos que cree una nueva granja XSP|ADP para Webex para Cisco BroadWorks. De esta manera, los dos servicios pueden operar de manera independiente mientras migra a los suscriptores.

  • Si coloca las aplicaciones de Webex para Cisco BroadWorks en una granja XSP|ADP que se utiliza con otros fines, es su responsabilidad monitorear el uso, administrar la complejidad resultante y planificar el aumento de escala.

  • El Planificador de capacidad del sistema de Cisco BroadWorks asume una granja XSP|ADP dedicada y es posible que no sea exacta si la utiliza para cálculos de ubicación.

A menos que se indique lo contrario, los ADP exclusivos de Webex para Cisco BroadWorks XSP|deben alojar las siguientes aplicaciones:

  • Servicio de autenticación (TLS con validación de token de CI o mTLS)

  • CTI (mTLS)

  • Acciones XSI (TLS)

  • XSI-Events (TLS)

  • DMS (TLS): opcional. No es obligatorio que implemente una instancia o una granja de DMS por separado específicamente para Webex para Cisco BroadWorks. Puede utilizar la misma instancia de DMS que utiliza para UC-One SaaS o UC-One Collaborate.

  • Configuración de llamadas Webview (TLS): opcional. La configuración de llamadas Webview (CSW) solo es necesaria si desea que los usuarios de Webex para Cisco BroadWorks puedan configurar las características de llamadas en la aplicación de Webex.

Webex requiere acceso a CTI a través de una interfaz asegurada por TLS mutuo autenticación. Para admitir este requisito, recomendamos una de estas opciones:

  • (Diagrama etiquetado Opción 1) Una instancia o granja de ADP XSP|para todas las aplicaciones, con dos interfaces configuradas en cada servidor: una interfaz mTLS para CTI y una interfaz TLS para otras aplicaciones como AuthService.

  • (Diagrama etiquetado Opción 2) Dos instancias o granjas de ADP XSP|, una con una interfaz mTLS para CTI y la otra con una interfaz TLS para otras aplicaciones, como AuthService.

Reutilización de ADP|XSP

Si ya tiene una granja ADP XSP|que cumple con una de las arquitecturas sugeridas anteriormente (opción 1 o 2) y está ligeramente cargada, es posible volver a utilizar sus ADP XSP|existentes. Deberá verificar que no haya requisitos de configuración contradictorios entre las aplicaciones existentes y los requisitos de las nuevas aplicaciones para Webex. Las dos consideraciones principales son:

  • Si necesita admitir varias organizaciones de socios de Webex en el ADP XSP|, significa que debe utilizar mTLS en el servicio de autenticación (La validación de token de CI solo es compatible con una sola organización de socio en un ADP XSP|). Si utiliza mTLS en el servicio de autenticación, significa que no puede tener clientes que estén utilizando autenticación básica en el servicio de autenticación al mismo tiempo. Esta situación impediría la reutilización de XSP|ADP.

  • Si el servicio CTI existente está configurado para que lo utilicen los clientes con el puerto seguro (habitualmente 8012) pero sin mTLS (es decir, autenticación de cliente), entonces esto entrará en conflicto con el requisito de Webex de tener mTLS.

Debido a que los ADP XSP|tienen muchas aplicaciones y la cantidad de permutaciones de estas aplicaciones es grande, puede haber otros conflictos no identificados. Por este motivo, cualquier posible reutilización de los ADP de XSP|debe verificarse en un laboratorio con la configuración prevista antes de comprometerse con la reutilización.

Configurar la sincronización de NTP en XSP|ADP

La implementación requiere una sincronización de la hora para todos los ADP XSP|que utiliza con Webex.

Instale el paquete ntp después de instalar el SO y antes de instalar el software BroadWorks. A continuación, puede configurar NTP durante la instalación del software XSP|ADP. Consulte la Guía de administración del software de BroadWorks para obtener más detalles.

Durante la instalación interactiva del software XSP|ADP, se le ofrece la opción de configurar NTP. Continúe como se muestra a continuación:

  1. Cuando el instalador le solicite, ¿desea configurar NTP?, introduzca y .

  2. Cuando el instalador le pregunte, ¿Este servidor será un servidor NTP?, introduzca n .

  3. Cuando el instalador le pregunte, ¿Cuál es la dirección NTP, el nombre de host o FQDN? , introduzca la dirección de su servidor NTP o de un servicio NTP público; por ejemplo, pool.ntp.org.

Si sus ADP XSP|utilizan la instalación silenciosa (no interactiva), el archivo de configuración del programa de instalación debe incluir los siguientes pares Clave=Valor:

NTP
NTP_SERVER=

XSP|Requisitos de identidad y seguridad de ADP

Fondo

Los protocolos y cifrados de las conexiones TLS de Cisco BroadWorks se pueden configurar en diferentes niveles de especificidad. Estos niveles van desde el más general (proveedor de SSL) al más específico (interfaz individual). Una configuración más específica siempre reemplaza una configuración más general. Si no se especifican, las configuraciones de SSL de un nivel "más bajo" se heredan de los niveles "más altos".

Si no se modifica ninguna configuración de sus valores predeterminados, todos los niveles heredan la configuración predeterminada del proveedor de SSL (Extensión de sockets seguros para Java JSSE).

Lista de requisitos

  • El ADP XSP|debe autenticarse ante los clientes mediante un certificado firmado por una CA en el que el Nombre común o el Nombre alternativo del sujeto coincidan con la parte del dominio de la interfaz de XSI.

  • La interfaz Xsi debe admitir el protocolo TLSv1.2.

  • La interfaz de Xsi debe utilizar una suite de cifrado que cumpla con los siguientes requisitos.

