Arkkitehtuuri

Yleiskatsaus Webex for BroadWorksiin

Mitä kaaviossa on?

Asiakkaat

  • Webex App -asiakasohjelma toimii Webexin ensisijaisena sovelluksena Cisco BroadWorksin tarjoamia palveluja varten. Asiakasohjelma on käytettävissä työpöytä-, mobiili- ja verkkoalustoilla.

    Asiakkaalla on Webex-pilvipalvelun tarjoamat natiivit viestinvälitys-, läsnäolo- ja usean osapuolen audio/videokokoukset. Webex-asiakas käyttää BroadWorks-infrastruktuuria SIP- ja PSTN-puheluihin.

  • Ciscon IP-puhelimet ja niihin liittyvät lisävarusteet käyttävät BroadWorks-infrastruktuuria myös SIP- ja PSTN-puheluihin. Odotamme pystyvämme tukemaan kolmansien osapuolten puhelimia.

  • Käyttäjien aktivointiportaali, jonka kautta käyttäjät voivat kirjautua Webexiin BroadWorks-tunnuksillaan.

  • Partner Hub on web-käyttöliittymä Webex-organisaatiosi ja asiakkaidesi organisaatioiden hallintaan. Partner Hubissa voit määrittää BroadWorks-infrastruktuurin ja Webexin välisen integraation. Partner Hubin avulla voit myös hallinnoida asiakkaan kokoonpanoa ja laskutusta.

Palveluntarjoajien verkosto

Kaavion vasemmassa reunassa oleva vihreä lohko edustaa verkkoasi. Verkossasi isännöidyt komponentit tarjoavat seuraavat palvelut ja liitännät ratkaisun muihin osiin:

  • Julkinen XSP|ADP, Webex for Cisco BroadWorks: (Laatikko edustaa yhtä tai useampaa XSP|ADP-farmia, joiden edessä on mahdollisesti kuormantasaajia.)

    • Isännöi Xtended Services Interface -rajapintaa (XSI-Actions & XSI-Events), Device Management Service (DMS) -palvelua, CTI-rajapintaa ja Authentication Service -palvelua. Yhdessä näiden sovellusten avulla puhelimet ja Webex-asiakkaat voivat todentaa itsensä, ladata soittokokoonpanotiedostojaan, soittaa ja vastaanottaa puheluita sekä nähdä toistensa koukkujen tilan (puhelimen läsnäolo) ja puhelujen historian.

    • Julkaisee hakemiston Webex-asiakkaille.

  • Julkinen XSP|ADP, jossa on NPS:

    • isäntä Puheluilmoitusten Push-palvelin: XSP:ssä oleva Notification Push Server|ADP ympäristössäsi. Se muodostaa rajapinnan sovelluspalvelimesi ja NPS-välityspalvelimen välille. Välityspalvelin toimittaa lyhytaikaisia tunnuksia NPS:lle, jotta se voi valtuuttaa ilmoitukset pilvipalveluihin. Nämä palvelut (APNS ja FCM) lähettävät puheluilmoituksia Webex-asiakkaille Apple iOS- ja Google Android -laitteissa.

  • Sovelluspalvelin:

    • Tarjoaa puhelujen ohjauksen ja liitännät muihin BroadWorks-järjestelmiin (yleensä).

    • Läpivirtauksen käyttöönotossa kumppanin järjestelmänvalvoja käyttää liitännäisohjelmaa käyttäjien käyttöönotossa Webexissä.

    • Työntää käyttäjäprofiilin BroadWorksiin

  • OSS/BSS: Toiminnan tukijärjestelmäsi / Business SIP Services -palvelut BroadWorks-yritystesi hallinnointiin.

Webex Cloud

Kaavion sininen lohko edustaa Webex-pilveä. Webexin mikropalvelut tukevat kaikkia Webexin yhteistyöominaisuuksia:

  • Cisco Common Identity (CI) on Webexin identiteettipalvelu.

  • Webex for Cisco BroadWorks edustaa mikropalveluja, jotka tukevat Webexin ja palveluntarjoajan isännöimän BroadWorksin välistä integraatiota:

    • Käyttäjien käyttöönotto API:t

    • Palveluntarjoajan konfigurointi

    • Käyttäjän kirjautuminen BroadWorks-tunnuksilla

  • Webex Messaging -laatikko viestintään liittyviä mikropalveluja varten.

