Preparar su entorno
Puntos de decisión
| Consideración | Preguntas para responder | Recursos |
Arquitectura e infraestructura |
¿Cuántos XSP? ¿Cómo toman mTLS? |
Planificador de capacidad del sistema Cisco BroadWorks Guía de ingeniería del sistema Cisco BroadWorks Referencia XSP CLI Este documento |
| Aprovisionamiento de clientes y usuarios | ¿Puede aserer que confía en los correos electrónicos en BroadWorks? ¿Desea que los usuarios proporcionen direcciones de correo electrónico para activar sus propias cuentas? ¿Puede crear herramientas para utilizar nuestra API? |
Documentos de API públicas en https://developer.webex.com Este documento |
| Imagen de marca | ¿Qué color y logotipo desea utilizar? | Artículo de marca de la aplicación de Webex |
| Plantillas | ¿Cuáles son sus diferentes casos de uso de clientes? | Este documento |
| Características del suscriptor por cliente/empresa/grupo | Elija el paquete para definir el nivel de servicio por plantilla. Basic, Standard, Premium o Softphone. | Este documento Matriz de características/paquetes |
| Autenticación de usuario | BroadWorks, o Webex | Este documento |
| Adaptador de aprovisionamiento (para opciones de aprovisionamiento de flujo) | ¿Ya utiliza IM&P integrado, por ejemplo, para SaaS UC-One? ¿Desea utilizar varias plantillas? ¿Hay más casos de uso comunes anticipados? |
Este documento Referencia CLI del servidor de aplicaciones |
Arquitectura e infraestructura
¿Con qué tipo de escala desea iniciar? Es posible escalar en el futuro, pero la estimación del uso actual debería impulsar la planificación de la infraestructura.
Trabaje con su gerente de cuentas/representante de ventas de Cisco para tamaño de su infraestructura XSP, según el Planificador de capacidades del sistema Cisco BroadWorks ( ) y la Guía de ingeniería del sistema Ciscohttps://xchange.broadsoft.com/node/1051462BroadWorks (https://xchange.broadsoft.com/node/1051496).
¿Cómo hará Webex conexiones de TLS mutuo a sus XSP? ¿Directamente al XSP en una DMZ o a través del proxy TLS? Esto afecta a sus administración de certificados pantalla y a las direcciones URL que utiliza para las interfaces. (No son compatibles con conexiones TCP no cifradas en el borde de su red).
Aprovisionamiento de clientes y usuarios
¿Cuál es el método de aprovisionamiento de usuarios que mejor se ajusta a usted?
Aprovisionamiento de flujo con correos electrónicosconfiables: Al asignar el servicio "IM&P integrado" en BroadWorks, el suscriptor es aprovisionado automáticamente en Webex.
Si también puede aserr que las direcciones de correo electrónico del suscriptor de BroadWorks son válidas y son únicas para Webex, puede utilizar la jerarquía del "correo electrónico de confianza" del aprovisionamiento de flujo. Las cuentas del suscriptor de Webex se crean y se activan sin su intervención; simplemente descarguen el cliente e inicien sesión.
Dirección de correo electrónico es un atributo de usuario clave en Webex. Por lo tanto, Proveedor de servicios debe proporcionar una dirección de correo electrónico válida para el usuario a fin de aprovisionarlos para los servicios de Webex. Debe estar en el atributo de ID de correo electrónico del usuario en BroadWorks. Le recomendamos que también la copie en el atributo ID alternativo.
Aprovisionamiento de flujo sin correos electrónicos deconfianza: Si no puede confiar en las direcciones de correo electrónico del suscriptor, aún puede asignar el servicio de IM&P integrado en BroadWorks para aprovisionar a los usuarios en Webex.
Con esta opción, las cuentas se crean cuando usted asigna el servicio, pero los suscriptores deben suministrar y validar sus direcciones de correo electrónico para activar las cuentas de Webex.
Aprovisionamiento automático deusuarios: Esta opción no requiere la asignación de servicios de IM&P en BroadWorks. En su lugar, usted (o los clientes) distribuyen un enlace de aprovisionamiento, y los enlaces para descargar a los diferentes clientes con su imagen de marca e instrucciones.
Los suscriptores siguen el enlace, y luego suministran y validan sus direcciones de correo electrónico para crear y activar sus cuentas de Webex. Luego descargan el cliente e inician sesión, y Webex obtiene cierta configuración adicional sobre él de BroadWorks (incluidos los números principales).
Aprovisionamiento controlado por SP a través deAPI: Webex expone un conjunto de API públicas que permiten a los proveedores de servicios generar aprovisionamiento de usuarios/suscriptores en sus flujos de trabajo existentes.
Imagen de marca
Puede aplicar un logotipo y un solo color (para los dispositivos barra de navegación) a la aplicación de Webex. El portal de activación de usuarios utiliza la misma configuración.
Para obtener información detallada sobre cómo personalizar una marca, consulte https://help.webex.com/en-us/n0cswhcb/Customize-Branding-for-Customers.