    • Diffie-Hellman Ephemeral (DHE) o Diffie-Hellman Ephemeral (ECDHE) de curvas elípticas

    • Cifrado AES (Estándar de cifrado avanzado) con un tamaño mínimo de bloque de 128 bits (por ejemplo, AES-128 o AES-256)

    • GCM (Modo Galois/Contador) o Modo de cifrado CBC (Encadenamiento de bloqueo de cifrado)

      • Si se utiliza un cifrado CBC, solo la familia de funciones hash SHA2 se permite para la derivación de claves (SHA256, SHA384, SHA512).

Por ejemplo: los siguientes cifrados cumplen los requisitos:

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

La CLI de ADP XSP|requiere la convención de nomenclatura IANA para los conjuntos de cifrado, como se muestra anteriormente, no la convención openSSL.

Cifrados TLS compatibles para las interfaces AuthService y XSI

Esta lista está sujeta a cambios a medida que nuestros requisitos de seguridad en la nube se modifican. Siga la recomendación actual de seguridad en la nube de Cisco para la selección de cifrado, como se describe en la lista de requisitos de este documento.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

  • TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

  • TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_PSK_WITH_AES_256_CBC_SHA384

  • TLS_PSK_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_PSK_WITH_AES_128_CBC_SHA256

  • TLS_PSK_WITH_AES_128_CBC_SHA

Parámetros de escala de eventos Xsi

Es posible que deba aumentar el tamaño de la cola de Xsi-Events y el recuento de hilos para manejar el volumen de eventos que requiere la solución de Webex para Cisco BroadWorks. Puede aumentar los parámetros a los valores mínimos que se muestran de la siguiente manera (no disminuirlos si están por encima de estos valores mínimos):

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventQueueSize = 2000

CLI/Applications/Xsi-Events/BWIntegration de XSP|ADP_> eventHandlerThreadCount = 50

Varios ADP|de XSP

Elemento de límite de nivelador de carga

Si tiene un elemento de nivelador de carga en su borde de red, debe manejar en forma transparente la distribución del tráfico entre sus múltiples servidores ADP XSP|y la nube y los clientes de Webex para Cisco BroadWorks. En este caso, debe proporcionar la URL del balanceador de carga a Webex para la configuración de Cisco BroadWorks.

Notas sobre esta arquitectura:

  • Configure DNS para que los clientes puedan encontrar el equilibrio de carga al conectarse a la interfaz Xsi (consulte Configuración de DNS).

  • Le recomendamos que configure el elemento de límite en el modo de proxy de SSL inverso para garantizar el cifrado de datos de punto a punto.

  • Los certificados de XSP|ADP01 y XSP|ADP02 deben tener el dominio XSP|ADP, por ejemplo su-XSP|ADP.example.com, en el nombre alternativo del sujeto. Deben tener sus propios FQDN, por ejemplo, XSP|ADP01.example.com, en el nombre común. Puede utilizar certificados comodín, pero no los recomendamos.

Servidores ADP XSP|Orientados a Internet

Si expone las interfaces Xsi directamente, utilice DNS para distribuir el tráfico a los múltiples servidores ADP XSP|XSP.

Notas sobre esta arquitectura:

  • Se requieren dos registros para conectarse a los servidores ADP XSP|:

    • Para los microservicios de Webex: Se requieren registros A/AAAA rotativos para apuntar a las múltiples direcciones IP de ADP XSP|XSP. Esto se debe a que los microservicios de Webex no pueden realizar búsquedas de SRV. Para obtener ejemplos, consulte Servicios en la nube de Webex.

    • Para la aplicación de Webex: Un registro de SRV que se resuelve en A registros en los que cada registro A se resuelve en un único ADP XSP|. Para obtener ejemplos, consulte Aplicación de Webex.

      Utilice registros SRV priorizados para dirigirse al servicio XSI para las múltiples direcciones XSP|ADP. Dé prioridad a sus registros SRV para que los microservicios siempre vayan al mismo registro A (y a la dirección IP subsiguiente) y solo se moverán al siguiente registro A (y a la dirección IP) si la primera dirección IP no está disponible. NO utilice un enfoque rotativo para la aplicación Webex.

  • Los certificados de XSP|ADP01 y XSP|ADP02 deben tener el dominio XSP|ADP, por ejemplo su-XSP|ADP.example.com, en el nombre alternativo del sujeto. Deben tener sus propios FQDN, por ejemplo, XSP|ADP01.example.com, en el nombre común.

  • Puede utilizar certificados comodín, pero no los recomendamos.

Evitar redireccionamientos HTTP

En ocasiones, el DNS se configura para resolver la URL de XSP|ADP a un nivelador de carga HTTP, y el nivelador de carga se configura para redireccionar a través de un proxy inverso a los servidores XSP|ADP.

Webex no sigue un redireccionamiento cuando se conecta a las URL que proporciona, por lo que esta configuración no funciona.

Arquitectura e infraestructura

  • ¿Con qué tipo de escala desea comenzar? Es posible escalar en el futuro, pero la estimación del uso actual debería impulsar la planificación de la infraestructura.

  • Trabaje con su gerente de cuentas/representante de ventas de Cisco para dimensionar su infraestructura ADP XSP|de acuerdo con el Planificador de capacidad del sistema de Cisco BroadWorks y la Guía de ingeniería del sistema de Cisco BroadWorks.

  • ¿Cómo hará Webex conexiones de TLS mutuo con sus ADP XSP|? ¿Directamente a XSP|ADP en una DMZ o a través del proxy TLS? Esto afecta a la administración de certificados y a las URL que utiliza para las interfaces. (No admitimos conexiones TCP no cifradas al borde de su red).