Подготовка среды

Узлы принятия решений

Рекомендации Вопросы, подлежащие ответу Материалы

Архитектура и инфраструктура

Каково количество XSP?

Как они используют mTLS?

Планировщик емкости системы Cisco BroadWorks

Руководство по проектированию системы Cisco BroadWorks

Справочные материалы по CLI XSP

Этот документ

Подготовка клиентов и пользователей

Уверены ли вы, что адреса электронной почты в BroadWorks являются доверенными?

Необходимо ли пользователям активировать собственные учетные записи с помощью своих адресов электронной почты?

Можете ли вы создать инструменты для использования нашего API?

Общедоступные документы на тему API представлены на веб-сайте https://developer.webex.com

Этот документ

Символика Какой цвет и логотип использовать? Статья о брендинге Teams
Шаблоны Какие сценарии использования применимы к вашим клиентам? Этот документ
Функции подписчиков для каждого клиента, каждой организации или группы Выберите пакет, чтобы определить уровень обслуживания для каждого шаблона: "Базовый", "Стандарт", "Премиум".

Этот документ

Матрица функций/пакетов

Аутентификация пользователя BroadWorks или Webex Этот документ
Адаптер для подготовки (для вариантов сквозной подготовки)

Вы уже используете встроенную функцию обмена мгновенными сообщениями и состояния доступности, например для UC-One SaaS?

Намереваетесь ли вы использовать несколько шаблонов?

Имеется ли более распространенный пример использования?

Этот документ

Справочная документация по CLI сервера приложений

Архитектура и инфраструктура

  • С какого масштаба вы намерены начать? Масштабирование можно провести в дальнейшем, однако на основании текущей оценки использования должно осуществляться планирование в отношении инфраструктуры.

  • Масштабирование инфраструктуры XSP следует проводить при содействии менеджера по работе с клиентами или представителя отдела продаж Cisco согласно данным планировщика емкости системы Cisco BroadWorks (https://xchange.broadsoft.com/node/473873) и руководству по проектированию системы Cisco BroadWorks (https://xchange.broadsoft.com/node/422649).

  • Как Cisco Webex установит соединение с XSP с использованием mutual TLS? Непосредственно с XSP в DMZ или с помощью прокси TLS? Это повлияет на управление сертификатами и на URL-адреса, используемые вами для интерфейсов. (Не поддерживаются незашифрованные соединения TCP с границей сети.)

Подготовка клиентов и пользователей

Какой метод подготовки пользователей вы предпочитаете?

  • Сквозная подготовка с доверенными адресами электронной почты. При назначении в BroadWorks встроенной службы обмена мгновенными сообщениями и состояния доступности в Cisco Webex автоматически будет подготовлен подписчик.

    Если вы также уверены, что адреса электронной почты подписчиков в BroadWorks являются действительными и при этом уникальными для Webex, можно использовать вариант "надежного адреса электронной почты" в рамках сквозной подготовки. Учетные записи подписчика Webex создаются и активируются без их вмешательства. Они просто скачивают клиент и выполняют вход.

    Адрес электронной почты является ключевым атрибутом пользователя в Cisco Webex. Поэтому поставщик услуг должен предоставить пользователю действительный адрес электронной почты с целью подготовки этого пользователя для служб Cisco Webex. Он должен быть указан в атрибуте идентификатора адреса электронной почты пользователя в BroadWorks. Рекомендуется также скопировать адрес в качестве атрибута альтернативного идентификатора.

  • Сквозная подготовка без доверенных адресов электронной почты. Если же адреса электронной почты подписчиков являются ненадежными, можно по-прежнему назначить встроенную службу обмена мгновенными сообщениями и состояния доступности в BroadWorks для подготовки пользователей в Webex.

    В этом случае учетные записи создаются при назначении службы, однако для активации учетных записей Webex подписчикам необходимо предоставить и подтвердить свои адреса электронной почты.

  • Самостоятельная подготовка пользователей. Этот вариант не требует назначения службы обмена мгновенными сообщениями и состояния доступности в BroadWorks. Вместо этого вы (или ваши клиенты) передаете ссылку для подготовки, а также ссылки для скачивания различных клиентов с брендингом и инструкциями.

    Подписчики переходят по ссылке, а затем предоставляют и подтверждают свои адреса электронной почты, чтобы создать и активировать учетные записи Webex. Затем они скачивают клиент и выполняют вход. При этом Webex извлекает некоторые дополнительные конфигурации этих подписчиков из BroadWorks (включая основные номера).

