Architettura

Panoramica di Webex per BroadWorks

Che cos'è nel diagramma?

Client

  • Il client Webex App svolge la funzione di applicazione principale in Webex per le offerte Cisco BroadWorks. Il client è disponibile su piattaforme desktop, mobili e Web.

    Il client dispone di riunioni audio/video native di messaggistica, presenza e multiparty fornite dal cloud Webex. Il client Webex utilizza l'infrastruttura BroadWorks per chiamate SIP PSTN chiamate.

  • I telefoni Cisco IP e relativi accessori utilizzano anche l'infrastruttura BroadWorks per SIP e chiamate PSTN telefoniche. Ci vediamo in grado di supportare telefoni di terze parti.

  • Portale di attivazione utente per consentire agli utenti di accedere a Webex utilizzando le credenziali BroadWorks.

  • Partner Hub è un'interfaccia Web per l'amministrazione della propria organizzazione Webex e delle organizzazioni dei clienti. Partner Hub consente di configurare l'integrazione tra l'infrastruttura BroadWorks e Webex. È anche possibile utilizzare Partner Hub per gestire la configurazione del client e la fatturazione.

provider di servizi di rete

Il blocco verde a sinistra del diagramma rappresenta la rete. I componenti ospitati nella rete forniscono i seguenti servizi e interfacce ad altre parti della soluzione:

  • ADP XSP|rivolto al pubblico, per Webex per Cisco BroadWorks: (La casella rappresenta uno o più farm XSP|ADP, possibilmente frontali da bilanciatori del carico).

    • Ospita l'interfaccia XSI-Actions &XSI-Events, Device Servizio di gestione (DMS), l'interfaccia CTI e il servizio di autenticazione. Insieme, queste applicazioni consentono ai telefoni e ai client Webex di autenticarsi, scaricare i file di configurazione delle chiamate, effettuare e ricevere chiamate e visualizzare lo stato di hook degli altri (presenza di telefonia) e cronologia chiamate.

    • Pubblica la directory sui client Webex.

  • ADP XSP|rivolto al pubblico, con NPS:

    • Server push notifiche chiamate host: Un server push di notifica su un ADP XSP| nel tuo ambiente. Interfaccia tra il server applicazioni e il nostro proxy NPS. Il proxy fornisce token di breve durata all'NPS per autorizzare le notifiche ai servizi cloud. Questi servizi (APNS &FCM) inviano notifiche di chiamata ai client Webex su dispositivi Apple iOS e Google Android.

  • Server applicazione:

    • Fornisce il controllo e le interfacce delle chiamate ad altri sistemi BroadWorks (in genere)

    • Per il provisioning flowre, l'AS viene utilizzato dall'amministratore del partner per eseguire il provisioning degli utenti in Webex

    • Inserisce profilo utente in BroadWorks

  • SISTEMA SISTEMA AVAIO/BSS: Sistema di supporto operativo/servizi SIP aziendali per l'amministrazione delle aziende BroadWorks.

Webex Cloud

Il blocco blu nel diagramma rappresenta il cloud Webex. I microservizi Webex supportano tutte le funzionalità di collaborazione Webex:

  • Cisco Common Identity (CI) è il servizio di identità all'interno di Webex.

  • Webex per Cisco BroadWorks rappresenta l'insieme di microservizi che supportano l'integrazione tra Webex e provider di servizi BroadWorks ospitate:

    • API di provisioning utenti

    • provider di servizi configurazione

    • Accesso utente tramite credenziali BroadWorks

  • casella Messaggistica Webex per microservizi correlati alla messaggistica.

  • Webex Meetings che rappresenta i server di elaborazione multimediale e i controller SBC per le riunioni video con più partecipanti (SIP & SRTP)

Servizi Web di terze parti

I seguenti componenti di terze parti vengono rappresentati nel diagramma:

  • APNS (Apple Push Notifications Service) inserisce le notifiche di chiamate e messaggi nelle applicazioni Webex sui dispositivi Apple.

  • FCM (FireBase Cloud Messaging) invia notifiche di chiamate e messaggi alle applicazioni Webex sui dispositivi Android.

