Архитектура

Обзор Webex для BroadWorks

Что представлено на схеме?

Клиенты

  • Клиент приложения Webex является основным приложением в предложениях Webex для Cisco BroadWorks. Клиент доступен на настольных, мобильных и веб-платформах.

    В клиенте есть встроенные функции обмена сообщениями, состояния доступности, а также аудио- и видеосовещаний для нескольких участников, предоставляемые облаком Webex. Клиент Webex использует вашу инфраструктуру BroadWorks для вызовов SIP и PSTN.

  • IP-телефоны Cisco и сопутствующие принадлежности также используют инфраструктуру BroadWorks для вызовов SIP и PSTN. Ожидается возможность поддержки сторонних телефонов.

  • Портал активации пользователей для входа пользователей в Webex с помощью своих учетных данных BroadWorks.

  • Partner Hub — это веб-интерфейс для администрирования организации Webex и организаций клиентов. В центре партнера осуществляется настройка интеграции вашей инфраструктуры BroadWorks с Webex. Кроме того, с помощью Partner Hub можно управлять конфигурацией клиента и биллингом.

Поставщик услуг сети

Зеленый блок слева от схемы представляет вашу сеть. Компоненты сети предоставляют следующие услуги и интерфейсы другим компонентам решения:

  • Общедоступный XSP|ADP для Webex для Cisco BroadWorks. (Блок представляет одну или несколько ферм XSP|ADP, возможно, располагаемых балансировщиками нагрузки.)

    • Предназначен для размещения интерфейса Xtended Services Interface (XSI-Actions & XSI-Events), системы служба управления устройств (DMS), интерфейса CTI и службы аутентификации. Эти приложения дают возможность телефонам и клиентам Webex самостоятельно выполнять аутентификацию, скачивать файлы конфигурации вызовов, совершать и принимать вызовы, а также видеть состояние телефонной связи (состояние доступности) друг друга.

    • Публикует каталог для клиентов Webex.

  • Общедоступный XSP|ADP с запуском NPS:

    • Push-сервер уведомлений о вызовах организатора: Сервер push-уведомлений на XSP|ADP в вашей среде. Взаимодействует между сервером приложений и нашим прокси-сервером NPS. Прокси-сервер передает краткосрочные токена на NPS для авторизации уведомлений в облачные службы. Эти службы (APNS и FCM) отправляют уведомления о вызовах клиентам Webex на устройствах Apple iOS и Google Android.

  • Сервер приложений:

    • Обеспечивает управление вызовами и интерфейсы для других систем BroadWorks (как правило)

    • Для непрерывного обеспечения пользователей Webex сервер приложений используется администратором-партнером.

    • Передает профиль пользователя в BroadWorks

  • OSS/BSS: Ваша система поддержки операций/службы SIP для управления вашими предприятиями BroadWorks.

Облако Webex

Синий блок на схеме представляет облако Webex. Микрослужбы Webex поддерживают весь спектр возможностей Webex для совместной работы.

  • Общие параметры идентификации (CI) Cisco являются службой удостоверений в Webex.

  • Webex для Cisco BroadWorks представляет собой набор микрослужб, которые поддерживают интеграцию Webex со службой BroadWorks, размещенную поставщиком услуг.

    • API обеспечения пользователя

    • Конфигурация поставщика услуг

    • Вход пользователя с помощью учетных данных BroadWorks

  • Окно обмена сообщениями Webex для микрослужб, связанных с обменом сообщениями.

  • Webex Meetings представляет серверы обработки мультимедиа и SBC для видеоконференций с несколькими участниками (SIP & SRTP)

Веб-службы сторонних разработчиков

На схеме представлены следующие компоненты сторонних организаций:

  • ApNS (Служба push-уведомлений Apple) передает уведомления о вызовах и сообщениях в приложения Webex на устройствах Apple.

  • FCM (Обмен сообщениями в облаке FireBase) передает уведомления о вызовах и сообщениях в приложения Webex на устройствах Android.