  • Подготовка под управлением поставщика услуг с помощью API. Cisco Webex предоставляет набор общедоступных API, которые позволяют поставщикам услуг реализовать подготовку пользователей или подписчиков в рамках существующих рабочих потоков.

Брендинг

Можно использовать логотип и определенный цвет (для панели навигации) в клиенте Webex Teams. Эти настройки будут применены и на портале активации пользователей.

Шаблоны клиента

Шаблоны клиента позволяют определить параметры, на основе которых будет выполняться автоматическая подготовка клиентов и связанных с ними подписчиков в Cisco Webex для BroadWorks. При необходимости можно настроить несколько шаблонов клиента. Ниже перечислены некоторые основные параметры.

Пакет

  • При создании шаблона необходимо выбрать пакет по умолчанию (подробные сведения см. в теме Пакеты раздела обзора). Все пользователи, для которых подготовлен этот шаблон, как сквозным методом, так и самостоятельно, получат выбранный пакет по умолчанию.

  • Можно выбирать пакеты для разных клиентов, создав несколько шаблонов и выбрав различные пакеты по умолчанию в каждом из них. Затем можно распределять различные ссылки для подготовки или различные адаптеры подготовки на каждую организацию в зависимости от выбранного вами способа подготовки пользователей для этих шаблонов.

  • Можно изменить пакет определенных подписчиков по умолчанию с помощью API подготовки (см. тему Интеграция с Webex для API подготовки BroadWorks в разделе справочных материалов) или в центре партнера.

  • Пакет подписчика невозможно изменить в BroadWorks. Назначение встроенной службы обмена мгновенными сообщениями и состояния доступности включено или отключено. Если эта служба назначена подписчику в BroadWorks, пакет определяется шаблоном центра партнера, связанным с URL-адресом подготовки организации этого подписчика.

Посредник и организации или поставщик услуг и группы?

  • От способа настройки системы BroadWorks зависит сквозная подготовка. Посреднику с организациями при создании шаблона необходимо включить режим организации.
  • Если ваша система BroadWorks настроена в режиме поставщика услуг, в шаблонах можно отключить режим организации.
  • При планировании подготовки организаций клиентов с помощью обоих режимов BroadWorks необходимо использовать различные шаблоны для групп и организаций.

Режим аутентификации

Как будут выполнять аутентификацию подписчики клиентов?

Режим аутентификации BroadWorks Webex
Основное удостоверение пользователя Идентификатор пользователя BroadWorks Адрес электронной почты
Поставщик удостоверений

BroadWorks.

Аутентификация упрощается благодаря службе-посреднику, размещенной Cisco Webex.

Общие параметры идентификации Cisco
Многофакторная аутентификация? Нет Требуется поставщик удостоверений клиента, который поддерживает многофакторную аутентификацию.

Путь проверки учетных данных

  1. Запуск браузера осуществляется, когда пользователь указывает адрес электронной почты в процессе первоначального входа в систему, при этом выполняется обнаружение режима аутентификации.

  2. Затем в браузере выполняется перенаправление на страницу входа BroadWorks, размещенную Cisco Webex (к этой странице можно применить брендинг).

  3. Пользователь указывает на странице входа идентификатор пользователя и пароль BroadWorks.

  4. Проверка учетных данных пользователя осуществляется в BroadWorks.

  5. Если она завершилась успешно, Cisco Webex присылает код авторизации. Он используется для получения необходимых маркеров доступа для служб Cisco Webex.

  1. Запуск браузера осуществляется, когда пользователь указывает адрес электронной почты в процессе первоначального входа в систему, при этом выполняется обнаружение режима аутентификации.

  2. В браузере выполняется перенаправление к поставщику удостоверений (на страницу общих параметров идентификации Cisco или поставщика удостоверений клиента), где будет доступен портал для входа.

  3. Пользователь вводит соответствующие учетные данные на странице входа

  4. Многофакторная аутентификация доступна, если поставщик удостоверений клиента поддерживает эту возможность.

  5. Если она завершилась успешно, Cisco Webex присылает код авторизации. Он используется для получения необходимых маркеров доступа для служб Cisco Webex.

Назначения нескольких партнеров

Будете ли вы предоставлять сублицензию Webex для BroadWorks для другого поставщика услуг? В этом случае каждому поставщику услуг потребуется отдельная партнерская организация в Webex Control Hub. Таким образом, поставщик сможет подготовить решение для своей клиентской базы.

