Arhitektura

Pregled usluge Webex za BroadWorks

Što je na dijagramu?

Klijenti

  • Klijent aplikacije Webex služi kao primarna aplikacija u usluzi Webex za Cisco BroadWorks ponude. Klijent je dostupan na stolnim, mobilnim i web platformama.

    Klijent ima nativno slanje poruka, prisutnost i sastanke s više strana audio/videoprijenosa koje pruža Webex oblak. Webex klijent upotrebljava vašu BroadWorks infrastrukturu za SIP i PSTN pozive.

  • IP telefoni tvrtke Cisco i povezani pribor također upotrebljavaju vašu BroadWorks infrastrukturu za SIP i PSTN pozive. Očekujemo da ćemo moći podržavati telefone trećih strana.

  • Korisnički portal za aktivaciju za korisnike da se prijave u Webex pomoću svojih vjerodajnica za BroadWorks.

  • Partner Hub web-sučelje je za upravljanje vašom Webex organizacijom i organizacijama vaših korisnika. Partner Hub mjesto je gdje konfigurirate integraciju između svoje BroadWorks infrastrukture i usluge Webex. Partnerski centar također upotrebljavate za upravljanje konfiguracijom klijenta i naplatom.

Mreža davatelja usluga

Zeleni blok s lijeve strane dijagrama predstavlja vašu mrežu. Komponente smještene u vašoj mreži pružaju sljedeće usluge i sučelja za druge dijelove rješenja:

  • XSP|ADP okrenut prema javnosti, za Webex za Cisco BroadWorks: (Kutija predstavlja jednu ili više XSP|ADP farmi, na kojima se mogu nalaziti balanseri tereta.)

    • Hostira Xtended sučelje usluga (XSI-Actions i XSI-Events), uslugu upravljanja uređajima (DMS), CTI sučelje i uslugu provjere autentičnosti. Te aplikacije zajedno omogućuju telefonima i klijentima usluge Webex provjeru autentičnosti, preuzimanje konfiguracijskih datoteka poziva, upućivanje i primanje poziva te pregled statusa slušalice (prisutnost telefonije) i povijesti poziva.

    • Objavljuje direktorij Webex klijentima.

  • XSP|ADP okrenut prema javnosti, pokreće NPS:

    • Push poslužitelj obavijesti o pozivima organizatora: Automatski poslužitelj obavijesti na XSP|ADP-u u vašem okruženju. Sučeljava se između vašeg poslužitelja aplikacije i našeg NPS proxyja. Proxy opskrbljuje kratkoročne tokene vašem NPS-u za autorizaciju obavijesti za usluge u oblaku. Te usluge (APNS i FCM) šalju obavijesti o pozivima klijentima aplikacije Webex na Apple iOS i Google Android uređajima.

  • Poslužitelj aplikacija:

    • Pruža kontrolu poziva i sučelja za druge BroadWorks sustave (općenito)

    • Za omogućavanje tijeka, partnerski administrator AS upotrebljava za omogućavanje korisnika u usluzi Webex

    • Gura korisnički profil u BroadWorks

  • oss/bss: Vaš operacijski sustav za podršku / poslovne SIP usluge za administriranje vaših BroadWorks poduzeća.

Webex Cloud

Plavi blok na dijagramu predstavlja Webex oblak. Mikrousluge Webex podržavaju cijeli spektar mogućnosti suradnje usluge Webex:

  • Cisco Common Identity (CI) usluga je identiteta unutar aplikacije Webex.

  • Webex za Cisco BroadWorks predstavlja skup mikrousluga koje podržavaju integraciju između Webexa i BroadWorksa hostiranog pružatelja usluga:

    • API-ji za omogućavanje korisnika

    • Konfiguracija pružatelja usluga

    • Prijava korisnika s vjerodajnicama za BroadWorks

  • Okvir za poruke usluge Webex za mikrousluge povezane s porukama.

  • Okvir Webex Meetings koji predstavlja poslužitelje za obradu medija i SBC-ove za više videosastanaka sudionika (SIP I SRTP)

Web-usluge treće strane

Sljedeće komponente trećih strana prikazane su na dijagramu:

  • APNS (Apple Push Notifications Service) gura obavijesti o pozivima i porukama u aplikacije Webex na Apple uređajima.

  • FCM (FireBase Cloud Messaging) gura obavijesti za pozive i poruke u aplikacije Webex na Android uređajima.

Razmatranja arhitekture XSP|ADP-a

Uloga javnih XSP|ADP poslužitelja u Webexu za Cisco BroadWorks

Javni XSP|ADP u vašem okruženju pruža sljedeća sučelja/usluge Webexu i klijentima:

  • Usluga provjere autentičnosti (AuthService), osigurana TLS-om, koja odgovara na Webex zahtjeve za BroadWorks JWT (JSON web-token) u ime korisnika

  • CTI sučelje, zaštićeno mTLS-om, na koje se Webex pretplati za povijest poziva i status prisutnosti telefonije iz usluge BroadWorks (status kuke).

