Preparar su entorno

Puntos de decisión

Consideración Preguntas para responder Recursos

Arquitectura e infraestructura

¿Cuántos XSP?

¿Cómo toman mTLS?

Planificador de capacidad del sistema Cisco BroadWorks

Guía de ingeniería del sistema Cisco BroadWorks

Referencia XSP CLI

Este documento

Aprovisionamiento de clientes y usuarios

¿Puede aserer que confía en los correos electrónicos en BroadWorks?

¿Desea que los usuarios proporcionen direcciones de correo electrónico para activar sus propias cuentas?

¿Puede crear herramientas para utilizar nuestra API?

Documentos de API públicas en https://developer.webex.com

Este documento

Imagen de marca ¿Qué color y logotipo desea utilizar? Artículo de marca de la aplicación de Webex
Plantillas ¿Cuáles son sus diferentes casos de uso de clientes? Este documento
Características del suscriptor por cliente/empresa/grupo Elija el paquete para definir el nivel de servicio por plantilla. Basic, Standard, Premium o Softphone.

Este documento

Matriz de características/paquetes

Autenticación de usuario BroadWorks, o Webex Este documento
Adaptador de aprovisionamiento (para opciones de aprovisionamiento de flujo)

¿Ya utiliza IM&P integrado, por ejemplo, para SaaS UC-One?

¿Desea utilizar varias plantillas?

¿Hay más casos de uso comunes anticipados?

Este documento

Referencia CLI del servidor de aplicaciones

Arquitectura e infraestructura

  • ¿Con qué tipo de escala desea iniciar? Es posible escalar en el futuro, pero la estimación del uso actual debería impulsar la planificación de la infraestructura.

  • Trabaje con su gerente de cuentas/representante de ventas de Cisco para tamaño de su infraestructura XSP, según el Planificador de capacidades del sistema Cisco BroadWorks ( ) y la Guía de ingeniería del sistema Ciscohttps://xchange.broadsoft.com/node/1051462BroadWorks (https://xchange.broadsoft.com/node/1051496).

  • ¿Cómo hará Webex conexiones de TLS mutuo a sus XSP? ¿Directamente al XSP en una DMZ o a través del proxy TLS? Esto afecta a sus administración de certificados pantalla y a las direcciones URL que utiliza para las interfaces. (No son compatibles con conexiones TCP no cifradas en el borde de su red).

Aprovisionamiento de clientes y usuarios

¿Cuál es el método de aprovisionamiento de usuarios que mejor se ajusta a usted?

  • Aprovisionamiento de flujo con correos electrónicosconfiables: Al asignar el servicio "IM&P integrado" en BroadWorks, el suscriptor es aprovisionado automáticamente en Webex.

    Si también puede aserr que las direcciones de correo electrónico del suscriptor de BroadWorks son válidas y son únicas para Webex, puede utilizar la jerarquía del "correo electrónico de confianza" del aprovisionamiento de flujo. Las cuentas del suscriptor de Webex se crean y se activan sin su intervención; simplemente descarguen el cliente e inicien sesión.

    Dirección de correo electrónico es un atributo de usuario clave en Webex. Por lo tanto, Proveedor de servicios debe proporcionar una dirección de correo electrónico válida para el usuario a fin de aprovisionarlos para los servicios de Webex. Debe estar en el atributo de ID de correo electrónico del usuario en BroadWorks. Le recomendamos que también la copie en el atributo ID alternativo.

  • Aprovisionamiento de flujo sin correos electrónicos deconfianza: Si no puede confiar en las direcciones de correo electrónico del suscriptor, aún puede asignar el servicio de IM&P integrado en BroadWorks para aprovisionar a los usuarios en Webex.

    Con esta opción, las cuentas se crean cuando usted asigna el servicio, pero los suscriptores deben suministrar y validar sus direcciones de correo electrónico para activar las cuentas de Webex.

  • Aprovisionamiento automático deusuarios: Esta opción no requiere la asignación de servicios de IM&P en BroadWorks. En su lugar, usted (o los clientes) distribuyen un enlace de aprovisionamiento, y los enlaces para descargar a los diferentes clientes con su imagen de marca e instrucciones.

    Los suscriptores siguen el enlace, y luego suministran y validan sus direcciones de correo electrónico para crear y activar sus cuentas de Webex. Luego descargan el cliente e inician sesión, y Webex obtiene cierta configuración adicional sobre él de BroadWorks (incluidos los números principales).

  • Aprovisionamiento controlado por SP a través deAPI: Webex expone un conjunto de API públicas que permiten a los proveedores de servicios generar aprovisionamiento de usuarios/suscriptores en sus flujos de trabajo existentes.

Imagen de marca

Puede aplicar un logotipo y un solo color (para los dispositivos barra de navegación) a la aplicación de Webex. El portal de activación de usuarios utiliza la misma configuración.

Para obtener información detallada sobre cómo personalizar una marca, consulte https://help.webex.com/en-us/n0cswhcb/Customize-Branding-for-Customers.

Plantillas del cliente

Las plantillas de clientes le permiten definir los parámetros mediante los cuales se aprovisionan automáticamente los clientes y los suscriptores asociados en Webex para BroadWorks. Puede configurar varias plantillas de cliente según sea necesario, pero cuando incorpora un cliente se asocia con una sola plantilla (no puede aplicar varias plantillas a un cliente).