Подготовка адаптера и шаблонов

При использовании сквозной подготовки URL-адрес для подготовки, вводимый в BroadWorks, извлекается из шаблона в Control Hub. Шаблонов может быть несколько, а значит, будет несколько URL-адресов для подготовки. Это позволяет выбрать для каждой организации пакет, который будет применен для подписчиков при предоставлении им встроенной службы обмена мгновенными сообщениями и состояния доступности.

Необходимо определить, следует ли задать URL-адрес для подготовки на уровне системы в качестве пути подготовки по умолчанию, а также какой шаблон необходимо использовать для этого. Таким образом, вам необходимо явно задать URL-адрес для подготовки для организаций, для которых требуется другой шаблон.

Кроме того, вспомните, не используется ли уже URL-адрес для подготовки на уровне системы, например с UC-One SaaS. Если используется, то можно сохранить URL-адрес на уровне системы для подготовки пользователей в UC-One SaaS и переопределить адрес для этих организаций, перемещаемых в Webex для BroadWorks. Доступен и другой способ: можно задать URL-адрес на уровне системы для Webex для BroadWorks и выполнить повторную настройку организаций, которые должны остаться в UC-One SaaS.

Варианты настройки в связи с выбранным способом описаны в теме Настройка сервера приложений с помощью URL-адреса службы для подготовки раздела "Развертывание Webex для BroadWorks".

Минимальные требования

Учетные записи

Все подписчики, которых вы подготавливаете для Webex, должны существовать в системе BroadWorks, интегрируемой с Webex. При необходимости можно интегрировать несколько систем BroadWorks.

У всех подписчиков должны быть лицензии BroadWorks и основные номера.

В качестве основных идентификаторов для всех пользователей Webex использует адреса электронной почты. При использовании сквозной подготовки с доверенными адресами электронной почты для пользователей в атрибуте электронной почты в BroadWorks должны быть указаны действительные адреса.

Если в шаблоне используется аутентификация BroadWorks, можно скопировать адреса электронной почты подписчиков в атрибут "Альтернативный идентификатор" в BroadWorks. Это дает пользователям возможность выполнять вход в Webex с помощью адресов электронной почты и паролей BroadWorks.

Для входа в центр партнера администраторам необходимо использовать свои учетные записи Webex.

Требования к сети и ПО в разрезе серверов

  • Экземпляр(-ы) BroadWorks с минимальной версией R21 с пакетом обновления 1. Информацию о поддерживаемых версиях и исправлениях см. в требованиях к программному обеспечению BroadWorks (в этом документе). См. также Управление жизненным циклом: серверы BroadSoft.


    Версия R21 с пакетом обновления 1 поддерживается только до середины 2021 г. Несмотря на то что в настоящий момент можно интегрировать Webex с R21 с пакетом обновления 1, для интеграции с Webex настоятельно рекомендуется использовать версию R22 или более позднюю.

  • Экземпляры BroadWorks должны включать по крайней мере указанные далее серверы.

    • Сервер приложений (AS) с указанной выше версией BroadWorks.

    • Сетевой сервер (NS).

    • Сервер профилей (PS).

  • Общедоступные серверы XSP или платформа доставки приложений (ADP) должны соответствовать перечисленным далее требованиям.

    • Служба аутентификации (BWAuth).

    • Интерфейсы действий и событий XSI.

    • DMS (веб-приложение для управления устройствами).

    • Интерфейс CTI (интеграция компьютерной телефонии).

    • TLS 1.2 с действительным сертификатом (не самоподписанным) и всеми необходимыми вариантами промежуточного ЦС. Для упрощения поиска организации требуется администратор на уровне системы.

    • Аутентификация mutual TLS (mTLS) для службы аутентификации (требуется установка цепочки общедоступных сертификатов клиента Cisco Webex в качестве якорей доверия).

    • Аутентификация mutual TLS (mTLS) для интерфейса CTI (требуется установка цепочки общедоступных сертификатов клиента Cisco Webex в качестве якорей доверия).

  • Отдельный сервер XSP/ADP, выступающий в роли так называемого сервера push-уведомлений о вызовах (сервер push-уведомлений в вашей среде, используемый для рассылки push-уведомлений о вызовах в Apple или Google; в данном случае мы называем его сервером push-уведомлений о вызовах, чтобы подчеркнуть его отличие от службы Webex, которая предоставляет push-уведомления для обмена сообщениями и состоянии доступности.

    Этот сервер должен быть запущен в версии R22 или более поздней.

  • Мы предоставляем полномочия отдельному серверу XSP/ADP для сервера push-уведомлений о вызовах, поскольку оценить нагрузку от Webex для облачных соединений BWKS невозможно, а это может негативно повлиять на производительность сервера push-уведомлений и приведет к увеличению задержки уведомлений. Дополнительную информацию о масштабировании XSP см. в руководстве по проектированию системы Cisco BroadWorks (https://xchange.broadsoft.com/node/422649).