Considerazioni sull'architettura XSP|ADP

Ruolo dei server ADP XSP|rivolti al pubblico in Webex per Cisco BroadWorks

L'ADP XSP|rivolto al pubblico nel tuo ambiente fornisce le seguenti interfacce/servizi a Webex e ai client:

  • Servizio di autenticazione (AuthService), protetto da TLS, che risponde alle richieste di BroadWorks J JSON (Token Web JSON) per conto dell'utente

  • Interfaccia CTI protetta da mTLS, a cui Webex esegue l'abbonamento per eventi cronologia chiamate e stato della presenza di telefonia da BroadWorks (stato hook).

  • Interfacce di azioni ed eventi Xsi (eXtended Services Interface) per il controllo delle chiamate, le directory di contatto e di elenco delle chiamate e la configurazione del servizio di telefonia dell'utente finale

  • Servizio DM (Device Management) per i client per recuperare i file di configurazione delle chiamate

Fornire gli URL per queste interfacce quando si configura Webex per Cisco BroadWorks. Vedi Configurazione dei cluster BroadWorks in Partner Hub in questo documento) Per ciascun cluster, puoi fornire solo un URL per ciascuna interfaccia. Se si dispone di più interfacce nell'infrastruttura BroadWorks, è possibile creare più cluster.

Architettura XSP|ADP

Architettura XSP|ADP: Opzione 1
Architettura XSP|ADP: Opzione 2

Si richiede di utilizzare un'istanza ADP XSP|separata e dedicata per ospitare l'applicazione NPS (Notification Push Server). È possibile utilizzare lo stesso NPS con UC-One SaaS o UC-One Collaborate. Tuttavia, non è possibile ospitare le altre applicazioni richieste per Webex per Cisco BroadWorks sullo stesso ADP XSP| che ospita l'applicazione NPS.

Si consiglia di utilizzare un'istanza/farm XSP|ADP dedicata per ospitare le applicazioni richieste per l'integrazione Webex per i seguenti motivi

  • Ad esempio, se stai offrendo UC-One SaaS, ti consigliamo di creare un nuovo farm ADP XSP|per Webex per Cisco BroadWorks. In questo modo i due servizi possono funzionare in modo indipendente durante la migrazione degli abbonati.

  • Se si posizionano le applicazioni Webex per Cisco BroadWorks su un farm XSP|ADP utilizzato per altri scopi, è responsabilità del cliente monitorare l'uso, gestire la complessità risultante e pianificare l'aumento di scala.

  • Il Strumento di pianificazione della capacità del sistema Cisco BroadWorks utilizza un farm ADP XSP| dedicato e potrebbe non essere accurato se lo si utilizza per calcoli di collocazione.

Se non diversamente specificato, il Webex dedicato per Cisco BroadWorks XSP ADP| deve ospitare le seguenti applicazioni:

  • AuthService (TLS con convalida token CI o mTLS)

  • CTI (mTLS)

  • Azioni XSI (TLS)

  • XSI-Events (TLS)

  • DMS (TLS): facoltativo. Non è obbligatorio distribuire un'istanza DMS o un farm separati specificatamente per Webex per Cisco BroadWorks. È possibile utilizzare la stessa istanza DMS utilizzata per UC-One SaaS o UC-One Collaborate.

  • Impostazioni chiamata Webview (TLS): opzionale. La vista Web impostazioni chiamata (CSW) è richiesta solo se desideri che gli utenti Webex per Cisco BroadWorks possano configurare le funzioni di chiamata sull'app Webex.

Webex richiede l'accesso al CTI attraverso un'interfaccia protetta (autenticazione) TLS reciproca autenticazione. Per supportare questo requisito, si consiglia una di queste opzioni:

  • (Diagramma etichettato Opzione 1) Un'istanza o un farm XSP|ADP per tutte le applicazioni, con due interfacce configurate su ciascun server: un'interfaccia mTLS per CTI e un'interfaccia TLS per altre app come AuthService.

  • (Diagramma etichettato Opzione 2) Due istanze o farm XSP| ADP, una con un'interfaccia mTLS per CTI e l'altra con un'interfaccia TLS per altre app, come AuthService.

Riutilizzo XSP|ADP

Se si dispone di un farm ADP XSP|esistente conforme a una delle architetture suggerite sopra (opzione 1 o 2) e carico leggero, è possibile riutilizzare gli ADP XSP|esistenti. Sarà necessario verificare che non vi siano requisiti di configurazione in conflitto tra le applicazioni esistenti e i nuovi requisiti delle applicazioni per Webex. Le due considerazioni principali sono:

  • Se è necessario supportare più organizzazioni partner Webex su XSP|ADP, ciò significa che è necessario utilizzare mTLS sul servizio di autorizzazione (la convalida del token CI è supportata solo per una singola organizzazione partner su un XSP|ADP). Se si utilizza mTLS sul servizio di autenticazione, ciò significa che non è possibile avere client che stanno utilizzando l'autenticazione di base sul servizio di autenticazione allo stesso tempo. Questa situazione impedirebbe il riutilizzo dell'ADP XSP|.