Рекомендации по архитектуре XSP|ADP

Роль общедоступных серверов XSP|ADP в Webex для Cisco BroadWorks

Общедоступный XSP|ADP в вашей среде предоставляет следующие интерфейсы и службы для Webex и клиентов:

  • Служба аутентификации (AuthService), защищенная TLS, которая отвечает на запросы Webex по BroadWorks JWT (веб-токену JSON) от имени пользователя.

  • CTI-интерфейс, защищенный с помощью mTLS, на который выполняется подписка Webex для информирования о состоянии доступности и событиях журнала вызовов из Cisco BroadWorks (состояние вызова).

  • Интерфейсы действий и событий Xsi (eXtended Services Interface) для управления вызовами подписчика, каталогами контактов и списками вызовов, а также настройки телефонной связи для конечных пользователей.

  • Служба DM (Управление устройствами) для клиентов, используемая для извлечения файлов конфигурации вызовов

Предоставьте URL-адреса для этих интерфейсов при настройке Webex для Cisco BroadWorks. (См. раздел Настройка кластеров BroadWorks в партнерском центре в этом документе.) Для каждого кластера можно указать только один URL-адрес для каждого интерфейса. Если в вашей инфраструктуре BroadWorks имеется несколько интерфейсов, можно создать несколько кластеров.

XSP|Архитектура ADP

Архитектура XSP|ADP: Вариант 1
Архитектура XSP|ADP: Вариант 2

Мы требуем использования отдельного выделенного экземпляра или фермы ADP XSP|для размещения приложения NPS (сервера push-уведомлений). С UC-One SaaS и UC-One Collaborate можно использовать те же NPS. Однако вы можете не размещать другие приложения, необходимые для Webex для Cisco BroadWorks на том же XSP|ADP, где размещено приложение NPS.

Для размещения приложений, необходимых для интеграции Webex, рекомендуется использовать выделенный экземпляр/ферму XSP|ADP, чтобы использовать необходимые приложения для интеграции Webex, по указанным ниже причинам.

  • Например, при предложении UC-One SaaS рекомендуется создать новую ферму ADP XSP|для Webex для Cisco BroadWorks. Эти две службы могут работать независимо во время миграции абонентов.

  • Если вы размещаете приложения Webex для Cisco BroadWorks на ферме ADP XSP|, которая используется для других целей, вы несете ответственность за мониторинг использования, управление возникающими сложностями и планирование масштабирования.

  • Планировщик производительности системы Cisco BroadWorks предполагает выделенную ферму XSP|ADP и может быть неточным при использовании ее для расчетов колместоположения.

Если не указано иное, выделенные XSP Webex для Cisco BroadWorks|ADP должны размещать следующие приложения:

  • Служба аутентификации (TLS с проверкой маркера CI или mTLS)

  • CTI (mTLS)

  • XSI-Actions (TLS)

  • XSI-Events (TLS)

  • DMS (TLS) — необязательно. Необязательно развертывать отдельный экземпляр или ферму DMS специально для Webex для Cisco BroadWorks. Можно использовать тот же экземпляр DMS, который используется для UC-One SaaS или UC-One Collaborate.

  • Настройки вызовов Webview (TLS) — необязательно. Настройка вызовов Webview (CSW) требуется только в том случае, если необходимо, чтобы пользователи Webex для Cisco BroadWorks могли настраивать функции вызовов в приложении Webex.

Для Webex необходим доступ CTI через интерфейс, защищенный взаимной аутентификацией TLS. Для выполнения этого требования рекомендуется использовать один из указанных вариантов.

  • (Схема помечена как Вариант 1) Один экземпляр или ферма ADP XSP|для всех приложений с двумя интерфейсами, настроенными на каждом сервере: Интерфейс mTLS для CTI и интерфейс TLS для других приложений, например, AuthService.

  • (Схема помечена как Вариант 2) Два экземпляра или фермы ADP XSP|, один с интерфейсом mTLS для CTI, а другой с интерфейсом TLS для других приложений, например AuthService.

