Arquitetura

Visão geral do Webex para BroadWorks

O que está no diagrama?

Clientes

  • O cliente de aplicativo Webex atende como o aplicativo principal nas ofertas do Webex para Cisco BroadWorks. O cliente está disponível em desktop, plataformas móveis e na Web.

    O cliente possui mensagens nativas, presença e reuniões multipartidário de áudio/vídeo fornecidas pela nuvem Webex. O cliente Webex usa sua infraestrutura BroadWorks para chamadas SIP PSTN chamadas.

  • Os telefones IP da Cisco e acessórios relacionados também usam sua infraestrutura BroadWorks para chamadas SIP PSTN móvel. Esperamos ser capazes de suportar telefones de terceiros.

  • Portal de ativação do usuário para que os usuários se inscrevam no Webex usando suas credenciais BroadWorks.

  • O Hub de parceiros é uma interface da web para administrar sua organização Webex e as organizações de seus clientes. O Hub de parceiros é onde você configura a integração entre sua infraestrutura BroadWorks e a Webex. Você também pode usar o Hub de parceiros para gerenciar a configuração do cliente e a cobrança.

provedor de serviços rede

O bloco verde na esquerda do diagrama representa a sua rede. Os componentes hospedados na sua rede fornecem os seguintes serviços e interfaces para outras partes da solução:

  • XSP direcionado ao público|ADP, para Webex para Cisco BroadWorks: (A caixa representa uma ou várias explorações agrícolas XSP|ADP, possivelmente frontecidas por balanceadores de carga.)

    • Organiza a Interface de Serviços XTENDed (XSI-Actions & XSI-Events), Serviço de gerenciamento de dispositivos (DMS), interface CTI e Serviço de Autenticação. Juntos, esses aplicativos permitem que telefones e clientes Webex se autentiem, baixem seus arquivos de configuração de chamadas, façam e recebam chamadas e vejam o status de gancho um do outro (presença de telefonia) e histórico de chamadas.

    • Publica um diretório para clientes Webex.

  • XSP|ADP voltado ao público, executando o NPS:

    • Servidor push para notificações de chamada do host: Um servidor push de notificação em um XSP|ADP no seu ambiente. Ele é interface entre o seu Servidor de Aplicativo e o nosso proxy NPS. O proxy fornece tokens que duram pouco tempo ao seu NPS para autorizar as notificações aos serviços de nuvem. Esses serviços (APNS &FCM) enviam notificações de chamada para clientes Webex nos dispositivos Apple iOS e Google Android.

  • Servidor de aplicação:

    • Fornece controle de chamada e interfaces para outros sistemas BroadWorks (geralmente)

    • Para o provisionamento fluxo contínuo, o AS é usado pelo administrador do parceiro para provisionar usuários no Webex

    • O push perfil do usuário para o BroadWorks

  • OSS/BSS: Seu Sistema de Suporte de Operações / Serviços SIP de Negócios para administrar suas empresas BroadWorks.

Webex em nuvem

O bloco azul no diagrama representa o Webex em nuvem. Os microsserviços Webex suportam todo o espectro de capacidades de colaboração da Webex:

  • O Cisco Common Identity (CI) é a serviço de identidade dentro do Webex.

  • O Webex para o Cisco BroadWorks representa o conjunto de microsserviços que suportam a integração entre a Webex e provedor de serviços BroadWorks hospedadas:

    • APIs de provisionamento de usuário

    • provedor de serviços configuração

    • Logon do usuário usando credenciais BroadWorks

  • Caixa de mensagens Webex para microsserviços relacionados a mensagens.

  • Webex Meetings representando servidores de processamento de mídia e SBCs para reuniões de vídeo de vários participantes (SIP & SRTP)

Serviços da Web de terceiros

Os seguintes componentes de terceiros são representados no diagrama:

  • A APNS (Serviço de notificações por push da Apple) enviará notificações de chamada e mensagem para aplicativos Webex em dispositivos da Apple.

  • O FCM (FireBase Cloud Messaging) enviará notificações de chamada e mensagem para aplicativos Webex em dispositivos Android.