  • Webex Meetings -laatikko, joka edustaa mediankäsittelypalvelimia ja SBC:tä usean osallistujan videokokouksia varten (SIP ja SRTP).

Kolmannen osapuolen verkkopalvelut

Seuraavat kolmannen osapuolen komponentit on esitetty kaaviossa:

  • APNS (Apple Push Notifications Service) lähettää puhelu- ja viesti-ilmoituksia Webex-sovelluksiin Applen laitteissa.

  • FCM (FireBase Cloud Messaging) lähettää puhelu- ja viesti-ilmoituksia Webex-sovelluksiin Android-laitteissa.

XSP|ADP-arkkitehtuuria koskevia näkökohtia

Julkisten XSP|ADP-palvelimien rooli Cisco BroadWorksin Webexissä.

Ympäristössäsi oleva julkinen XSP|ADP tarjoaa Webexille ja asiakkaille seuraavat liitännät/palvelut:

  • TLS:llä suojattu todennuspalvelu (AuthService), joka vastaa Webexin pyyntöihin BroadWorksin JWT:tä (JSON Web Token) varten käyttäjän puolesta.

  • mTLS:llä suojattu CTI-rajapinta, johon Webex tilaa BroadWorksin puheluhistoriatapahtumat ja puhelimen läsnäolotilan (koukun tila).

  • Xsi-toimintojen ja -tapahtumien rajapinnat (eXtended Services Interface) tilaajapuhelujen ohjausta, yhteystieto- ja puhelinluettelohakemistoja sekä loppukäyttäjien puhelinpalvelujen konfigurointia varten.

  • DM (Device Management) -palvelu, jonka avulla asiakkaat voivat noutaa soittokokoonpanotiedostojaan.

Anna näiden liitäntöjen URL-osoitteet, kun määrität Webex for Cisco BroadWorks -palvelun. (Katso tämän asiakirjan kohta BroadWorks-klustereiden konfigurointi Partner Hubissa .) Kullekin klusterille voi antaa vain yhden URL-osoitteen kutakin liitäntää varten. Jos BroadWorks-infrastruktuurissasi on useita liitäntöjä, voit luoda useita klustereita.

XSP|ADP-arkkitehtuuri

XSP|ADP-arkkitehtuuri: Vaihtoehto 1
XSP|ADP-arkkitehtuuri: Vaihtoehto 2

Edellytämme, että käytät erillistä, omaa XSP|ADP-instanssia tai -farmia NPS (Notification Push Server) -sovelluksen isännöintiin. Voit käyttää samaa NPS:ää UC-One SaaSin tai UC-One Collaboraten kanssa. Et kuitenkaan saa isännöidä muita Webex for Cisco BroadWorksin edellyttämiä sovelluksia samassa XSP|ADP:ssä, joka isännöi NPS-sovellusta.

Suosittelemme, että käytät omaa XSP|ADP-instanssia/tilaa Webex-integraatioon tarvittavien sovellusten isännöintiin seuraavista syistä.

  • Jos esimerkiksi tarjoat UC-One SaaS -palvelua, suosittelemme uuden XSP|ADP-farmin luomista Webex for Cisco BroadWorksille. Näin nämä kaksi palvelua voivat toimia itsenäisesti tilaajien siirtämisen aikana.

  • Jos Webex for Cisco BroadWorks -sovellukset sijoitetaan XSP|ADP-farmiin, jota käytetään muuhun tarkoitukseen, on sinun vastuullasi valvoa käyttöä, hallita siitä aiheutuvaa monimutkaisuutta ja suunnitella lisääntynyttä laajuutta.

  • Cisco BroadWorks System Capacity Planner olettaa, että käytössä on oma XSP|ADP-farmi, eikä se välttämättä ole tarkka, jos käytät sitä rinnakkain sijoittamista koskeviin laskelmiin.

