architektura

Omówienie webex dla BroadWorks

Co znajduje się na diagramie?

Klienci

  • Klient aplikacji Webex służy jako podstawowa aplikacja w ofertach Webex dla Cisco BroadWorks. Klient jest dostępny na komputerach, urządzeniach mobilnych i platformach internetowych.

    Klient ma natywne wiadomości, obecność i wielopartyjne spotkania audio/wideo dostarczane przez chmurę Webex. Klient Webex używa infrastruktury BroadWorks do wywołań SIP i PSTN.

  • Telefony IP Cisco i powiązane akcesoria korzystają również z infrastruktury BroadWorks do połączeń SIP i PSTN. Oczekujemy, że będziemy w stanie obsługiwać telefony innych firm.

  • Portal aktywacji użytkowników dla użytkowników, aby zalogować się do Webex przy użyciu ich poświadczeń BroadWorks.

  • Centrum partnerów to interfejs internetowy służący do administrowania organizacją Webex i organizacjami klientów. Centrum partnerów to miejsce, w którym konfigurujesz integrację między infrastrukturą BroadWorks a webex. Centrum partnerów służy również do zarządzania konfiguracją klienta i rozliczeniami.

Sieć usługodawców

Zielony blok po lewej stronie diagramu reprezentuje sieć. Składniki hostowane w sieci zapewniają następujące usługi i interfejsy do innych części rozwiązania:

  • Publiczny XSP|ADP, dla Webex for Cisco BroadWorks: (Pole reprezentuje jedną lub wiele gospodarstw XSP|ADP, być może poprzedzone równowagami obciążenia).

    • Hostuje interfejs Xtended Services Interface (XSI-Actions & XSI-Events), Usługę Zarządzania Urządzeniami (DMS), interfejs CTI i usługę uwierzytelniania. Razem te aplikacje umożliwiają telefonom i klientom Webex uwierzytelnianie się, pobieranie plików konfiguracji połączeń, nawiązywania i odbierania połączeń oraz wyświetlanie wzajemnego stanu haka (obecność telefonii) i historii połączeń.

    • Publikuje katalog dla klientów Webex.

  • Publiczny XSP|ADP, z uruchomionym serwerem NPS:

    • serwer push powiadomień o połączeniach hosta: Serwer wypychania powiadomień na serwerze XSP|ADP w środowisku. Interfejsy między serwerem aplikacji a naszym serwerem proxy NPS. Serwer proxy dostarcza tokeny krótkotrwałe do serwera NPS w celu autoryzowania powiadomień do usług w chmurze. Te usługi (APNS & FCM) wysyłają powiadomienia o połączeniach do klientów Webex na urządzeniach Apple iOS i Google Android.

  • Serwer aplikacji:

    • Zapewnia kontrolę połączeń i interfejsy do innych systemów BroadWorks (ogólnie)

    • W przypadku inicjowania obsługi administracyjnej przepływów as jest używany przez administratora partnera do inicjowania obsługi administracyjnej użytkowników w webex

    • Wypycha profil użytkownika do BroadWorks

  • OSS/BSS: Twój system wsparcia operacyjnego / usługi Business SIP do administrowania przedsiębiorstwami BroadWorks.

Chmura Webex

Niebieski blok na diagramie reprezentuje chmurę Webex. Mikrousługi Webex obsługują pełne spektrum możliwości współpracy webex:

  • Cisco Common Identity (CI) jest usługą tożsamości w webex.

  • Webex for Cisco BroadWorks reprezentuje zestaw mikrousług, które obsługują integrację między Webex i Usługodawca Hosted BroadWorks:

    • Interfejsy API inicjowania obsługi administracyjnej użytkowników

    • Konfiguracja dostawcy usług

    • Logowanie użytkownika przy użyciu poświadczeń BroadWorks

  • Webex Wiadomości pole dla mikrousług związanych z wiadomościami.