  • Xsi sučelja radnji i događaja (eXtended Services Interface) za kontrolu poziva pretplatnika, kontakte i popise poziva te konfiguraciju usluge telefonije krajnjeg korisnika

  • DM usluga (upravljanje uređajima) za klijente kako bi dohvatili svoje konfiguracijske datoteke za pozive

Pružite URL-ove za ta sučelja kada konfigurirate Webex za Cisco BroadWorks. (Pogledajte Konfigurirajte svoje BroadWorks klastere u okruženju Partner Hub u ovom dokumentu.) Za svaki klaster možete navesti samo jedan URL za svako sučelje. Ako imate više sučelja u svojoj BroadWorks infrastrukturi, možete izraditi više klastera.

XSP|ADP arhitektura

XSP|ADP arhitektura: Mogućnost 1
XSP|ADP arhitektura: 2. opcija

Tražimo da upotrijebite zasebnu, namjensku XSP|ADP instancu ili farmu za organiziranje vaše NPS (Notification Push Server) aplikacije. Možete upotrijebiti isti NPS uz UC-One SaaS ili UC-One Collaborate. Međutim, možda nećete organizirati druge aplikacije potrebne za Webex za Cisco BroadWorks na istom XSP|ADP-u koji je organizator NPS aplikacije.

Preporučujemo da upotrijebite namjensku XSP|ADP instancu/farmu kako biste organizirali potrebne aplikacije za integraciju Webex iz sljedećih razloga

  • Na primjer, ako nudite UC-One SaaS, preporučujemo stvaranje novog XSP|ADP farme za Webex za Cisco BroadWorks. Na taj način dvije usluge mogu raditi neovisno dok migrirate pretplatnike.

  • Ako smjestite Webex za Cisco BroadWorks aplikacije na XSP|ADP farmi koja se koristi u druge svrhe, vaša je odgovornost nadzirati upotrebu, upravljati rezultirajućom složenošću i planirati povećanu ljestvicu.

  • Cisco BroadWorks planer kapaciteta sustava pretpostavlja namjensku XSP|ADP farmu i možda neće biti točna ako je upotrebljavate za izračune kolokacije.

Osim ako nije navedeno drugačije, namjenski Webex za Cisco BroadWorks XSP|ADP-ove mora biti domaćin sljedećih aplikacija:

  • Usluga za provjeru autentičnosti (TLS s provjerom valjanosti CI tokena ili mTLS)

  • CTI (mTLS)

  • XSI radnje (TLS)

  • XSI događaji (TLS)

  • DMS (TLS) – neobavezno. Nije nužno da implementirate zasebnu instancu DMS-a ili farmu posebno za Webex za Cisco BroadWorks. Možete upotrijebiti istu instancu DMS-a koju upotrebljavate za UC-One SaaS ili UC-One Collaborate.

  • Webview postavki poziva (TLS) – neobavezno. Webview s postavkama poziva (CSW) potreban je samo ako želite da Webex za korisnike Cisco BroadWorksa mogu konfigurirati značajke poziva u aplikaciji Webex.

Webex zahtijeva pristup CTI-ju putem sučelja zaštićenog međusobnom TLS provjerom autentičnosti. Da biste podržali ovaj zahtjev, preporučujemo jednu od sljedećih opcija:

  • (Dijagram označen Opcija 1) Jedna XSP|ADP instanca ili farma za sve aplikacije, s dva sučelja konfigurirana na svakom poslužitelju: mTLS sučelje za CTI i TLS sučelje za druge aplikacije kao što je AuthService.

  • (Dijagram označen Opcija 2) Dvije XSP|ADP instance ili farme, jedna s mTLS sučeljem za CTI, a druga s TLS sučeljem za druge aplikacije, kao što je AuthService.

Ponovna upotreba XSP|ADP-a

Ako imate postojeću XSP|ADP farmu koja odgovara jednoj od predloženih arhitektura (opcija 1 ili 2) i lagano je učitana, moguće je ponovno koristiti postojeće XSP|ADP-ove. Morate provjeriti postoje li sukobljeni zahtjevi za konfiguraciju između postojećih aplikacija i novih zahtjeva aplikacije za Webex. Dva su primarna razmatranja:

  • Ako trebate podržati više partnerskih organizacija Webex na XSP|ADP-u, to znači da morate upotrebljavati mTLS na usluzi za provjeru autentičnosti (provjera valjanosti CI tokena podržana je samo za jednu partnersku organizaciju na XSP|ADP-u). Ako koristite mTLS na usluzi za provjeru autentičnosti, to znači da ne možete imati klijente koji istovremeno koriste osnovnu provjeru autentičnosti na usluzi za provjeru autentičnosti. Ova situacija spriječila bi ponovnu upotrebu XSP|ADP-a.