  • Se il servizio CTI esistente è configurato per essere utilizzato dai client con la porta protetta (in genere 8012) ma senza mTLS (ossia, autenticazione client), tale servizio è in conflitto con il requisito webex di disporre di mTLS.

Poiché gli ADP XSP| hanno molte applicazioni e il numero di permutazioni di queste applicazioni è elevato, potrebbero verificarsi altri conflitti non identificati. Per questo motivo, qualsiasi potenziale riutilizzo di ADP XSP| deve essere verificato in un laboratorio con la configurazione prevista prima di impegnarsi per il riutilizzo.

Configurazione della sincronizzazione NTP su XSP|ADP

La distribuzione richiede la sincronizzazione dell'orario per tutti gli ADP XSP| utilizzati con Webex.

Installare il pacchetto ntp dopo aver installato il sistema operativo e prima di installare il software BroadWorks. Successivamente, è possibile configurare NTP durante l'installazione del software XSP|ADP. Per ulteriori informazioni, vedere la Guida alla gestione software BroadWorks.

Durante l'installazione interattiva del software ADP XSP|, è possibile configurare NTP. Procedere come segue:

  1. Quando viene visualizzato il programma di installazione, configurare NTP?, inserire y .

  2. Quando il programma di installazione richiede, questo server deve essere un server NTP? , inserire n .

  3. Quando il programma di installazione richiede, Qual è l'indirizzo NTP, il nome host o nome di dominio completo? , inserire l'indirizzo del server NTP o un servizio NTP pubblico, ad esempio, pool.ntp.org.

Se le ADP XSP| utilizzano l'installazione invisibile all'utente (non interattiva), il file di configurazione del programma di installazione deve includere le seguenti coppie chiave=valore:

NTP
NTP_SERVER=

Requisiti di sicurezza e identità ADP XSP|

Sfondo

I protocolli e i tipi di crittografia delle connessioni TLS Cisco BroadWorks sono configurabili a diversi livelli di specificità. Questi livelli variano dal più generale (provider SSL) alla più specifica (singola interfaccia). Un'impostazione più specifica sovrascrive sempre un'impostazione più generale. Se non vengono specificate, le impostazioni SSL di livello 'inferiore' vengono ereditano dai livelli superiori.

Se non viene modificata alcuna impostazione dai valori predefiniti, tutti i livelli ereditano le impostazioni predefinite del provider SSL (estensione JSSE Java Secure Sockets).

Elenco requisiti

  • L'ADP XSP| deve autenticarsi ai client utilizzando un certificato firmato da un'autorità di certificazione in cui il nome comune o il nome alternativo oggetto corrisponde alla parte di dominio dell'interfaccia XSI.

  • L'interfaccia Xsi deve supportare il protocollo TLSv1.2.

  • L'interfaccia Xsi deve utilizzare una suite di crittografia che soddisfi i seguenti requisiti.

    • Diffie-Hellman Ephemeral (DHE) o Curve ellittiche Diffie-Hellman Ephemeral (ECDHE) key-exchange

    • Crittografia AES (Advanced Encryption Standard) con una dimensione di blocco minima di 128 bit (ad esempio, AES-128 o AES-256)

    • Modalità di crittografia GCM (Galois/Counter Mode) o CBC (Cipher Block Chaining)

      • Se viene utilizzata la crittografia CBC, solo la famiglia di funzioni hash SHA2 è consentita per la derivazione chiave (SHA256, SHA384, SHA512).

Ad esempio, i seguenti tipi di crittografia soddisfano i requisiti:

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

L'XSP|ADP CLI richiede la convenzione di denominazione IANA per le suite di crittografia, come mostrato sopra, non la convenzione openSSL.