Algunos de los parámetros de la plantilla principal se enumeran a continuación.

Paquete

  • Debe seleccionar un paquete predeterminado cuando cree una plantilla (consulte Paquetes en la sección Descripción general para obtener más detalles). Todos los usuarios que se aprovisionan con esa plantilla, ya sea mediante el paso de flujo o el aprovisionamiento automático, reciben el paquete predeterminado.

  • Puede tener control sobre la selección del paquete para diferentes clientes mediante la creación de varias plantillas y la selección de diferentes paquetes predeterminados en cada una. Luego puede distribuir diferentes enlaces de aprovisionamiento, o diferentes adaptadores de aprovisionamiento por empresa, según el método de aprovisionamiento del usuario elegido para esas plantillas.

  • Puede cambiar el paquete de suscriptores específicos de esta configuración predeterminada mediante la API de aprovisionamiento (consulte Integración con Webex para la API de aprovisionamiento de BroadWorks en la sección de Referencia) o a través del Concentrador de socios.

  • No puede cambiar el paquete de un suscriptor desde BroadWorks. La asignación del servicio de IM&P integrada está lista o desactivada; si el suscriptor tiene asignado este servicio en BroadWorks, la plantilla del Concentrador de socios asociada con la URL de aprovisionamiento de la empresa del suscriptor define el paquete.

¿Revendedores y empresariales Proveedor de servicios grupos y proveedores?

  • La forma en que se configura su sistema BroadWorks tiene un impacto en el flujo a través del aprovisionamiento. Si usted es revendedor de Empresas, tiene que habilitar el modo Empresarial al crear una plantilla.
  • Si su sistema broadWorks está configurado en Proveedor de servicios de mantenimiento, puede dejar el modo Empresarial desactivado en sus plantillas.
  • Si planea aprovisionar organizaciones de clientes mediante ambos modos de BroadWorks, debe utilizar diferentes plantillas para grupos y empresas.

Asegúrese de haber aplicado las revisiones de BroadWorks que son necesarias para el aprovisionamiento de flujo rápido. Para obtener información detallada, consulte Revisiones necesarias con aprovisionamiento de flujo a través de.

Modo de autenticación

¿Cómo autenticarán los suscriptores de los clientes?

Modo de autenticación BroadWorks Webex
Identidad del usuario principal BroadWorks ID de usuario Dirección de correo electrónico
Proveedor de servicios de identidad

BroadWorks.

  • Si configura una conexión directa a BroadWorks, la aplicación Webex se autentica directamente en el servidor de BroadWorks. Tenga en cuenta que esta opción requiere alternar característica opción.

  • De lo contrario, la autenticación con BroadWorks se facilita a través de un servicio intermedio que es alojado por Webex.

Cisco Common Identity
¿Autenticación de varios factores? No Requiere IdP de cliente que admita autenticación de varios factores.

Ruta de validación de credenciales

  1. Se inicia el explorador donde el usuario provee el correo electrónico para el flujo de conexión inicial y descubre su modo de autenticación.

  2. Luego, el navegador se redirige a una página de inicio de sesión de BroadWorks alojada en Webex (esta página es personalizada)

  3. El usuario proporciona el ID de usuario y la contraseña de BroadWorks en la página de inicio de sesión.

  4. Las credenciales del usuario se validan con BroadWorks.

  5. Al tener éxito, se obtiene un código de autorización de Webex. Esto se utiliza para obtener los tokens de acceso necesarios para los servicios de Webex.

  1. Se inicia el explorador donde el usuario provee el correo electrónico para el flujo de conexión inicial y descubre su modo de autenticación.

  2. El explorador es redireccionado al IdP (ya sea Cisco Common Identity o IdP de cliente) donde se les presentará un portal de inicio de sesión.

  3. El usuario provee las credenciales adecuadas en la página de inicio de sesión

  4. La autenticación de varios factores puede tener lugar si el IdP del cliente lo admite.

  5. Al tener éxito, se obtiene un código de autorización de Webex. Esto se utiliza para obtener los tokens de acceso necesarios para los servicios de Webex.


Para ver un desglose más detallado del flujo de conexión de SSO con autenticación directa en BroadWorks, consulte el tema Flujo de conexión de SSO en la sección Webex para la Referencia de BroadWorks.

Acuerdos para varios socios

¿Va a suscribirse a una sub licencia de Webex para BroadWorks a otro proveedor de servicios? En este caso, cada proveedor de servicios necesitará una organización de socio distinta en Webex Control Hub que les permita aprovisionar la solución para su base de clientes.

Adaptador y plantillas de aprovisionamiento

Cuando utiliza el aprovisionamiento de flujo, la URL de aprovisionamiento que introduzca en BroadWorks se deriva de la plantilla en Control Hub. Puede tener varias plantillas y, por lo tanto, varias URL de aprovisionamiento. Esto le permite seleccionar, empresa por empresa, qué paquete se aplicará a los suscriptores cuando se les otorgue el servicio de IM&P integrado.