  • Ako je postojeća CTI usluga konfigurirana da je koriste klijenti sa sigurnim ulazom (obično 8012), ali bez mTLS-a (tj. provjera autentičnosti klijenta), to će biti u sukobu sa zahtjevom Webexa da ima mTLS.

Budući da XSP|ADP-ovi imaju mnogo aplikacija i broj permutacija tih aplikacija je velik, mogu postojati drugi neprepoznati sukobi. Iz tog razloga, svaku moguću ponovnu uporabu XSP|ADP-ova treba provjeriti u laboratoriju s predviđenom konfiguracijom prije obveze na ponovnu uporabu.

Konfiguriranje NTP sinkronizacije na XSP|ADP-u

Implementacija zahtijeva sinkronizaciju vremena za sve XSP|ADP-ove koje upotrebljavate s Webexom.

Instalirajte paket ntp nakon što instalirate OS i prije nego što instalirate softver BroadWorks. Zatim možete konfigurirati NTP tijekom instalacije softvera XSP|ADP. Više pojedinosti potražite u Vodiču za upravljanje softverom BroadWorks .

Tijekom interaktivne instalacije softvera XSP|ADP, dobit ćete mogućnost konfiguriranja NTP-a. Nastavite na sljedeći način:

  1. Kada instalacijski program zatraži Želite li konfigurirati NTP?, unesite y.

  2. Kada instalacijski program zatraži, Hoće li ovaj poslužitelj biti NTP poslužitelj?, unesite n.

  3. Kada instalacijski program zatraži Koja je NTP adresa, naziv glavnog računala ili FQDN?, unesite adresu svog NTP poslužitelja ili javne NTP usluge, na primjer, pool.ntp.org.

Ako vaši XSP|ADP-ovi upotrebljavaju tihu (neinteraktivnu) instalaciju, konfiguracijska datoteka instalacijskog programa mora uključivati sljedeće parove Key=Value:

NTP
NTP_SERVER=

XSP|ADP zahtjevi identiteta i sigurnosti

Pozadina

Protokoli i šifre Cisco BroadWorks TLS veza mogu se konfigurirati na različitim razinama specifičnosti. Te su razine u rasponu od najopćenitijeg (SSL davatelja) do najspecifičnijeg (pojedinačnog sučelja). Specifičnija postavka uvijek nadjačava općenitiju postavku. Ako nisu navedene, postavke SSL-a na „nižoj“ razini nasljeđuju se s „viših“ razina.

Ako se nijedna postavka ne promijeni iz njihovih zadanih postavki, sve razine nasljeđuju zadane postavke SSL davatelja (JSSE Java Secure Sockets Extension).

Popis zahtjeva

  • XSP|ADP mora se autentificirati klijentima s pomoću CA-potpisanog certifikata u kojem zajedničko ime ili zamjensko ime subjekta odgovara dijelu domene XSI sučelja.

  • Xsi sučelje mora podržavati TLSv1.2 protokol.

  • Xsi sučelje mora koristiti paket šifri koji ispunjava sljedeće zahtjeve.

    • Diffie-Hellman kratkotrajne (DHE) ili Eliptične krivulje Diffie-Hellman kratkotrajne (ECDHE) zamjene tipki

    • AES (Advanced Encryption Standard) šifra s minimalnom veličinom bloka od 128 bita (npr. AES-128 ili AES-256)

    • Način rada šifre GCM (Galois/Counter) ili CBC (Lanac bloka šifri)

      • Ako se koristi CBC šifra, za deriviranje ključa dopuštena je samo obitelj SHA2 hash funkcija (SHA256, SHA384, SHA512).

Na primjer, sljedeće šifre ispunjavaju zahtjeve:

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

XSP|ADP CLI zahtijeva konvenciju o imenovanju IANA-e za pakete šifri, kao što je gore prikazano, a ne konvenciju openSSL.

