Wat staat er in het overzicht?

Clients

• De Webex App-client wordt gebruikt als de primaire toepassing in Webex voor Cisco BroadWorks-aanbiedingen. De client is beschikbaar voor desktop-, mobiele en webplatforms.

  De client heeft eigen berichten, aanwezigheidsberichten en audio-/videovergaderingen met meerdere deelnemers die worden geleverd door de Webex-cloud. De Webex-client maakt gebruik van uw BroadWorks-infrastructuur voor SIP PSTN gesprekken.

• Cisco IP-telefoons en gerelateerde accessoires maken ook gebruik van uw BroadWorks-infrastructuur voor SIP- PSTN gesprekken. We verwachten ondersteuning te kunnen bieden voor telefoons van derden.

• Gebruikers activeren Portal voor gebruikers om zich aan te melden bij Webex met behulp van hun BroadWorks-aanmeldgegevens.

• Partner Hub is een webinterface voor het beheren van uw Webex-organisatie en van de organisaties van uw klanten. Partner Hub is waar u de integratie tussen uw BroadWorks-infrastructuur en Webex configureert. U kunt ook partnerhub gebruiken om de clientconfiguratie en facturering te beheren.

serviceprovider netwerk

Het groene blok links van het diagram staat voor uw netwerk. Onderdelen die in uw netwerk worden gehost, bieden de volgende services en interfaces aan andere delen van de oplossing:

• Openbaar gerichte XSP|ADP, voor Webex voor Cisco BroadWorks: (De doos staat voor een of meer XSP|ADP-boerderijen, mogelijk vooraan door load balancers.)

  • Host de Xtended Services Interface (XSI-Actions & XSI-Events), device beheerservice (DMS), de CTI-interface en de verificatieservice. Deze toepassingen maken het mogelijk voor telefoons en Webex-clients om zich te legitimeren, configuratiebestanden voor gesprekken te downloaden, oproepen uit te voeren en te ontvangen en elkaars hook-status (telefonische aanwezigheid) en gespreksgeschiedenis.

  • Directory naar Webex-clients publiceert.

• Openbaar gerichte XSP|ADP, met NPS:

  • host gespreksmeldingen pushserver: Een server voor pushmeldingen op een XSP|ADP in uw omgeving. Dit is een interface tussen uw toepassingsserver en onze NPS-proxy. De proxy levert op korte termijn tokens aan uw NPS om meldingen aan de cloudservices te autoreren. Deze services (APNS & FCM) verzenden oproepmeldingen naar Webex-clients op Apple iOS- en Google Android-apparaten.

• Toepassingsserver:

  • Biedt gespreksbeheer en interfaces voor andere BroadWorks-systemen (over het algemeen)

  • Voor flowthrough-provisioning wordt as door een partnerbeheerder gebruikt om gebruikers in Webex in te stellen

  • De gebruikersprofiel naar BroadWorks wordt pushen

• OSS/BSS: Uw Operations Support System/Business SIP-services voor het beheren van uw BroadWorks-ondernemingen.

Webex Cloud

Het blauwe blok in het diagram staat voor de Webex-cloud. Webex-microservices ondersteunen het volledigespectrum van de Webex-samenwerkingsfuncties:

• Cisco Common Identity (CI) is de identiteitsservice binnen Webex.

• Webex voor Cisco BroadWorks vertegenwoordigt de set microservices die de integratie tussen Webex en serviceprovider Hosted BroadWorks ondersteunen:

  • Gebruikersvoorzieningen API's

  • serviceprovider configureren

  • Gebruikers aanmelden met BroadWorks-aanmeldgegevens

• Webex Messaging-box voor microservices met betrekking tot berichten.

• Webex Meetings-vak voor mediaverwerkingsservers en SCS voor videovergaderingen met meerdere deelnemers (SIP & SRTP)

Webservices van derden

De volgende onderdelen van derden zijn in het diagram weergegeven:

• APNS (Apple Push Notifications Service) pusht oproep- en berichtmeldingen naar Webex-toepassingen op Apple-apparaten.

• FCM (FireBase Cloud Messaging) pusht oproep- en berichtmeldingen naar Webex-toepassingen op Android-apparaten.