  • Pole Spotkania Webex reprezentujące serwery przetwarzania multimediów i kontrolery SBC dla wielu spotkań wideo uczestników (SIP & SRTP)

Usługi sieci Web innych firm

Na diagramie są reprezentowane następujące składniki innych firm:

  • Usługa APNS (Apple Push Notifications Service) wysyła powiadomienia o połączeniach i wiadomościach do aplikacji Webex na urządzeniach firmy Apple.

  • FCM (FireBase Cloud Messaging) wypycha powiadomienia o połączeniach i wiadomościach do aplikacji Webex na urządzeniach z systemem Android.

Uwagi dotyczące architektury XSP|ADP

Rola publicznych serwerów XSP|ADP w Webex dla Cisco BroadWorks

Publiczny XSP|ADP w środowisku udostępnia następujące interfejsy/usługi dla Webex i klientów:

  • Usługa uwierzytelniania (AuthService), zabezpieczona przez TLS, która odpowiada na żądania Webex dla BroadWorks JWT (JSON Web Token) w imieniu użytkownika

  • Interfejs CTI, zabezpieczony przez mTLS, do którego Webex subskrybuje zdarzenia historii połączeń i stan obecności telefonii z BroadWorks (stan haka).

  • Xsi akcje i interfejsy zdarzeń (eXtended Services Interface) dla kontroli połączeń abonenta, katalogi kontaktów i list połączeń oraz konfiguracji usługi telefonii użytkownika końcowego

  • Usługa DM (Device Management) dla klientów do pobierania plików konfiguracji połączeń

Pozbąć adresy URL tych interfejsów podczas konfigurowania programu Webex dla cisco broadworks. (Zobacz Konfigurowanie klastrów BroadWorks w Partner Hub w tym dokumencie) Dla każdego klastra można podać tylko jeden adres URL dla każdego interfejsu. Jeśli masz wiele interfejsów w infrastrukturze BroadWorks, możesz utworzyć wiele klastrów.

Architektura XSP|ADP

Architektura XSP|ADP: Opcja 1
Architektura XSP|ADP: Wariant 2

Do hostowania aplikacji NPS (Notification Push Server) wymagane jest użycie oddzielnego, dedykowanego wystąpienia|ADP XSP lub farmy ADP. Można użyć tego samego serwera NPS z UC-One SaaS lub UC-One Collaborate. Nie można jednak hostować innych aplikacji wymaganych dla Webex dla Cisco BroadWorks na tym samym XSP|ADP, który obsługuje aplikację NPS.

Zalecamy użycie dedykowanego wystąpienia/farmy XSP|ADP do hostowania wymaganych aplikacji do integracji z Webex z następujących powodów

  • Na przykład, jeśli oferujesz UC-One SaaS, zalecamy utworzenie nowej farmy XSP|ADP dla Webex dla Cisco BroadWorks. W ten sposób dwie usługi mogą działać niezależnie podczas migracji subskrybentów.

  • W przypadku wspólnego rozmieszczenia aplikacji Webex for Cisco BroadWorks na farmie XSP|ADP, która jest używana do innych celów, Użytkownik jest odpowiedzialny za monitorowanie wykorzystania, zarządzanie wynikającą z tego złożoność i planowanie zwiększenia skali.

  • Cisco BroadWorks System Capacity Planner zakłada dedykowaną farmę XSP|ADP i może być niedokładna, jeśli jest używana do obliczeń kolokacji.

O ile nie zaznaczono inaczej, dedykowane aplikacje Webex for Cisco BroadWorks XSP|ADP muszą hostować następujące aplikacje:

  • Usługa AuthService (TLS z weryfikacją tokenu CI lub mTLS)

  • CTI (mTLS)

  • Akcje XSI (TLS)

  • XSI-Wydarzenia (TLS)

  • DMS (TLS) — opcjonalne. Nie trzeba koniecznie wdrażać oddzielnego wystąpienia lub farmy DMS specjalnie dla Webex dla Cisco BroadWorks. Możesz użyć tego samego wystąpienia DMS, którego używasz w UC-One SaaS lub UC-One Collaborate.

