Arkitektur

Oversikt over Webex for BroadWorks

Hva er i diagrammet?

Kunder

  • Webex-appklienten fungerer som det primære programmet i Webex for Cisco BroadWorks-tilbud. Klienten er tilgjengelig på stasjonære, mobile og nettplattformer.

    Klienten har innebygde meldinger, tilstedeværelse og lyd-/videomøter med flere parter levert av Webex-skyen. Webex-klienten bruker BroadWorks-infrastrukturen din for SIP- og PSTN-anrop.

  • Cisco IP-telefoner og tilhørende tilbehør bruker også BroadWorks-infrastrukturen til SIP- og PSTN-anrop. Vi forventer å kunne støtte tredjepartstelefoner.

  • Brukeraktiveringsportalen slik at brukere kan logge på Webex ved hjelp av BroadWorks-legitimasjonen sin.

  • Partner Hub er et webgrensesnitt for å administrere Webex-organisasjonen din og kundenes organisasjoner. Partner Hub er der du konfigurerer integreringen mellom BroadWorks-infrastrukturen og Webex. Du bruker også Partner Hub til å administrere klientkonfigurasjon og fakturering.

Tjenesteleverandørnettverk

Den grønne blokken til venstre i diagrammet representerer nettverket ditt. Komponenter som driftes i nettverket gir følgende tjenester og grensesnitt til andre deler av løsningen:

  • Offentlig vendt XSP|ADP, for Webex for Cisco BroadWorks: (Boksen representerer ett eller flere XSP|ADP-gårder, muligens fronter av belastningsbalansere.)

    • Er vert for Xtended Services Interface (XSI-Actions og XSI-Events), Device Management Service (DMS), CTI-grensesnittet og Authentication Service. Sammen gjør disse programmene det mulig for telefoner og Webex-klienter å autentisere seg selv, laste ned anropskonfigurasjonsfilene sine, foreta og motta anrop og se hverandres telefonstatus (telefonitilstedeværelse) og anropslogg.

    • Publiserer katalog til Webex-klienter.

  • Offentlig vendt XSP|ADP, kjører NPS:

    • Push-server for vertsanropsvarsler: En Notification Push-server på en XSP|ADP i ditt miljø. Det er grensesnitt mellom programserveren din og vår NPS-proxy. Proxyen leverer kortvarige tokener til din NPS for å godkjenne varsler til skytjenestene. Disse tjenestene (APNS & FCM) sender anropsvarsler til Webex-klienter på Apple iOS- og Google Android-enheter.

  • Programserver:

    • Gir samtalekontroll og grensesnitt til andre BroadWorks-systemer (generelt)

    • For klargjøring av gjennomstrømning brukes AS av partneradministrator til å klargjøre brukere i Webex

    • Skyver brukerprofil inn i BroadWorks

  • oss/bss: Ditt driftsstøttesystem/Business SIP-tjenester for administrasjon av dine BroadWorks-bedrifter.

Webex Cloud

Den blå blokken i diagrammet representerer Webex-skyen. Webex-mikrotjenester støtter hele spekteret av Webex-samarbeidsfunksjoner:

  • Cisco Common Identity (CI) er identitetstjenesten i Webex.

  • Webex for Cisco BroadWorks representerer settet med mikrotjenester som støtter integreringen mellom Webex og tjenesteleverandøren Hosted BroadWorks:

    • API-er for brukerklargjøring

    • Konfigurasjon av tjenesteleverandør

    • Brukerpålogging ved hjelp av BroadWorks-legitimasjon

  • Webex Messaging-boks for meldingsrelaterte mikrotjenester.

  • Webex Meetings-boksen som representerer mediebehandlingsservere og SBC-er for flere deltakervideomøter (SIP & SRTP)

Tredjeparts netttjenester

Følgende tredjepartskomponenter er representert i diagrammet:

  • APNS (Apple Push Notifications Service) sender anrops- og meldingsvarsler til Webex-applikasjoner på Apple-enheter.

  • FCM (FireBase Cloud Messaging) sender anrops- og meldingsvarsler til Webex-applikasjoner på Android-enheter.

XSP|ADP-arkitekturhensyn

Rollen til offentlige XSP|ADP-servere i Webex for Cisco BroadWorks

Den offentlige XSP|ADP i ditt miljø gir følgende grensesnitt/tjenester til Webex og klienter:

  • Autentiseringstjeneste (AuthService), sikret av TLS, som svarer på Webex-forespørsler om BroadWorks JWT (JSON Web Token) på brukerens vegne

  • CTI-grensesnitt, sikret av mTLS, som Webex abonnerer på for samtalehistorikkhendelser og telefonitilgjengelighetsstatus fra BroadWorks (hook-status).

