מה יש בדיאגרמה?

לקוחות

• לקוח אפליקציית Webex משמש כיישום העיקרי ב- Webex עבור הצעות BroadWorks של Cisco. הלקוח זמין בפלטפורמות שולחן עבודה, מובייל ואינטרנט.

  ללקוח יש הודעות מקוריות, נוכחות ופגישות שמע/וידאו מרובות משתתפים המסופקות על ידי ענן Webex. לקוח Webex משתמש בתשתית BroadWorks שלך לשיחות SIP ו- PSTN.

• טלפונים IP של Cisco ואביזרים נלווים משתמשים גם בתשתית BroadWorks שלך עבור שיחות SIP ו- PSTN. אנו מצפים להיות מסוגלים לתמוך בטלפונים של צד שלישי.

• פורטל הפעלת משתמשים למשתמשים כדי שמשתמשים יוכלו להיכנס ל- Webex באמצעות אישורי BroadWorks שלהם.

• Partner Hub הוא ממשק אינטרנט לניהול ארגון Webex שלך ושל ארגוני הלקוחות שלך. Partner Hub הוא המקום שבו אתה מגדיר את האינטגרציה בין תשתית BroadWorks שלך לבין Webex. אתה משתמש גם ב- Partner Hub כדי לנהל את תצורת הלקוח ואת החיוב.

רשת ספקי שירות

הבלוק הירוק בצד שמאל של הדיאגרמה מייצג את הרשת שלך. רכיבים המתארחים ברשת שלך מספקים את השירותים והממשקים הבאים לחלקים אחרים של הפתרון:

• XSP|ADP הפונה לציבור, עבור Webex עבור Cisco BroadWorks: (התיבה מייצגת חוות XSP|ADP אחת או יותר, ייתכן שחזית על ידי מאזני עומסים.)

  • מארח את ממשק השירותים Xtended (XSI-Actions ו-XSI-Events), שירות ניהול ההתקנים (DMS), ממשק CTI ושירות האימות. יחד, יישומים אלה מאפשרים לטלפונים וללקוחות Webex לאמת את עצמם, להוריד את קבצי תצורת השיחות שלהם, לבצע ולקבל שיחות ולראות זה את מצב הוו (נוכחות טלפוניה) והיסטורייתהשיחות של זה.

  • מפרסם ספרייה ללקוחות Webex.

• XSP|ADP הפונה לציבור, מפעיל NPS:

  • שרת הדחיפה של הודעות שיחה מארח: שרת דחיפת התראה ב-XSP|ADP בסביבה שלך. הוא מתממשק בין שרת היישומים שלך לבין פרוקסי ה- NPS שלנו. ה- Proxy מספק אסימונים קצרי מועד ל- NPS שלך כדי לאשר הודעות לשירותי הענן. שירותים אלה (APNS ו-FCM) שולחים הודעות על שיחות ללקוחות Webex במכשירי ה-iOS של אפל וגוגל אנדרואיד.

• שרת יישומים:

  • מספק בקרת שיחות וממשקים למערכות BroadWorks אחרות (באופן כללי)

  • עבור הקצאת זרימה, ה- AS משמש את מנהל השותף כדי להקצות למשתמשים ב- Webex

  • דוחף את פרופיל המשתמש לתוך BroadWorks

• OSS/BSS: מערכת התמיכה בתפעול / שירותי SIP עסקיים לניהול ארגוני BroadWorks שלך.

ענן Webex

הבלוק הכחול בדיאגרמה מייצג את ענן Webex. שירותי המיקרו-שירותים של Webex תומכים בספקטרום המלא של יכולות שיתוף הפעולה של Webex:

• הזהות המשותפת של Cisco (CI) היא שירות הזהויות בתוך Webex.

• Webex עבור Cisco BroadWorks מייצג את קבוצת המיקרו-שירותים התומכים בשילוב בין Webex לבין ספק השירות המתארח BroadWorks:

  • ממשקי API להקצאת משתמשים

  • תצורת ספק שירות

  • כניסת משתמש באמצעות אישורי BroadWorks

• תיבת העברת הודעות Webex עבור מיקרו-שירותים הקשורים להודעות.

• תיבת פגישות Webex המייצגת שרתי עיבוד מדיה ו- SBC עבור פגישות וידאו מרובות משתתפים (SIP ו- SRTP)

שירותי אינטרנט של צד שלישי

רכיבי הצד השלישי הבאים מיוצגים בתרשים:

• APNS (שירות התראות הדחיפה של Apple) דוחף הודעות על שיחות והודעות ליישומי Webex במכשירי Apple.

