Architektúra

Prehľad Webex pre BroadWorks

Čo je v diagrame?

klientov

  • Klient Webex App slúži ako primárna aplikácia vo Webexe pre ponuky Cisco BroadWorks. Klient je dostupný na desktopových, mobilných a webových platformách.

    Klient má natívne zasielanie správ, prítomnosť a audio/video stretnutia s viacerými stranami, ktoré poskytuje cloud Webex. Klient Webex využíva vašu infraštruktúru BroadWorks na hovory SIP a PSTN.

  • Telefóny Cisco IP a súvisiace príslušenstvo tiež využívajú vašu infraštruktúru BroadWorks na hovory SIP a PSTN. Očakávame, že budeme môcť podporovať telefóny tretích strán.

  • Portál na aktiváciu používateľov pre používateľov, ktorí sa môžu prihlásiť do Webex pomocou svojich poverení BroadWorks.

  • Partner Hub je webové rozhranie na správu vašej organizácie Webex a organizácií vašich zákazníkov. Partner Hub je miesto, kde konfigurujete integráciu medzi infraštruktúrou BroadWorks a Webex. Na správu konfigurácie klienta a fakturácie tiež používate partnerské centrum.

Sieť poskytovateľa služieb

Zelený blok na ľavej strane diagramu predstavuje vašu sieť. Komponenty hosťované vo vašej sieti poskytujú nasledujúce služby a rozhrania pre ostatné časti riešenia:

  • Verejne orientovaný XSP|ADP pre Webex pre Cisco BroadWorks: (Pole predstavuje jednu alebo viacero fariem XSP|ADP, ktoré môžu mať na starosti vyrovnávače zaťaženia.)

    • Hostí rozhranie Xtended Services (XSI-Actions & XSI-Events), Device Management Service (DMS), CTI rozhranie a Authentication Service. Spoločne tieto aplikácie umožňujú telefónom a klientom Webex autentifikáciu, sťahovanie konfiguračných súborov volaní, uskutočňovanie a prijímanie hovorov a vzájomné zobrazenie stavu zavesenia (telefónnej prítomnosti) a histórie hovorov.

    • Zverejňuje adresár pre klientov Webex.

  • Verejne prístupný XSP|ADP so systémom NPS:

    • Hostiteľský server push upozornení na hovory: Notification Push Server na XSP|ADP vo vašom prostredí. Je to rozhranie medzi vaším aplikačným serverom a naším proxy serverom NPS. Proxy poskytuje vášmu NPS krátkodobé tokeny na autorizáciu upozornení pre cloudové služby. Tieto služby (APNS a FCM) odosielajú upozornenia na hovory klientom Webex na zariadeniach Apple iOS a Google Android.

  • Aplikačný server:

    • Poskytuje ovládanie hovorov a rozhrania k iným systémom BroadWorks (vo všeobecnosti)

    • Na zabezpečenie prietoku používa AS správca partnera na poskytovanie používateľov vo Webexe

    • Vloží užívateľský profil do BroadWorks

  • OSS/BSS: Váš systém podpory prevádzky / obchodné SIP služby na správu vašich podnikov BroadWorks.

Webex Cloud

Modrý blok v diagrame predstavuje oblak Webex. Mikroslužby Webex podporujú celé spektrum možností spolupráce Webex:

  • Cisco Common Identity (CI) je služba identity v rámci Webex.

  • Webex for Cisco BroadWorks predstavuje súbor mikroslužieb, ktoré podporujú integráciu medzi Webex a BroadWorks hosteným poskytovateľom služieb:

    • User Provisioning API

    • Konfigurácia poskytovateľa služieb

    • Prihlásenie používateľa pomocou poverení BroadWorks

  • Webex Messaging box pre mikroslužby súvisiace so správami.

  • Pole Webex Meetings predstavujúce servery na spracovanie médií a SBC pre video stretnutia s viacerými účastníkmi (SIP a SRTP)

Webové služby tretích strán

V diagrame sú znázornené nasledujúce komponenty tretích strán:

  • APNS (Apple Push Notifications Service) posiela upozornenia na hovory a správy do aplikácií Webex na zariadeniach Apple.

  • FCM (FireBase Cloud Messaging) posiela upozornenia na hovory a správy do aplikácií Webex na zariadeniach so systémom Android.