Tiene que considerar si quiere establecer una URL de aprovisionamiento a nivel del sistema como una ruta de aprovisionamiento predeterminada y qué plantilla desea utilizar para eso. De esta manera, solo tiene que configurar explícitamente la URL de aprovisionamiento para aquellas empresas que necesitan una plantilla diferente.

Además, tenga en cuenta que es posible que ya esté usando una URL de aprovisionamiento a nivel de sistema, por ejemplo con SaaS para UC-One. Si ese es el caso, puede optar por conservar la URL del nivel del sistema para aprovisionar usuarios en SaaS de UC-One, y anular para las empresas que se trasladan a Webex para BroadWorks. Como alternativa, es posible que quiera ir al otro lado y configurar la URL del nivel del sistema para Webex para BroadWorks, y reconfigurar aquellas empresas que desea conservar en SaaS para UC-One.

Las opciones de configuración relacionadas con esta decisión se detallan en configurar el servidor de aplicaciones con la URL del servicio de aprovisionamiento en la sección Implementar Webex para BroadWorks.

Requisitos mínimos

Cuenta

Todos los suscriptores que aprovisionamiento para Webex deben existir en el sistema de BroadWorks que integre con Webex. Puede integrar varios sistemas de BroadWorks si es necesario.

Todos los suscriptores deben tener licencias de BroadWorks y números principales.

Webex utiliza direcciones de correo electrónico como identificadores principales para todos los usuarios. Si está utilizando el aprovisionamiento de flujo con correos electrónicos de confianza, sus usuarios deben tener direcciones válidas en el atributo de correo electrónico de BroadWorks.

Si su plantilla utiliza la autenticación de BroadWorks, puede copiar las direcciones de correo electrónico del suscriptor en el atributo de ID alternativo en BroadWorks. Esto permite que los usuarios inicien sesión en Webex utilizando sus direcciones de correo electrónico y sus contraseñas de BroadWorks.

Sus administradores deben usar sus cuentas de Webex para iniciar sesión en el concentrador de socios.

Requisitos de red y software de los servidores

  • Instancia(s) de BroadWorks con la versión mínima R21 SP1. Consulte Requisitos del software de BroadWorks (en este documento) para ver las versiones y revisiones compatibles. Consulte también Administración del ciclo de vida : Servidores de BroadSoft.


    R21 SP1 solo es compatible hasta mediados de 2021. Aunque actualmente puede integrar Webex con R21 SP1, recomendamos encarecidamente R22 o versiones posteriores para la integración con Webex.

  • Las instancias de BroadWorks deben incluir al menos los siguientes servidores:

    • El servidor de aplicaciones (AS) con la versión de BroadWorks tal como se mencionó

    • Servidor de red (NS)

    • Servidor de perfiles (PS)

  • Servidor(s) de XSP o plataforma de entrega de aplicaciones (ADP) orientadas al público cumple con los siguientes requisitos:

    • Servicio de autenticación (autenticación BW)

    • Interfaces de eventos y acciones de XSI

    • DMS (aplicación web de administración de dispositivos)

    • Interfaz CTI (integración de telefonía informática)

    • TLS 1.2 con un certificado válido (no de firma propia) y cualquier paso intermedio requerido. Requiere administración del nivel del sistema para facilitar la búsqueda empresarial.

    • Autenticación TLS mutua (mTLS) para el servicio de autenticación (requiere que la cadena de certificados de clientes de Webex pública se instale como anclajes de confianza)

    • Autenticación TLS mutua (mTLS) para la interfaz CTI (requiere la cadena de certificados de clientes de Webex pública instalada como anclajes de confianza)

  • Un servidor XSP/ADP separado que actúa como un "Servidor de push de notificaciones de llamadas" (un NPS en su entorno utilizado para enviar notificaciones de llamadas a Apple/Google. Aquí lo llamamos "CNPS" para distinguirlo del servicio de Webex que ofrece notificaciones emergentes de mensajería y presencia.

    Este servidor debe estar en R22 o posterior.

  • Recomendamos un servidor XSP/ADP separado para CNPS debido a que la falta de disponibilidad de la carga de Webex para las conexiones de nube de BWKS podría afectar de manera negativa el rendimiento del servidor NPS, con el resultado de un aumento de la latencia de las notificaciones. Consulte la Guía de ingeniería del sistema Cisco BroadWorks (https://xchange.broadsoft.com/node/422649) para obtener más información sobre la escala XSP.

Teléfonos físicos y accesorios

Perfiles de dispositivos

Estos son los archivos DTAF que necesita cargar en sus servidores de aplicaciones para admitir aplicaciones de Webex como clientes de llamadas. Son los mismos archivos DTAF que se utilizan para SaaS con UC-One. Sin embargo, hay un nuevo config-wxt.xml.template que se utiliza para las aplicaciones de Webex.