Ellei toisin mainita, Cisco BroadWorks XSP|ADP:lle tarkoitetun Webexin on isännöitävä seuraavia sovelluksia:

  • AuthService (TLS ja CI Token Validation tai mTLS)

  • CTI (mTLS)

  • XSI-toimet (TLS)

  • XSI-tapahtumat (TLS)

  • DMS (TLS)-valinnainen. Ei ole pakollista, että otat käyttöön erillisen DMS-instanssin tai -farmin nimenomaan Webex for Cisco BroadWorksia varten. Voit käyttää samaa DMS-instanssia, jota käytät UC-One SaaS- tai UC-One Collaborate -palvelussa.

  • Puheluasetusten verkkonäkymä (TLS) - valinnainen. Call Settings Webview (CSW) tarvitaan vain, jos haluat, että Webex for Cisco BroadWorks -käyttäjät voivat määrittää Webex-sovelluksen soitto-ominaisuuksia.

Webex edellyttää pääsyä CTI:hen keskinäisellä TLS-todennuksella suojatun käyttöliittymän kautta. Tämän vaatimuksen tukemiseksi suosittelemme yhtä seuraavista vaihtoehdoista:

  • (Kaavio merkitty Vaihtoehto 1) Yksi XSP|ADP-instanssi tai -farmi kaikkia sovelluksia varten, ja kuhunkin palvelimeen on määritetty kaksi liitäntää: mTLS-rajapinta CTI:lle ja TLS-rajapinta muille sovelluksille, kuten AuthService-palvelulle.

  • (Kaavio merkitty Vaihtoehto 2) Kaksi XSP|ADP-instanssia tai -farmia, joista toisessa on mTLS-rajapinta CTI:tä varten ja toisessa TLS-rajapinta muita sovelluksia, kuten AuthServicea varten.

XSP|ADP Uudelleenkäyttö

Jos sinulla on olemassa oleva XSP|ADP-farmi, joka on jonkin edellä ehdotetun arkkitehtuurin mukainen (vaihtoehto 1 tai 2) ja se on kevyesti kuormitettu, voit käyttää olemassa olevia XSP|ADP:tä uudelleen. Sinun on tarkistettava, että nykyisten sovellusten ja Webexin uusien sovellusvaatimusten välillä ei ole ristiriitaisia määritysvaatimuksia. Kaksi ensisijaista näkökohtaa ovat:

  • Jos sinun on tuettava useita Webex-kumppanuusorganisaatioita XSP|ADP:ssä, sinun on käytettävä mTLS:ää Auth-palvelussa (CI Token Validation on tuettu vain yhdelle kumppanuusorganisaatiolle XSP|ADP:ssä). Jos käytät mTLS:ää todennuspalvelussa, se tarkoittaa, että sinulla ei voi olla asiakkaita, jotka käyttävät samanaikaisesti perustodennusta todennuspalvelussa. Tämä tilanne estäisi XSP|ADP:n uudelleenkäytön.

  • Jos olemassa oleva CTI-palvelu on määritetty asiakkaiden käytettäväksi suojatulla portilla (tyypillisesti 8012), mutta ilman mTLS:ää (eli asiakkaan todennusta), se on ristiriidassa Webexin vaatimuksen kanssa, jonka mukaan mTLS on oltava käytössä.

Koska XSP|ADP:llä on monia sovelluksia ja koska näiden sovellusten permutaatioiden määrä on suuri, voi olla muitakin tunnistamattomia ristiriitoja. Tästä syystä XSP|ADP:n mahdollinen uudelleenkäyttö olisi tarkistettava laboratoriossa suunnitellulla kokoonpanolla ennen uudelleenkäyttöön sitoutumista.

Määritä NTP-synkronointi XSP:ssä|ADP

Käyttöönotto edellyttää aikasynkronointia kaikille XSP|ADP:ille, joita käytät Webexin kanssa.

Asenna ntp -paketti käyttöjärjestelmän asennuksen jälkeen ja ennen BroadWorks-ohjelmiston asentamista. Tämän jälkeen voit määrittää NTP:n XSP|ADP-ohjelmiston asennuksen aikana. Lisätietoja on osoitteessa BroadWorks Software Management Guide .

XSP|ADP-ohjelmiston vuorovaikutteisen asennuksen aikana sinulle annetaan mahdollisuus määrittää NTP. Toimi seuraavasti:

  1. Kun asennusohjelma kysyy: Do you want to configure NTP?, kirjoita y.

  2. Kun asennusohjelma kysyy: Tuleeko tästä palvelimesta NTP-palvelin?, kirjoita n.

  3. Kun asennusohjelma kysyy: Mikä on NTP-osoite, isäntänimi tai FQDN?, kirjoita NTP-palvelimesi osoite tai julkinen NTP-palvelu, esimerkiksi pool.ntp.org.