Considerações sobre a arquitetura do XSP|ADP

A função dos servidores ADP XSP|voltados ao público no Webex para Cisco BroadWorks

O XSP|ADP voltado ao público em seu ambiente fornece as seguintes interfaces/serviços para o Webex e clientes:

  • Serviço de autenticação (AuthService), protegido pelo TLS, que responde a solicitações do Webex do BroadWorks JWT (Token da web JSON) em nome do usuário

  • Interface CTI, protegida pela mTLS, na qual a Webex se inscreve para eventos histórico de chamadas e status de presença de telefonia do BroadWorks (status de gancho).

  • Interfaces de eventos e ações Xsi (eXtended Services Interface) para o controle de chamada do assinante, diretórios de contatos e listas de chamada e configuração do serviço de telefonia do usuário final

  • Serviço DM (Gerenciamento de dispositivos) para que os clientes recuperem seus arquivos de configuração de chamada

Fornecer URLs para essas interfaces quando você configurar a Webex para Cisco BroadWorks. (Consulte Configurar seus grupos do BroadWorks no Hub de parceiros neste documento.) Para cada grupo, você pode fornecer apenas uma URL para cada interface. Se você tiver várias interfaces em sua infraestrutura BroadWorks, poderá criar vários clusters.

Arquitetura XSP|ADP

XSP|ADP Arquitetura: Opção 1
XSP|ADP Arquitetura: Opção 2

Exigimos que você use uma instância XSP|ADP separada e dedicada para hospedar seu aplicativo NPS (Notification Push Server). Você pode usar o mesmo NPS com SaaS UC-One ou UC-One Collaborate. No entanto, você não pode organizar os outros aplicativos necessários para o Webex para o Cisco BroadWorks no mesmo ADP XSP| que hospeda o aplicativo NPS.

Recomendamos que você use uma instância/fazenda XSP|ADP dedicada para hospedar os aplicativos necessários para integração Webex pelos seguintes motivos

  • Por exemplo, se você estiver oferecendo o UC-One SaaS, recomendamos criar uma nova unidade XSP|ADP para Webex para Cisco BroadWorks. Dessa forma, os dois serviços podem operar de forma independente enquanto você migra assinantes.

  • Se você localizar o Webex para aplicativos Cisco BroadWorks em uma fazenda XSP|ADP usada para outros fins, será sua responsabilidade monitorar o uso, gerenciar a complexidade resultante e planejar o aumento da escala.

  • O Planejador de capacidade do sistema Cisco BroadWorks assume uma fazenda XSP|ADP dedicada e pode não ser preciso se você o usar para cálculos de localização.

Salvo indicação em contrário, o Webex dedicado para ADPs do Cisco BroadWorks XSP|deve hospedar os seguintes aplicativos:

  • AuthService (TLS com validação de token CI ou mTLS)

  • CTI (mTLS)

  • XSI-Ações (TLS)

  • XSI-Events (TLS)

  • DMS (TLS) — Opcional. Não é obrigatório que você implante uma instância ou fazenda DMS separada especificamente para o Webex para o Cisco BroadWorks. Você pode usar a mesma ocorrência DMS que usa para UC-One SaaS ou UC-One Collaborate.

  • Configurações de chamada Webview (TLS) — Opcional. O Webview de configurações de chamada (CSW) será necessário apenas se você quiser que o Webex para usuários do Cisco BroadWorks possam configurar recursos de chamada no aplicativo Webex.

O Webex requer acesso ao CTI através de uma interface protegida pela TLS mútuo autenticação. Para suportar esse requisito, recomendamos uma dessas opções:

  • (Diagrama rotulado como Opção 1) Uma instância ou unidade XSP|ADP para todos os aplicativos, com duas interfaces configuradas em cada servidor: uma interface mTLS para CTI e uma interface TLS para outros aplicativos, como o AuthService.

  • (Diagrama chamado de Opção 2) Duas instâncias ou fazendas XSP|ADP, uma com uma interface mTLS para CTI e a outra com uma interface TLS para outros aplicativos, como o AuthService.