Overwegingen bij XSP|ADP-architectuur

De rol van openbaar gerichte XSP|ADP-servers in Webex voor Cisco BroadWorks

De openbaar gerichte XSP|ADP in uw omgeving biedt de volgende interfaces/services aan Webex en clients:

• Verificatieservice (AuthService), beveiligd door TLS, die reageert op Webex-aanvragen voor BroadWorks JWT (JSON-web token) namens gebruikers

• CTI-interface, beveiligd door mTLS, waarbij Webex zich abonneert voor gespreksgeschiedenis gebeurtenissen en de aanwezigheidsstatus van telefonie van BroadWorks (hook-status).

• Xsi-interfaces voor acties en gebeurtenissen (eXtended Services Interface) voor gespreksbeheer van abonnees, telefoonlijstdirecties van contactpersonen en gesprekslijsten en configuratie van telefoonservices voor eindgebruikers

• DM (Device Management)-service voor clients om de configuratiebestanden voor bellen op te halen

URL's voor deze interfaces leveren wanneer u Webex configureert voor Cisco BroadWorks. (Zie Uw BroadWorks-clusters configureren in Partnerhub in dit document.) Voor elk cluster kunt u slechts één URL opgeven voor elke interface. Als u meerdere interfaces in uw BroadWorks-infrastructuur hebt, kunt u meerdere clusters maken.

XSP|ADP-architectuur

We vereisen dat u een afzonderlijke, speciale XSP|ADP-instantie of -farm gebruikt om uw NPS-toepassing (Notification Push Server) te hosten. U kunt dezelfde NPS gebruiken met UC-One SaaS of UC-One Collaborate. Het is echter mogelijk dat u de andere toepassingen die vereist zijn voor Webex voor Cisco BroadWorks niet host op dezelfde XSP|ADP als host van de NPS-toepassing.

We raden u aan een speciaal XSP|ADP-exemplaar/farm te gebruiken om de vereiste toepassingen voor Webex-integratie te hosten om de volgende redenen

• Als u bijvoorbeeld UC-One SaaS aanbiedt, raden we u aan een nieuwe XSP|ADP-farm te maken voor Webex voor Cisco BroadWorks. Op deze manier kunnen de twee services zelfstandig werken terwijl u abonnees migreert.

• Als u de Webex voor Cisco BroadWorks-toepassingen samen zoekt op een XSP|ADP-farm die voor andere doeleinden wordt gebruikt, is het uw verantwoordelijkheid om het gebruik te controleren, de resulterende complexiteit te beheren en de verhoogde schaal te plannen.

• De Cisco BroadWorks-systeemcapaciteitsplanner gaat uit van een speciale XSP|ADP-farm en is mogelijk niet nauwkeurig als u deze gebruikt voor collocatieberekeningen.

Tenzij anders vermeld, moet de speciale Webex voor Cisco BroadWorks XSP|ADP's de volgende toepassingen hosten:

• AuthService (TLS met validatie van CI-token of mTLS)

• CTI (mTLS)

• XSI-acties (TLS)

• XSI-Events (TLS)

• DMS (TLS): optioneel. Het is niet verplicht dat u een afzonderlijk DMS-exemplaar of farm specifiek voor Webex voor Cisco BroadWorks implementeert. U kunt hetzelfde DMS-exemplaar gebruiken als u voor UC-One SaaS of UC-One Collaborate.

• Gespreksinstellingen Webview (TLS): optioneel. Gespreksinstellingen Webview (CSW) is alleen vereist als u wilt dat gebruikers van Webex voor Cisco BroadWorks gespreksfuncties kunnen configureren in de Webex-app.

Webex vereist toegang tot CTI via een interface die is beveiligd door gemeenschappelijke TLS cti. Als u deze vereiste wilt ondersteunen, raden we een van de volgende opties aan:

• (Diagram met de naam Optie 1) Eén XSP|ADP-instantie of -farm voor alle toepassingen, met twee interfaces geconfigureerd op elke server: een mTLS-interface voor CTI en een TLS-interface voor andere apps, zoals de AuthService.

• (Diagram met de vermelding Optie 2) Twee XSP|ADP-instanties of -farms, een met een mTLS-interface voor CTI en de andere met een TLS-interface voor andere apps, zoals AuthService.