  • Xsi-grensesnitt for handlinger og hendelser (eXtended Services Interface) for kontroll av abonnenter, kontaktlister og samtalelister og konfigurasjon av telefonitjeneste for sluttbrukere

  • DM-tjeneste (Device Management) for klienter for å hente sine anropskonfigurasjonsfiler

Oppgi URL-adresser for disse grensesnittene når du konfigurerer Webex for Cisco BroadWorks. (Se Konfigurere BroadWorks-klyngene i Partner Hub i dette dokumentet.) For hver klynge kan du bare oppgi én URL-adresse for hvert grensesnitt. Hvis du har flere grensesnitt i BroadWorks-infrastrukturen, kan du opprette flere klynger.

XSP|ADP-arkitektur

XSP|ADP-arkitektur: Opsjon 1
XSP|ADP-arkitektur: Opsjon 2

Vi krever at du bruker en separat, dedikert XSP|ADP-forekomst eller gård for å være vert for NPS-programmet (Notification Push Server). Du kan bruke den samme NPS med UC-One SaaS eller UC-One Collaborate. Du kan imidlertid ikke være vert for de andre programmene som kreves for Webex for Cisco BroadWorks på samme XSP|ADP som er vert for NPS-programmet.

Vi anbefaler at du bruker en dedikert XSP|ADP-forekomst/gård til å være vert for de nødvendige programmene for Webex-integrering av følgende årsaker

  • Hvis du for eksempel tilbyr UC-One SaaS, anbefaler vi å opprette en ny XSP|ADP-gård for Webex for Cisco BroadWorks. På denne måten kan de to tjenestene fungere uavhengig mens du overfører abonnenter.

  • Hvis du plasserer Webex for Cisco BroadWorks-programmene på en XSP|ADP-gård som brukes til andre formål, er det ditt ansvar å overvåke bruken, administrere den resulterende kompleksiteten og planlegge for den økte skaleringen.

  • Cisco BroadWorks System Capacity Planner forutsetter en dedikert XSP|ADP-bedrift og er kanskje ikke nøyaktig hvis du bruker den til samlokaliseringsberegninger.

Med mindre annet er angitt, må de dedikerte Webex for Cisco BroadWorks XSP|ADP-ene være vert for følgende programmer:

  • AuthService (TLS med CI-tokenvalidering eller mTLS)

  • CTI (mTLS)

  • XSI-handlinger (TLS)

  • XSI-hendelser (TLS)

  • DMS (TLS) – Valgfritt. Det er ikke obligatorisk at du distribuerer en egen DMS-forekomst eller bedrift spesifikt for Webex for Cisco BroadWorks. Du kan bruke den samme DMS-forekomsten som du bruker for UC-One SaaS eller UC-One Collaborate.

  • Webvisning for samtaleinnstillinger (TLS) – valgfritt. Webvisning for samtaleinnstillinger (CSW) kreves bare hvis du vil at Webex for Cisco BroadWorks-brukere skal kunne konfigurere anropsfunksjoner i Webex-appen.

Webex krever tilgang til CTI via et grensesnitt som er sikret ved gjensidig TLS-godkjenning. For å støtte dette kravet anbefaler vi ett av følgende alternativer:

  • (Diagram merket Alternativ 1) Én XSP|ADP-forekomst eller gård for alle programmer, med to grensesnitt konfigurert på hver server: et mTLS-grensesnitt for CTI og et TLS-grensesnitt for andre apper, for eksempel AuthService.

  • (Diagram merket Alternativ 2) To XSP|ADP-forekomster eller gårder, én med et mTLS-grensesnitt for CTI, og den andre med et TLS-grensesnitt for andre apper, for eksempel AuthService.

XSP|ADP gjenbruk

Hvis du har en eksisterende XSP|ADP-gård som samsvarer med en av de foreslåtte arkitekturene ovenfor (alternativ 1 eller 2) og den er lett lastet, er det mulig å bruke dine eksisterende XSP|ADP-er på nytt. Du må bekrefte at det ikke finnes motstridende konfigurasjonskrav mellom eksisterende programmer og de nye programkravene for Webex. De to viktigste betraktene er:

  • Hvis du trenger å støtte flere Webex-partnerorganisasjoner på XSP|ADP, betyr det at du må bruke mTLS på godkjenningstjenesten (CI-tokenvalidering støttes bare for én enkelt partnerorganisasjon på en XSP|ADP). Hvis du bruker mTLS på godkjenningstjenesten, betyr det at du ikke kan ha klienter som bruker grunnleggende godkjenning på godkjenningstjenesten samtidig. Denne situasjonen vil forhindre gjenbruk av XSP|ADP.

