Подготовка среды

Точки принятия решений

Рекомендации Ответы на вопросы Материалы

Архитектура и инфраструктура

Сколько XSP?

Как они используют mTLS?

Планировщик производительности системы Cisco BroadWorks

Руководство по проектированию системы Cisco BroadWorks

Ссылка на CLI XSP

Этот документ

Обеспечение клиентов и пользователей

Можно ли утверждать, что вы доверяете электронным письмам в BroadWorks?

Предоставить пользователям адреса электронной почты для активации собственных учетных записей?

Можете ли вы создать инструменты для использования нашего API?

Общедоступные документы API можно найти по адресу https://developer.webex.com.

Этот документ

Символика Какой цвет и логотип вы хотите использовать? Статья об брендинге в приложениях Webex
Шаблоны Какие сценарии используют разные клиенты? Этот документ
Функции абонента для каждого клиента, предприятия или группы Выберите пакет, чтобы определить уровень обслуживания в шаблоне. Базовый, стандартный, премиум или программный телефон.

Этот документ

Матрица функций/пакетов

Аутентификация пользователей BroadWorks или Webex Этот документ
Адаптер обеспечения (для вариантов обеспечения)

Вы уже используете встроенную систему интегрированных служб обмена мгновенными сообщениями и состоянием доступности, например для UC-One SaaS?

Использовать несколько шаблонов?

Имеется ли более распространенный пример использования?

Этот документ

Ссылка на сервер приложений CLI

Архитектура и инфраструктура

  • С какого масштаба вы предполагаете начать? Его можно масштабировать в будущем, но от текущей оценки использования зависит планирование инфраструктуры.

  • Для размеров инфраструктуры XSP работайте с менеджером по работе с клиентом или представителем продаж Cisco в соответствии с Планировщиком производительности системы Cisco BroadWorks (https://xchange.broadsoft.com/node/1051462) и Руководством по проектированию системы Cisco BroadWorks (https://xchange.broadsoft.com/node/1051496).

  • Как Cisco Webex будет создавать соединения взаимной аутентификации TLS с XSP? Непосредственно к XSP в DMZ или через прокси-сервер TLS? Это повлияет на управление сертификатами и URL-адреса, которые используются для интерфейсов. (Незашифрованные соединения TCP на границе сети не поддерживаются).

Обеспечение клиентов и пользователей

Какой метод обеспечения пользователя больше всего вам подходит?

  • Непрерывное обеспечение с доверенными адресами электронной почты: При назначении «Интегрированных служб обмена мгновенными сообщениями и состоянием доступности» в BroadWorks абонент автоматически обеспечивается в Cisco Webex.

    Если вы также можете убедиться, что адреса электронной почты абонента в BroadWorks являются действительными и уникальными для Webex, и использовать вариант обеспечения «доверенный адрес электронной почты». Учетные записи абонентов Webex создаются и активируются без их вмешательства, они просто загружают клиент и входят в систему.

    Адрес электронной почты является ключевым атрибутом пользователя в Cisco Webex. Поэтому поставщик услуг должен указать действительный адрес электронной почты пользователя, чтобы обеспечить его работу со службами Cisco Webex. Он должен быть атрибутом «Идентификатор эл. почты» пользователя в BroadWorks. Рекомендуется также скопировать его в атрибут «Alternate ID».

  • Непрерывное обеспечение без использоваться доверенных адресов электронной почты: Если вы не можете доверять адресам электронной почты абонентов, вы все равно можете использовать интегрированные службы обмена мгновенными сообщениями и состоянием доступности в BroadWorks для обеспечения пользователей в Webex.

    С помощью этого параметра создаются учетные записи при назначении службы, однако для активации учетных записей Webex абонентам необходимо предоставить и проверить адреса электронной почты.

  • Самостоятельное обеспечение пользователя: Этот параметр не требует назначения службы обмена мгновенными сообщениями и состоянием доступности в BroadWorks. Вместо этого вы (или ваши клиенты) предоставляете ссылку для обеспечения, а также ссылки для скачивания различных клиентов с инструкциями и символикой.