Jos XSP|ADP:t käyttävät hiljaista (ei-interaktiivista) asennusta, asennusohjelman asetustiedoston on sisällettävä seuraavat Key=Value-parit:

NTP
NTP_SERVER=

XSP|ADP:n identiteetti- ja turvallisuusvaatimukset

Tausta

Cisco BroadWorks TLS -yhteyksien protokollat ja salakirjoitukset voidaan määrittää eri tarkkuustasoilla. Nämä tasot vaihtelevat yleisimmästä (SSL-palveluntarjoaja) yksityiskohtaisimpaan (yksittäinen käyttöliittymä). Tarkempi asetus ohittaa aina yleisemmän asetuksen. Jos niitä ei ole määritetty, alemman tason SSL-asetukset periytyvät ylemmiltä tasoilta.

Jos mitään asetuksia ei muuteta oletusasetuksista, kaikki tasot perivät SSL-palveluntarjoajan oletusasetukset (JSSE Java Secure Sockets Extension).

Vaatimusluettelo

  • XSP|ADP:n on todennettava itsensä asiakkaille käyttämällä CA:n allekirjoittamaa varmennetta, jonka Common Name tai Subject Alternate Name vastaa XSI-liitännän toimialueosaa.

  • Xsi-liitännän on tuettava TLSv1.2-protokollaa.

  • Xsi-liitännän on käytettävä salauspakettia, joka täyttää seuraavat vaatimukset.

    • Diffie-Hellman Ephemeral (DHE) tai Elliptic Curves Diffie-Hellman Ephemeral (ECDHE) -avaintenvaihto.

    • AES (Advanced Encryption Standard) -salausmenetelmä, jonka lohkokoko on vähintään 128 bittiä (esim. AES-128 tai AES-256).

    • GCM (Galois/Counter Mode) tai CBC (Cipher Block Chaining) salausmuoto.

      • Jos käytetään CBC-salausmenetelmää, vain SHA2-perheen hash-funktiot ovat sallittuja avainten johtamiseen (SHA256, SHA384, SHA512).

Esimerkiksi seuraavat salakirjoitukset täyttävät vaatimukset:

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

XSP|ADP CLI vaatii salausjoukkojen nimeämisessä IANA:n nimeämiskäytäntöä, kuten edellä on esitetty, ei openSSL:n käytäntöä.

AuthService- ja XSI-rajapintojen tuetut TLS-salaukset

Luettelo voi muuttua pilvipalvelun turvallisuusvaatimusten kehittyessä. Noudata Ciscon pilvipalvelun tietoturvasuositusta salausmenetelmien valinnasta, joka on kuvattu tämän asiakirjan vaatimusluettelossa.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

  • TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

  • TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_PSK_WITH_AES_256_CBC_SHA384

  • TLS_PSK_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_PSK_WITH_AES_128_CBC_SHA256

  • TLS_PSK_WITH_AES_128_CBC_SHA

Xsi-tapahtumien skaalausparametrit

Xsi-Events-jonon kokoa ja säikeiden lukumäärää on ehkä lisättävä, jotta voit käsitellä Webex for Cisco BroadWorks -ratkaisun vaatimaa tapahtumamäärää. Voit lisätä parametreja näytettyihin vähimmäisarvoihin seuraavasti (älä vähennä niitä, jos ne ovat vähimmäisarvojen yläpuolella):

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventQueueSize = 2000

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventHandlerThreadCount = 50

Useita XSP|ADP:tä

Kuormituksen tasapainottaminen Edge Element

Jos verkon reunalla on kuormanjakoelementti, sen on huolehdittava läpinäkyvästi liikenteen jakamisesta useiden XSP|ADP-palvelinten ja Webex for Cisco BroadWorks -pilven ja asiakkaiden välillä. Tässä tapauksessa annat kuormituksen tasaajan URL-osoitteen Webex for Cisco BroadWorks -määrityksessä.