Plantillas del cliente
Las plantillas de clientes le permiten definir los parámetros mediante los cuales se aprovisionan automáticamente los clientes y los suscriptores asociados en Webex para BroadWorks. Puede configurar varias plantillas de cliente según sea necesario, pero cuando incorpora un cliente se asocia con una sola plantilla (no puede aplicar varias plantillas a un cliente).
Algunos de los parámetros de la plantilla principal se enumeran a continuación.
Paquete
Debe seleccionar un paquete predeterminado cuando cree una plantilla (consulte Paquetes en la sección Descripción general para obtener más detalles). Todos los usuarios que se aprovisionan con esa plantilla, ya sea mediante el paso de flujo o el aprovisionamiento automático, reciben el paquete predeterminado.
Puede tener control sobre la selección del paquete para diferentes clientes mediante la creación de varias plantillas y la selección de diferentes paquetes predeterminados en cada una. Luego puede distribuir diferentes enlaces de aprovisionamiento, o diferentes adaptadores de aprovisionamiento por empresa, según el método de aprovisionamiento del usuario elegido para esas plantillas.
Puede cambiar el paquete de suscriptores específicos de esta configuración predeterminada mediante la API de aprovisionamiento (consulte Integración con Webex para la API de aprovisionamiento de BroadWorks en la sección de Referencia) o a través del Concentrador de socios.
No puede cambiar el paquete de un suscriptor desde BroadWorks. La asignación del servicio de IM&P integrada está lista o desactivada; si el suscriptor tiene asignado este servicio en BroadWorks, la plantilla del Concentrador de socios asociada con la URL de aprovisionamiento de la empresa del suscriptor define el paquete.
¿Revendedores y empresariales Proveedor de servicios grupos y proveedores?
- La forma en que se configura su sistema BroadWorks tiene un impacto en el flujo a través del aprovisionamiento. Si usted es revendedor de Empresas, tiene que habilitar el modo Empresarial al crear una plantilla.
- Si su sistema broadWorks está configurado en Proveedor de servicios de mantenimiento, puede dejar el modo Empresarial desactivado en sus plantillas.
- Si planea aprovisionar organizaciones de clientes mediante ambos modos de BroadWorks, debe utilizar diferentes plantillas para grupos y empresas.
 |
Asegúrese de haber aplicado las revisiones de BroadWorks que son necesarias para el aprovisionamiento de flujo rápido. Para obtener información detallada, consulte Revisiones necesarias con aprovisionamiento de flujo a través de.
|
Modo de autenticación
¿Cómo autenticarán los suscriptores de los clientes?
| Modo de autenticación | BroadWorks | Webex |
| Identidad del usuario principal | BroadWorks ID de usuario | Dirección de correo electrónico |
| Proveedor de servicios de identidad | BroadWorks.
|
Cisco Common Identity |
| ¿Autenticación de varios factores? | No | Requiere IdP de cliente que admita autenticación de varios factores. |
Ruta de validación de credenciales |
|
|
|
Acuerdos para varios socios
¿Va a suscribirse a una sub licencia de Webex para BroadWorks a otro proveedor de servicios? En este caso, cada proveedor de servicios necesitará una organización de socio distinta en Webex Control Hub que les permita aprovisionar la solución para su base de clientes.
Adaptador y plantillas de aprovisionamiento
Cuando utiliza el aprovisionamiento de flujo, la URL de aprovisionamiento que introduzca en BroadWorks se deriva de la plantilla en Control Hub. Puede tener varias plantillas y, por lo tanto, varias URL de aprovisionamiento. Esto le permite seleccionar, empresa por empresa, qué paquete se aplicará a los suscriptores cuando se les otorgue el servicio de IM&P integrado.
Tiene que considerar si quiere establecer una URL de aprovisionamiento a nivel del sistema como una ruta de aprovisionamiento predeterminada y qué plantilla desea utilizar para eso. De esta manera, solo tiene que configurar explícitamente la URL de aprovisionamiento para aquellas empresas que necesitan una plantilla diferente.
Además, tenga en cuenta que es posible que ya esté usando una URL de aprovisionamiento a nivel de sistema, por ejemplo con SaaS para UC-One. Si ese es el caso, puede optar por conservar la URL del nivel del sistema para aprovisionar usuarios en SaaS de UC-One, y anular para las empresas que se trasladan a Webex para BroadWorks. Como alternativa, es posible que quiera ir al otro lado y configurar la URL del nivel del sistema para Webex para BroadWorks, y reconfigurar aquellas empresas que desea conservar en SaaS para UC-One.
Las opciones de configuración relacionadas con esta decisión se detallan en configurar el servidor de aplicaciones con la URL del servicio de aprovisionamiento en la sección Implementar Webex para BroadWorks.
Requisitos mínimos
Cuenta
Todos los suscriptores que aprovisionamiento para Webex deben existir en el sistema de BroadWorks que integre con Webex. Puede integrar varios sistemas de BroadWorks si es necesario.
Todos los suscriptores deben tener licencias de BroadWorks y números principales.