XSP|Úvahy o architektúre ADP

Úloha verejne prístupných XSP|Serverov ADP vo Webex pre Cisco BroadWorks

Verejne prístupný XSP|ADP vo vašom prostredí poskytuje spoločnosti Webex a klientom nasledujúce rozhrania/služby:

  • Authentication Service (AuthService), zabezpečená TLS, ktorá odpovedá na požiadavky Webex pre BroadWorks JWT (JSON Web Token) v mene používateľa

  • Rozhranie CTI, zabezpečené mTLS, ku ktorému sa Webex prihlasuje na udalosti histórie hovorov a stav telefonickej prítomnosti od BroadWorks (stav háku).

  • Rozhrania akcií a udalostí Xsi (rozhranie rozšírených služieb) na ovládanie hovorov účastníkov, adresáre kontaktov a zoznamov hovorov a konfiguráciu telefónnych služieb pre koncových používateľov

  • Služba DM (Device Management) pre klientov na získanie konfiguračných súborov volaní

Pri konfigurácii Webex pre Cisco BroadWorks zadajte adresy URL pre tieto rozhrania. (Pozrite si časť Konfigurácia klastrov BroadWorks v partnerskom centre v tomto dokumente.) Pre každý klaster môžete poskytnúť iba jednu adresu URL pre každé rozhranie. Ak máte vo svojej infraštruktúre BroadWorks viacero rozhraní, môžete vytvoriť viacero klastrov.

XSP|architektúra ADP

XSP|Architektúra ADP: Možnosť 1
XSP|Architektúra ADP: Možnosť 2

Vyžadujeme, aby ste na hosťovanie svojej aplikácie NPS (Notification Push Server) používali samostatnú vyhradenú inštanciu alebo farmu XSP|ADP. Rovnaký NPS môžete použiť s UC-One SaaS alebo UC-One Collaborate. Nesmiete však hostiť ďalšie aplikácie potrebné pre Webex for Cisco BroadWorks na rovnakom XSP|ADP, ktorý je hostiteľom aplikácie NPS.

Odporúčame vám použiť vyhradenú inštanciu/farmu XSP|ADP na hosťovanie požadovaných aplikácií na integráciu Webex z nasledujúcich dôvodov

  • Ak napríklad ponúkate UC-One SaaS, odporúčame vám vytvoriť novú farmu XSP|ADP pre Webex pre Cisco BroadWorks. Týmto spôsobom môžu tieto dve služby fungovať nezávisle počas migrácie predplatiteľov.

  • Ak umiestnite aplikácie Webex for Cisco BroadWorks na farmu XSP|ADP, ktorá sa používa na iné účely, je vašou zodpovednosťou monitorovať používanie, spravovať výslednú zložitosť a plánovať zvýšený rozsah.

  • Cisco BroadWorks System Capacity Planner predpokladá vyhradenú farmu XSP|ADP a nemusí byť presná, ak ju použijete na výpočty kolokácie.

Ak nie je uvedené inak, vyhradený webex pre Cisco BroadWorks XSP|ADP musí hostiť nasledujúce aplikácie:

  • AuthService (TLS s overením tokenu CI alebo mTLS)

  • CTI (mTLS)

  • XSI-Actions (TLS)

  • XSI-Udalosti (TLS)

  • DMS (TLS) – voliteľné. Nie je povinné nasadiť samostatnú inštanciu DMS alebo farmu špeciálne pre Webex pre Cisco BroadWorks. Môžete použiť rovnakú inštanciu DMS, akú používate pre UC-One SaaS alebo UC-One Collaborate.

  • Nastavenia hovorov Webview (TLS) – voliteľné. Nastavenia hovorov Webview (CSW) sa vyžaduje iba vtedy, ak chcete, aby používatelia Webexu pre Cisco BroadWorks mohli konfigurovať funkcie volania v aplikácii Webex.

Webex vyžaduje prístup k CTI cez rozhranie zabezpečené vzájomnou TLS autentifikáciou. Na podporu tejto požiadavky odporúčame jednu z týchto možností:

  • (Schéma označená ako Možnosť 1) Jedna inštancia alebo farma XSP|ADP pre všetky aplikácie s dvoma rozhraniami nakonfigurovanými na každom serveri: rozhranie mTLS pre CTI a rozhranie TLS pre iné aplikácie, ako je napríklad služba AuthService.