  • Ustawienia połączeń Webview (TLS) — opcjonalne. Widok ustawień połączeń (CSW) jest wymagany tylko wtedy, gdy użytkownicy Webex dla Cisco BroadWorks mogą konfigurować funkcje połączeń w aplikacji Webex.

Webex wymaga dostępu do CTI za pośrednictwem interfejsu zabezpieczonego wzajemnym uwierzytelnianiem TLS. Aby obsługiwać to wymaganie, zalecamy jedną z następujących opcji:

  • (Schemat oznaczony Opcja 1) Jedna instancja lub gospodarstwo XSP|ADP dla wszystkich aplikacji, z dwoma interfejsami skonfigurowanymi na każdym serwerze: interfejs mTLS dla CTI i interfejs TLS dla innych aplikacji, takich jak AuthService.

  • (Schemat oznaczony Opcja 2) Dwa wystąpienia lub gospodarstwa XSP|ADP, jeden z interfejsem mTLS dla CTI, a drugi z interfejsem TLS dla innych aplikacji, takich jak AuthService.

Ponowne użycie XSP|ADP

Jeśli masz istniejącą farmę XSP|ADP, która jest zgodna z jedną z sugerowanych powyżej architektur (opcja 1 lub 2) i jest lekko załadowana, możliwe jest ponowne użycie istniejących farm XSP|ADP. Musisz zweryfikować, czy nie ma sprzecznych wymagań konfiguracyjnych między istniejącymi aplikacjami a nowymi wymaganiami aplikacji dla Webex. Dwa podstawowe zagadnienia to:

  • Jeśli musisz obsługiwać wiele organizacji partnerskich Webex w XSP|ADP, oznacza to, że musisz używać mTLS w usłudze uwierzytelniania (sprawdzanie poprawności tokenu CI jest obsługiwane tylko w przypadku jednej organizacji partnerskiej w XSP|ADP). Jeśli używasz mTLS w usłudze uwierzytelniania, oznacza to, że nie można mieć klientów, którzy używają uwierzytelniania podstawowego w usłudze uwierzytelniania w tym samym czasie. Taka sytuacja uniemożliwi ponowne użycie XSP|ADP.

  • Jeśli istniejąca usługa CTI skonfigurowana do używania przez klientów z bezpiecznym portem (zazwyczaj 8012), ale bez protokołu mTLS (tj. uwierzytelnianie klienta), będzie to sprzeczne z wymogiem Webex dotyczącym mTLS.

Ponieważ XSP|ADP ma wiele zastosowań, a liczba permutacji tych aplikacji jest duża, mogą istnieć inne niezidentyfikowane konflikty. Z tego powodu wszelkie potencjalne ponowne użycie XSP|ADP powinno zostać zweryfikowane w laboratorium z zamierzoną konfiguracją przed zobowiązaniem się do ponownego użycia.

Konfigurowanie synchronizacji NTP w XSP|ADP

Wdrożenie wymaga synchronizacji czasu dla wszystkich XSP|ADP używanych z Webex.

Zainstaluj pakiet ntp po zainstalowaniu systemu operacyjnego i przed zainstalowaniem oprogramowania BroadWorks. Następnie można skonfigurować NTP podczas instalacji oprogramowania XSP|ADP. Więcej informacji można znaleźć w Przewodniku po oprogramowaniu BroadWorks.

Podczas interaktywnej instalacji oprogramowania XSP|ADP masz możliwość skonfigurowania NTP. Postępować w następujący sposób:

  1. Gdy instalator zapyta, Czy chcesz skonfigurować NTP?, wprowadź y.

  2. Gdy instalator wyświetli monit, Czy ten serwer będzie serwerem NTP?, wprowadź n.

  3. Gdy instalator zapyta, Jaki jest adres NTP, nazwa hosta lub FQDN?, wprowadź adres serwera NTP lub publicznej usługi NTP, na przykład pool.ntp.org.