Webex utiliza direcciones de correo electrónico como identificadores principales para todos los usuarios. Si está utilizando el aprovisionamiento de flujo con correos electrónicos de confianza, sus usuarios deben tener direcciones válidas en el atributo de correo electrónico de BroadWorks.
Si su plantilla utiliza la autenticación de BroadWorks, puede copiar las direcciones de correo electrónico del suscriptor en el atributo de ID alternativo en BroadWorks. Esto permite que los usuarios inicien sesión en Webex utilizando sus direcciones de correo electrónico y sus contraseñas de BroadWorks.
Sus administradores deben usar sus cuentas de Webex para iniciar sesión en el concentrador de socios.
Requisitos de red y software de los servidores
Instancia(s) de BroadWorks con la versión mínima R21 SP1. Consulte Requisitos del software de BroadWorks (en este documento) para ver las versiones y revisiones compatibles. Consulte también Administración del ciclo de vida : Servidores de BroadSoft.
R21 SP1 solo es compatible hasta mediados de 2021. Aunque actualmente puede integrar Webex con R21 SP1, recomendamos encarecidamente R22 o versiones posteriores para la integración con Webex.
Las instancias de BroadWorks deben incluir al menos los siguientes servidores:
El servidor de aplicaciones (AS) con la versión de BroadWorks tal como se mencionó
Servidor de red (NS)
Servidor de perfiles (PS)
Servidor(s) de XSP o plataforma de entrega de aplicaciones (ADP) orientadas al público cumple con los siguientes requisitos:
Servicio de autenticación (autenticación BW)
Interfaces de eventos y acciones de XSI
DMS (aplicación web de administración de dispositivos)
Interfaz CTI (integración de telefonía informática)
TLS 1.2 con un certificado válido (no de firma propia) y cualquier paso intermedio requerido. Requiere administración del nivel del sistema para facilitar la búsqueda empresarial.
Autenticación TLS mutua (mTLS) para el servicio de autenticación (requiere que la cadena de certificados de clientes de Webex pública se instale como anclajes de confianza)
Autenticación TLS mutua (mTLS) para la interfaz CTI (requiere la cadena de certificados de clientes de Webex pública instalada como anclajes de confianza)
Un servidor XSP/ADP separado que actúa como un "Servidor de push de notificaciones de llamadas" (un NPS en su entorno utilizado para enviar notificaciones de llamadas a Apple/Google. Aquí lo llamamos "CNPS" para distinguirlo del servicio de Webex que ofrece notificaciones emergentes de mensajería y presencia.
Este servidor debe estar en R22 o posterior.
Recomendamos un servidor XSP/ADP separado para CNPS debido a que la falta de disponibilidad de la carga de Webex para las conexiones de nube de BWKS podría afectar de manera negativa el rendimiento del servidor NPS, con el resultado de un aumento de la latencia de las notificaciones. Consulte la Guía de ingeniería del sistema Cisco BroadWorks (https://xchange.broadsoft.com/node/422649) para obtener más información sobre la escala XSP.
Plataformas de aplicaciones de Webex
https://www.webex.com/downloads.html
PC/computadoras portátiles Windows
PC/computadoras portátiles Apple con MacOS
iOS (Tienda Apple)
Android (Play store)
Exploradores Web (https://teams.webex.com/)
Teléfonos físicos y accesorios
Teléfonos IP de Cisco:
Teléfono Cisco IP Phone Serie 6800 con firmware de varias plataformas
Teléfono Cisco IP Phone Serie 7800 con firmware de varias plataformas
Teléfono Cisco IP Phone Serie 8800 con firmware de varias plataformas
Consulte https://www.cisco.com/c/en/us/products/collaboration-endpoints/ip-phones/multiplatform-firmware.html para ver modelos y más información.
Se admiten teléfonos de otros proveedores de la misma manera que con otras integraciones de BroadWorks. Sin embargo, aún no tienen contactos y presencia en la integración con Webex para BroadWorks.
Adaptadores
Adaptador de teléfono analógico multiplataforma De Cisco ATA 191
Adaptador de teléfono analógico multiplataforma de Cisco ATA 192
Consulte https://www.cisco.com/c/en/us/products/unified-communications/ata-190-series-analog-telephone-adapters/index.html para ver modelos y más información.
Auriculares
Cisco Auriculares Serie 500
Consulte https://www.cisco.com/c/en/us/products/collaboration-endpoints/headset-500-series/index.html para ver modelos y más información.
Perfiles de dispositivos
Estos son los archivos DTAF que necesita cargar en sus servidores de aplicaciones para admitir aplicaciones de Webex como clientes de llamadas. Son los mismos archivos DTAF que se utilizan para SaaS con UC-One. Sin embargo, hay un nuevo config-wxt.xml.template que se utiliza para las aplicaciones de Webex.