NTP-synchronisatie configureren in XSP|ADP

Voor de implementatie is tijdsynchronisatie vereist voor alle XSP|ADP's die u met Webex gebruikt.

Installeer het ntp-pakket nadat u het besturingssysteem hebt geïnstalleerd en voordat u de BroadWorks-software installeert. Vervolgens kunt u NTP configureren tijdens de installatie van de XSP|ADP-software. Zie de BroadWorks Software Management-handleiding voor meer informatie.

Tijdens de interactieve installatie van de XSP|ADP-software krijgt u de optie om NTP te configureren. Ga als volgt te werk:

1. Wanneer het installatieprogramma u de vraag stelt, Wilt u NTP configureren?, voer yin.

2. Wanneer het installatieprogramma u vraagt: Wordt deze server een NTP-server? , voer n in.

3. Wanneer het installatieprogramma u vraagt: Wat is het NTP-adres, de hostnaam of FQDN? , voert u het adres van uw NTP-server of een openbare NTP-service in, bijvoorbeeld pool.ntp.org.

Als uw XSP|ADP's gebruikmaken van stille (niet-interactieve) installatie, moet het installatieconfiguratiebestand de volgende paren Key=Value bevatten:

NTP

NTP_SERVER=

XSP|ADP-identiteits- en beveiligingsvereisten

Achtergrond

De protocollen en versleutelingen van Cisco BroadWorks TLS-verbindingen kunnen worden geconfigureerd op verschillende specificiteitsniveaus. Deze niveaus variëren van de meest algemene (SSL-provider) tot de meest specifieke (afzonderlijke interface). Een specifiekere instelling overschrijven altijd een algemenere instelling. Als deze niet zijn gespecificeerd, worden SSL-instellingen op een lager niveau overgenomen van 'hogere' niveaus.

Als de instellingen niet worden gewijzigd van de standaardinstellingen, worden de standaardinstellingen van de SSL-provider overgenomen door alle niveaus (JSSE Java Secure Sockets Extension).

Lijst met vereisten

• De XSP|ADP moet zichzelf verifiëren naar clients met een door een CA ondertekend certificaat waarin de algemene naam of de alternatieve naam van het onderwerp overeenkomt met het domeingedeelte van de XSI-interface.

• De Xsi-interface moet het TLSv1.2-protocol ondersteunen.

• De Xsi-interface moet een codesuite gebruiken die aan de volgende vereisten voldoet.

  • Diffie-Hellman Epmingeral (DHE) of Elliptic Curves Diffie-Hellman Epmingeral (ECDHE) sleutel-exchange

  • AES-code (Advanced Encryption Standard) met een minimale blokkeringsgrootte van 128 bits (bijvoorbeeld AES-128 of AES-256)

  • GCM (Galois/Counter Mode) of CBC (Code Block Chaining) codemodus

    • Als een CBC-code wordt gebruikt, is alleen de SHA2-hash-functie toegestaan voor sleutelversleuteling (SHA256, SHA384, SHA512).

De volgende versleutelingen voldoen bijvoorbeeld aan de vereisten:

• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

• TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

Ondersteunde TLS-versleutelingen voor de interfaces AuthService en XSI

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

• TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

• TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

• TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

• TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

• TLS_DHE_RSA_WITH_AES_256_CBC_SHA

• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

• TLS_DHE_RSA_WITH_AES_128_CBC_SHA

• TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

• TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

• TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

• TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

• TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

• TLS_RSA_WITH_AES_256_GCM_SHA384

• TLS_PSK_WITH_AES_256_GCM_SHA384

• TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

• TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

• TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

• TLS_RSA_WITH_AES_128_GCM_SHA256

• TLS_PSK_WITH_AES_128_GCM_SHA256

• TLS_RSA_WITH_AES_256_CBC_SHA256

• TLS_RSA_WITH_AES_128_CBC_SHA256

• TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

• TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

• TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

• TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

• TLS_RSA_PSK_WITH_AES_256_CBC_SHA

• TLS_DHE_PSK_WITH_AES_256_CBC_SHA

• TLS_RSA_WITH_AES_256_CBC_SHA

• TLS_PSK_WITH_AES_256_CBC_SHA384

• TLS_PSK_WITH_AES_256_CBC_SHA

• TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

• TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

• TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

• TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

• TLS_RSA_PSK_WITH_AES_128_CBC_SHA

• TLS_DHE_PSK_WITH_AES_128_CBC_SHA

• TLS_RSA_WITH_AES_128_CBC_SHA

• TLS_PSK_WITH_AES_128_CBC_SHA256

• TLS_PSK_WITH_AES_128_CBC_SHA

Xsi Events-schaalparameters

Mogelijk moet u de grootte van de Xsi-Events-wachtrij en het aantal threads verhogen om het volume gebeurtenissen af te handelen dat de Webex-oplossing voor Cisco BroadWorks vereist. U kunt de parameters als volgt vergroten tot de minimumwaarden (ze niet verlagen als ze boven deze minimumwaarden liggen):

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventQueueSize = 2000

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventHandlerThreadCount = 50

Meerdere XSP|ADP's

Edge-element voor load balancing

Als u een load balancing-element op uw netwerk-edge hebt, moet het de verdeling van het verkeer tussen uw meerdere XSP|ADP-servers en de Webex voor Cisco BroadWorks-cloud en -clients transparant afhandelen. In dit geval geeft u de URL van de load-balancer op bij de Webex voor Cisco BroadWorks-configuratie.

Aantekeningen over deze architectuur:

• Configureer DNS zodat de clients de load balancer kunnen vinden wanneer ze verbinding maken met de Xsi-interface (zie DNS-configuratie).

• We raden u aan het edge-element in de reverse SSL-proxymodus te configureren om point-to-pointgegevenscodering te garanderen.

• Certificaten van XSP|ADP01 en XSP|ADP02 moeten beide het XSP|ADP-domein hebben, bijvoorbeeld uw-XSP|ADP.voorbeeld.com, in de alternatieve naam van het onderwerp. Ze moeten hun eigen FQDN's hebben, bijvoorbeeld XSP|ADP01.example.com, in de algemene naam. U kunt jokercertificaten gebruiken, maar deze worden niet aanbevolen.

XSP|ADP-servers op internet

Als u de Xsi-interfaces rechtstreeks blootstelt, gebruikt u DNS om het verkeer naar de meerdere XSP|ADP-servers te distribueren.

Aantekeningen over deze architectuur:

• Er zijn twee records vereist om verbinding te maken met de XSP|ADP-servers:

  • Voor Webex-microservices: Round-robin A/AAAA-records zijn vereist om op de meerdere XSP|ADP IP-adressen te richten. Dit komt omdat de Webex-microservices geen SRV-zoekopdrachten kunnen uitvoeren. Zie Webex-cloudservices voor voorbeelden.

  • Voor Webex-app: Een SRV-record die verwijst naar A-records waarbij elke A-record verwijst naar een enkele XSP|ADP. Zie Webex-app voor voorbeelden.

    Gebruik geprioriteerde SRV-records om de XSI-service voor de meerdere XSP|ADP-adressen te richten. Geef prioriteit aan uw SRV-records zodat de microservices altijd naar dezelfde A-record gaan (en het daaropvolgende IP-adres) en alleen naar de volgende A-record (en het IP-adres) worden verplaatst als het eerste IP-adres niet beschikbaar is. Gebruik GEEN round-robin-benadering voor de Webex-app.

• Certificaten van XSP|ADP01 en XSP|ADP02 moeten beide het XSP|ADP-domein hebben, bijvoorbeeld uw-XSP|ADP.voorbeeld.com, in de alternatieve naam van het onderwerp. Ze moeten hun eigen FQDN's hebben, bijvoorbeeld XSP|ADP01.example.com, in de algemene naam.

• U kunt jokercertificaten gebruiken, maar deze worden niet aanbevolen.

Http-omleidingen voorkomen

Soms wordt DNS geconfigureerd om de XSP|ADP-URL om te zetten naar een HTTP-load balancer en wordt de load balancer geconfigureerd om door een reverse proxy om te leiden naar de XSP|ADP-servers.

Webex volgt geen omleiding bij het verbinden met de URL's die u opgeeft, dus deze configuratie werkt niet.