Jeśli moduły XSP|ADP korzystają z instalacji cichej (nieaktywnej), plik konfiguracyjny instalatora musi zawierać następujące pary klucz=wartość:

NTP
NTP_SERVER=

Wymagania dotyczące tożsamości i zabezpieczeń XSP|ADP

Tło

Protokoły i szyfry połączeń Cisco BroadWorks TLS można konfigurować na różnych poziomach specyficzności. Poziomy te wahają się od najbardziej ogólnych (dostawca SSL) do najbardziej specyficznych (indywidualny interfejs). Bardziej szczegółowe ustawienie zawsze zastępuje bardziej ogólne ustawienie. Jeśli nie są one określone, ustawienia SSL na poziomie "niższego" są dziedziczone z "wyższych" poziomów.

Jeśli żadne ustawienia nie zostaną zmienione z ich ustawień domyślnych, wszystkie poziomy dziedziczą domyślne ustawienia dostawcy SSL (JSSE Java Secure Sockets Extension).

Lista wymagań

  • XSP|ADP musi uwierzytelnić się w klientach za pomocą certyfikatu podpisanego przez urząd certyfikacji, w którym nazwa pospolita lub nazwa alternatywna podmiotu są zgodne z częścią domeny interfejsu XSI.

  • Interfejs Xsi musi obsługiwać protokół TLSv1.2.

  • Interfejs Xsi musi używać pakietu szyfrowania, który spełnia następujące wymagania.

    • Diffie-Hellman Ephemeral (DHE) lub Elliptic Curves Diffie-Hellman Ephemeral (ECDHE) key-exchange

    • Szyfr AES (Advanced Encryption Standard) o minimalnym rozmiarze bloku 128 bitów (np.

    • Tryb szyfrowania GCM (Tryb Galois/Counter) lub CBC (Cipher Block Chaining)

      • Jeśli używany jest szyfr CBC, tylko rodzina funkcji skrótu SHA2 jest dozwolona dla wyprowadzania kluczy (SHA256, SHA384, SHA512).

Na przykład następujące szyfry spełniają wymagania:

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

Interfejs CLI XSP|ADP wymaga konwencji nazewnictwa IANA dla pakietów szyfrowania, jak pokazano powyżej, a nie konwencji openSSL.

Obsługiwane szyfry TLS dla interfejsów AuthService i XSI

Ta lista może ulec zmianie wraz z rozwojem naszych wymagań dotyczących zabezpieczeń w chmurze. Postępuj zgodnie z bieżącym zaleceniem cisco dotyczącymi zabezpieczeń w chmurze dotyczącymi wyboru szyfrowania, zgodnie z opisem na liście wymagań w tym dokumencie.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

  • TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

  • TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_PSK_WITH_AES_256_CBC_SHA384

  • TLS_PSK_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_PSK_WITH_AES_128_CBC_SHA256

  • TLS_PSK_WITH_AES_128_CBC_SHA

Parametry skali zdarzeń Xsi

Może być konieczne zwiększenie rozmiaru kolejki Xsi-Events i liczby wątków do obsługi ilości zdarzeń, które wymaga rozwiązania Webex dla Cisco BroadWorks. Można zwiększyć parametry do wartości minimalnych pokazano, w następujący sposób (nie zmniejszać je, jeśli są one powyżej tych wartości minimalnych):

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventQueueSize = 2000

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventHandlerThreadCount = 50

Wiele XSP|ADP

Element krawędzi równoważenia obciążenia

Jeśli na brzegu sieci znajduje się element równoważenia obciążenia, musi on obsługiwać dystrybucję ruchu między wieloma serwerami XSP|ADP a chmurą i klientami Webex dla Cisco BroadWorks. W takim przypadku należy podać adres URL modułu równoważenia obciążenia do konfiguracji Webex dla Cisco BroadWorks.