Nombre del cliente |
Tipo de perfil del dispositivo y nombre del paquete |
|---|---|
Plantilla móvil de Webex https://xchange.broadsoft.com/support/uc-one/connect/software |
Identidad/Tipo de perfil del dispositivo: Conectar - Móvil DTAF: Archivo de configuración: |
Plantilla de tabletas de Webex https://xchange.broadsoft.com/support/uc-one/connect/software |
Identidad/Tipo de perfil del dispositivo: Conectar - Tableta DTAF: Archivo de configuración: |
Plantilla de escritorio de Webex https://xchange.broadsoft.com/support/uc-one/communicator/software |
Identidad/Tipo de perfil del dispositivo: Business Communicator - PC DTAF: Archivo de configuración: |
Solicitar certificados
Requisitos del certificado para la autenticación TLS
Necesitará certificados de seguridad, firmados por una autoridad de certificación conocida e implementados en su servidor XSP orientadas al público, para todas las aplicaciones necesarias. Estos se utilizarán para admitir la verificación del certificado TLS para toda la conectividad entrante a sus servidores de XSP.
Estos certificados deben incluir sus nombres públicos de XSP nombre de dominio completamente calificado nombre común del sujeto o nombre alternativo del sujeto.
Los requisitos exactos para implementar estos certificados de servidor dependen de cómo se implementen sus XSP orientadas al público:
A través de un proxy de conexión TLS
A través de un proxy de transferencia TLS
Directamente al XSP
El siguiente diagrama resume el lugar en el que se debe cargar el certificado de servidor público firmado por una CA en estos tres casos:
Las CA admitidas públicamente que admite la aplicación de Webex para la autenticación están listadas en Autoridades de certificados admitidas para los Servicios híbridos de Webex.
Requisitos del certificado TLS para el proxy tls bridge
El certificado del servidor firmado públicamente se carga en el proxy.
El proxy debe presentar este certificado de servidor firmado públicamente en Webex.
Webex confía en la CA pública que firmó el certificado del servidor del proxy.
Se puede cargar un certificado firmado de CA interno en el XSP.
El XSP presenta este certificado de servidor firmado internamente al proxy.
El proxy confía en la CA interna que firmó el certificado del servidor XSP.
Requisitos del certificado TLS para el proxy de paso TLS o XSP en DMZ
El certificado del servidor firmado públicamente se carga en los XSP.
Los XSP presentan certificados de servidor firmados públicamente en Webex.
Webex confía en la CA pública que firmó los certificados del servidor de los XSP.
Requisitos adicionales de certificados para la autenticación de TLS mutuo a través de la interfaz CTI
Al conectarse a la interfaz CTI, Webex presenta un certificado de cliente como parte de la autenticación de TLS mutuo. El certificado ca/certificado de cadena de certificado del cliente de Webex está disponible para descargar a través de Control Hub.
Para descargar el certificado:
Inicie sesión en el Partner Hub, seleccione Configuración > el enlace para descargar el certificado.
Los requisitos exactos para implementar esta cadena de certificados de CA de Webex dependen de cómo se implementen sus servidores XSP de cara al público:
A través de un proxy de conexión TLS
A través de un proxy de transferencia TLS
Directamente al XSP
El siguiente diagrama resume los requisitos del certificado en estos tres casos:
(Opción) Requisitos del certificado para el proxy del puente TLS
Webex presenta un certificado de cliente firmado públicamente al proxy.
El proxy confía en la CA interna de Cisco que firmó el certificado del cliente. Puede descargar esta CA/cadena desde el Concentrador de control y agregarla al almacén de confianza del proxy. El certificado del servidor XSP firmado públicamente también se carga en el proxy.
El proxy debe presentar el certificado de servidor firmado públicamente en Webex.
Webex confía en la CA pública que firmó el certificado del servidor del proxy.
El proxy presenta un certificado de cliente firmado internamente a los XSP.
Este certificado debe tener el campo de extensión x509.v3 Extended Key Usage completo con el BroadWorks OID 1.3.6.1.4.1.6431.1.1.8.2.1.3 y el propósito de la autenticación de cliente TLS. E.g.:
X509v3 extensions: X509v3 Extended Key Usage: 1.3.6.1.4.1.6431.1.1.8.2.1.3, TLS Web Client AuthenticationEl nombre común del certificado interno debe estar bwcticlient.webex.com.
Al generar certificados de clientes internos para el proxy, tenga en cuenta que los certificados SAN no son compatibles. Los certificados internos del servidor para el XSP pueden ser SAN.
Es posible que las autoridades de certificados públicas no estén dispuestos a firmar certificados con el OID de propiedad de BroadWorks que se requiere. En el caso de un proxy de conexión, es posible que esté obligado a usar una CA interna para firmar el certificado de cliente que el proxy debe presentar al XSP.
Los XSP confían en la CA interna.
Los XSP presentan un certificado de servidor firmado internamente.
El proxy confía en la CA interna.
ClientIdentity del servidor de aplicaciones contiene el nombre común del certificado del cliente firmado internamente presentado al XSP por el proxy.
(Opción) Requisitos del certificado para el proxy de paso TLS o XSP en DMZ
Webex presenta un certificado de cliente interno firmado por una CA de Cisco a los XSP.
