arhitectură

Prezentare generală a Webex pentru BroadWorks

Ce este în diagramă?

Clienți

  • Clientul Webex App servește ca aplicație principală în Webex pentru ofertele Cisco BroadWorks. Clientul este disponibil pe desktop, mobil și platforme web.

    Clientul are mesagerie nativă, prezență și întâlniri audio/video multipartid furnizate de cloud-ul Webex. Clientul Webex utilizează infrastructura BroadWorks pentru apeluri SIP și PSTN.

  • Telefoanele IP Cisco și accesoriile aferente utilizează, de asemenea, infrastructura BroadWorks pentru apeluri SIP și PSTN. Ne așteptăm să putem accepta telefoane terțe.

  • Portal de activare a utilizatorilor pentru ca utilizatorii să se conecteze la Webex utilizând acreditările BroadWorks.

  • Partner Hub este o interfață web pentru administrarea organizației Webex și a organizațiilor clienților dvs. Partner Hub este locul unde configurați integrarea dintre infrastructura BroadWorks și Webex. De asemenea, utilizați Hubul de parteneri pentru a gestiona configurarea și facturarea clienților.

Rețea furnizor de servicii

Blocul verde din partea stângă a diagramei reprezintă rețeaua. Componentele găzduite în rețea furnizează următoarele servicii și interfețe altor părți ale soluției:

  • XSP ADP|orientat spre public, pentru Webex pentru Cisco BroadWorks: (Caseta reprezintă una sau mai multe ferme XSP|ADP, eventual frontate de balansoare de sarcină.)

    • Găzduiește Interfața xtended Services (XSI-Actions &XSI-Events), Device Management Service (DMS), interfața CTI și Serviciul de autentificare. Împreună, aceste aplicații permit telefoanelor și clienților Webex să se autentifice, să descarce fișierele de configurare a apelurilor, să efectueze și să primească apeluri și să vadă starea cârligului (prezența telefoniei) și istoricul apelurilor.

    • Publică directorul către clienții Webex.

  • XSP ADP|orientat spre public, care rulează NPS:

    • gazdă Notificări apel Push Server: Un server de notificări push pe un XSP|ADP din mediul dvs. Interfețele dintre serverul de aplicații și proxy-ul nostru NPS. Proxy-ul furnizează token-uri de scurtă durată către NPS pentru a autoriza notificări către serviciile cloud. Aceste servicii (APNS &FCM) trimit notificări de apel clienților Webex pe dispozitivele Apple iOS și Google Android.

  • Server de aplicații:

    • Oferă control al apelurilor și interfețe altor sisteme BroadWorks (în general)

    • Pentru asigurarea accesului prin flux, AS este utilizat de administratorul partener pentru a furniza utilizatorilor din Webex

    • Împinge profilul utilizatorului în BroadWorks

  • Sistem de operare/BSS: Sistemul dumneavoastră de asistență pentru operațiuni / Servicii SIP de afaceri pentru administrarea întreprinderilor BroadWorks.

Webex Cloud

Blocul albastru din diagramă reprezintă norul Webex. Microservicii Webex acceptă întregul spectru de capacități de colaborare Webex:

  • Cisco Common Identity (CI) este serviciul de identitate din cadrul Webex.

  • Webex pentru Cisco BroadWorks reprezintă setul de microservicii care acceptă integrarea dintre Webex și Furnizorul de servicii găzduit BroadWorks:

    • API-uri de asigurare a accesului pentru utilizatori

    • Configurare furnizor de servicii

    • Conectare utilizator utilizând acreditările BroadWorks

  • Caseta De mesagerie Webex pentru microservicii legate de mesagerie.

  • Caseta Întâlniri Webex reprezentând servere de procesare media și SBC-uri pentru mai multe întâlniri video ale participanților (SIP & SRTP)

Servicii Web terțe

Următoarele componente terțe sunt reprezentate în diagramă:

  • APNS (Apple Push Notifications Service) împinge notificările de apeluri și mesaje către aplicațiile Webex de pe dispozitivele Apple.

  • FCM (FireBase Cloud Messaging) împinge notificările de apeluri și mesaje către aplicațiile Webex de pe dispozitivele Android.

Considerații de arhitectură XSP|ADP

Rolul serverelor XSP|ADP accesibile publicului în Webex pentru Cisco BroadWorks

XSP|ADP orientat spre public din mediul dvs. oferă următoarele interfețe/servicii pentru Webex și clienți:

  • Serviciul de autentificare (AuthService), securizat de TLS, care răspunde solicitărilor Webex pentru BroadWorks JWT (JSON Web Token) în numele utilizatorului

  • Interfață CTI, securizată de mTLS, la care Webex se abonează pentru evenimentele din istoricul apelurilor și starea prezenței telefonice de la BroadWorks (starea cârligului).