  • (Schéma označená ako Možnosť 2) Dve inštancie alebo farmy XSP|ADP, jedna s rozhraním mTLS pre CTI a druhá s rozhraním TLS pre iné aplikácie, ako je napríklad AuthService.

XSP|Opätovné použitie ADP

Ak máte existujúcu farmu XSP|ADP, ktorá je v súlade s jednou z vyššie uvedených navrhovaných architektúr (Možnosť 1 alebo 2) a je málo zaťažená, potom je možné znova použiť existujúci súbor XSP| ADP. Budete musieť overiť, či neexistujú žiadne konfliktné požiadavky na konfiguráciu medzi existujúcimi aplikáciami a požiadavkami novej aplikácie pre Webex. Dve hlavné úvahy sú:

  • Ak potrebujete podporovať viacero partnerských organizácií webex na XSP|ADP, znamená to, že musíte použiť mTLS na Auth Service (overenie tokenov CI je podporované iba pre jednu partnerskú organizáciu na XSP|ADP). Ak používate mTLS v Autentifikačnej službe, potom to znamená, že nemôžete mať klientov, ktorí v Autentifikačnej službe súčasne používajú základnú autentifikáciu. Táto situácia by zabránila opätovnému použitiu XSP|ADP.

  • Ak je existujúca služba CTI nakonfigurovaná na používanie klientmi so zabezpečeným portom (zvyčajne 8012), ale bez mTLS (t. j. autentifikácie klienta), bude to v rozpore s požiadavkou webexu mať mTLS.

Pretože XSP|ADP má veľa aplikácií a počet permutácií týchto aplikácií je veľký, môže dochádzať k ďalším neidentifikovaným konfliktom. Z tohto dôvodu by sa každé potenciálne opätovné použitie XSP|ADP malo overiť v laboratóriu so zamýšľanou konfiguráciou predtým, ako sa zaviažete k opätovnému použitiu.

Konfigurácia synchronizácie NTP na XSP|ADP

Nasadenie vyžaduje synchronizáciu času pre všetky XSP|ADP, ktoré používate s Webexom.

Nainštalujte balík ntp po inštalácii operačného systému a pred inštaláciou softvéru BroadWorks. Potom môžete nakonfigurovať NTP počas inštalácie softvéru XSP|ADP. Ďalšie podrobnosti nájdete v Príručke správy softvéru BroadWorks .

Počas interaktívnej inštalácie softvéru XSP|ADP máte možnosť nakonfigurovať NTP. Postupujte nasledovne:

  1. Keď sa inštalátor spýta: Chcete nakonfigurovať NTP?, zadajte y.

  2. Keď sa inštalátor spýta: Bude tento server serverom NTP?, zadajte n.

  3. Keď sa inštalačný program spýta: Aká je adresa NTP, názov hostiteľa alebo FQDN?, zadajte adresu svojho servera NTP alebo verejnej služby NTP, napríklad pool.ntp.org.

Ak vaše XSP|ADP používajú tichú (neinteraktívnu) inštaláciu, konfiguračný súbor inštalátora musí obsahovať nasledujúce páry kľúč=hodnota:

NTP
NTP_SERVER=

XSP|Požiadavky na identitu a zabezpečenie ADP

Pozadie

Protokoly a šifry pripojení Cisco BroadWorks TLS sú konfigurovateľné na rôznych úrovniach špecifickosti. Tieto úrovne siahajú od najvšeobecnejších (poskytovateľ SSL) po najšpecifickejšie (individuálne rozhranie). Špecifickejšie nastavenie vždy prepíše všeobecnejšie nastavenie. Ak nie sú špecifikované, nastavenia SSL „nižšej“ úrovne sa zdedia z „vyšších“ úrovní.

Ak sa oproti predvoleným nastaveniam nezmenia žiadne nastavenia, všetky úrovne zdedia predvolené nastavenia poskytovateľa SSL (JSSE Java Secure Sockets Extension).

Zoznam požiadaviek

  • XSP|ADP sa musí voči klientom autentifikovať pomocou certifikátu podpísaného CA, v ktorom sa bežný názov alebo alternatívny názov subjektu zhoduje s doménovou časťou rozhrania XSI.

  • Rozhranie Xsi musí podporovať protokol TLSv1.2.

  • Rozhranie Xsi musí používať šifrovací balík, ktorý spĺňa nasledujúce požiadavky.