Los XSP confían en la CA interna de Cisco que firmó el certificado del cliente. Puede descargar esta CA/cadena desde el Concentrador de control y agregarla al almacén de confianza del proxy. El certificado del servidor XSP firmado públicamente también se carga en los XSP.
Los XSP presentan los certificados de servidor firmados públicamente a Webex.
Webex confía en la CA pública que firmó los certificados del servidor de los XSP.
El ClientIdentity del servidor de aplicaciones contiene el nombre común del certificado de cliente firmado por Cisco presentado al XSP por Webex.
Preparar su red
Mapa de conexión
En el siguiente diagrama se ilustran los puntos de integración. El punto del diagrama es mostrar que debe revisar las IP y los puertos para las conexiones hacia y fuera de su entorno. Las conexiones que utiliza Webex para BroadWorks se describen en las tablas subsiguientes.
Los requisitos del firewall para el funcionamiento normal de la aplicación cliente se enumeran como referencias, ya que ya están documentados en help.webex.com.
Configuración del firewall
En la asignación de conexiones y en las siguientes tablas se describen las conexiones y protocolos requeridos entre los clientes (tanto la red como la red del cliente), la red y la plataforma de Webex.
Reglas de entrada de EMEA
(Dentro de la red)
| Propósito | Origen | Protocolo | Destino | Puerto de destino |
Nube de Webex CTI/Autenticación/XSI |
18.196.116.47 35.156.83.118 35.158.206.190 44.232.54.0 52.39.97.25 54.185.54.53 69.26.160.0/19 144.254.96.0/20 173.37.32.0/20 216.151.128.0/19 |
HTTPS Cti |
Su XSP | TCP/TLS 8012 443 |
Aplicación Webex Xsi/DMS |
Cualquiera |
HTTPS |
Su XSP |
443 |
La aplicación de Webex VoIP extremos SIP |
Cualquiera |
SIP |
Su SBC |
Protocolo y puerto definidos en SP TCP/UDP |
|
Es muy práctico para que el puerto SIP sea distinto del 5060 (por ejemplo, 5075) debido a problemas conocidos relacionados con el uso del puerto SIP estándar (5060) con los dispositivos móviles.
|
Reglas de salida de EMEA
(Fuera de la red)
Propósito |
Origen |
Protocolo |
Destino |
Puerto de destino |
Aprovisionamiento de usuarios a través de API |
Su servidor de aplicaciones |
HTTPS |
webexapis.com |
443 |
Notificaciones de push de proxy (servicio de producción) |
Su servidor NPS |
HTTPS |
https://nps.uc-one.broadsoft.com/ O 34.64.0.0/10, 35.208.0.0/12, 35.224.0.0/12, 35.240.0.0/13 † |
443 |
Webex Common Identity |
Su servidor NPS |
HTTPS |
https://idbroker-eu.webex.com |
443 |
Webex Common Identity |
Servicio de autenticación XSP |
HTTPS |
https://idbroker-eu.webex.com/idb https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate |
443 |
Servicios APNS y FCM |
Su servidor NPS |
HTTPS |
Cualquier dirección IP* |
443 |
Notificaciones de push de proxy (servicio de producción) Webex Common Identity Servicios APNS y FCM |
Su servidor NPS |
HTTPS |
https://nps.uc-one.broadsoft.com/ * https://idbroker-eu.webex.com Cualquier dirección IP* |
443 |
Aprovisionamiento de usuarios a través del adaptador de aprovisionamiento BroadWorks |
Su BroadWorks AS |
HTTPS |
https://broadworks-provisioning-bridge-*.wbx2.com/ (donde * podría ser cualquier letra. Su URL exacta de aprovisionamiento está disponible en la plantilla que cree en el Concentrador de socios) |
443 |
† Estos rangos contienen los organizadores para el proxy de NPS, pero no podemos proporcionar las direcciones exactas. Los rangos también pueden contener organizadores que no se relacionan con Webex para BroadWorks. Le recomendamos que configure su firewall para que permita el tráfico al proxy de NPS FQDN en su lugar, para asegurarse de que su salida solo sea hacia los hosts a los que exponemos para el proxy de NPS.
* APNS y FCM no tienen un conjunto establecido de direcciones IP.
Reglas de entrada de EE. UU.
(Dentro de la red)
Propósito |
Origen |
Protocolo |
Destino |
Puerto de destino |
Nube de Webex CTI/Autenticación/XSI |
13.58.232.148 18.217.166.80 18.221.216.175 44.232.54.0 52.39.97.25 54.185.54.53 69.26.160.0/19 144.254.96.0/20 173.37.32.0/20 216.151.128.0/19 |
HTTPS Cti |
Su XSP |
TCP/TLS 8012 TLS 443 |
Aplicación Webex Xsi/DMS |
Cualquiera |
HTTPS |
Su XSP |
443 |
Aplicación de Webex VoIP sip |
Cualquiera |
SIP |
Su SBC |
Protocolo y puerto definidos en SP TCP/UDP |
|
Es muy práctico para que el puerto SIP sea distinto del 5060 (por ejemplo, 5075) debido a problemas conocidos relacionados con el uso del puerto SIP estándar (5060) con los dispositivos móviles.
|
Reglas de salida de EE. UU.