Физические телефоны и принадлежности

  • IP-телефоны Cisco.

    • Серия Cisco IP Phone 6800 с многоплатформенным микропрограммным обеспечением

    • Серия Cisco IP Phone 7800 с многоплатформенным микропрограммным обеспечением

    • Серия Cisco IP Phone 8800 с многоплатформенным микропрограммным обеспечением

      Описание моделей и дополнительную информацию см. на странице https://www.cisco.com/c/en/us/products/collaboration-endpoints/ip-phones/multiplatform-firmware.html.

  • Для телефонов сторонних производителей обеспечивается такая же поддержка, как и для других интеграций BroadWorks. Однако у них пока отсутствует параметр контактов и интеграция состояния доступности с Webex для BroadWorks.

  • Адаптеры

  • гарнитуры

Профили устройств

Это файлы DTAF, которые необходимо загрузить на серверы приложений для поддержки Webex Teams в качестве клиентов для вызовов. Это те же файлы DTAF, что используются для UC-One SaaS, однако имеется новый файл config-wxt.xml.template, который используется для Webex Teams.

Название клиента Тип профиля устройства и имя пакета

Шаблон Webex Teams для мобильных устройств

https://xchange.broadsoft.com/support/uc-one/connect/software

Удостоверение / тип профиля устройства: Connect: мобильное устройство

DTAF: ucone-mobile-ucaas_DTAF-#.#.#.###.zip

Файл настроек: config-wxt.xml

Шаблон Webex Teams для рабочего стола

Источник: https://xchange.broadsoft.com/support/uc-one/communicator/software

Удостоверение / тип профиля устройства: Business Communicator: ПК

DTAF: ucone-desktop-ucaas_DTAF-#.#.#.##.zip

Файл настроек: config-wxt.xml

Заказ сертификатов

Требования к сертификату для аутентификации TLS

Вам потребуются сертификаты безопасности, подписанные широко известным центром сертификации и развернутые на общедоступных XSP для всех необходимых приложений. Они будут использоваться с целью поддержки проверки сертификата TLS для всех входящих соединений с вашими серверами XSP.

В этих сертификатах в качестве общего имени субъекта или альтернативного имени субъекта должно быть указано ваше общедоступное полное доменное имя XSP.

Точные требования для развертывания этих сертификатов сервера зависят от способа развертывания общедоступных XSP:

  • посредством прокси моста TLS;

  • посредством сквозного прокси TLS;

  • непосредственно в XSP.

На приведенной ниже схеме отражено, где необходимо загрузить сертификат для общедоступного сервера, подписанный центром сертификации (ЦС), в этих трех случаях.

Центры сертификации, публично поддерживаемые Webex Teams для аутентификации, перечислены в разделе Центры сертификации, поддерживаемые службами Cisco Webex гибридного типа.

Требования к сертификату TLS для прокси моста TLS

  • Сертификат сервера, подписанный общедоступным ЦС, загружается на прокси.

  • Прокси предъявляет Webex этот сертификат сервера, подписанный общедоступным ЦС.

  • Webex относит этот общедоступный ЦС, которым был подписан сертификат сервера прокси, к доверенным.

  • Сертификат, подписанный внутренним ЦС, может быть загружен в XSP.

  • XSP предъявляет прокси этот сертификат сервера, подписанный внутренним ЦС.

  • Прокси относит внутренний ЦС, которым был подписан сертификат сервера XSP, к доверенным.

Требования к сертификату TLS для прокси сквозной передачи по TLS или XSP в DMZ

  • Сертификат сервера, подписанный общедоступным ЦС, загружается на XSP.

  • XSP предъявляют Webex сертификаты сервера, подписанные общедоступным ЦС.

  • Webex относит этот общедоступный ЦС, которым были подписаны сертификаты сервера XSP, к доверенным.

Дополнительные требования к сертификатам для аутентификации mutual TLS в отношении службы проверки подлинности

Cisco Webex взаимодействует со службой аутентификации посредством соединения, прошедшего аутентификацию mutual TLS. То есть Webex предъявляет сертификат клиента, а XSP должен его проверить. Чтобы отнести этот сертификат к доверенным, используйте цепочку сертификатов ЦС Webex для создания якоря доверия в XSP (или прокси). Цепочка сертификатов доступна для скачивания в центре партнера.