Nombre del cliente

Tipo de perfil del dispositivo y nombre del paquete

Plantilla móvil de Webex

https://xchange.broadsoft.com/support/uc-one/connect/software

Identidad/Tipo de perfil del dispositivo: Conectar - Móvil

DTAF: ucone-mobile-ucaas-X.X.XX-wxt-MonthYear_DTAF.zip

Archivo de configuración: config-wxt.xml

Plantilla de tabletas de Webex

https://xchange.broadsoft.com/support/uc-one/connect/software

Identidad/Tipo de perfil del dispositivo: Conectar - Tableta

DTAF: ucone-tablet-ucaas-X.X.XX-wxt-MonthYear_DTAF.zip

Archivo de configuración: config-wxt.xml

Plantilla de escritorio de Webex

https://xchange.broadsoft.com/support/uc-one/communicator/software

Identidad/Tipo de perfil del dispositivo: Business Communicator - PC

DTAF: ucone-desktop-ucaas-X.X.XX-wxt-MonthYear_DTAF.zip

Archivo de configuración: config-wxt.xml

Solicitar certificados

Requisitos del certificado para la autenticación TLS

Necesitará certificados de seguridad, firmados por una autoridad de certificación conocida e implementados en su servidor XSP orientadas al público, para todas las aplicaciones necesarias. Estos se utilizarán para admitir la verificación del certificado TLS para toda la conectividad entrante a sus servidores de XSP.

Estos certificados deben incluir sus nombres públicos de XSP nombre de dominio completamente calificado nombre común del sujeto o nombre alternativo del sujeto.

Los requisitos exactos para implementar estos certificados de servidor dependen de cómo se implementen sus XSP orientadas al público:

  • A través de un proxy de conexión TLS

  • A través de un proxy de transferencia TLS

  • Directamente al XSP

El siguiente diagrama resume el lugar en el que se debe cargar el certificado de servidor público firmado por una CA en estos tres casos:

Las CA admitidas públicamente que admite la aplicación de Webex para la autenticación están listadas en Autoridades de certificados admitidas para los Servicios híbridos de Webex.

Requisitos del certificado TLS para el proxy tls bridge

  • El certificado del servidor firmado públicamente se carga en el proxy.

  • El proxy debe presentar este certificado de servidor firmado públicamente en Webex.

  • Webex confía en la CA pública que firmó el certificado del servidor del proxy.

  • Se puede cargar un certificado firmado de CA interno en el XSP.

  • El XSP presenta este certificado de servidor firmado internamente al proxy.

  • El proxy confía en la CA interna que firmó el certificado del servidor XSP.

Requisitos del certificado TLS para el proxy de paso TLS o XSP en DMZ

  • El certificado del servidor firmado públicamente se carga en los XSP.

  • Los XSP presentan certificados de servidor firmados públicamente en Webex.

  • Webex confía en la CA pública que firmó los certificados del servidor de los XSP.

Requisitos adicionales de certificados para la autenticación de TLS mutuo a través de la interfaz CTI

Al conectarse a la interfaz CTI, Webex presenta un certificado de cliente como parte de la autenticación de TLS mutuo. El certificado ca/certificado de cadena de certificado del cliente de Webex está disponible para descargar a través de Control Hub.

Para descargar el certificado:

Inicie sesión en el Partner Hub, seleccione Configuración > Llamadas de BroadWorks y haga clic en el enlace para descargar el certificado.

Los requisitos exactos para implementar esta cadena de certificados de CA de Webex dependen de cómo se implementen sus servidores XSP de cara al público:

  • A través de un proxy de conexión TLS

  • A través de un proxy de transferencia TLS

  • Directamente al XSP

El siguiente diagrama resume los requisitos del certificado en estos tres casos:

Figura 1. Exchange de certificados mTLS para CTI a través de diferentes configuraciones de Edge

(Opción) Requisitos del certificado para el proxy del puente TLS

  • Webex presenta un certificado de cliente firmado públicamente al proxy.

  • El proxy confía en la CA interna de Cisco que firmó el certificado del cliente. Puede descargar esta CA/cadena desde el Concentrador de control y agregarla al almacén de confianza del proxy. El certificado del servidor XSP firmado públicamente también se carga en el proxy.

  • El proxy debe presentar el certificado de servidor firmado públicamente en Webex.

  • Webex confía en la CA pública que firmó el certificado del servidor del proxy.

  • El proxy presenta un certificado de cliente firmado internamente a los XSP.

    Este certificado debe tener el campo de extensión x509.v3 Extended Key Usage completo con el BroadWorks OID 1.3.6.1.4.1.6431.1.1.8.2.1.3 y el propósito de la autenticación de cliente TLS. E.g.:

    X509v3 extensions:
        X509v3 Extended Key Usage:
            1.3.6.1.4.1.6431.1.1.8.2.1.3, TLS Web Client Authentication

    El nombre común del certificado interno debe estar bwcticlient.webex.com.


    • Al generar certificados de clientes internos para el proxy, tenga en cuenta que los certificados SAN no son compatibles. Los certificados internos del servidor para el XSP pueden ser SAN.

    • Es posible que las autoridades de certificados públicas no estén dispuestos a firmar certificados con el OID de propiedad de BroadWorks que se requiere. En el caso de un proxy de conexión, es posible que esté obligado a usar una CA interna para firmar el certificado de cliente que el proxy debe presentar al XSP.

  • Los XSP confían en la CA interna.

  • Los XSP presentan un certificado de servidor firmado internamente.

  • El proxy confía en la CA interna.

  • ClientIdentity del servidor de aplicaciones contiene el nombre común del certificado del cliente firmado internamente presentado al XSP por el proxy.