  • Interfețe Xsi pentru acțiuni și evenimente (eXtended Services Interface) pentru controlul apelurilor abonaților, directoarele listelor de contacte și apeluri și configurarea serviciilor de telefonie pentru utilizatorii finali

  • Serviciul DM (Device Management) pentru ca clienții să-și regăsească fișierele de configurare a apelurilor

Furnizați URL-uri pentru aceste interfețe atunci când configurați Webex pentru Cisco BroadWorks. (Consultați Configurați clusterele BroadWorks în Partner Hub în acest document.) Pentru fiecare cluster, puteți furniza un singur URL pentru fiecare interfață. Dacă aveți mai multe interfețe în infrastructura BroadWorks, puteți crea mai multe clustere.

Arhitectură XSP|ADP

Arhitectura XSP|ADP: Opţiune 1
Arhitectura XSP|ADP: Opțiunea 2

Vă solicităm să utilizați o instanță ADP XSP|separată sau o fermă dedicată pentru a găzdui aplicația NPS (Server de notificări push). Puteți utiliza același NPS cu UC-One SaaS sau UC-One Collaboration. Cu toate acestea, nu puteți găzdui celelalte aplicații necesare pentru Webex pentru Cisco BroadWorks pe același XSP|ADP care găzduiește aplicația NPS.

Vă recomandăm să utilizați o instanță/o fermă XSP|dedicată ADP pentru a găzdui aplicațiile necesare pentru integrarea Webex din următoarele motive

  • De exemplu, dacă oferiți UC-One SaaS, vă recomandăm să creați o nouă fermă XSP|ADP pentru Webex pentru Cisco BroadWorks. În acest fel, cele două servicii pot funcționa independent în timp ce migrați abonații.

  • Dacă amplasați aplicațiile Webex pentru Cisco BroadWorks pe o fermă XSP|ADP care este utilizată în alte scopuri, este responsabilitatea dvs. să monitorizați utilizarea, să gestionați complexitatea rezultată și să planificați scalarea.

  • Planificatorul de capacitate sistem Cisco BroadWorks presupune o fermă XSP|ADP dedicată și este posibil să nu fie precisă dacă o utilizați pentru calcule de colocare.

Cu excepția cazului în care se specifică altfel, Webex dedicat pentru Cisco BroadWorks XSP| ADP-urile trebuie să găzduiască următoarele aplicații:

  • AuthService (TLS cu validare simbol CI sau mTLS)

  • CTI (mTLS)

  • Acțiuni XSI (TLS)

  • XSI-Evenimente (TLS)

  • DMS (TLS) – Opțional. Nu este obligatoriu să implementați o instanță DMS separată sau o fermă separată în mod specific pentru Webex pentru Cisco BroadWorks. Puteți utiliza aceeași instanță DMS pe care o utilizați pentru UC-One SaaS sau UC-One Collaborate.

  • Vizualizare web setări apel (TLS) — opțională. Vizualizarea web a setărilor de apel (CSW) este necesară numai dacă doriți ca utilizatorii Webex pentru Cisco BroadWorks să poată configura funcțiile de apelare în aplicația Webex.

Webex necesită acces la CTI printr-o interfață securizată prin autentificare TLS reciprocă. Pentru a susține această cerință, vă recomandăm una dintre aceste opțiuni:

  • (Diagramă etichetată Opțiunea 1) O instanță XSP|ADP sau fermă pentru toate aplicațiile, cu două interfețe configurate pe fiecare server: o interfață mTLS pentru CTI și o interfață TLS pentru alte aplicații, ar fi AuthService.

  • (Diagramă etichetată Opțiunea 2) Două instanțe sau ferme ADP XSP|, una cu o interfață mTLS pentru CTI și cealaltă cu o interfață TLS pentru alte aplicații, cum ar fi AuthService.

Reutilizare XSP|ADP

Dacă aveți o fermă XSP|ADP existentă care respectă una dintre arhitecturile sugerate de mai sus (opțiunea 1 sau 2) și este încărcată ușor, atunci este posibilă reutilizarea ADP-urilor XSP|existente. Va trebui să verificați dacă nu există cerințe de configurare cu conflicte între aplicațiile existente și noile cerințe privind aplicațiile pentru Webex. Cele două considerente principale sunt:

  • Dacă trebuie să acceptați mai multe organizații partenere Webex pe XSP ADP|, înseamnă că trebuie să utilizați mTLS pe serviciul de autentificare (validarea tokenului CI este acceptată numai pentru o singură organizație parteneră pe un XSP| ADP). Dacă utilizați mTLS pe serviciul de autentificare, atunci asta înseamnă că nu puteți avea clienți care utilizează autentificarea de bază pe serviciul de autentificare în același timp. Această situație ar împiedica reutilizarea XSP|ADP.