  1. Перейдите к разделу "Настройки" > "Вызовы BroadWorks".

  2. Щелкните ссылку для скачивания сертификата.


Цепочка сертификатов также доступна на странице https://bwks-uap.webex.com/assets/public/CombinedCertChain.txt.

Точные требования для развертывания этой цепочки сертификатов ЦС Webex зависят от способа развертывания общедоступных XSP:

  • посредством прокси моста TLS;

  • посредством сквозного прокси TLS;

  • непосредственно в XSP.

На приведенной ниже схеме отражено, где необходимо развернуть цепочку сертификатов ЦС Webex, в этих трех случаях.

Требования к сертификату mutual TLS для прокси моста TLS

  • Webex предъявляет прокси сертификат клиента, подписанный ЦС Webex.

  • Затем в доверенном магазине прокси выполняется развертывание цепочки сертификатов ЦС Webex, и, как следствие, прокси относит сертификат клиента к доверенным.

  • Сертификат сервера XSP, подписанный общедоступным ЦС, загружается на прокси.

  • Прокси предъявляет Webex сертификат сервера, подписанный общедоступным ЦС.

  • Webex относит этот общедоступный ЦС, которым был подписан сертификат сервера прокси, к доверенным.

  • Прокси предъявляет XSP сертификат клиента, подписанный внутренним ЦС.

    В этом сертификате поле расширения Расширенное использование ключа x509.v3 должно иметь значение OID BroadWorks 1.3.6.1.4.1.6431.1.1.8.2.1.3 и назначение TLS clientAuth. Пример см. ниже.

    Расширения X509v3.

    Расширенное использование ключа X509v3:

    1.3.6.1.4.1.6431.1.1.8.2.1.3, аутентификация веб-клиента TLS 

    При создании внутренних сертификатов клиента для прокси помните, что сертификаты SAN не поддерживаются. SAN может выступать в качестве внутренних сертификатов сервера для XSP.

  • XSP относят внутренний ЦС к доверенным.

  • XSP предъявляют сертификат сервера, подписанный внутренним ЦС.

  • Прокси относит внутренний ЦС к доверенным.

Требования к сертификату mutual TLS для прокси сквозной передачи по TLS или XSP в DMZ

  • Webex предъявляет XSP сертификат клиента, подписанный ЦС Webex.

  • Затем в доверенном магазине XSP выполняется развертывание цепочки сертификатов ЦС Webex, и, как следствие, XSP относят сертификат клиента к доверенным.

  • Сертификат сервера XSP, подписанный общедоступным ЦС, загружается на XSP.

  • XSP предъявляют Webex сертификаты сервера, подписанные общедоступным ЦС.

  • Webex относит этот общедоступный ЦС, которым были подписаны сертификаты сервера XSP, к доверенным.

Дополнительные требования к сертификатам для аутентификации mutual TLS в отношении интерфейса CTI

При подключении к интерфейсу CTI Cisco Webex предъявляет сертификат клиента в рамках аутентификации mutual TLS. Цепочка сертификатов и ЦС сертификата клиента Webex доступны для скачивания в Control Hub.

Чтобы скачать сертификат, выполните указанные далее действия.

Войдите в центр партнера, перейдите к разделу Настройки > Вызовы BroadWorks и щелкните ссылку для скачивания сертификата.

Точные требования для развертывания этой цепочки сертификатов ЦС Webex зависят от способа развертывания общедоступных XSP:

  • посредством прокси моста TLS;

  • посредством сквозного прокси TLS;

  • непосредственно в XSP.

На приведенной далее схеме представлены требования к сертификатам в этих трех случаях.

Рис. 1. Обмен сертификатами mTLS для CTI с помощью различных конфигураций пограничного устройства

(Необязательно) Требования к сертификату для прокси моста TLS

  • Webex предъявляет прокси сертификат клиента, подписанный общедоступным ЦС.

  • Прокси относит внутренний ЦС Cisco, которым был подписан сертификат клиента, к доверенным. Этот ЦС и цепочку можно скачать в Control Hub и добавить их в доверенный магазин прокси. Сертификат сервера XSP, подписанный общедоступным ЦС, загружается на прокси.

  • Прокси предъявляет Webex этот сертификат сервера, подписанный общедоступным ЦС.

  • Webex относит этот общедоступный ЦС, которым был подписан сертификат сервера прокси, к доверенным.

  • Прокси предъявляет XSP сертификат клиента, подписанный внутренним ЦС.

    В этом сертификате поле расширения Расширенное использование ключа x509.v3 должно иметь значение OID BroadWorks 1.3.6.1.4.1.6431.1.1.8.2.1.3 и назначение TLS clientAuth. Пример см. ниже.