(Opción) Requisitos del certificado para el proxy de paso TLS o XSP en DMZ

  • Webex presenta un certificado de cliente interno firmado por una CA de Cisco a los XSP.

  • Los XSP confían en la CA interna de Cisco que firmó el certificado del cliente. Puede descargar esta CA/cadena desde el Concentrador de control y agregarla al almacén de confianza del proxy. El certificado del servidor XSP firmado públicamente también se carga en los XSP.

  • Los XSP presentan los certificados de servidor firmados públicamente a Webex.

  • Webex confía en la CA pública que firmó los certificados del servidor de los XSP.

  • El ClientIdentity del servidor de aplicaciones contiene el nombre común del certificado de cliente firmado por Cisco presentado al XSP por Webex.

Preparar su red

Mapa de conexión

En el siguiente diagrama se ilustran los puntos de integración. El punto del diagrama es mostrar que debe revisar las IP y los puertos para las conexiones hacia y fuera de su entorno. Las conexiones que utiliza Webex para BroadWorks se describen en las tablas subsiguientes.

Los requisitos del firewall para el funcionamiento normal de la aplicación cliente se enumeran como referencias, ya que ya están documentados en help.webex.com.

Configuración del firewall

En la asignación de conexiones y en las siguientes tablas se describen las conexiones y protocolos requeridos entre los clientes (tanto la red como la red del cliente), la red y la plataforma de Webex.

Reglas de entrada de EMEA

(Dentro de la red)

Propósito Origen Protocolo Destino Puerto de destino

Nube de Webex

CTI/Autenticación/XSI

18.196.116.47

35.156.83.118

35.158.206.190

44.232.54.0

52.39.97.25

54.185.54.53

69.26.160.0/19

144.254.96.0/20

173.37.32.0/20

216.151.128.0/19

HTTPS

Cti

Su XSP

TCP/TLS 8012

443

Aplicación Webex

Xsi/DMS

Cualquiera

HTTPS

Su XSP

443

La aplicación de Webex VoIP extremos SIP

Cualquiera

SIP

Su SBC

Protocolo y puerto definidos en SP

TCP/UDP


Es muy práctico para que el puerto SIP sea distinto del 5060 (por ejemplo, 5075) debido a problemas conocidos relacionados con el uso del puerto SIP estándar (5060) con los dispositivos móviles.

Reglas de salida de EMEA

(Fuera de la red)

Propósito

Origen

Protocolo

Destino

Puerto de destino

Aprovisionamiento de usuarios a través de API

Su servidor de aplicaciones

HTTPS

webexapis.com

443

Notificaciones de push de proxy (servicio de producción)

Su servidor NPS

HTTPS

https://nps.uc-one.broadsoft.com/

O 34.64.0.0/10, 35.208.0.0/12, 35.224.0.0/12, 35.240.0.0/13

443

Webex Common Identity

Su servidor NPS

HTTPS

https://idbroker-eu.webex.com

443

Webex Common Identity

Servicio de autenticación XSP

HTTPS

https://idbroker-eu.webex.com/idb

https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

443

Servicios APNS y FCM

Su servidor NPS

HTTPS

Cualquier dirección IP*

443

Notificaciones de push de proxy (servicio de producción)

Webex Common Identity

Servicios APNS y FCM

Su servidor NPS

HTTPS

https://nps.uc-one.broadsoft.com/ *

https://idbroker-eu.webex.com

Cualquier dirección IP*

443

Aprovisionamiento de usuarios a través del adaptador de aprovisionamiento BroadWorks

Su BroadWorks AS

HTTPS

https://broadworks-provisioning-bridge-*.wbx2.com/

(donde * podría ser cualquier letra. Su URL exacta de aprovisionamiento está disponible en la plantilla que cree en el Concentrador de socios)

443

† Estos rangos contienen los organizadores para el proxy de NPS, pero no podemos proporcionar las direcciones exactas. Los rangos también pueden contener organizadores que no se relacionan con Webex para BroadWorks. Le recomendamos que configure su firewall para que permita el tráfico al proxy de NPS FQDN en su lugar, para asegurarse de que su salida solo sea hacia los hosts a los que exponemos para el proxy de NPS.

* APNS y FCM no tienen un conjunto establecido de direcciones IP.

Reglas de entrada de EE. UU.

(Dentro de la red)

Propósito

Origen

Protocolo

Destino

Puerto de destino

Nube de Webex

CTI/Autenticación/XSI

13.58.232.148

18.217.166.80

18.221.216.175

44.232.54.0

52.39.97.25

54.185.54.53

69.26.160.0/19

144.254.96.0/20

173.37.32.0/20

216.151.128.0/19

HTTPS

Cti

Su XSP

TCP/TLS 8012

TLS 443

Aplicación Webex   

Xsi/DMS

Cualquiera

HTTPS

Su XSP

443

Aplicación de Webex VoIP sip

Cualquiera

SIP

Su SBC

Protocolo y puerto definidos en SP

TCP/UDP


Es muy práctico para que el puerto SIP sea distinto del 5060 (por ejemplo, 5075) debido a problemas conocidos relacionados con el uso del puerto SIP estándar (5060) con los dispositivos móviles.

Reglas de salida de EE. UU.