  • Dacă serviciul CTI existent este configurat să fie utilizat de clienții cu portul securizat (de obicei 8012), dar fără mTLS (adică autentificarea clientului), atunci acest lucru va intra în conflict cu cerința Webex de a avea mTLS.

Deoarece XSP|ADP-urile au multe aplicații și numărul de permutări ale acestor aplicații este mare, pot exista alte conflicte neidentificate. Din acest motiv, orice reutilizare potențială a XSP|ADP-urilor trebuie verificată într-un laborator cu configurația dorită, înainte de a vă angaja în reutilizare.

Configurați sincronizarea NTP pe XSP|ADP

Implementarea necesită sincronizarea timpului pentru toate ADP XSP|XP pe care le utilizați cu Webex.

Instalați pachetul ntp după ce instalați programul de operare și înainte de a instala software-ul BroadWorks. Apoi, puteți configura NTP în timpul instalării software-ului XSP|ADP. Consultați Ghidul de gestionare a software-ului BroadWorks pentru mai multe detalii.

În timpul instalării interactive a software-ului XSP|ADP, vi se oferă opțiunea de a configura NTP. Procedați după urmează:

  1. Când programul de instalare întreabă: Doriți să configurați NTP?, introduceți y.

  2. Când programul de instalare întreabă, Va fi acest server un server NTP?, introduceți n.

  3. Când programul de instalare întreabă Care este adresa NTP, numele gazdei sau FQDN?, introduceți adresa serverului dvs. NTP sau a unui serviciu NTP public, de exemplu pool.ntp.org.

Dacă ADP-urile XSP|utilizează instalarea silențioasă (neinteractivă), fișierul de configurare a programului de instalare trebuie să includă următoarele perechi Cheie=Valoare:

Serverul NTP
NTP_=

XSP|Cerințe privind identitatea și securitatea ADP

Fundal

Protocoalele și cifruri ale conexiunilor Cisco BroadWorks TLS sunt configurabile la diferite niveluri de specificitate. Aceste niveluri variază de la cel mai general (furnizor SSL) la cel mai specific (interfață individuală). O setare mai specifică suprascrie întotdeauna o setare mai generală. Dacă nu sunt specificate, setările SSL de nivel "inferior" sunt moștenite de la niveluri "superioare".

Dacă nu se modifică nicio setare din valorile implicite, toate nivelurile moștenesc setările implicite ale furnizorului SSL (JSSE Java Secure Sockets Extension).

Lista de cerințe

  • XSP ADP|trebuie să se autentifice la clienți utilizând un certificat semnat de CA în care numele comun sau numele alternativ al subiectului se potrivește cu porțiunea de domeniu a interfeței XSI.

  • Interfața Xsi trebuie să accepte protocolul TLSv1.2.

  • Interfața Xsi trebuie să utilizeze o suită de cifruri care îndeplinește următoarele cerințe.

    • Schimb de chei Diffie-Hellman Ephemeral (DHE) sau Elliptic Curves Diffie-Hellman Ephemeral (ECDHE)

    • Cifru AES (Advanced Encryption Standard) cu o dimensiune minimă a blocului de 128 biți (de exemplu, AES-128 sau AES-256)

    • Modul cifru GCM (Galois/Counter Mode) sau CBC (Cipher Block Chaining)

      • Dacă se utilizează un cifru CBC, numai familia sha2 de funcții hash este permisă pentru derivarea cheilor (SHA256, SHA384, SHA512).

De exemplu, următoarele cifruri îndeplinesc cerințele:

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

XSP|ADP CLI necesită convenția de denumire IANA pentru suitele de cifruri, așa cum s-a arătat mai sus, nu convenția openSSL.