Повторное использование ADP XSP|

Если у вас есть существующая ферма XSP|ADP, которая соответствует одной из предложенных выше архитектур (вариант 1 или 2) и она слегка загружена, можно повторно использовать существующие XSP|ADP. Вам необходимо будет убедиться в отсутствии конфликтующих требований к конфигурации между существующими приложениями и новыми требованиями к приложениям для Webex. Вот два главных условия:

  • Если необходимо поддерживать несколько партнерских организаций Webex в XSP|ADP, это означает, что необходимо использовать mTLS в службе аутентификации (проверка маркера CI поддерживается только для одной партнерской организации в XSP|ADP). Если в службе аутентификации используется mTLS, это означает, что у вас при этом не должно быть клиентов, использующих базовую аутентификацию в службе аутентификации. Это предотвратит повторное использование XSP|ADP.

  • Если существующая служба CTI настроена для использования клиентами с защищенным портом (как правило, 8012), но без mTLS (например, аутентификации клиента), это приведет к конфликту с требованием Webex к использованию mTLS.

Поскольку в XSP|ADP много приложений и большое количество переходов этих приложений, могут возникать другие неизвестные конфликты. По этой причине любое потенциальное повторное использование XSP|ADP следует проверить в лаборатории с предполагаемой конфигурацией, прежде чем приступить к повторному использованию.

Настройка синхронизации NTP в XSP|ADP

Для развертывания требуется синхронизация времени для всех ADP XSP|, используемых с Webex.

Установите пакет ntp после установки ОС и до установки программного обеспечения BroadWorks. Затем можно настроить NTP во время установки ПО XSP|ADP. Подробности представлены в Руководстве по управлению программным обеспечением BroadWorks.

Во время интерактивной установки программного обеспечения XSP|ADP вам предоставляется возможность настройки NTP. Выполните действия следующим образом.

  1. При запросе установщика Хотите ли вы настроить NTP? введите y.

  2. При запросе установщика Будет ли этот сервер сервером NTP?, введите n.

  3. При запросе установщика Каков адрес NTP, имя хоста или FQDN? введите адрес сервера NTP или публичной службы NTP, например pool.ntp.org.

Если XSP|ADP используют установку в фоновом режиме (неинтерактивную), файл конфигурации программы установки должен содержать следующие пары Key=Value:

NTP
NTP_SERVER=

Требования к идентификации и безопасности ADP XSP|XSP

Фон

Протоколы и шифры соединений Cisco BroadWorks TLS настраиваются на различных уровнях конкретики. Эти уровни варьируются от наиболее общих (поставщик SSL) до наиболее конкретных (отдельного интерфейса). Более конкретный параметр всегда переопределает более общую настройку. Если они не указаны, параметры SSL нижнего уровня наследуются от более высоких уровней.

Если значения по умолчанию не изменены, на всех уровнях наследуются настройки поставщика SSL по умолчанию (JSSE Java Secure Sockets Extension).

Список требований

  • XSP|ADP должен пройти аутентификацию клиентов с помощью сертификата, подписанного ЦС, в котором общее имя или альтернативное имя субъекта совпадают с доменной частью интерфейса XSI.

  • Интерфейс Xsi должен поддерживать протокол TLSv1.2.

  • Интерфейс Xsi должен использовать набор шифров, отвечающий следующим требованиям.

    • Обмен ключами по протоколам Diffie-Hellman Ephemeral (DHE) или Elliptic Curves Diffie-Hellman Ephemeral (ECDHE)

    • Шифр AES (Advanced Encryption Standard) с минимальным размером блока 128 бит (например, AES-128 или AES-256)

    • Режим шифра GCM (режим Галуа/режим счетчика) или CBC (цепочка блоков шифров)

      • Если используется шифр CBC, для создания ключей допускается только семейство функций SHA2 (SHA256, SHA384, SHA512).

Например, следующие шифры отвечают требованиям.

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

Для наборов шифров, как показано выше, XSP|ADP CLI требует соглашения об именовании IANA, а не соглашения openSSL.