(Fuera de la red)

Propósito

Origen

Protocolo

Destino

Puerto de destino

Aprovisionamiento de usuarios a través de API

Su servidor de aplicaciones

HTTPS

webexapis.com

443

Notificaciones de push de proxy (servicio de producción)

Su servidor NPS

HTTPS

https://nps.uc-one.broadsoft.com/

O 34.64.0.0/10, 35.208.0.0/12, 35.224.0.0/12, 35.240.0.0/13

443

Webex Common Identity

Su servidor NPS

HTTPS

https://idbroker.webex.com

https://idbroker-b-us.webex.com

443

Webex Common Identity

Servicio de autenticación XSP

HTTPS

https://idbroker.webex.com/idb

https://idbroker-b-us.webex.com/idb

https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate

443

Servicios APNS y FCM

Su servidor NPS

HTTPS

Cualquier dirección IP*

443

Aprovisionamiento del usuario a través del adaptador de aprovisionamiento BWKS

Su BroadWorks AS

HTTPS

https://broadworks-provisioning-bridge-*.wbx2.com/

(donde * podría ser cualquier letra. Su URL exacta de aprovisionamiento está disponible en la plantilla que cree en el Concentrador de socios)

443

† Estos rangos contienen los organizadores para el proxy de NPS, pero no podemos proporcionar las direcciones exactas. Los rangos también pueden contener organizadores que no se relacionan con Webex para BroadWorks. Le recomendamos que configure su firewall para que permita el tráfico al proxy de NPS FQDN en su lugar, para asegurarse de que su salida solo sea hacia los hosts a los que exponemos para el proxy de NPS.

* APNS y FCM no tienen un conjunto establecido de direcciones IP.

Requisitos de red para los servicios de Webex

Las tablas de firewall de las reglas de entrada y salida anteriores documentan solo las conexiones que son específicas de Webex para BroadWorks. Para obtener información general sobre las conexiones entre la aplicación de Webex y la nube de Webex, consulte Requisitos de red para los servicios de Webex. Este artículo es genérico para Webex, pero la siguiente tabla identifica las diferentes secciones del artículo y qué tan relevante es cada sección para Webex para BroadWorks.

Tabla 1. Requisitos de red para las conexiones de la aplicación de Webex (genéricos)

Artículo sobre requisitos de red de la sección

Relevancia de la información

Resumen de los tipos y protocolos de dispositivos admitidos por Webex

Mensaje informativo

Protocolos de transporte y cifrados de cifrado para aplicaciones y dispositivos de Webex registrados en la nube

Mensaje informativo

Servicios de Webex: números de puerto y protocolos

Se debe leer

Subredes IP para los servicios de medios de Webex

Se debe leer

Dominios y direcciones URL a los que se debe acceder para los servicios de Webex

Se debe leer

Direcciones URL adicionales para los servicios híbridos de Webex

Opcional

Características proxy

Opcional

802.1X – Control de acceso a la red basado en puertos

Opcional

Requisitos de red para los servicios de Webex basados en SIP

Opcional

Requisitos de red para el audio de Webex Edge

Opcional

Un resumen de otros servicios híbridos y documentación de Webex

Opcional

Servicios de Webex para clientes de FedRAMP

No disponible

Información adicional

Para obtener más información, consulte Informe técnico sobre firewalls en la aplicación de Webex (PDF).

Soporte de redundancia de BroadWorks

Los servicios en la nube de Webex y las aplicaciones de clientes de Webex que deben acceder a la red del socio admiten totalmente la redundancia de Broadworks XSP proporcionada por el socio. Cuando un sitio o XSP no está disponible por motivos planificados o por motivos no planificados, los servicios y aplicaciones de Webex pueden avanzar a otro XSP o sitio proporcionado por el socio para completar una solicitud.

Topología de red

Los Dispositivos XSP de Broadworks se pueden implementar directamente en Internet o pueden residir en una DMZ adelante de un elemento nivelador de carga como F5 BIG-IP. Para proporcionar redundancia geográfica, los XSP se pueden implementar en dos (o más) centros de datos, cada uno puede dirigirse por un nivelador de carga, cada uno con una dirección IP pública cliente. Si los XSP están detrás de un balanceador de carga, los microservicios de Webex y la aplicación ven solo la dirección IP del balanceador de carga y Broadworks parece tener un solo XSP, incluso si hay varios XSP detrás.

En el siguiente ejemplo, los XSP se implementan en dos sitios: el sitio A y el sitio B. Hay dos XSP encabezados por un nivelador de carga en cada sitio. El sitio A tiene XSP1 y XSP2 delante deLB1, y el Sitio B tiene XSP3 y XSP4 delante deLB2. Solo los balanceadores de carga se expone a la red pública, y los XSP están en las redes privadas DMZ.

Servicios en la nube de Webex

Configuración de DNS

Los microservicios de la nube de Webex deben poder encontrar los servidores XSP de Broadworks para conectarse a las interfaces de Xsi, el servicio de autenticación y CTI.

Los microservicios de la nube de Webex realizarán la búsqueda A/AAAA de DNS del nombre de host XSP configurado y se conectarán a la dirección IP devuelta. Podría ser un elemento del borde del nivelador de carga, o podría ser el mismo servidor XSP. Si se devuelven varias direcciones IP, se seleccionará la primera IP de la lista. SRV búsqueda de personas no es compatible actualmente.