(Fuera de la red)
Propósito |
Origen |
Protocolo |
Destino |
Puerto de destino |
Aprovisionamiento de usuarios a través de API |
Su servidor de aplicaciones |
HTTPS |
webexapis.com |
443 |
Notificaciones de push de proxy (servicio de producción) |
Su servidor NPS |
HTTPS |
https://nps.uc-one.broadsoft.com/ O 34.64.0.0/10, 35.208.0.0/12, 35.224.0.0/12, 35.240.0.0/13 † |
443 |
Webex Common Identity |
Su servidor NPS |
HTTPS |
https://idbroker.webex.com https://idbroker-b-us.webex.com |
443 |
Webex Common Identity |
Servicio de autenticación XSP |
HTTPS |
https://idbroker.webex.com/idb https://idbroker-b-us.webex.com/idb https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate |
443 |
Servicios APNS y FCM |
Su servidor NPS |
HTTPS |
Cualquier dirección IP* |
443 |
Aprovisionamiento del usuario a través del adaptador de aprovisionamiento BWKS |
Su BroadWorks AS |
HTTPS |
https://broadworks-provisioning-bridge-*.wbx2.com/ (donde * podría ser cualquier letra. Su URL exacta de aprovisionamiento está disponible en la plantilla que cree en el Concentrador de socios) |
443 |
† Estos rangos contienen los organizadores para el proxy de NPS, pero no podemos proporcionar las direcciones exactas. Los rangos también pueden contener organizadores que no se relacionan con Webex para BroadWorks. Le recomendamos que configure su firewall para que permita el tráfico al proxy de NPS FQDN en su lugar, para asegurarse de que su salida solo sea hacia los hosts a los que exponemos para el proxy de NPS.
* APNS y FCM no tienen un conjunto establecido de direcciones IP.
Requisitos de red para los servicios de Webex
Las tablas de firewall de las reglas de entrada y salida anteriores documentan solo las conexiones que son específicas de Webex para BroadWorks. Para obtener información general sobre las conexiones entre la aplicación de Webex y la nube de Webex, consulte Requisitos de red para los servicios de Webex. Este artículo es genérico para Webex, pero la siguiente tabla identifica las diferentes secciones del artículo y qué tan relevante es cada sección para Webex para BroadWorks.
Artículo sobre requisitos de red de la sección |
Relevancia de la información |
|---|---|
Resumen de los tipos y protocolos de dispositivos admitidos por Webex |
Mensaje informativo |
Mensaje informativo |
|
Se debe leer |
|
Se debe leer |
|
Dominios y direcciones URL a los que se debe acceder para los servicios de Webex |
Se debe leer |
Direcciones URL adicionales para los servicios híbridos de Webex |
Opcional |
Opcional |
|
Opcional |
|
Requisitos de red para los servicios de Webex basados en SIP |
Opcional |
Opcional |
|
Un resumen de otros servicios híbridos y documentación de Webex |
Opcional |
Servicios de Webex para clientes de FedRAMP |
No disponible |
Información adicional
Para obtener más información, consulte Informe técnico sobre firewalls en la aplicación de Webex (PDF).
Soporte de redundancia de BroadWorks
Los servicios en la nube de Webex y las aplicaciones de clientes de Webex que deben acceder a la red del socio admiten totalmente la redundancia de Broadworks XSP proporcionada por el socio. Cuando un sitio o XSP no está disponible por motivos planificados o por motivos no planificados, los servicios y aplicaciones de Webex pueden avanzar a otro XSP o sitio proporcionado por el socio para completar una solicitud.
Topología de red
Los Dispositivos XSP de Broadworks se pueden implementar directamente en Internet o pueden residir en una DMZ adelante de un elemento nivelador de carga como F5 BIG-IP. Para proporcionar redundancia geográfica, los XSP se pueden implementar en dos (o más) centros de datos, cada uno puede dirigirse por un nivelador de carga, cada uno con una dirección IP pública cliente. Si los XSP están detrás de un balanceador de carga, los microservicios de Webex y la aplicación ven solo la dirección IP del balanceador de carga y Broadworks parece tener un solo XSP, incluso si hay varios XSP detrás.
En el siguiente ejemplo, los XSP se implementan en dos sitios: el sitio A y el sitio B. Hay dos XSP encabezados por un nivelador de carga en cada sitio. El sitio A tiene XSP1 y XSP2 delante deLB1, y el Sitio B tiene XSP3 y XSP4 delante deLB2. Solo los balanceadores de carga se expone a la red pública, y los XSP están en las redes privadas DMZ.
Servicios en la nube de Webex
Configuración de DNS
Los microservicios de la nube de Webex deben poder encontrar los servidores XSP de Broadworks para conectarse a las interfaces de Xsi, el servicio de autenticación y CTI.