Tätä arkkitehtuuria koskevia huomautuksia:

  • Määritä DNS, jotta asiakkaat löytävät kuormantasaajan muodostaessaan yhteyden Xsi-liittymään (katso DNS-konfiguraatio).

  • Suosittelemme, että konfiguroit reunaelementin käänteiseen SSL-välitystilaan, jotta varmistetaan pisteestä pisteeseen tapahtuva tietojen salaus.

  • XSP|ADP01- ja XSP|ADP02 -varmenteissa pitäisi molemmissa olla XSP|ADP:n verkkotunnus, esimerkiksi your-XSP|ADP.example.com, Subject Alternate Name -kentässä. Niillä pitäisi olla oma FQDN-nimensä, esimerkiksi XSP|ADP01.example.com, Common Name -kentässä. Voit käyttää jokerimerkkivarmenteita, mutta emme suosittele niitä.

Internetiin suuntautuva XSP|ADP-palvelimet

Jos paljastat Xsi-liittymät suoraan, käytä DNS:ää liikenteen jakamiseen useille XSP|ADP-palvelimille.

Tätä arkkitehtuuria koskevia huomautuksia:

  • XSP|ADP-palvelimiin yhdistäminen edellyttää kahta tietuetta:

    • Webexin mikropalveluita varten: Useiden XSP|ADP IP-osoitteiden kohdentamiseen tarvitaan Round-robin A/AAAA -tietueet. Tämä johtuu siitä, että Webexin mikropalvelut eivät voi tehdä SRV-haun. Esimerkkejä on osoitteessa Webex Cloud Services.

    • Webex App: SRV-tietue, joka ratkaisee A-tietueisiin, joissa jokainen A-tietue ratkaisee yhteen XSP|ADP:hen. Esimerkkejä on osoitteessa Webex App.

      Käytä priorisoituja SRV-tietueita XSI-palvelun kohdentamiseen useille XSP|ADP-osoitteille. Aseta SRV-tietueet tärkeysjärjestykseen niin, että mikropalvelut siirtyvät aina samaan A-tietueeseen (ja sitä seuraavaan IP-osoitteeseen) ja siirtyvät seuraavaan A-tietueeseen (ja IP-osoitteeseen) vain, jos ensimmäinen IP-osoite on alhaalla. ÄLÄ käytä Webex-sovelluksessa round-robin-toimintatapaa.

  • XSP|ADP01- ja XSP|ADP02 -varmenteissa pitäisi molemmissa olla XSP|ADP:n verkkotunnus, esimerkiksi your-XSP|ADP.example.com, Subject Alternate Name -kentässä. Niillä pitäisi olla oma FQDN-nimensä, esimerkiksi XSP|ADP01.example.com, Common Name -kentässä.

  • Voit käyttää jokerimerkkivarmenteita, mutta emme suosittele niitä.

Vältä HTTP-pohjaisia uudelleenohjauksia

Joskus DNS on määritetty ratkaisemaan XSP|ADP URL-osoite HTTP-kuormantasaajalle, ja kuormantasaajan on määritetty ohjaamaan käänteisen välityspalvelimen kautta XSP|ADP-palvelimille.

Webex ei noudata uudelleenohjausta muodostaessaan yhteyttä antamiisi URL-osoitteisiin, joten tämä määritys ei toimi.

Arkkitehtuuri ja infrastruktuuri

  • Millaisella mittakaavalla aiot aloittaa? Tulevaisuudessa on mahdollista kasvattaa käyttöastetta, mutta infrastruktuurin suunnittelun pitäisi perustua nykyiseen käyttöarvioon.

  • Tee yhteistyötä Ciscon asiakaspäällikön/myyntiedustajan kanssa XSP|ADP-infrastruktuurin mitoittamiseksi Cisco BroadWorks System Capacity Planner ja Cisco BroadWorks System Engineering Guide-oppaan mukaisesti.

  • Miten Webex muodostaa keskinäiset TLS-yhteydet XSP|ADP-laitteisiin? Suoraan XSP:hen|ADP DMZ:ssä vai TLS-välityspalvelimen kautta? Tämä vaikuttaa varmenteiden hallintaan ja käyttöliittymien URL-osoitteisiin. (Emme tue salaamattomia TCP-yhteyksiä verkon reunaan).