Reutilização ADP XSP|

Se você tiver uma fazenda XSP|ADP existente em conformidade com uma das arquiteturas sugeridas acima (Opção 1 ou 2) e estiver levemente carregada, é possível reutilizar seus ADPs XSP|existentes. Você precisará verificar se não há requisitos de configuração conflitantes entre os aplicativos existentes e os novos requisitos de aplicativos do Webex. As duas principais considerações são:

  • Se você precisar suportar várias organizações parceiras Webex no XSP|ADP, isso significa que você deve usar mTLS no serviço de autenticação (a validação de token de CI é suportada apenas para uma única organização parceira em um XSP|ADP). Se você usar o mTLS no Serviço de Autenticação, então isso significa que você não pode ter clientes que estão usando a autenticação básica no Serviço de Autenticação ao mesmo tempo. Essa situação evitaria a reutilização do XSP|ADP.

  • Se o serviço CTI existente configurado para ser usado por clientes com a porta segura (normalmente 8012), mas sem mTLS (ou seja, autenticação do cliente), isso entrará em conflito com o requisito do Webex de ter mTLS.

Como os XSP|ADP têm muitos aplicativos e o número de permutações desses aplicativos é grande, pode haver outros conflitos não identificados. Por esse motivo, qualquer reutilização potencial de XSP|ADPs deve ser verificada em um laboratório com a configuração pretendida antes de se comprometer com a reutilização.

Configurar a sincronização NTP no XSP|ADP

A implantação requer a sincronização de tempo para todos os XSP|ADPs que você usa com o Webex.

Instale o pacote ntp depois de instalar o OS e antes de instalar o software BroadWorks. Em seguida, você poderá configurar o NTP durante a instalação do software XSP|ADP. Consulte o Guia de Gerenciamento de Software BroadWorks para obter mais detalhes.

Durante a instalação interativa do software XSP|ADP, você tem a opção de configurar o NTP. Proceda da seguinte forma:

  1. Quando o instalador perguntar, Você deseja configurar o NTP? , insira y .

  2. Quando o instalador perguntar, este servidor será um servidor NTP? , insira n .

  3. Quando o instalador perguntar, Qual é o endereço NTP, nome do host ou FQDN? , insira o endereço do seu servidor NTP, ou um serviço NTP público, por exemplo, pool.ntp.org.

Se seus XSP|ADPs usarem instalação silenciosa (não interativa), o arquivo de configuração do instalador deverá incluir os seguintes pares Key=Value:

NTP
NTP_SERVER=

Requisitos de identidade e segurança do XSP|ADP

Fundo

Os protocolos e cifras das conexões TLS da Cisco BroadWorks são configuráveis em diferentes níveis de especificidade. Esses níveis variam entre o mais geral (provedor SSL) e a mais específica (interface individual). Uma configuração mais específica sempre substitui uma configuração mais geral. Se elas não foram especificadas, as configurações SSL de nível inferior são herdadas dos níveis 'mais altos'.

Se nenhuma configuração for alterada de seus padrões, todos os níveis herdam as configurações padrão do provedor SSL (Extensão JSSE Java Secure Sockets).

Lista de requisitos

  • O XSP|ADP deve se autenticar aos clientes usando um certificado assinado pela CA no qual o nome comum ou o nome alternativo do assunto corresponde à parte do domínio da interface XSI.

  • A interface Xsi deve suportar o protocolo TLSv1.2.

  • A interface Xsi deve usar um conjunto de cifras que atenda aos seguintes requisitos.

    • Troca de chaves Diffie-Hellman Ephemeral (DHE) ou Curvas Elípticas Diffie-Hellman Ephemeral (ECDHE)

    • Codificação AES (Padrão de Criptografia Avançada) com um tamanho mínimo de bloco de 128 bits (por exemplo, AES-128 ou AES-256)

    • Modo de codificação GCM (Galois/Modo de contador) ou CBC (Encadeamento de blocos cifrados)

      • Se uma codificação CBC for usada, apenas a família SHA2 de funções hash será permitida para a derivação de chaves (SHA256, SHA384, SHA512).

Por exemplo, as seguintes cifras atendem aos requisitos:

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

O XSP|ADP CLI requer a convenção de nomeação IANA para conjuntos de codificação, conforme mostrado acima, não a convenção openSSL.