  • Hvis den eksisterende CTI-tjenesten er konfigurert til å brukes av klienter med den sikre porten (vanligvis 8012), men uten mTLS (dvs. klientgodkjenning), vil det være i konflikt med Webex-kravet om å ha mTLS.

Fordi XSP|ADPs har mange programmer og antallet permutasjoner av disse programmene er stort, kan det være andre uidentifiserte konflikter. Av denne grunn bør potensiell gjenbruk av XSP|ADP-er bekreftes i en lab med den tiltenkte konfigurasjonen før gjenbruk gjøres.

Konfigurere NTP-synkronisering på XSP|ADP

Distribusjonen krever tidssynkronisering for alle XSP|ADP-er du bruker med Webex.

Installer ntp -pakken etter at du har installert operativsystemet og før du installerer BroadWorks-programvaren. Deretter kan du konfigurere NTP under installasjonen av XSP|ADP-programvare. Se BroadWorks Software Management Guide for mer informasjon.

Under den interaktive installasjonen av XSP|ADP-programvaren, får du muligheten til å konfigurere NTP. Fortsett som følger:

  1. Når installasjonsprogrammet spør Vil du konfigurere NTP?, angi y.

  2. Når installasjonsprogrammet spør Kommer denne serveren til å være en NTP-server?, angi n.

  3. Når installasjonsprogrammet spør Hva er NTP-adressen, vertsnavnet eller FQDN?, skriver du inn adressen til NTP-serveren eller en offentlig NTP-tjeneste, for eksempel pool.ntp.org.

Hvis XSP|ADP-ene bruker stille (ikke-interaktiv) installasjon, må installasjonskonfigurasjonsfilen inneholde følgende Key=Value-par:

NTP
NTP_SERVER=

XSP|ADP identitets- og sikkerhetskrav

Bakgrunn

Protokollene og chiffreringene for Cisco BroadWorks TLS-tilkoblinger kan konfigureres på forskjellige spesifikasjonsnivåer. Disse nivåene varierer fra det mest generelle (SSL-leverandøren) til det mest spesifikke (individuelt grensesnitt). En mer spesifikk innstilling overstyrer alltid en mer generell innstilling. Hvis de ikke er angitt, arves SSL-innstillingene på lavere nivå fra høyere nivåer.

Hvis ingen innstillinger endres fra standardinnstillingene, arver alle nivåer standardinnstillingene for SSL-leverandøren (JSSE Java Secure Sockets Extension).

Kravliste

  • XSP|ADP må godkjenne seg selv til klienter ved hjelp av et CA-signert sertifikat der det vanlige navnet eller det alternative emnenavnet samsvarer med domenedelen av XSI-grensesnittet.

  • Xsi-grensesnittet må støtte TLSv1.2-protokollen.

  • Xsi-grensesnittet må bruke en chifferserie som oppfyller følgende krav.

    • Diffie-Hellman Ephemeral (DHE) eller Elliptic Curves Diffie-Hellman Ephemeral (ECDHE) nøkkelutveksling

    • AES-chiffrering (avansert krypteringsstandard) med en minimumsblokkstørrelse på 128 biter (f.eks. AES-128 eller AES-256)

    • GCM (Galois/Counter Mode) eller CBC (Cipher Block Chaining) chiffermodus

      • Hvis en CBC-chiffrering brukes, er bare SHA2-familien av hash-funksjoner tillatt for nøkkelavledning (SHA256, SHA384, SHA512).

Følgende chiffreringer oppfyller for eksempel kravene:

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

XSP|ADP CLI krever IANA-navngivningskonvensjonen for cipher-pakker, som vist ovenfor, ikke openSSL-konvensjonen.