    Чтобы создать и активировать собственные учетные записи Webex, абоненты переходят по ссылке, вносят и проверяют адреса электронной почты. Когда они скачают клиент и войдут в систему, Webex использует некоторые дополнительные настройки из BroadWorks (включая основные номера).

  • Контролируемые SP и обеспечение через API: Cisco Webex предоставляет доступ к набору общедоступных API, которые позволяют поставщикам услуг обеспечивать работу пользователей или абонентов в существующих процессах.

Символика

Вы можете использовать для приложения Webex логотип и одну цветовую гамму (для панели навигации). На портале активации пользователей используются одинаковые настройки.

Подробные сведения о настройках брендинга см. на https://help.webex.com/en-us/n0cswhcb/Customize-Branding-for-Customers.

Шаблоны клиента

Шаблоны клиента позволяют определить параметры, на основе которых клиенты и связанные с ними абоненты автоматически будут доступны в Cisco Webex для BroadWorks. При необходимости вы можете настроить несколько шаблонов для клиента, однако при подключении клиента ему назначается только один шаблон (назначение нескольких шаблонов для одного клиента невозможно).

Ниже перечислены некоторые основные параметры шаблона.

Пакет

  • При создании шаблона необходимо выбрать пакет по умолчанию (подробности см. в пункте Пакеты раздела «Обзор»). Все пользователи, которым назначен этот шаблон, в зависимости от процесса и самостоятельной настройки, получают пакет по умолчанию.

  • Вы можете управлять выбором пакетов для разных клиентов путем создания нескольких шаблонов и выбора различных пакетов по умолчанию для каждого из них. Затем можно распределить различные ссылки и адаптеры обеспечения для каждого предприятия в зависимости от выбранного для них метода обеспечения пользователей.

  • По умолчанию можно изменить пакет определенных абонентов с помощью API для обеспечения (см. пункт Интеграция с Webex для BroadWorks с API для обеспечения в разделе «Справка») или через Partner Hub.

  • Невозможно изменить пакет абонента в BroadWorks. Назначение интегрированных служб обмена мгновенными сообщениями и состоянием доступности включено или отключено; если для абонента включена служба BroadWorks, для абонента определяется пакет шаблона Partner Hub связывается с URL-адресом для обеспечения.

Посредник и предприятия или сервис-провайдер и группы?

  • Способ настройки системы BroadWorks влияет на обеспечение. Если вы посредник в компании, то при создании шаблона вам необходимо включить корпоративный режим.
  • Если ваша система BroadWorks настроена в режиме поставщика услуг, корпоративный режим в шаблонах можно отключить.
  • Если планируется подготовка клиентских организаций с помощью обоих режимов BroadWorks, необходимо использовать различные шаблоны для групп и предприятий.

Режим аутентификации

Как будет проводиться аутентификация абонентов клиента?

Режим аутентификации BroadWorks Webex
Основная идентификация пользователя Идентификатор пользователя BroadWorks Адрес электронной почты
Поставщик удостоверений

BroadWorks.

Аутентификацию проводит промежуточная служба, поддерживаемая Cisco Webex.

Служба идентификации Cisco Common Identity
Многофакторная аутентификация? Нет Требуется клиент IdP, который поддерживает многофакторную аутентификацию.

Путь проверки учетных данных

  1. Запускается браузер, в котором пользователь обеспечивает отправку электронных сообщений при входе в систему и включении режима аутентификации.

  2. После этого браузер перенаправляется на страницу входа BroadWorks, которая находится на сервере Cisco Webex (эта страница может быть фирменной)

  3. На странице входа пользователь предоставляет BroadWorks свой идентификатор и пароль.

  4. Учетные данные пользователя проверяются в BroadWorks.

  5. В случае успеха Cisco Webex отправляет код авторизации. Он используется для получения необходимых маркеров доступа для служб Cisco Webex.

  1. Запускается браузер, в котором пользователь обеспечивает отправку электронных сообщений при входе в систему и включении режима аутентификации.

  2. Браузер перенаправляется на IdP (Cisco Common Identity или Customer IdP), где будет представлен портал для входа.

  3. Пользователь передает соответствующие учетные данные на странице входа

  4. Многофакторная аутентификация проводится в том случае, если IdP клиента ее поддерживает.