Los microservicios de la nube de Webex realizarán la búsqueda A/AAAA de DNS del nombre de host XSP configurado y se conectarán a la dirección IP devuelta. Podría ser un elemento del borde del nivelador de carga, o podría ser el mismo servidor XSP. Si se devuelven varias direcciones IP, se seleccionará la primera IP de la lista. SRV búsqueda de personas no es compatible actualmente.
Ejemplo: El registro A del DNS del socio para la detección de los balanceadores de carga/servidor de XSP para Internet en turnos
Tipo de grabación |
Nombre |
Destino |
Propósito |
|---|---|---|---|
R |
|
|
Puntos aLB1 (Sitio A) |
R |
|
|
Puntos aLB2 (Sitio B) |
Failover
Cuando los microservicios de Webex envían una solicitud al balanceador de carga/XSP y la solicitud falla, pueden suceder varias cosas:
Si la falla se debe a un error de red (por ejemplo: TCP, SSL), los microservicios de Webex marcan la IP como bloqueada e inmediatamente realizan un avance de ruta hacia la siguiente IP.
Si se devuelve un código de error (HTTP 5xx), los microservicios de Webex marcan la IP como bloqueada e inmediatamente realizan un avance de ruta hasta la siguiente IP.
Si no se recibe ninguna respuesta HTTP en el plazo de 2 segundos, el tiempo de espera de la solicitud y los microservicios de Webex marcan la IP como bloqueada y realizan un avance de ruta hacia la siguiente IP.
Cada solicitud se intenta 3 veces antes de que se reporte una falla al microservicio.
Cuando una IP está en la lista de bloqueados, no se incluirá en la lista de direcciones para intentar al enviar una solicitud a un XSP. Después de un período de tiempo predeterminado, una IP bloqueada caduca y regresa a la lista para intentar cuando se realiza otra solicitud.
Si todas las direcciones IP están bloqueadas, el microservicio seguirá intentando enviar la solicitud al azar seleccionando una dirección IP de la lista de bloqueados. Si la operación se realiza correctamente, esa dirección IP se elimina de la lista de bloqueados.
Estado
El estado de la conectividad de los servicios de la nube de Webex a los XSP o niveladores de carga se puede observar en Control Hub. En un Grupo de llamadas de BroadWorks, se muestra un estado de conexión para cada una de estas interfaces:
XSI Actions
XSI Events
Servicio de autenticación
El estado de conexión se actualiza cuando se carga la página o durante las actualizaciones de entrada. Los estados de las conexiones pueden ser:
Verde: Cuando se pueda alcanzar la interfaz en uno de los IP en la búsqueda de registros A.
Rojo: Cuando no se puede acceder a todas las IP en la búsqueda de registros y la interfaz no está disponible.
Los siguientes servicios utilizan los microservicios para conectarse a los XSP y se verán afectados por la disponibilidad de la interfaz de XSP:
Inicio de sesión de la aplicación de Webex
Actualización de token de la aplicación de Webex
Correo electrónico/activación automática no confiable
Control de estado del servicio de Broadworks
Aplicación Webex
Configuración de DNS
La aplicación de Webex accede a los servicios Xtended Services Interface (XSI-Actions & XSI-Events) y a los servicios de Device Servicio de administración (DMS) en el XSP.
Realizará la búsqueda de SRV DNS para _xsi-client._tcp.<xsi domain> de la URL configurada para buscar los hosts O niveladores de carga de XSP para el servicio de XSI.
A continuación, se muestra un ejemplo SRV registros.
Tipo de grabación |
Grabar |
Destino |
Propósito |
|---|---|---|---|
SRV |
|
|
Detección de cliente de la interfaz Xsi |
SRV |
|
|
Detección de cliente de la interfaz Xsi |
R |
|
|
Puntos aLB1 (sitio A) |
R |
|
|
Puntos aLB2 (sitio B) |
|
Cada registro A/AAAA debe asignarse a una dirección IP. Si hay varios XSP en una DMZ detrás del dispositivo de nivelador de carga/límite, se requiere que el nivelador de carga se configure para mantener la persistente sesión para enrutar todas las solicitudes de la misma sesión al mismo XSP. Recomendamos esta configuración porque los heartbeats del evento XSI del cliente deben ir al mismo XSP que se usa para establecer el canal del evento. Si asigna el nombre A/AAAA a más de una dirección IP, o si el elemento de nivelador de carga/límite no mantiene la persistente sesión, el cliente eventualmente envía el heartbeat a un XSP donde no establece un canal de eventos. Esto provoca que el canal se desplome, y también un tráfico interno considerablemente más afectado el rendimiento de su grupo de XSP. |
Durante el proceso de conexión, la aplicación webex también recuperará la URL de DMS para descargar su archivo de configuración. El host en la URL analizará y la aplicación de Webex realizará la búsqueda de DNS A/AAAA del host para conectarse al XSP que aloja el servicio de DMS.