Cifras TLS suportadas para as interfaces do AuthService e XSI

Esta lista está sujeita a alterações à medida que nossos requisitos de segurança de nuvem se desenvolvem. Siga a recomendação atual de segurança em nuvem da Cisco na seleção de cifras, conforme descrito na lista de requisitos neste documento.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

  • TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

  • TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_PSK_WITH_AES_256_CBC_SHA384

  • TLS_PSK_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_PSK_WITH_AES_128_CBC_SHA256

  • TLS_PSK_WITH_AES_128_CBC_SHA

Parâmetros de escala do Xsi Events

Você pode precisar aumentar o tamanho da fila do Xsi-Events e a contagem de tópicos para lidar com o volume de eventos que o Webex para a solução Cisco BroadWorks exige. Você pode aumentar os parâmetros para os valores mínimos mostrados, da seguinte forma (não diminua-os se eles estão acima desses valores mínimos):

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventQueueSize = 2000

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventHandlerThreadCount = 50

Vários XSP|ADPs

Elemento da borda de balanceamento de carga

Se você tiver um elemento de balanceamento de carga na borda de rede, ele deverá lidar de forma transparente com a distribuição de tráfego entre seus vários servidores XSP|ADP e os clientes e a nuvem do Webex para o Cisco BroadWorks. Neste caso, você forneceria a URL do balanceador de carga para o Webex para a configuração do Cisco BroadWorks.

Anotações sobre esta arquitetura:

  • Configure DNS para que os clientes possam encontrar o balanceador de carga ao se conectarem à interface Xsi (consulte configuração DNS).

  • Recomendamos que você configure o elemento de borda no modo proxy SSL reverso, para garantir a criptografia de dados de ponto.

  • Os certificados do XSP|ADP01 e XSP|ADP02 devem ter o domínio XSP|ADP, por exemplo seu-XSP|ADP.example.com, no Nome alternativo do assunto. Eles devem ter seus próprios FQDNs, por exemplo XSP|ADP01.example.com, no nome comum. Você pode usar certificados curinga, mas não os recomendamos.

Servidores ADP XSP| voltados à Internet

Se você expor as interfaces Xsi diretamente, use o DNS para distribuir o tráfego para os vários servidores ADP XSP|.

Anotações sobre esta arquitetura:

  • Dois registros são necessários para se conectar aos servidores XSP|ADP:

    • Para microsserviços Webex: Registros redondos A/AAAA são necessários para direcionar os vários endereços de IP XSP|ADP. Isso ocorre porque os microsserviços Webex não podem fazer pesquisas SRV. Para obter exemplos, consulte Serviços em nuvem Webex.

    • Para o aplicativo Webex: Um registro SRV que resolve para registros A onde cada registro A resolve para um único XSP|ADP. Para obter exemplos, consulte Aplicativo Webex.

      Use registros SRV priorizados para direcionar o serviço XSI para os vários endereços ADP XSP|. Priorize seus registros SRV de modo que os microsserviços sempre vão para o mesmo registro A (e endereço IP subsequentes) e só passarão para o próximo registro A (e endereço IP) se o primeiro endereço IP estiver inativo. NÃO use uma abordagem completa para o aplicativo Webex.

  • Os certificados do XSP|ADP01 e XSP|ADP02 devem ter o domínio XSP|ADP, por exemplo seu-XSP|ADP.example.com, no Nome alternativo do assunto. Eles devem ter seus próprios FQDNs, por exemplo XSP|ADP01.example.com, no nome comum.

  • Você pode usar certificados curinga, mas não os recomendamos.

Evitar redirecionamentos HTTP

Às vezes, o DNS é configurado para resolver a URL XSP|ADP para um balanceador de carga HTTP e o balanceador de carga é configurado para redirecionar através de um proxy reverso para os servidores ADP XSP|.

O Webex não segue um redirecionamento ao se conectar às URLs fornecidas, portanto, essa configuração não funciona.

Arquitetura e infra-estrutura

  • Com que tipo de escala você pretende iniciar? É possível fazer uma escala futura, mas a sua estimativa atual de uso deve impulsionar o planejamento da infra-estrutura.

  • Trabalhe com seu gerente de contas/representante de vendas da Cisco para dimensionar sua infraestrutura XSP|ADP, de acordo com o Cisco BroadWorks System Capacity Planner e o Guia de engenharia de sistemas Cisco BroadWorks.

  • Como o Webex fará conexões TLS mútuas com seus XSP|ADPs? Diretamente para o XSP|ADP em um DMZ ou via proxy TLS? Isso afeta o gerenciamento de certificados e as URLs que você usa para as interfaces. (Não suportamos conexões TCP não criptografadas na borda da sua rede).