  5. В случае успеха Cisco Webex отправляет код авторизации. Он используется для получения необходимых маркеров доступа для служб Cisco Webex.

Различные мероприятия для партнеров

Вы собираетесь предоставлять сублицензию Webex для BroadWorks другому поставщику услуг? В этом случае каждому поставщику услуг потребуется отдельная партнерская организация в Webex Control Hub, чтобы они могли использовать решение для своей клиентской базы.

Адаптер и шаблоны обеспечения

При использовании процессного обеспечения, URL-адрес для обеспечения, который был указан в BroadWorks, извлекается из шаблона в Control Hub. У вас может быть несколько шаблонов, а потому несколько URL-адресов обеспечения. Это позволяет выбрать для всех абонентов пакет, который будет действовать при предоставлении им интегрированных служб обмена мгновенными сообщениями и состоянием доступности.

Необходимо определить, следует ли задать URL-адрес уровня обеспечения в качестве пути по умолчанию, а также какой шаблон для этого использовать. Таким образом, вам необходимо прямо установить URL-адрес для обеспечения только для тех предприятий, для которых требуется другой шаблон.

Кроме того, следует помнить, что URL-адрес обеспечения может использовать на системном уровне, например в системе UC-One SaaS. В этом случае можно сохранить URL-адрес на системном уровне для обеспечения пользователей UC-One SaaS и изменить для тех предприятий, которые переходят в Webex для BroadWorks. В качестве альтернативы можно пойти к другому пути и настроить URL-адрес на уровне системы в Webex для BroadWorks и перенастроить предприятия, для которых вы хотите сохранить UC-One SaaS.

Варианты конфигурации, связанные с этим решением, описаны в пункте Настройка сервера приложений с URL-адресом службы обеспечения в разделе «Развертывание Webex для BroadWorks».

Минимальные требования

Учетные записи

Все подписчики, которых вы готовите к работе с Webex, должны существовать в системе BroadWorks, интегрируемой с Webex. При необходимости можно интегрировать несколько систем BroadWorks.

Все абоненты должны иметь лицензии BroadWorks и основные номера.

Webex использует адреса электронной почты в качестве основных идентификаторов для всех пользователей. При использовании процессного обеспечения с доверенными адресами электронной почты, в атрибуте электронной почты в BroadWorks для пользователей должны быть указаны правильные адреса.

Если в шаблоне используется аутентификация BroadWorks, можно скопировать адреса электронной почты абонента в атрибут «Alternate ID» в BroadWorks. Это позволяет пользователям входить в Webex с помощью своих адресов электронной почты и паролей BroadWorks.

Администраторы должны использовать свои учетные записи Webex для регистрации в Partner Hub.

Серверы в требованиях к сети и программному обеспечению

  • Экземпляры BroadWorks с минимальной версией R21 SP1. Информацию о поддерживаемых версиях и исправлениях (в данном документе) см. в разделе «Требования к программному обеспечению BroadWorks». См. также Управление жизненным циклом. Серверы BroadSoft.


    R21 SP1 поддерживается только до середины 2021 г. Несмотря на то что в настоящий момент можно интегрировать Webex с R21 SP1, настоятельно рекомендуется выбрать R22 или более позднюю версию для интеграции с Webex.

  • Экземпляры BroadWorks должны включать по меньшей мере следующие серверы:

    • Сервер приложений (AS) с версией BroadWorks, как указано выше

    • Сетевой сервер (NS)

    • Сервер профилей (PS)

  • Общедоступные серверы XSP или платформа доставки приложений (ADP) соответствует следующим требованиям:

    • Служба аутентификации (BWAuth)

    • Интерфейсы действий и событий XSI

    • DMS (веб-приложение для управления устройствами)

    • Интерфейс CTI (интеграция компьютерной телефонии)

    • TLS 1.2 с действительным сертификатом (не самозаверяемым) и всеми необходимыми промежуточными вариантами. Требует администратора на уровне системы для облегчения корпоративного поиска.