Tipi di crittografia TLS supportati per le interfacce AuthService e XSI

Questo elenco è soggetto a modifica quando i requisiti di sicurezza del cloud cambiano. Seguire i suggerimenti sulla sicurezza del cloud Cisco per la selezione della crittografia, come descritto nell'elenco dei requisiti in questo documento.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

  • TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

  • TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_PSK_WITH_AES_256_CBC_SHA384

  • TLS_PSK_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_PSK_WITH_AES_128_CBC_SHA256

  • TLS_PSK_WITH_AES_128_CBC_SHA

Parametri scala Xsi Events

Potrebbe essere necessario aumentare la dimensione della coda Xsi-Events e il conteggio dei thread per gestire il volume di eventi richiesto dalla soluzione Webex per Cisco BroadWorks. È possibile aumentare i parametri ai valori minimi mostrati, come segue (non diminuire, se sono superiori ai valori minimi):

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventQueueSize = 2000

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventHandlerThreadCount = 50

Più ADP XSP|

Elemento Edge di bilanciamento del carico

Se si dispone di un elemento di bilanciamento del carico sul perimetro di rete, tale elemento deve gestire in modo trasparente la distribuzione del traffico tra più server ADP XSP|e il cloud e i client Webex per Cisco BroadWorks. In questo caso, si fornisce l'URL del servizio di bilanciamento del carico a Webex per la configurazione Cisco BroadWorks.

Note su questa architettura:

  • Configurare DNS in modo che i client possano trovare il servizio di bilanciamento del carico quando si connettono all'interfaccia Xsi (vedere Configurazione DNS).

  • Si consiglia di configurare l'elemento Edge in modalità proxy SSL inverso per accertarsi che la crittografia dati point-to-point.

  • I certificati di XSP|ADP01 e XSP|ADP02 devono entrambi avere il dominio XSP|ADP, ad esempio tuo-XSP|ADP.example.com, nel nome alternativo oggetto. Devono avere i propri nomi di domini completi, ad esempio XSP|ADP01.example.com, nel nome comune. È possibile utilizzare certificati con caratteri jolly, ma non sono consigliati.

Server ADP XSP|rivolti a Internet

Se si espongono direttamente le interfacce XSI, utilizzare il DNS per distribuire il traffico a più server ADP XSP|.

Note su questa architettura:

  • Sono necessari due record per la connessione ai server ADP XSP|:

    • Per i microservizi Webex: I record a turni A/AAAA sono richiesti per indirizzare più indirizzi IP ADP XSP|. Questo perché i microservizi Webex non possono eseguire ricerche SRV. Per esempi, vedere Servizi cloud Webex.

    • Per l'app Webex: Un record SRV che si risolve in record A e ciascun record A si risolve in un singolo ADP XSP|. Per esempi, vedi App Webex.

      Utilizzare i record SRV con priorità per indirizzare il servizio XSI per più indirizzi ADP XSP|. Assegnare una priorità ai record SRV in modo che i microservizi passino sempre allo stesso record A (E l'indirizzo IP successivo) e passino al record A successivo (e indirizzo IP) solo se il primo indirizzo IP non è attivo. NON utilizzare un approccio a tutto tondo per Webex App.

  • I certificati di XSP|ADP01 e XSP|ADP02 devono entrambi avere il dominio XSP|ADP, ad esempio tuo-XSP|ADP.example.com, nel nome alternativo oggetto. Devono avere i propri nomi di domini completi, ad esempio XSP|ADP01.example.com, nel nome comune.

  • È possibile utilizzare certificati con caratteri jolly, ma non sono consigliati.

Evita reindirizzamenti HTTP

Talvolta, il DNS è configurato per risolvere l'URL ADP XSP|in un servizio di bilanciamento del carico HTTP e il servizio di bilanciamento del carico è configurato per reindirizzare attraverso un proxy inverso ai server ADP XSP|XSP.

Webex non segue un reindirizzamento quando ci si connette agli URL forniti, pertanto questa configurazione non funziona.

Architettura e infrastruttura

  • Con quale scala intendete iniziare? È possibile aumentare la scalabilità in futuro, ma la stima d'uso corrente deve guidare la pianificazione dell'infrastruttura.

  • Collaborare con il responsabile account / rappresentante di vendita Cisco per ridimensionare l'infrastruttura ADP XSP|, in base alla Cisco BroadWorks System Capacity Planner e alla Cisco BroadWorks System Engineering Guide.

  • In che modo Webex esegue connessioni TLS reciproche con gli ADP XSP|? Direttamente all'ADP XSP| in un DMZ o tramite proxy TLS? Ciò incide sulla gestione dei certificati e sugli URL utilizzati per le interfacce (Le connessioni TCP non crittografate al bordo della rete non sono supportate).