Støttede TLS-chifre for AuthService- og XSI-grensesnitt

Denne listen kan endres etter hvert som våre sikkerhetskrav for skyen utvikler seg. Følg gjeldende Ciscos skysikkerhetsanbefalinger for valg av chiffrering, som beskrevet i kravlisten i dette dokumentet.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

  • TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

  • TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_PSK_WITH_AES_256_CBC_SHA384

  • TLS_PSK_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_PSK_WITH_AES_128_CBC_SHA256

  • TLS_PSK_WITH_AES_128_CBC_SHA

Skaleringsparametere for Xsi-hendelser

Det kan hende du må øke størrelsen på Xsi-Events-køen og antall tråder for å håndtere volumet av hendelser som Webex for Cisco BroadWorks-løsningen krever. Du kan øke parametrene til minimumsverdiene som vises på følgende måte (ikke reduser dem hvis de er over disse minimumsverdiene):

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegrasjon> eventQueueSize = 2000

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegrasjon> eventHandlerThreadCount = 50

Flere XSP|ADP-er

Element for balansering av last

Hvis du har et belastningsbalanseelement på nettverkskanten, må det gjennomsiktig håndtere distribusjonen av trafikk mellom flere XSP|ADP-servere og Webex for Cisco BroadWorks-skyen og -klientene. I dette tilfellet oppgir du URL-adressen til belastningsbalanseringen til Webex for Cisco BroadWorks-konfigurasjonen.

Merknader om denne arkitekturen:

  • Konfigurer DNS slik at klientene kan finne belastningsbalanseringen når de kobler til Xsi-grensesnittet (se DNS-konfigurasjon).

  • Vi anbefaler at du konfigurerer kantelementet i omvendt SSL-proxy-modus for å sikre punkt-til-punkt-datakryptering.

  • Sertifikater fra XSP|ADP01 og XSP|ADP02 skal begge ha XSP|ADP-domenet, for eksempel din-XSP|ADP.example.com, i det alternative emnenavnet. De bør ha sine egne FQDN-er, for eksempel XSP|ADP01.example.com, i det vanlige navnet. Du kan bruke jokertegnsertifikater, men vi anbefaler dem ikke.

Internett-vendt XSP|ADP-servere

Hvis du eksponerer Xsi-grensesnittene direkte, bruker du DNS til å distribuere trafikken til flere XSP|ADP-servere.

Merknader om denne arkitekturen:

  • Det kreves to poster for å koble til XSP|ADP-serverne:

    • For Webex-mikrotjenester: Round-robin A/AAAA-oppføringer kreves for å målrette de flere XSP|ADP IP-adressene. Dette er fordi Webex-mikrotjenestene ikke kan utføre SRV-oppslag. For eksempler, se Webex Cloud Services.

    • For Webex-appen: En SRV-oppføring som løses til A-oppføringer der hver A-oppføring løses til en enkelt XSP|ADP. Hvis du vil ha mer informasjon, kan du se Webex-appen.

      Bruk prioritert SRV-oppføring til å målrette XSI-tjenesten for flere XSP|ADP-adresser. Prioriter dine SRV-oppføringer slik at mikrotjenestene alltid vil gå til samme A-oppføring (og påfølgende IP-adresse) og bare flyttes til neste A-oppføring (og IP-adresse) hvis den første IP-adressen er nede. IKKE bruk en round-robin-tilnærming for Webex-appen.

  • Sertifikater fra XSP|ADP01 og XSP|ADP02 skal begge ha XSP|ADP-domenet, for eksempel din-XSP|ADP.example.com, i det alternative emnenavnet. De bør ha sine egne FQDN-er, for eksempel XSP|ADP01.example.com, i det vanlige navnet.

  • Du kan bruke jokertegnsertifikater, men vi anbefaler dem ikke.

Unngå HTTP-omdirigeringer

Noen ganger er DNS konfigurert til å løse XSP|ADP URL-adressen til en HTTP-belastningsbalanse, og belastningsbalanse konfigureres til å omdirigere gjennom en omvendt proxy til XSP|ADP-serverne.

Webex følger ikke en omdirigering når du kobler til URL-adressene du oppgir, så denne konfigurasjonen fungerer ikke.

Arkitektur og infrastruktur

  • Hva slags skala har du tenkt å starte med? Det er mulig å skalere opp i fremtiden, men ditt nåværende bruksoverslag bør drive infrastrukturplanlegging.

  • Samarbeid med din Cisco-kontoadministrator/salgsrepresentant for å få en større XSP|ADP-infrastruktur, i henhold til Cisco BroadWorks System Capacity Planner og Cisco BroadWorks System Engineering Guide.

  • Hvordan vil Webex opprette felles TLS-tilkoblinger til dine XSP|ADP-er? Direkte til XSP|ADP i en DMZ, eller via TLS-proxy? Dette påvirker sertifikatadministrasjonen og URL-adressene du bruker for grensesnittene. (Vi støtter ikke ukrypterte TCP-tilkoblinger til utkanten av nettverket).