    • Взаимная аутентификация TLS (mTLS) для службы аутентификации (требуется установка публичной цепочки сертификатов клиента Cisco Webex в качестве точек доверия)

    • Взаимная аутентификация TLS (mTLS) для интерфейса CTI (требуется установка публичной цепочки сертификатов клиента Cisco Webex в качестве точек доверия)

  • Отдельный сервер XSP/ADP, выступая в роль сервера push-уведомлений о вызовах (NPS в вашей среде, используется для push-уведомлений о вызовах в Apple или Google. В данном случае мы называем его «CNPS», чтобы отличать от службы Webex, которая предоставляет push-уведомления для обмена сообщениями).

    Этот сервер должен иметь версию R22 или более позднюю версию.

  • Мы предоставляем полномочия отдельному серверу XSP/ADP для CNPS, поскольку невозможность предварительной оценки нагрузки от Webex для соединений облака BWKS может негативно повлиять на производительность сервера NPS, что приведет к росту задержки уведомлений. Подробнее о масштабировании XSP см. в документе Руководство по проектированию системы Cisco BroadWorks (https://xchange.broadsoft.com/node/422649).

Физические телефоны и принадлежности

  • IP-телефоны Cisco

    • Серия Cisco IP Phone 6800 с многоплатформенным микропрограммным обеспечением

    • Серия Cisco IP Phone 7800 с многоплатформенным микропрограммным обеспечением

    • Серия Cisco IP Phone 8800 с многоплатформенным микропрограммным обеспечением

      Дополнительную информацию о моделях см. в разделе https://www.cisco.com/c/en/us/products/collaboration-endpoints/ip-phones/multiplatform-firmware.html.

  • Мы поддерживаем телефоны сторонних систем так же, как и другие варианты интеграции BroadWorks. Однако у них еще нет контактов и данных об интеграции с Webex для BroadWorks.

  • Адаптеры

  • гарнитуры

Профили службы

Это файлы DTAF необходимо загрузить на серверы приложений для поддержки приложений Webex в качестве клиентов телефонии. Это те же файлы DTAF, которые используются для SaaS UC-One, однако существует новый файлconfig-wxt.xml.template, который используется для приложений Webex.

Название клиента

Тип профиля устройства и название пакета

Шаблон Webex для мобильного устройства

https://xchange.broadsoft.com/support/uc-one/connect/software

Тип профиля идентификации/устройства: Подключение — мобильное устройство

DTAF:ucone-mobile-ucaas-X.X.XX-wxt-MonthYear_DTAF.zip

Файл конфигурации:config-wxt.xml

Шаблон Webex для планшета

https://xchange.broadsoft.com/support/uc-one/connect/software

Тип профиля идентификации/устройства: Подключение — планшет

DTAF:ucone-tablet-ucaas-X.X.XX-wxt-MonthYear_DTAF.zip

Файл конфигурации:config-wxt.xml

Шаблон Webex для настольного компьютера

https://xchange.broadsoft.com/support/uc-one/communicator/software

Тип профиля идентификации/устройства: Business Communicator — ПК

DTAF:ucone-desktop-ucaas-X.X.XX-wxt-MonthYear_DTAF.zip

Файл конфигурации:config-wxt.xml

Сертификаты заказов

Требования к сертификату для аутентификации TLS

Вам потребуются сертификаты безопасности, подписанные известным органом сертификации и развернутые на общедоступных XSP для всех необходимых приложений. Они будут использоваться в ходе проверки сертификата TLS для всех входящих соединений с серверами XSP.

Эти сертификаты должны включать полное доменное имя XSP в качестве общего или альтернативного имени субъекта.

Точные требования для развертывания этих сертификатов сервера зависят от того, как развернуты общедоступные сервера XSP.

  • Через прокси-сервер моста TLS

  • Через прокси-сервер TLS

  • Непосредственно к XSP

Следующая диаграмма показывает, что сертификат открытого сервера, подписанный ЦС, загружается в трех случаях:

Общедоступные центры сертификации, поддерживаемые приложением Webex для аутентификации, перечислены в списке Поддерживаемые центры сертификации для гибридных служб Cisco Webex.

Требования к сертификату TLS для прокси-сервера моста TLS

  • Публично подписанный сертификат сервера загружается в прокси-сервер.