Uwagi dotyczące tej architektury:

  • Skonfiguruj system DNS, aby klienci mogli znaleźć moduł równoważenia obciążenia podczas łączenia się z interfejsem Xsi (patrz konfiguracja DNS).

  • Zaleca się skonfigurowanie elementu krawędzi w trybie odwrotnego serwera proxy SSL, aby zapewnić szyfrowanie danych punkt-punkt.

  • Certyfikaty z XSP|ADP01 i XSP|ADP02 powinny mieć domenę XSP|ADP, na przykład your-XSP|ADP.example.com, w nazwie alternatywnej podmiotu. Powinni mieć własne nazwy FQDN, na przykład XSP|ADP01.example.com, w nazwie pospolitej. Możesz użyć certyfikatów wieloznacznych, ale nie zalecamy ich.

Serwery XSP|ADP skierowane do Internetu

Jeśli bezpośrednio eksponujesz interfejsy XSI, użyj systemu DNS, aby rozdzielić ruch do wielu serwerów XSP|ADP.

Uwagi dotyczące tej architektury:

  • Do połączenia z serwerami XSP|ADP wymagane są dwa rekordy:

    • W przypadku mikrousług Webex: Do celowania wielu adresów IP XSP|ADP wymagane są rekordy A/AAAA. Jest tak, ponieważ mikrousługi Webex nie mogą wyszukiwać SRV. Przykłady można znaleźć w usługach w chmurze Webex.

    • Aplikacja Webex: Rekord SRV, który dotyczy rekordów A, gdzie każdy rekord A dotyczy pojedynczego XSP|ADP. Przykłady można znaleźć w aplikacji Webex.

      Użyj priorytetowych rekordów SRV, aby ukierunkować usługę XSI dla wielu adresów XSP|ADP. Nadaj priorytet rekordom SRV, aby mikrousługi zawsze przechodziły do tego samego rekordu A (i kolejnego adresu IP) i przechodziły do następnego rekordu A (i adresu IP) tylko wtedy, gdy pierwszy adres IP nie działa. W przypadku aplikacji Webex NIE NALEŻY stosować podejścia „round-robin”.

  • Certyfikaty z XSP|ADP01 i XSP|ADP02 powinny mieć domenę XSP|ADP, na przykład your-XSP|ADP.example.com, w nazwie alternatywnej podmiotu. Powinni mieć własne nazwy FQDN, na przykład XSP|ADP01.example.com, w nazwie pospolitej.

  • Możesz użyć certyfikatów wieloznacznych, ale nie zalecamy ich.

Unikaj przekierowań HTTP

Czasami system DNS jest skonfigurowany do rozpoznania adresu URL XSP|ADP w równowadze obciążenia HTTP, a równowaga obciążenia jest skonfigurowana do przekierowywania przez odwrotny serwer proxy do serwerów XSP|ADP.

Usługa Webex nie śledzi przekierowania podczas łączenia się z dostarczonymi adresami URL, więc ta konfiguracja nie działa.

Architektura i infrastruktura

  • Od jakiej skali zamierzasz zacząć? Skalowanie w górę jest możliwe w przyszłości, ale bieżące oszacowanie użycia powinno napędzać planowanie infrastruktury.

  • Skontaktuj się z opiekunem klienta ds. konta / przedstawicielem handlowym Cisco, aby zwiększyć rozmiar infrastruktury XSP|ADP, zgodnie z Cisco BroadWorks System Capacity Planner i Podręcznikiem Cisco BroadWorks System Engineering Guide.

  • W jaki sposób Webex będzie nawiązywać połączenia wzajemne TLS z Twoimi XSP|ADP? Bezpośrednio do XSP|ADP w strefie DMZ, czy przez serwer proxy TLS? Ma to wpływ na zarządzanie certyfikatami i adresy URL używane dla interfejsów. (Nie obsługujemy nieszyfrowanych połączeń TCP z krawędzią sieci).