Podržane TLS šifre za AuthService i XSI sučelja

Taj je popis podložan promjenama s obzirom na razvoj naših sigurnosnih zahtjeva u oblaku. Slijedite trenutačnu sigurnosnu preporuku Cisco oblaka o odabiru šifri, kako je opisano u popisu zahtjeva u ovom dokumentu.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

  • TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

  • TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_PSK_WITH_AES_256_CBC_SHA384

  • TLS_PSK_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_PSK_WITH_AES_128_CBC_SHA256

  • TLS_PSK_WITH_AES_128_CBC_SHA

Parametri ljestvice Xsi događaja

Možda ćete morati povećati veličinu reda čekanja Xsi-Events i broj niti kako biste rukovali glasnoćom događaja koji zahtijeva rješenje Webex za Cisco BroadWorks. Parametre možete povećati na prikazane minimalne vrijednosti, na sljedeći način (nemojte ih smanjivati ako su iznad tih minimalnih vrijednosti):

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventQueueSize = 2000

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration>eventHandlerThreadCount = 50

Više XSP|ADP-ova

Učitaj rubni element za uravnoteženje

Ako imate element za balansiranje opterećenja na svom rubu mreže, on mora transparentno upravljati distribucijom prometa između vaših višestrukih XSP|ADP poslužitelja i Webexa za Cisco BroadWorks oblak i klijenata. U tom biste slučaju ustupili URL balansera opterećenja na Webex za konfiguraciju Cisco BroadWorks.

Napomene o ovoj arhitekturi:

  • Konfigurirajte DNS kako bi klijenti mogli pronaći balanser opterećenja prilikom povezivanja s sučeljem Xsi (pogledajte konfiguraciju DNS-a).

  • Preporučujemo da rubni element konfigurirate u obrnutom načinu SSL proxy, kako biste osigurali šifriranje podataka od točke do točke.

  • Certifikati iz XSP|ADP01 i XSP|ADP02 trebali bi imati XSP|ADP domenu, na primjer your-XSP|ADP.primjer.com, u Alternativnom nazivu subjekta. Trebali bi imati vlastite FQDN-ove, na primjer XSP|ADP01.primjer.com, u Zajedničkom nazivu. Možete upotrebljavati zamjenske certifikate, ali ih ne preporučujemo.

XSP|ADP poslužitelji okrenuti prema internetu

Ako izravno izlažete Xsi sučelja, koristite DNS za distribuciju prometa na više XSP|ADP poslužitelja.

Napomene o ovoj arhitekturi:

  • Za povezivanje na XSP|ADP poslužitelje potrebna su dva zapisa:

    • Za Webex mikrousluge: Okrugli A/GGGG zapisi potrebni su za ciljanje više XSP|ADP IP adresa. Razlog tome je što Webex mikroservisi ne mogu izvršiti SRV pretraživanja. Za primjere pogledajte Usluge Webex oblaka.

    • Za aplikaciju Webex: SRV zapis koji se razrješava na A zapise gdje se svaki A zapis razrješava na jedan XSP|ADP. Za primjere pogledajte aplikaciju Webex.

      Koristite prioritetizirane SRV zapise za ciljanje XSI usluge za više XSP|ADP adresa. Odredite prioritet svojim SRV zapisima tako da će mikrousluge uvijek ići na isti A zapis (i sljedeću IP adresu) i da će se premjestiti samo na sljedeći A zapis (i IP adresu) ako je prva IP adresa dolje. NEMOJTE upotrebljavati okrugli pristup za aplikaciju Webex.

  • Certifikati iz XSP|ADP01 i XSP|ADP02 trebali bi imati XSP|ADP domenu, na primjer your-XSP|ADP.primjer.com, u Alternativnom nazivu subjekta. Trebali bi imati vlastite FQDN-ove, na primjer XSP|ADP01.primjer.com, u Zajedničkom nazivu.

  • Možete upotrebljavati zamjenske certifikate, ali ih ne preporučujemo.

Izbjegavanje HTTP preusmjeravanja

Ponekad je DNS konfiguriran za rješavanje XSP|ADP URL-a na HTTP balanser opterećenja, a balanser opterećenja konfiguriran je za preusmjeravanje kroz obrnuti proxy na XSP|ADP poslužitelje.

Webex ne slijedi preusmjeravanje prilikom povezivanja na URL-ove koje isporučujete, tako da ova konfiguracija ne radi.

Arhitektura i infrastruktura

  • S kakvim razmjerima namjeravate početi? Moguće je povećati se u budućnosti, ali vaša trenutna procjena potrošnje trebala bi potaknuti planiranje infrastrukture.

  • Radite sa svojim Cisco upraviteljem računa / predstavnikom prodaje kako biste povećali svoju XSP|ADP infrastrukturu, u skladu s planerom kapaciteta sustava Cisco BroadWorks i vodičem za inženjerstvo sustava Cisco BroadWorks.

  • Kako će Webex uspostaviti međusobne TLS veze s vašim XSP|ADP-ovima? Izravno na XSP|ADP u DMZ-u ili putem TLS proxyja? To utječe na upravljanje vašim certifikatima i na URL-ove koje upotrebljavate za sučelja. (Ne podržavamo nešifrirane TCP veze na rubu vaše mreže).