    Расширения X509v3. Расширенное использование ключа X509v3: 1.3.6.1.4.1.6431.1.1.8.2.1.3, аутентификация веб-клиента TLS

    • При создании внутренних сертификатов клиента для прокси помните, что сертификаты SAN не поддерживаются. SAN может выступать в качестве внутренних сертификатов сервера для XSP.

    • Может случиться так, что общедоступные центры сертификации откажут в подписи сертификатов с помощью частного OID BroadWorks, хотя это условие и является обязательным. В случае использования прокси моста вам может потребоваться использовать внутренний ЦС для подписи сертификата клиента, который прокси предъявляет XSP.

  • XSP относят внутренний ЦС к доверенным.

  • XSP предъявляют сертификат сервера, подписанный внутренним ЦС.

  • Прокси относит внутренний ЦС к доверенным.

  • Элемент ClientIdentity сервера приложений содержит номер сертификата клиента, подписанного внутренним ЦС и предъявленного прокси для XSP.

(Необязательно) Требования к сертификату для прокси сквозной передачи по TLS или XSP в DMZ

  • Webex предъявляет XSP сертификат клиента, подписанный внутренним ЦС Cisco.

  • XSP относят внутренний ЦС Cisco, которым был подписан сертификат клиента, к доверенным. Этот ЦС и цепочку можно скачать в Control Hub и добавить их в доверенный магазин прокси. Сертификат сервера XSP, подписанный общедоступным ЦС, загружается на XSP.

  • XSP предъявляют Webex эти сертификаты сервера, подписанные общедоступным ЦС.

  • Webex относит этот общедоступный ЦС, которым были подписаны сертификаты сервера XSP, к доверенным.

  • Элемент ClientIdentity сервера приложений содержит номер сертификата клиента, подписанного Cisco и предъявленного Webex для XSP.

Подготовка сети

Карта соединений

На приведенной далее схеме изображены точки интеграции. Цель этой схемы – показать вам, что необходимо проверить IP-адреса и порты в части соединений со средой и от нее. Соединения, используемые Webex для BroadWorks, описаны в приведенных далее таблицах.

Тем не менее требования к брандмауэру для нормального функционирования клиентского приложения приведены в ознакомительных целях, поскольку они уже задокументированы на веб-сайте help.webex.com.

Конфигурация брандмауэра

На карте соединений и в приведенных далее таблицах описываются соединения и протоколы, необходимые для взаимодействия между клиентами (в сети клиента или за ее рамками), вашей сетью и платформой Webex.

Мы документируем только соединения, характерные для Webex для BroadWorks. Стандартные соединения между Teams и облаком Webex не отражаются. Эти соединения описаны в перечисленных далее статьях.

Правила в отношении входящего трафика для Европы, Ближнего Востока и Африки

(В вашей сети)

Цель Источник Protocol Адресат Порт назначения

Облако Webex

CTI/аутентификация/XSI

18.196.116.47

35.156.83.118

35.158.206.190

44.232.54.0

52.39.97.25

54.185.54.53

69.26.160.0/19

144.254.96.0/20

173.37.32.0/20

216.151.128.0/19

HTTPS

CTI

Ваш XSP

TCP/TLS 8012

443

Приложение клиента Webex Teams

Xsi/DMS

Any

HTTPS

Ваш XSP

443

SIP конечных точек передачи голоса по IP Webex Teams

Any

SIP

Ваш SBC

Порт TCP, настроенный поставщиком услуг

Правила в отношении исходящего трафика для Европы, Ближнего Востока и Африки

(За пределами вашей сети)

Цель

Источник

Protocol

Адресат

Порт назначения

Подготовка пользователей посредством API.

Ваш сервер приложений

HTTPS

webexapis.com

443

Push-уведомления прокси (служба подготовки)

Ваш сервер push-уведомлений

HTTPS

https://nps.uc-one.broadsoft.com/

ИЛИ 34.64.0.0/10, 35.208.0.0/12, 35.224.0.0/12, 35.240.0.0/13

443

Общие параметры идентификации Webex

Ваш сервер push-уведомлений

HTTPS

https://idbroker-eu.webex.com

443

Служба push-уведомлений Apple и служба FCM

Ваш сервер push-уведомлений

HTTPS

Любой IP-адрес*

443

Push-уведомления прокси (служба подготовки)

Общие параметры идентификации Webex

Служба push-уведомлений Apple и служба FCM

Ваш сервер push-уведомлений

HTTPS

https://nps.uc-one.broadsoft.com/ *

https://idbroker-eu.webex.com

Любой IP-адрес*

443

Подготовка пользователей с помощью адаптера для подготовки BroadWorks

Ваш сервер приложений BroadWorks

HTTPS

https://broadworks-provisioning-bridge-*.wbx2.com/

(Где вместо символа "*" может быть любая буква. Точный URL-адрес для подготовки доступен в шаблоне, который вы создаете в центре партнера.)