  • Прокси-сервер представляет этот публично подписанный сертификат сервера Webex.

  • Webex доверяет публичному ЦС, подписавшему этот сертификат.

  • Внутренний сертификат, подписанный ЦС, можно загрузить в XSP.

  • XSP представляет этот внутренне подписанный сертификат прокси-сервера.

  • Прокси-сервер доверяет внутреннему ЦС, подписавшему сертификат сервера XSP.

Требования к сертификату TLS для прокси-сервера TLS или XSP в DMZ

  • Публично подписанный сертификат сервера загружается в XSP.

  • XSP представляют Webex публично подписанные сертификаты сервера.

  • Webex доверяет публичному ЦС, подписавшему сертификаты сервера XSP.

Дополнительные требования к сертификатам для взаимной аутентификации TLS через интерфейс CTI

При подключении к интерфейсу CTI Cisco Webex представляет сертификат клиента в рамках взаимной аутентификации TLS. Сертификат ЦС клиента Webex или сертификатов цепочки можно скачать с помощью Control Hub.

Для скачивания сертификата:

Войдите в Partner Hub, перейдите в раздел Настройки > Вызов BroadWorks и щелкните ссылку для скачивания сертификата.

Точные требования для развертывания цепочки сертификатов ЦС Webex зависят от того, как развернуты общедоступные XSP.

  • Через прокси-сервер моста TLS

  • Через прокси-сервер TLS

  • Непосредственно к XSP

Следующая диаграмма показывает требований к сертификатам в трех случаях:

Рис. 1. Обмен сертификатами mTLS для CTI при разных конфигурациях конечных устройств

(Параметр) Требования к сертификату для прокси-сервера моста TLS

  • Webex представляет прокси публично подписанный сертификат клиента.

  • Прокси доверяет внутреннему ЦС Cisco, который подписан сертификатом клиента. Этот центр ЦС или цепочку можно скачать из Control Hub и добавить в доверительную систему прокси. Публично подписанный сертификат сервера XSP также загружается в прокси.

  • Прокси представляет публично подписанный сертификат сервера Webex.

  • Webex доверяет публичному ЦС, подписавшему этот сертификат.

  • Прокси-сервер представляет внутренне подписанный сертификат клиента XSP.

    В этом сертификате должно быть поле расширенного использования ключа x509.v3 с заполненным значением BroadWorks OID 1.3.6.1.4.1.6431.1.1.8.2.1.3 и назначением TLS clientAuth. Например:

    X509v3 extensions:
        X509v3 Extended Key Usage:
            1.3.6.1.4.1.6431.1.1.8.2.1.3, TLS Web Client Authentication

    Внутренний ЦC должен быть bwcticlient.webex.com.


    • При создании внутренних сертификатов клиента для прокси-сервера обратите внимание, что сертификаты SAN не поддерживаются. Внутренними сертификатами сервера для XSP может быть SAN.

    • Общедоступные органы сертификации, возможно, не готовы подписывать сертификаты с помощью фирменной службы BroadWorks OID, которая является обязательной. В случае прокси-сервера моста может потребоваться использовать внутренний ЦС для подписи сертификата клиента, который прокси-сервер представляет XSP.

  • XSP доверяют внутреннему ЦС.

  • XSP представляют внутренний подписанный сертификат сервера.

  • Прокси-сервер доверяет внутреннему ЦС.

  • Объект ClientIdentity на сервере приложений содержит CN внутреннего сертификата клиента, представленного прокси-сервером XSP.

(Параметр) Требования к сертификату для TLS через прокси-сервер или XSP в DMZ

  • Webex представляет для XSP внутренний сертификат клиента, подписанный ЦС Cisco.

  • XSP доверяют внутреннему ЦС Cisco, подписавшему сертификат клиента. Этот центр ЦС или цепочку можно скачать из Control Hub и добавить в доверительную систему прокси. Публично подписанный сертификат сервера XSP также загружается в XSP.

  • XSP представляют Webex публично подписанные сертификаты сервера.

  • Webex доверяет публичному ЦС, подписавшему сертификаты сервера XSP.