Ejemplo: El registro A del DNS del socio para la detección de los balanceadores de carga/servidor de XSP para Internet en turnos

Tipo de grabación

Nombre

Destino

Propósito

R

xsp.example.com

198.51.100.48

Puntos aLB1 (Sitio A)

R

xsp.example.com

198.51.100.49

Puntos aLB2 (Sitio B)

Failover

Cuando los microservicios de Webex envían una solicitud al balanceador de carga/XSP y la solicitud falla, pueden suceder varias cosas:

  • Si la falla se debe a un error de red (por ejemplo: TCP, SSL), los microservicios de Webex marcan la IP como bloqueada e inmediatamente realizan un avance de ruta hacia la siguiente IP.

  • Si se devuelve un código de error (HTTP 5xx), los microservicios de Webex marcan la IP como bloqueada e inmediatamente realizan un avance de ruta hasta la siguiente IP.

  • Si no se recibe ninguna respuesta HTTP en el plazo de 2 segundos, el tiempo de espera de la solicitud y los microservicios de Webex marcan la IP como bloqueada y realizan un avance de ruta hacia la siguiente IP.

Cada solicitud se intenta 3 veces antes de que se reporte una falla al microservicio.

Cuando una IP está en la lista de bloqueados, no se incluirá en la lista de direcciones para intentar al enviar una solicitud a un XSP. Después de un período de tiempo predeterminado, una IP bloqueada caduca y regresa a la lista para intentar cuando se realiza otra solicitud.

Si todas las direcciones IP están bloqueadas, el microservicio seguirá intentando enviar la solicitud al azar seleccionando una dirección IP de la lista de bloqueados. Si la operación se realiza correctamente, esa dirección IP se elimina de la lista de bloqueados.

Estado

El estado de la conectividad de los servicios de la nube de Webex a los XSP o niveladores de carga se puede observar en Control Hub. En un Grupo de llamadas de BroadWorks, se muestra un estado de conexión para cada una de estas interfaces:

  • XSI Actions

  • XSI Events

  • Servicio de autenticación

El estado de conexión se actualiza cuando se carga la página o durante las actualizaciones de entrada. Los estados de las conexiones pueden ser:

  • Verde: Cuando se pueda alcanzar la interfaz en uno de los IP en la búsqueda de registros A.

  • Rojo: Cuando no se puede acceder a todas las IP en la búsqueda de registros y la interfaz no está disponible.

Los siguientes servicios utilizan los microservicios para conectarse a los XSP y se verán afectados por la disponibilidad de la interfaz de XSP:

  • Inicio de sesión de la aplicación de Webex

  • Actualización de token de la aplicación de Webex

  • Correo electrónico/activación automática no confiable

  • Control de estado del servicio de Broadworks

Aplicación Webex

Configuración de DNS

La aplicación de Webex accede a los servicios Xtended Services Interface (XSI-Actions & XSI-Events) y a los servicios de Device Servicio de administración (DMS) en el XSP.

Realizará la búsqueda de SRV DNS para _xsi-client._tcp.<xsi domain> de la URL configurada para buscar los hosts O niveladores de carga de XSP para el servicio de XSI.

A continuación, se muestra un ejemplo SRV registros.

Tipo de grabación

Grabar

Destino

Propósito

SRV

_xsi-client._tcp.xsp.example.com

xsp-dc1.example.com

Detección de cliente de la interfaz Xsi

SRV

_xsi-client._tcp.xsp.example.com

xsp-dc2.example.com

Detección de cliente de la interfaz Xsi

R

xsp-dc1.example.com

198.51.100.48

Puntos aLB1 (sitio A)

R

xsp-dc2.example.com

198.51.100.49

Puntos aLB2 (sitio B)


Cada registro A/AAAA debe asignarse a una dirección IP. Si hay varios XSP en una DMZ detrás del dispositivo de nivelador de carga/límite, se requiere que el nivelador de carga se configure para mantener la persistente sesión para enrutar todas las solicitudes de la misma sesión al mismo XSP.

Recomendamos esta configuración porque los heartbeats del evento XSI del cliente deben ir al mismo XSP que se usa para establecer el canal del evento.

Si asigna el nombre A/AAAA a más de una dirección IP, o si el elemento de nivelador de carga/límite no mantiene la persistente sesión, el cliente eventualmente envía el heartbeat a un XSP donde no establece un canal de eventos. Esto provoca que el canal se desplome, y también un tráfico interno considerablemente más afectado el rendimiento de su grupo de XSP.

Durante el proceso de conexión, la aplicación webex también recuperará la URL de DMS para descargar su archivo de configuración. El host en la URL analizará y la aplicación de Webex realizará la búsqueda de DNS A/AAAA del host para conectarse al XSP que aloja el servicio de DMS.