443

† Эти диапазоны содержат узлы для прокси-сервера push-уведомлений, однако невозможно дать точные адреса. Эти диапазоны могут также содержать узлы, не связанные с Webex для BroadWorks. Рекомендуется вместо этого настроить брандмауэр, чтобы разрешить трафик для FQDN прокси-сервера push-уведомлений. Это необходимо, чтобы исходящий трафик направлялся только к узлам, предоставляемым нами для прокси-сервера push-уведомлений.

* В службе push-уведомлений Apple и FCM нет фиксированного набора IP-адресов.

Правила в отношении входящего трафика для США

(В вашей сети)

Цель

Источник

Protocol

Адресат

Порт назначения

Облако Webex

CTI/аутентификация/XSI

13.58.232.148

18.217.166.80

18.221.216.175

44.232.54.0

52.39.97.25

54.185.54.53

69.26.160.0/19

144.254.96.0/20

173.37.32.0/20

216.151.128.0/19

HTTPS

CTI

Ваш XSP

TCP/TLS 8012

TLS 443

Приложение клиента Webex Teams   

Xsi/DMS

Any

HTTPS

Ваш XSP

443

SIP конечных точек передачи голоса по IP Webex Teams

Any

SIP

Ваш SBC

Порт TCP, настроенный поставщиком услуг

Правила в отношении исходящего трафика для США

(За пределами вашей сети)

Цель

Источник

Protocol

Адресат

Порт назначения

Подготовка пользователей посредством API.

Ваш сервер приложений

HTTPS

webexapis.com

443

Push-уведомления прокси (служба подготовки)

Ваш сервер push-уведомлений

HTTPS

https://nps.uc-one.broadsoft.com/

ИЛИ 34.64.0.0/10, 35.208.0.0/12, 35.224.0.0/12, 35.240.0.0/13

443

Общие параметры идентификации Webex

Ваш сервер push-уведомлений

HTTPS

https://idbroker.webex.com

443

Служба push-уведомлений Apple и служба FCM

Ваш сервер push-уведомлений

HTTPS

Любой IP-адрес*

443

Подготовка пользователей с помощью адаптера для подготовки BWKS

Ваш сервер приложений BroadWorks

HTTPS

https://broadworks-provisioning-bridge-*.wbx2.com/

(Где вместо символа "*" может быть любая буква. Точный URL-адрес для подготовки доступен в шаблоне, который вы создаете в центре партнера.)

443

† Эти диапазоны содержат узлы для прокси-сервера push-уведомлений, однако невозможно дать точные адреса. Эти диапазоны могут также содержать узлы, не связанные с Webex для BroadWorks. Рекомендуется вместо этого настроить брандмауэр, чтобы разрешить трафик для FQDN прокси-сервера push-уведомлений. Это необходимо, чтобы исходящий трафик направлялся только к узлам, предоставляемым нами для прокси-сервера push-уведомлений.

* В службе push-уведомлений Apple и FCM нет фиксированного набора IP-адресов.

Конфигурация DNS

Клиенты Webex для BroadWorks должны иметь возможность поиска серверов XSP BroadWorks для аутентификации, авторизации, управления вызовами и управления устройствами.

Облако Webex иметь возможность поиска серверов XSP BroadWorks для подключения к интерфейсам Xsi и службам аутентификации.

При наличии разных серверов XSP для различных целей может потребоваться создать несколько записей DNS.


Настоятельно рекомендуется настроить записи SRV для разрешения XSP, используемых с Webex для BroadWorks. Использование только записей A/AAAA приводит к ненужному внутреннему трафику между XSP, и, как следствие, снижается производительность.

Как облако Cisco Webex находит адреса XSP

Службы облака Cisco Webex будут выполнять поиск записи DNS типа A/AAAA настроенного имени узла XSP и подключатся к возвращенному IP-адресу. Это может быть пограничный элемент балансировки нагрузки или же сам сервер XSP. При возврате нескольких IP-адресов будет выбрана исходная запись в списке.

Во втором и третьем примерах приведено сопоставление записей A/AAAA с одним и несколькими IP-адресами соответственно.