  • Объект ClientIdentity на сервере приложений содержит CN сертификата клиента, подписанного Cisco, представленного сервером XSP Webex.

Подготовка сети

Карта соединения

На схеме ниже показаны точки интеграции. На схеме показано, что для подключения к среде и из нее необходимо проверить IP и порты для подключений к среде. Соединения, используемые Webex для BroadWorks, описаны в таблицах ниже.

Требования к брандмауэру для нормального функционирования клиентского приложения, однако, указаны как ссылки, поскольку они уже задокументированы в help.webex.com.

Конфигурация брандмауэра

В таблице подключений и в таблицах ниже описываются соединения и протоколы, необходимые для взаимодействия между клиентами (в сети клиента или вне ее), вашей сетью и платформой Webex.

Мы заносим в документацию только соединения, характерные в Webex для BroadWorks. На диаграмме показаны общие соединения между приложением Webex и облаком Webex, и они описаны далее:

Правила входа для EMEA

(в сеть)

Цель Источник Protocol Адресат Порт назначения

Облако Webex

CTI/Auth/XSI

18.196.116.47

35.156.83.118

35.158.206.190

44.232.54.0

52.39.97.25

54.185.54.53

69.26.160.0/19

144.254.96.0/20

173.37.32.0/20

216.151.128.0/19

HTTPS

CTI

Ваш XSP

TCP/TLS 8012

443

Приложение Webex

Xsi/DMS

Any

HTTPS

Ваш XSP

443

Конечные точки VoIP приложения Webex для SIP

Any

SIP

Ваш SBC

Протокол и порт, определяемый SP

TCP/UDP


Рекомендуется использовать порт SIP 5060 (например, 5075) из-за известных проблем с использованием стандартного порта SIP (5060) на мобильных устройствах.

Правила выхода для EMEA

(вне сети)

Цель

Источник

Protocol

Адресат

Порт назначения

Обеспечение пользователя через API

Ваш сервер приложений

HTTPS

webexapis.com

443

Push-уведомления прокси (производственная служба)

Ваш сервер NPS

HTTPS

https://nps.uc-one.broadsoft.com/

ИЛИ 34.64.0.0/10, 35.208.0.0/12, 35.224.0.0/12, 35.240.0.0/13

443

Webex Common Identity

Ваш сервер NPS

HTTPS

https://idbroker-eu.webex.com

443

Службы APNS и FCM

Ваш сервер NPS

HTTPS

Любой IP-адрес*

443

Push-уведомления прокси (производственная служба)

Webex Common Identity

Службы APNS и FCM

Ваш сервер NPS

HTTPS

https://nps.uc-one.broadsoft.com/ *

https://idbroker-eu.webex.com

Любой IP-адрес*

443

Подготовка пользователей с помощью адаптера обеспечения BroadWorks

Ваш BroadWorks AS

HTTPS

https://broadworks-provisioning-bridge-*.wbx2.com/

(где * может означать любую букву. Точный URL-адрес для обеспечения можно посмотреть в шаблоне, созданном в Partner Hub)

443

† В этих диапазонах содержатся хосты для прокси NPS, однако точные адреса указать невозможно. Эти диапазоны могут также содержать хосты, не связанные с Webex для BroadWorks. Рекомендуется вместо этого настроить брандмауэр таким образом, чтобы разрешать трафик к полному доменному имени прокси-сервера NPS, чтобы гарантировать, что ваш исходящий поток направлен только на узлы, которые мы предоставляем для прокси-сервера NPS.

* В APNS и FCM нет фиксированного набора IP-адресов.

Правила входа для США

(в сеть)

Цель

Источник

Protocol

Адресат

Порт назначения

Облако Webex

CTI/Auth/XSI

13.58.232.148

18.217.166.80

18.221.216.175

44.232.54.0

52.39.97.25

54.185.54.53

69.26.160.0/19

144.254.96.0/20

173.37.32.0/20

216.151.128.0/19

HTTPS

CTI

Ваш XSP

TCP/TLS 8012

TLS 443

Приложение Webex   

Xsi/DMS

Any

HTTPS

Ваш XSP

443

Конечные точки  VoIP приложения Webex для SIP

Any

SIP

Ваш SBC

Протокол и порт, определяемый SP

TCP/UDP


Рекомендуется использовать порт SIP 5060 (например, 5075) из-за известных проблем с использованием стандартного порта SIP (5060) на мобильных устройствах.