• FCM (FireBase Cloud Messaging) דוחף הודעות על שיחות והודעות ליישומי Webex במכשירי אנדרואיד.

שיקולי ארכיטקטורה של XSP|ADP

התפקיד של שרתי XSP|ADP הפונים לציבור ב-Webex עבור Cisco BroadWorks

ה-XSP|ADP הפונה לציבור בסביבה שלך מספק את הממשקים/השירותים הבאים ל-Webex וללקוחות:

• שירות אימות (AuthService), מאובטח על ידי TLS, המגיב לבקשות Webex עבור BroadWorks JWT (JSON Web Token) בשם המשתמש

• ממשק CTI, מאובטח על ידי mTLS, שאליו Webex מנויה לאירועי היסטוריית שיחות ומצב נוכחות טלפוניה מ- BroadWorks (מצב וו).

• ממשקי פעולות ואירועים של Xsi (ממשק שירותים eXtended) לבקרת שיחות מנויים, ספריות של רשימות אנשי קשר ושיחות ותצורת שירות טלפוניה למשתמשי קצה

• שירות DM (ניהול התקנים) עבור לקוחות לאחזר את קבצי תצורת השיחות שלהם

ספק כתובות URL עבור ממשקים אלה בעת קביעת התצורה של Webex עבור Cisco BroadWorks. (ראה הגדרת אשכולות BroadWorks במרכז השותפים במסמך זה.) עבור כל אשכול, באפשרותך לספק כתובת URL אחת בלבד עבור כל ממשק. אם יש לך ממשקים מרובים בתשתית BroadWorks שלך, באפשרותך ליצור אשכולות מרובים.

XSP|ADP אדריכלות

אנו דורשים שתשתמש במופע נפרד של XSP|ADP או בחווה ייעודית כדי לארח את יישום ה-NPS (Notification Push Server) שלך. באפשרותך להשתמש באותו NPS עם UC-One SaaS או UC-One שיתוף פעולה. עם זאת, ייתכן שלא תארח את היישומים האחרים הנדרשים עבור Webex עבור Cisco BroadWorks באותו XSP|ADP שמארח את יישום ה-NPS.

מומלץ להשתמש במופע/חווה של XSP|ADP ייעודי כדי לארח את היישומים הנדרשים עבור שילוב Webex מהסיבות הבאות

• לדוגמה, אם אתה מציע UC-One SaaS, מומלץ ליצור חוות XSP|ADP חדשה עבור Webex עבור Cisco BroadWorks. בדרך זו שני השירותים יכולים לפעול באופן עצמאי בזמן שאתה מעביר מנויים.

• אם תמקם את יישומי Webex for Cisco BroadWorks בחוות XSP|ADP המשמשות למטרות אחרות, באחריותך לפקח על השימוש, לנהל את המורכבות הנובעת ולתכנן את קנה המידה המוגדל.

• מתכנן קיבולת מערכת Cisco BroadWorks מניח חוות XSP|ADP ייעודית וייתכן שלא תהיה מדויקת אם אתה משתמש בה לחישובי קולוג.

אלא אם צוין אחרת, ה-Webex הייעודי עבור Cisco BroadWorks XSP|ADP חייב לארח את היישומים הבאים:

• AuthService (TLS עם אימות אסימוני CI או mTLS)

• CTI (mTLS)

• XSI-פעולות (TLS)

• אירועי XSI (TLS)

• DMS (TLS) – אופציונלי. אין חובה לפרוס מופע DMS נפרד או חווה ספציפית עבור Webex עבור Cisco BroadWorks. באפשרותך להשתמש באותו מופע DMS שבו אתה משתמש עבור SaaS של UC-One או UC-One שיתוף פעולה.

• הגדרות שיחה Webview (TLS) — אופציונלי. תצוגת אינטרנט של הגדרות שיחה (CSW) נדרשת רק אם ברצונך ש- Webex עבור משתמשי Cisco BroadWorks יוכלו לקבוע את התצורה של תכונות השיחה באפליקציית Webex.

Webex דורש גישה ל- CTI באמצעות ממשק המאובטח על ידי אימות TLS הדדי. כדי לתמוך בדרישה זו, אנו ממליצים על אחת מהאפשרויות הבאות:

• (תרשים שכותרתו אפשרות 1) מופע XSP|ADP אחד או חווה עבור כל היישומים, כאשר שני ממשקים מוגדרים בכל שרת: ממשק mTLS עבור CTI וממשק TLS עבור אפליקציות אחרות כגון AuthService.