При применении сценария с несколькими IP-адресами рекомендуется настроить цикличный алгоритм обработки записей DNS для распределения клиентских соединений от Webex.

Как клиенты находят адреса XSP

Клиент предпринимает попытку поиска узлов XSP, используя указанный далее поток DNS.

  1. Клиент первоначально извлекает URL-адреса событий или действий Xsi из облака Cisco Webex (вы указали их при создании связанного кластера вызовов BroadWorks). Имя узла или домена Xsi анализируется в URL-адресе, и клиент выполняет поиск SRV описанным далее образом.

    1. Клиент выполняет поиск SRV по запросу _xsi-client._tcp.<xsi domain>

      (См. пример 1 ниже.)

    2. Если при поиске SRV будет возвращен один или несколько целевых объектов, выполните указанные далее действия.

      Клиент выполняет поиск A/AAAA для этих целевых объектов и кэширует возвращенные IP-адреса.

      Клиент подключается к порту SRV по одному из возвращенных IP-адресов. Он выбирает адрес по приоритету SRV, а затем весу (или в произвольном порядке, если все они равны).

    3. Если при поиске SRV не будет возвращен ни один целевой объект, выполните указанные далее действия.

      Клиент выполняет поиск A/AAAA корневого параметра Xsi, а затем пытается подключиться к возвращенному IP-адресу. Это может быть пограничный элемент балансировки нагрузки или же сам сервер XSP.

      (См. второй и третий примеры ниже.)

  2. (Необязательно) В дальнейшем можно предоставить пользовательские сведения о события и действиях XSI в конфигурации устройства для клиента Webex Teams, используя приведенные далее теги.

     <protocols> <xsi> <paths> <root>%XSI_ROOT_WXT%</root> <actions>%XSI_ACTIONS_PATH_WXT%</actions> <events>%XSI_EVENTS_PATH_WXT%</events> </paths> </xsi> </protocols>
    1. Эти параметры конфигурации имеют приоритет над любой конфигурацией в кластере BroadWorks в Control Hub.

    2. Если они существуют, клиент будет сравниваться с исходным адресом XSI, полученным им за счет конфигурации кластера BroadWorks.

    3. При обнаружении каких-либо отличий клиент выполнит повторную инициализацию соединения действий и событий XSI. Сначала выполните поиск DNS согласно описанной в шаге 1 процедуре, но на этот раз используйте параметр %XSI_ROOT_WXT% из файла конфигурации.


      При использовании этого тега для изменения интерфейсов Xsi обязательно создайте соответствующие записи SRV.

Пример записей DNS

Таблица 1. Пример 1. Записи SRV DNS для обнаружения клиентов нескольких серверов XSP с выходом в Интернет

Тип записи

Запись

Target (Целевой адрес)

Цель

SRV

_xsi-client._tcp.your-xsp.example.com.

xsp01.example.com

Обнаружение клиента интерфейса Xsi

SRV

_xsi-client._tcp.your-xsp.example.com.

xsp02.example.com

Обнаружение клиента интерфейса Xsi

A

xsp01.example.com.

198.51.100.48

Поиск IP-адреса XSP

A

xsp02.example.com.

198.51.100.49

Поиск IP-адреса XSP

Таблица 2. Пример 2. Запись A DNS для обнаружения пула серверов XSP перед балансировщиком нагрузки

Тип записи

Имя

Target (Целевой адрес)

Цель

A

your-xsp.example.com.

198.51.100.50

Поиск IP-адреса балансировщика нагрузки пограничного сервера

Таблица 3. Пример 3. Запись A DNS для обнаружения пула сбалансированных серверов XSP с выходом в Интернет и цикличным алгоритмом

Тип записи

Имя

Target (Целевой адрес)

Цель

A

your-xsp.example.com.

198.51.100.48

Поиск IP-адреса XSP

A

your-xsp.example.com.

198.51.100.49

Поиск IP-адреса XSP

Рекомендации относительно DNS узлов XSP

  • Следует использовать одну запись A/AAAA:

    • если требуется разрешить балансировку нагрузки обратного прокси на серверы XSP.

  • Следует использовать записи A/AAAA с цикличным алгоритмом:

    •  при наличии нескольких серверов XSP с выходом в Интернет.

  • Необходимо использовать обнаружение служб DNS, если:

    • необходим поиск каталога в средах с несколькими XSP;

    • имеются уже существующие интеграции, для которых требуется обнаружение SRV;

    • имеются уникальные конфигурации, в которых недостаточно стандартных записей A/AAAA.