Правила выхода для USA

(вне сети)

Цель

Источник

Protocol

Адресат

Порт назначения

Обеспечение пользователя через API

Ваш сервер приложений

HTTPS

webexapis.com

443

Push-уведомления прокси (производственная служба)

Ваш сервер NPS

HTTPS

https://nps.uc-one.broadsoft.com/

ИЛИ 34.64.0.0/10, 35.208.0.0/12, 35.224.0.0/12, 35.240.0.0/13

443

Webex Common Identity

Ваш сервер NPS

HTTPS

https://idbroker.webex.com

https://idbroker-b-us.webex.com

443

Службы APNS и FCM

Ваш сервер NPS

HTTPS

Любой IP-адрес*

443

Подготовка пользователей с помощью адаптера обеспечения BWKS

Ваш BroadWorks AS

HTTPS

https://broadworks-provisioning-bridge-*.wbx2.com/

(где * может означать любую букву. Точный URL-адрес для обеспечения можно посмотреть в шаблоне, созданном в Partner Hub)

443

† В этих диапазонах содержатся хосты для прокси NPS, однако точные адреса указать невозможно. Эти диапазоны могут также содержать хосты, не связанные с Webex для BroadWorks. Рекомендуется вместо этого настроить брандмауэр таким образом, чтобы разрешать трафик к полному доменному имени прокси-сервера NPS, чтобы гарантировать, что ваш исходящий поток направлен только на узлы, которые мы предоставляем для прокси-сервера NPS.

* В APNS и FCM нет фиксированного набора IP-адресов.

Конфигурация DNS

Клиенты Webex для BroadWorks должны иметь возможность поиска серверов XSP BroadWorks для аутентификации, авторизации, управления вызовами и управления устройствами.

Облачные микросервисы Webex должны быть в состоянии найти серверы XSP BroadWorks для подключения к интерфейсам Xsi и службе аутентификации.

При необходимости различных серверов XSP для различных целей может потребоваться запись нескольких DNS-записей.

Как облако Cisco Webex находит адреса XSP

Облачные службы Cisco Webex проводят поиск DNS A/AAAA настроенного имени хоста XSP и подключаются к полученному IP-адресу. Это может быть граничный элемент балансировки нагрузки или сервер XSP. При получении нескольких IP-адресов выбирается начальная запись в списке.

На примерах 2 и 3 ниже приведены данные A/AAAA о сопоставлении записей с одним и несколькими IP-адресами соответственно.

Как приложения Webex находят адреса XSP

Клиент пытается найти узлы XSP, используя следующий поток DNS:

  1. Клиент первоначально извлекает URL-адреса Xsi-Actions/Xsi-Events из облака Cisco Webex (они были введены при создании связанного кластера вызовов BroadWorks). Имя хоста/домен Xsi извлекается из URL-адреса, и клиент выполняет поиск SRV следующим образом:

    1. Клиент выполняет поиск SRV для_xsi-client._tcp.<xsi domain>

      (См. следующий пример 1)

    2. Если поиск SRV возвращает один или несколько результатов:

      Клиент выполняет A/AAAA для этих целей и кэширует возвращенные IP-адреса.


      Каждая запись A/AAAA должна быть сопоставлена с одним IP-адресом. Мы используем эту конфигурацию, поскольку периодические сигналы событий XSI клиента должны идти на тот же IP-адрес, который используется для установления канала событий.

      Если имени A/AAAA соответствует несколько IP-адресов, клиент со временем отправляет периодический сигнал на адрес, для которого не был создан канал событий. В результате канал разрывается и значительно снижается внутренний трафик, что ухудшает производительность кластера XSP.

      Клиент подключается к одной из целей (то есть его запись A/AAAA с одним IP-адресом) на основании приоритета SRV, а затем взвешивается (или в произвольном порядке, если они равны).