Ejemplo: REGISTRO A de DNS para la detección de servidores XSP/balanceadores de carga de Internet con equilibrio de ida y vuelta por la aplicación de Webex para descargar archivos de configuración a través de DMS:

Tipo de grabación

Nombre

Destino

Propósito

R

xsp-dms.example.com

198.51.100.48

Puntos aLB1 (sitio A)

R

xsp-dms.example.com

198.51.100.49

Puntos aLB2 (sitio B)

Cómo encuentra la aplicación de Webex direcciones XSP

El cliente intenta localizar los nodos XSP utilizando el siguiente flujo DNS:

  1. El cliente recupera inicialmente las URL de Xsi-Actions/Xsi-Events de la nube de Webex (las introdujo al crear el grupo de llamadas de BroadWorks asociado). El nombre de host/dominio Xsi se analiza a partir de la URL y el cliente realiza SRV búsqueda como se muestra a continuación:

    1. El cliente realiza una SRV búsqueda directa para _xsi a client._tcp.<xsi domain="">

    2. Si la SRV búsqueda de datos devuelve uno o más objetivos:

      1. El cliente realiza una búsqueda de A/AAAA para esos objetivos y almacena las direcciones IP devueltas en el caché.

      2. El cliente se conecta a uno de los objetivos (y, por lo tanto, su registro A/AAAA con una sola dirección IP) en función de la prioridad SRV, luego el peso (o al azar si todos son iguales).

    3. Si la SRV búsqueda rápida no devuelve ningún objetivo:

      El cliente realiza una búsqueda A/AAAA del parámetro raíz de Xsi y luego intenta conectarse a la dirección IP devuelta. Podría ser un elemento del borde del nivelador de carga, o podría ser el mismo servidor XSP.

      Como se mencionó, el registro A/AAAA debe resolverse en una dirección IP por las mismas razones.

  2. (Opcional) Posteriormente, puede proporcionar detalles personalizados de XSI-Actions/XSI-Events en la configuración del dispositivo para la aplicación de Webex, utilizando las siguientes etiquetas:

    <protocols>
    	<xsi>
    		<paths>
    			<root>%XSI_ROOT_WXT%</root>
    			<actions>%XSI_ACTIONS_PATH_WXT%</actions>
    			<events>%XSI_EVENTS_PATH_WXT%</events>
    		</paths>
    	</xsi>
    </protocols>
    1. Estos parámetros de configuración tienen precedencia sobre cualquier configuración en su grupo de BroadWorks en el Concentrador de control.

    2. Si existen, el cliente se comparará con la dirección XSI original que recibió a través de la configuración del grupo de BroadWorks.

    3. Si se detecta alguna diferencia, el cliente volverá a inicializar sus acciones de XSI/conectividad de XSI Events. El primer paso de esto es realizar el mismo proceso de búsqueda de DNS listado en el paso 1: esta vez se solicita una búsqueda del valor del parámetro %XSI_ROOT_WXT% de su archivo de configuración.


      Asegúrese de crear los registros de SRV correspondientes si utiliza esta etiqueta para cambiar las interfaces Xsi.
Failover

Durante el inicio de sesión, la aplicación de Webex realiza una búsqueda de DNS SRV para _xsi-client._tcp. , genera una lista de hosts y se conecta a uno de los hosts según la prioridad SRV y luego el<xsi domain="">peso. Este host conectado se convierte en el seleccionado para todas las solicitudes futuras. Luego, se abre un canal de eventos al organizador seleccionado y se envía heartbeat de manera regular para verificar el canal. Todas las solicitudes enviadas después de la primera incluyen una cookie que se devuelve en la respuesta HTTP y, por lo tanto, es importante que el nivelador de carga mantenga la persistente sesión (afinidad) y siempre envíe solicitudes al mismo servidor XSP de backend.

Si falla una solicitud o una solicitud de heartbeat a un host, pueden suceder varias cosas:

  • Si la falla se debe a un error de red (por ejemplo: TCP, SSL), la aplicación de Webex enruta inmediatamente el avance al siguiente host de la lista.

  • Si se devuelve un código de error (HTTP 5xx), la solicitud fallará inmediatamente.

  • Si no se recibe una respuesta dentro de un período de tiempo, se considera que la solicitud falló debido al tiempo de espera y las siguientes solicitudes se envían al siguiente host. Sin embargo, la solicitud con tiempo de espera se considera fallida. Se vuelve a intentar algunas solicitudes después de la falla (si aumenta el tiempo de reintento). No se reinteponen las solicitudes que asumen que no son vitales.

Cuando se intenta con éxito un nuevo host, se convierte en el nuevo anfitrión seleccionado si el anfitrión está presente en la lista. Después de probar al último anfitrión de la lista, la aplicación de Webex se revierte al primero.

En el caso de heartbeat, si hay dos fallas de solicitudes consecutivas, la aplicación Webex inicializará el canal del evento.

Tenga en cuenta que la aplicación de Webex no realiza la recuperación de fallas, y que la detección de servicios DNS se realiza solo una vez al iniciar sesión.

Durante el inicio de sesión, la aplicación de Webex intenta descargar el archivo de configuración a través de la interfaz XSP/Dms. Realiza una búsqueda de registro A/AAAA del host en la URL de DMS recuperada y se conecta a la primera IP. Primero intentará enviar la solicitud para descargar el archivo de configuración utilizando un token SSO prueba. Si esto falla por cualquier motivo, inténtelo nuevamente, pero con el nombre de usuario y la contraseña del dispositivo.