Ejemplo: REGISTRO A de DNS para la detección de servidores XSP/balanceadores de carga de Internet con equilibrio de ida y vuelta por la aplicación de Webex para descargar archivos de configuración a través de DMS:
Tipo de grabación |
Nombre |
Destino |
Propósito |
|---|---|---|---|
R |
|
|
Puntos aLB1 (sitio A) |
R |
|
|
Puntos aLB2 (sitio B) |
Cómo encuentra la aplicación de Webex direcciones XSP
El cliente intenta localizar los nodos XSP utilizando el siguiente flujo DNS:
El cliente recupera inicialmente las URL de Xsi-Actions/Xsi-Events de la nube de Webex (las introdujo al crear el grupo de llamadas de BroadWorks asociado). El nombre de host/dominio Xsi se analiza a partir de la URL y el cliente realiza SRV búsqueda como se muestra a continuación:
El cliente realiza una SRV búsqueda directa para _xsi a client._tcp.<xsi domain="">
Si la SRV búsqueda de datos devuelve uno o más objetivos:
El cliente realiza una búsqueda de A/AAAA para esos objetivos y almacena las direcciones IP devueltas en el caché.
El cliente se conecta a uno de los objetivos (y, por lo tanto, su registro A/AAAA con una sola dirección IP) en función de la prioridad SRV, luego el peso (o al azar si todos son iguales).
Si la SRV búsqueda rápida no devuelve ningún objetivo:
El cliente realiza una búsqueda A/AAAA del parámetro raíz de Xsi y luego intenta conectarse a la dirección IP devuelta. Podría ser un elemento del borde del nivelador de carga, o podría ser el mismo servidor XSP.
Como se mencionó, el registro A/AAAA debe resolverse en una dirección IP por las mismas razones.
(Opcional) Posteriormente, puede proporcionar detalles personalizados de XSI-Actions/XSI-Events en la configuración del dispositivo para la aplicación de Webex, utilizando las siguientes etiquetas:
<protocols> <xsi> <paths> <root>%XSI_ROOT_WXT%</root> <actions>%XSI_ACTIONS_PATH_WXT%</actions> <events>%XSI_EVENTS_PATH_WXT%</events> </paths> </xsi> </protocols>Estos parámetros de configuración tienen precedencia sobre cualquier configuración en su grupo de BroadWorks en el Concentrador de control.
Si existen, el cliente se comparará con la dirección XSI original que recibió a través de la configuración del grupo de BroadWorks.
Si se detecta alguna diferencia, el cliente volverá a inicializar sus acciones de XSI/conectividad de XSI Events. El primer paso de esto es realizar el mismo proceso de búsqueda de DNS listado en el paso 1: esta vez se solicita una búsqueda del valor del parámetro %XSI_ROOT_WXT% de su archivo de configuración.
Asegúrese de crear los registros de SRV correspondientes si utiliza esta etiqueta para cambiar las interfaces Xsi.
Failover
Durante el inicio de sesión, la aplicación de Webex realiza una búsqueda de DNS SRV para _xsi-client._tcp. , genera una lista de hosts y se conecta a uno de los hosts según la prioridad SRV y luego el<xsi domain="">peso. Este host conectado se convierte en el seleccionado para todas las solicitudes futuras. Luego, se abre un canal de eventos al organizador seleccionado y se envía heartbeat de manera regular para verificar el canal. Todas las solicitudes enviadas después de la primera incluyen una cookie que se devuelve en la respuesta HTTP y, por lo tanto, es importante que el nivelador de carga mantenga la persistente sesión (afinidad) y siempre envíe solicitudes al mismo servidor XSP de backend.
Si falla una solicitud o una solicitud de heartbeat a un host, pueden suceder varias cosas:
Si la falla se debe a un error de red (por ejemplo: TCP, SSL), la aplicación de Webex enruta inmediatamente el avance al siguiente host de la lista.
Si se devuelve un código de error (HTTP 5xx), la solicitud fallará inmediatamente.
Si no se recibe una respuesta dentro de un período de tiempo, se considera que la solicitud falló debido al tiempo de espera y las siguientes solicitudes se envían al siguiente host. Sin embargo, la solicitud con tiempo de espera se considera fallida. Se vuelve a intentar algunas solicitudes después de la falla (si aumenta el tiempo de reintento). No se reinteponen las solicitudes que asumen que no son vitales.
Cuando se intenta con éxito un nuevo host, se convierte en el nuevo anfitrión seleccionado si el anfitrión está presente en la lista. Después de probar al último anfitrión de la lista, la aplicación de Webex se revierte al primero.
En el caso de heartbeat, si hay dos fallas de solicitudes consecutivas, la aplicación Webex inicializará el canal del evento.
Tenga en cuenta que la aplicación de Webex no realiza la recuperación de fallas, y que la detección de servicios DNS se realiza solo una vez al iniciar sesión.
Durante el inicio de sesión, la aplicación de Webex intenta descargar el archivo de configuración a través de la interfaz XSP/Dms. Realiza una búsqueda de registro A/AAAA del host en la URL de DMS recuperada y se conecta a la primera IP. Primero intentará enviar la solicitud para descargar el archivo de configuración utilizando un token SSO prueba. Si esto falla por cualquier motivo, inténtelo nuevamente, pero con el nombre de usuario y la contraseña del dispositivo.
Join the conversation
Español