    3. Если поиск SRV не дает результатов:

      Клиент просматривает A/AAAA для корневого параметра Xsi, после чего пытается подключиться к возвращенному IP-адресу. Это может быть граничный элемент балансировки нагрузки или сервер XSP.

      Как отмечалось выше, запись A/AAAA должна быть сопоставлена с одним IP-адресом по тем же причинам.

      (См. следующий пример 2)

  2. (Необязательно) В дальнейшем в настройках устройства для приложения Webex можно указать пользовательские сведения о XSI-Actions/XSI-Events с помощью следующих тегов:

    
    <protocols>
        <xsi>
            <paths>
                <root>%XSI_ROOT_WXT%</root>
                <actions>%XSI_ACTIONS_PATH_WXT%</actions>
                <events>%XSI_EVENTS_PATH_WXT%</events>
            </paths>
        </xsi>
    </protocols>
    1. Эти параметры имеют приоритет перед любой конфигурацией кластера BroadWorks в Control Hub.

    2. Если они существуют, клиент будет сравнивать оригинальный адрес XSI, полученный с помощью конфигурации кластера BroadWorks.

    3. При обнаружении каких-либо отличий клиент инициирует соединение XSI Actions/ XSI Events. Сначала выполните процедуру DNS поиска, указанную в шаге 1, в этом случае запросив поиск значения для параметра%XSI_ROOT_WXT%в файле конфигурации.


      При использовании этого тега для изменения интерфейсов Xsi создайте соответствующие записи SRV.

Пример записей DNS

Таблица 1. Пример 1. Записи SRV DNS для обнаружения нескольких интернет-серверов XSP в приложениями Webex (поиск SRV пока не поддерживается Webex для облачных микросервисов BroadWorks)

Тип записи

Запись

Target (Целевой адрес)

Цель

SRV

_xsi-client._tcp.your-xsp.example.com.

xsp01.example.com

Обнаружение клиентом интерфейса Xsi

SRV

_xsi-client._tcp.your-xsp.example.com.

xsp02.example.com

Обнаружение клиентом интерфейса Xsi

A

xsp01.example.com.

198.51.100.48

Поиск IP-адреса XSP

A

xsp02.example.com.

198.51.100.49

Поиск IP-адреса XSP

Таблица 2. Пример 2. Запись DNS A для обнаружения пула серверов XSP на внешнем сервере с помощью приложений Webex или облачных микрослужб Webex

Тип записи

Имя

Target (Целевой адрес)

Цель

A

your-xsp.example.com.

198.51.100.50

Поиск IP-адреса распределителя граничной нагрузки

Таблица 3. Пример 3. Запись DNS A для обнаружения кольцевого сбалансированного пула серверов XSP с выходом в Интернет облачными микросервисами Webex (не поддерживается приложениями Webex).

Тип записи

Имя

Target (Целевой адрес)

Цель

A

your-xsp.example.com.

198.51.100.48

Поиск IP-адреса XSP

A

your-xsp.example.com.

198.51.100.49

Поиск IP-адреса XSP


При соотнесении записей DNS A/AAAA с несколькими IP-адресами (для обеспечения избыточности соединений для микросервисов, как показано в предыдущей таблице), использование записи A/AAAA с адресом XSI клиента не обязательно.

В этом случае можно настроить запись SRV для клиентов (как показано в таблице 1 выше), однако SRV должен иметь разрешение на другой набор записей A/AAAA. Как уже отмечалось ранее, эти записи A/AAAA должны относиться к одному IP-адресу.

Рекомендации относительно DNS узлов XSP

  • Если требуется дать разрешение на обратный прокси-сервер с балансировкой нагрузки для серверов XSP, используйте одну запись A/AAAA.

  • Кольцевые записи A/AAAA следует использовать только в следующих случаях:

    • у вас несколько серверов XSP, которые должны находить микросервисы Webex.

    • Не используйте кольцевую запись A/AAAA для предоставления разрешения для XSI адреса клиента.

  • Обнаружение службы DNS необходимо использовать, если:

    • Необходим поиск каталогов в средах с несколькими XSP.

    • У вас есть существующие интеграции, которые требуют обнаружения SRV.

    • У вас есть уникальные конфигурации, для которых недостаточно стандартных записей A/AAAA.