• (תרשים שכותרתו אפשרות 2) שני מופעי ADP של XSP|ADP או חוות, אחד עם ממשק mTLS עבור CTI, והאחר עם ממשק TLS עבור יישומים אחרים, כגון AuthService.

קבע תצורה של סנכרון NTP ב-XSP|ADP

הפריסה דורשת סנכרון זמן עבור כל ה-ADP של XSP|שבו אתה משתמש עם Webex.

התקן את חבילת ntp לאחר התקנת מערכת ההפעלה ולפני התקנת תוכנת BroadWorks. לאחר מכן תוכל להגדיר NTP במהלך התקנת תוכנת XSP|ADP. עיין במדריך לניהול תוכנה של BroadWorks לקבלת פרטים נוספים.

במהלך ההתקנה האינטראקטיבית של תוכנת XSP|ADP, ניתנת לך האפשרות להגדיר את התצורה של NTP. המשך באופן הבא:

1. כאשר המתקין שואל, האם ברצונך לקבוע את התצורה של NTP?, הזן y.

2. כאשר המתקין שואל, האם השרת הזה יהיה שרת NTP?, הזן n.

3. כאשר המתקין שואל, מהי כתובת ה-NTP, שם המארח או FQDN?, הזן את הכתובת של שרת ה-NTP שלך, או שירות NTP ציבורי, לדוגמה, pool.ntp.org.

אם XSP|ADPs שלך משתמשים בהתקנה שקטה (לא אינטראקטיבית), קובץ התצורה של המתקין חייב לכלול את צמדי Key=Value הבאים:

NTP

NTP_SERVER=

דרישות זהות ואבטחה של XSP|ADP

רקע

הפרוטוקולים והצפנים של חיבורי CISCO BroadWorks TLS ניתנים להגדרה ברמות שונות של ספציפיות. רמות אלה נעות בין הכללי ביותר (ספק SSL) לספציפי ביותר (ממשק בודד). הגדרה ספציפית יותר תמיד גוברת על הגדרה כללית יותר. אם הם לא צוינו, הגדרות SSL ברמה 'נמוכה' יותר עוברות בירושה מרמות 'גבוהות יותר'.

אם לא שונו הגדרות מברירת המחדל שלהן, כל הרמות יורשות את הגדרות ברירת המחדל של ספק SSL (JSSE Java Secure Sockets Extension).

רשימת דרישות

• ה-XSP|ADP חייב לאמת את עצמו ללקוחות באמצעות אישור חתומה על-ידי CA שבה השם המשותף או השם החלופי לנושא תואם לחלק הדומיין של ממשק XSI.

• ממשק Xsi חייב לתמוך בפרוטוקול TLSv1.2.

• ממשק Xsi חייב להשתמש בחבילת צופן העונה על הדרישות הבאות.

  • דיפי-הלמן ארעי (DHE) או עקומות אליפטיות דיפי-הלמן ארעי (ECDHE) החלפת מפתחות

  • צופן AES (תקן הצפנה מתקדם) עם גודל בלוק מינימלי של 128 סיביות (לדוגמה, AES-128 או AES-256)

  • GCM (מצב גלואה/נגדי) או CBC (צניחת בלוק צופן) מצב צופן

    • אם נעשה שימוש בצופן CBC, רק משפחת SHA2 של פונקציות גיבוב מותרת לגזירת מפתח (SHA256, SHA384, SHA512).

לדוגמה, הצפנים הבאים עומדים בדרישות:

• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

• TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

צפנים TLS נתמכים עבור ממשקי AuthService ו-XSI

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

• TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

• TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

• TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

• TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

• TLS_DHE_RSA_WITH_AES_256_CBC_SHA

• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

• TLS_DHE_RSA_WITH_AES_128_CBC_SHA

• TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

• TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

• TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

• TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

• TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

• TLS_RSA_WITH_AES_256_GCM_SHA384

• TLS_PSK_WITH_AES_256_GCM_SHA384

• TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

• TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

• TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

• TLS_RSA_WITH_AES_128_GCM_SHA256

• TLS_PSK_WITH_AES_128_GCM_SHA256

• TLS_RSA_WITH_AES_256_CBC_SHA256

• TLS_RSA_WITH_AES_128_CBC_SHA256

• TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

• TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

• TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

• TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

• TLS_RSA_PSK_WITH_AES_256_CBC_SHA

• TLS_DHE_PSK_WITH_AES_256_CBC_SHA

• TLS_RSA_WITH_AES_256_CBC_SHA

• TLS_PSK_WITH_AES_256_CBC_SHA384

• TLS_PSK_WITH_AES_256_CBC_SHA

• TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

• TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

• TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

• TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

• TLS_RSA_PSK_WITH_AES_128_CBC_SHA

• TLS_DHE_PSK_WITH_AES_128_CBC_SHA

• TLS_RSA_WITH_AES_128_CBC_SHA

• TLS_PSK_WITH_AES_128_CBC_SHA256

• TLS_PSK_WITH_AES_128_CBC_SHA

פרמטרים בקנה מידה של אירועי Xsi

ייתכן שיהיה עליך להגדיל את גודל התור של Xsi-Events ואת ספירת הליכי המשנה כדי לטפל בנפח האירועים שפתרון Webex for Cisco BroadWorks דורש. באפשרותך להגדיל את הפרמטרים לערכים המינימליים המוצגים, באופן הבא (אל תקטין אותם אם הם מעל ערכים מינימליים אלה):

XSP|ADP_CLI/יישומים/Xsi-Events/BWIntegration> eventQueueSize = 2000

XSP|ADP_CLI/יישומים/Xsi-Events/BWIntegration> eventHandlerThreadCount = 50

מספר |ADP של XSP

רכיב קצה איזון עומסים

אם יש לך רכיב איזון עומסים בקצה הרשת שלך, עליו לטפל באופן שקוף בהפצת התעבורה בין שרתי XSP|ADP מרובים לענן Webex עבור Cisco BroadWorks וללקוחות. במקרה זה, תספק את כתובת ה- URL של מאזן העומסים לתצורת Webex עבור Cisco BroadWorks.

הערות על ארכיטקטורה זו:

• הגדר DNS כך שהלקוחות יוכלו למצוא את מאזן העומסים בעת התחברות לממשק Xsi (ראה תצורתDNS).

• מומלץ להגדיר את רכיב הקצה במצב פרוקסי SSL הפוך, כדי להבטיח הצפנת נתונים מנקודה לנקודה.

• לתעודות מ-XSP|ADP01 ו-XSP|ADP02 צריכות להיות גם דומיין XSP|ADP, לדוגמה ה-XSP|ADP.example.com, בשם החלופי לנושא. עליהם להיות בעלי שמות FQDN משלהם, לדוגמה XSP|ADP01.example.com, בשם המשותף. באפשרותך להשתמש באישורי תווים כלליים, אך איננו ממליצים עליהם.

שרתי XSP|ADP הפונים לאינטרנט

אם אתה חושף ישירות את ממשקי Xsi, השתמש ב-DNS כדי להפיץ את התעבורה לשרתי XSP|ADP מרובים.

הערות על ארכיטקטורה זו:

• נדרשות שתי רשומות כדי להתחבר לשרתי XSP|ADP:

  • עבור microservices של Webex: רשומות A/AAAA מעוגלות נדרשות כדי להתמקד בכתובות ה-IP של ה-XSP|ADP מרובות. הסיבה לכך היא שהמיקרו-שירותים של Webex לא יכולים לבצע חיפושי SRV. לקבלת דוגמאות, ראה שירותי ענן של Webex.

  • עבור יישום Webex: רשומת SRV שנפתור לרשומות A כאשר כל רשומת A מפוענחת ל-XSP|ADP יחיד. לקבלת דוגמאות, ראה יישום Webex.

    השתמש ברשומות SRV מתועדפות כדי להתמקד בשירות XSI עבור כתובות XSP|ADP מרובות. תעדף את רשומות ה-SRV שלך כך שהמיקרו-שירותים יעברו תמיד לאותה רשומת A (וכתובת IP שתבוא אחריה) ויעברו רק לרשומה A הבאה (וכתובת IP) אם כתובת ה-IP הראשונה מושבתת. אל תשתמש בגישה עגולה עבור יישום Webex.

• לתעודות מ-XSP|ADP01 ו-XSP|ADP02 צריכות להיות גם דומיין XSP|ADP, לדוגמה ה-XSP|ADP.example.com, בשם החלופי לנושא. עליהם להיות בעלי שמות FQDN משלהם, לדוגמה XSP|ADP01.example.com, בשם המשותף.

• באפשרותך להשתמש באישורי תווים כלליים, אך איננו ממליצים עליהם.

הימנע מהפניות HTTP

לפעמים, DNS מוגדר כדי לפתור את כתובת ה-URL של ה-XSP|ADP למאזן עומסים HTTP, ומאזן העומס מוגדר להפנות מחדש באמצעות PROXY הפוך לשרתי ה-XSP|ADP.

Webex לא עוקב אחר ניתוב מחדש בעת התחברות לכתובות ה-URL שאתה מספק, לכן תצורה זו לא עובדת.