Cifruri TLS acceptate pentru interfețele AuthService și XSI

Această listă se poate modifica pe măsură ce cerințele noastre de securitate în cloud evoluează. Urmați recomandarea curentă de securitate cisco cloud privind selectarea cifruului, așa este descris în lista de cerințe din acest document.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

  • TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

  • TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_PSK_WITH_AES_256_CBC_SHA384

  • TLS_PSK_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_PSK_WITH_AES_128_CBC_SHA256

  • TLS_PSK_WITH_AES_128_CBC_SHA

Parametrii scalei de evenimente Xsi

Poate fi necesar să măriți dimensiunea cozii Xsi-Events și numărul de fire pentru a gestiona volumul evenimentelor de care are nevoie soluția Webex pentru Cisco BroadWorks. Puteți mări parametrii la valorile minime afișate, după urmează (nu le micșorați dacă sunt peste aceste valori minime):

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventQueueSize = 2000

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> HandlerThreadCount = 50

ADP-uri |XSP multiple

Element margine echilibrare încărcare

Dacă aveți un element de echilibrare a sarcinii pe marginea rețelei dvs., acesta trebuie să gestioneze în mod transparent distribuția traficului între mai multe servere XSP|ADP și cloudul și clienții Webex pentru Cisco BroadWorks. În acest caz, furnizați URL-ul balansorului de încărcare webex pentru configurația Cisco BroadWorks.

Note privind această arhitectură:

  • Configurați DNS astfel încât clienții să poată găsi balansorul de încărcare atunci când se conectează la interfața Xsi (consultați configurația DNS).

  • Vă recomandăm să configurați elementul muchie în modul proxy SSL invers, pentru a vă asigura criptarea datelor punct cu punct.

  • Certificatele din XSP|ADP01 și XSP|ADP02 trebuie să aibă domeniul XSP|ADP, de exemplu, your-XSP|ADP.example.com, în Numele alternativ de subiect. Acestea trebuie să aibă propriile FQDN-uri, de exemplu XSP|ADP01.example.com, în Numele comun. Puteți utiliza certificate wildcard, dar nu le recomandăm.

Servere XSP|ADP orientate spre internet

Dacă expuneți direct interfețele Xsi, utilizați DNS pentru a distribui traficul către mai multe servere|ADP XSP.

Note privind această arhitectură:

  • Sunt necesare două înregistrări pentru conectarea la serverele XSP|ADP:

    • Pentru microserviciile Webex: Înregistrările rotunjite A/AAAA sunt necesare pentru a viza mai multe adrese IP ADP XSP|. Acest lucru se datorează faptului că microserviciile Webex nu pot efectua căutări SRV. Pentru exemple, consultați Servicii cloud Webex.

    • Pentru Aplicația Webex: O înregistrare SRV care se rezolvă la înregistrări A în care fiecare înregistrare A se rezolvă la un singur XSP|ADP. Pentru exemple, consultați Aplicația Webex.

      Utilizați înregistrări SRV prioritizate pentru a viza serviciul XSI pentru mai multe adrese ADP XSP|. Prioritizați înregistrările SRV, astfel încât microserviciile să meargă întotdeauna la aceeași înregistrare A (și adresa IP ulterioară) și să se mute la următoarea înregistrare A (și adresa IP) numai dacă prima adresă IP este nefuncțională. NU utilizați o abordare round-robin pentru Aplicația Webex.

  • Certificatele din XSP|ADP01 și XSP|ADP02 trebuie să aibă domeniul XSP|ADP, de exemplu, your-XSP|ADP.example.com, în Numele alternativ de subiect. Acestea trebuie să aibă propriile FQDN-uri, de exemplu XSP|ADP01.example.com, în Numele comun.

  • Puteți utiliza certificate wildcard, dar nu le recomandăm.

Evitați redirecționările HTTP

Uneori, DNS este configurat pentru a rezolva URL-ul|ADP XSP la un balansoar de sarcină HTTP, iar balansoarul de sarcină este configurat pentru a redirecționa printr-un proxy invers către serverele XSP|ADP.

Webex nu urmează o redirecționare când se conectează la URL-urile pe care le furnizați, astfel încât această configurație nu funcționează.

Arhitectură și Infrastructură

  • Cu ce fel de scară intenționați să începeți? Este posibil să se extindă în viitor, dar estimarea actuală de utilizare ar trebui să conducă la planificarea infrastructurii.

  • Lucrați cu managerul de cont Cisco/reprezentantul de vânzări pentru a redimensiona infrastructura ADP XSP|, în conformitate cu Planificatorul de capacitate a sistemului Cisco BroadWorks și Ghidul de inginerie a sistemului Cisco BroadWorks.

  • Cum va realiza Webex conexiuni TLS reciproce la |ADP-urile dvs. XSP? Direct către XSP|ADP într-un DMZ sau prin proxy TLS? Acest lucru afectează gestionarea certificatelor și URL-urile pe care le utilizați pentru interfețe. (Nu acceptăm conexiuni TCP necriptate la marginea rețelei dvs.).