Поддерживаемые шифры TLS для интерфейсов AuthService и XSI

Этот список подлежит изменению по мере развития требований к безопасности облака. Следуйте текущей рекомендации Cisco в отношении безопасности облака при выборе шифра, как описано в списке требований в этом документе.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

  • TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

  • TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_PSK_WITH_AES_256_CBC_SHA384

  • TLS_PSK_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_PSK_WITH_AES_128_CBC_SHA256

  • TLS_PSK_WITH_AES_128_CBC_SHA

Параметры масштабирования событий Xsi

Для обработки необходимого объема событий для решения Webex для Cisco BroadWorks может потребоваться увеличить размер очереди Xsi-Events и количество потоков. Вы можете увеличить параметры до минимальных показанных значений (не уменьшайте их, если они находятся выше этих минимальных значений):

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventQueueSize = 2000

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventHandlerThreadCount = 50

Несколько ADP XSP|

Граничный элемент балансировки нагрузки

Если на границе сети имеется элемент распределения нагрузки, он должен прозрачно обрабатывать распределение трафика между несколькими серверами ADP XSP|XSP и облаком Webex для Cisco BroadWorks и клиентами. В этом случае необходимо предоставить URL-адрес балансировщика нагрузки для конфигурации Webex для Cisco BroadWorks.

Примечания по этой архитектуре.

  • Настройте DNS таким образом, чтобы клиенты могли найти источник нагрузки при подключении к интерфейсу Xsi (см. конфигурацию DNS).

  • Рекомендуется настроить граничный элемент в режиме обратного SSL-прокси, чтобы обеспечить межконцевое шифрование.

  • Сертификаты от XSP|ADP01 и XSP|ADP02 должны иметь домен XSP|ADP, например your-XSP|ADP.example.com, в альтернативном имени субъекта. У них должны быть собственные FQDN, например XSP|ADP01.example.com, в общем имени. Можно применять универсальные сертификаты, однако их использование не рекомендуется.

Серверы ADP XSP|, ориентированные в Интернет

При непосредственном раскрытии интерфейсов Xsi используйте DNS для распределения трафика на несколько серверов ADP XSP|.

Примечания по этой архитектуре.

  • Для подключения к серверам XSP|ADP требуются две записи:

    • Для микрослужб Webex: Для размещения нескольких|IP-адресов ADP XSP требуются записи A/AAAA. Это связано с тем, что микрослужбы Webex не могут выполнять поиск SRV. Примеры см. в статье Облачные службы Webex.

    • Для приложения Webex. Запись SRV, которая относится к записям A, каждая запись A относится к одному XSP|ADP. Примеры см. в статье Приложение Webex.

      Используйте приоритетные записи SRV, чтобы нацелиться на службу XSI для нескольких|ADP XSP-адресов. Задайте приоритет записям SRV, чтобы микрослужбы всегда переходили к одной и той же записи A (и последующего IP-адреса) и перемещались только в следующую запись A (и IP-адрес), если первый IP-адрес опущен. Для приложения Webex НЕ используйте циклический подход.

  • Сертификаты от XSP|ADP01 и XSP|ADP02 должны иметь домен XSP|ADP, например your-XSP|ADP.example.com, в альтернативном имени субъекта. У них должны быть собственные FQDN, например XSP|ADP01.example.com, в общем имени.

  • Можно применять универсальные сертификаты, однако их использование не рекомендуется.

Предотвращение переадресации HTTP

Иногда DNS настраивается для разрешения URL-адреса ADP XSP|к балансировщику нагрузки HTTP, а балансировщик нагрузки настраивается для перенаправления через обратный прокси на серверы ADP XSP|.

Webex не выполняет перенаправление при подключении к предоставленным URL-адресам, поэтому эта конфигурация не работает.

Архитектура и инфраструктура

  • С какого масштаба вы предполагаете начать? Его можно масштабировать в будущем, но от текущей оценки использования зависит планирование инфраструктуры.

  • Для размеров инфраструктуры ADP XSP|в соответствии с планировщиком производительности системы Cisco BroadWorks и руководством по проектированию системы Cisco BroadWorks обратитесь к менеджеру по работе с клиентами или представителю отдела продаж Cisco BroadWorks.

  • Как Webex будет создавать соединения Mutual TLS с XSP|ADP? Непосредственно к XSP|ADP в DMZ или через прокси TLS? Это влияет на управление сертификатами и URL-адреса, используемые для интерфейсов. (Незашифрованные соединения TCP не поддерживаются на границе вашей сети).