    • Výmena kľúčov Diffie-Hellman Ephemeral (DHE) alebo eliptické krivky Diffie-Hellman Ephemeral (ECDHE)

    • Šifra AES (Advanced Encryption Standard) s minimálnou veľkosťou bloku 128 bitov (napr. AES-128 alebo AES-256)

    • Šifrovací režim GCM (Galois/Counter Mode) alebo CBC (Cipher Block Chaining)

      • Ak sa použije šifra CBC, na odvodenie kľúča je povolená iba rodina hašovacích funkcií SHA2 (SHA256, SHA384, SHA512).

Požiadavky spĺňajú napríklad nasledujúce šifry:

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

XSP|ADP CLI vyžaduje konvenciu pomenovania IANA pre šifrovacie súpravy, ako je uvedené vyššie, nie konvenciu openSSL.

Podporované šifry TLS pre rozhrania AuthService a XSI

Tento zoznam sa môže meniť, pretože sa vyvíjajú naše požiadavky na bezpečnosť cloudu. Pri výbere šifry postupujte podľa aktuálneho odporúčania zabezpečenia cloudu Cisco, ako je popísané v zozname požiadaviek v tomto dokumente.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

  • TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

  • TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_PSK_WITH_AES_256_CBC_SHA384

  • TLS_PSK_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_PSK_WITH_AES_128_CBC_SHA256

  • TLS_PSK_WITH_AES_128_CBC_SHA

Parametre mierky udalostí Xsi

Možno budete musieť zvýšiť veľkosť frontu Xsi-Events a počet vlákien, aby ste zvládli objem udalostí, ktoré vyžaduje riešenie Webex for Cisco BroadWorks. Parametre môžete zvýšiť na zobrazené minimálne hodnoty nasledovne (neznižujte ich, ak sú vyššie ako tieto minimálne hodnoty):

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventQueueSize = 2000

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventHandlerThreadCount = 50

Viaceré XSP|ADP

Okrajový prvok vyrovnávania zaťaženia

Ak máte na okraji siete prvok vyvažovania záťaže, musí transparentne zvládnuť distribúciu prevádzky medzi vašimi viacerými servermi XSP|ADP a cloudom a klientmi Webex for Cisco BroadWorks. V tomto prípade by ste mali poskytnúť adresu URL nástroja na vyrovnávanie zaťaženia konfigurácii Webex for Cisco BroadWorks.

Poznámky k tejto architektúre:

  • Nakonfigurujte DNS, aby klienti mohli nájsť nástroj na vyrovnávanie zaťaženia pri pripájaní k rozhraniu Xsi (pozrite si konfiguráciu DNS).

  • Odporúčame vám nakonfigurovať okrajový prvok v reverznom režime proxy SSL, aby ste zabezpečili šifrovanie údajov z bodu do bodu.

  • Certifikáty od XSP|ADP01 a XSP|ADP02 by mali mať v alternatívnom názve predmetu doménu XSP|ADP, napríklad your-XSP|ADP.example.com. Mali by mať svoje vlastné FQDN, napríklad XSP|ADP01.example.com, v Common Name. Môžete použiť zástupné certifikáty, ale neodporúčame ich.

Servery XSP orientované na internet|Servery ADP

Ak zverejňujete rozhrania Xsi priamo, použite DNS na distribúciu návštevnosti na viaceré servery XSP|ADP.

Poznámky k tejto architektúre:

  • Na pripojenie k serverom XSP|ADP sú potrebné dva záznamy:

    • Pre mikroslužby Webex: Na zacielenie viacerých adries IP XSP|ADP sú potrebné okrúhle záznamy A/AAAA. Je to preto, že mikroslužby Webex nedokážu vyhľadávať SRV. Príklady nájdete v časti Webex Cloud Services.

    • Pre aplikáciu Webex: Záznam SRV, ktorý sa prekladá na záznamy A, pričom každý záznam A sa prekladá na jeden XSP|ADP. Príklady nájdete v časti Aplikácia Webex.

      Použite prioritné záznamy SRV na zacielenie služby XSI pre viaceré adresy XSP|ADP. Uprednostňujte svoje záznamy SRV tak, aby mikroslužby vždy prešli na rovnaký záznam A (a následnú IP adresu) a presunuli sa na ďalší záznam A (a IP adresu) len vtedy, ak je prvá IP adresa nefunkčná. NEPOUŽÍVAJTE kruhový prístup pre aplikáciu Webex.

  • Certifikáty od XSP|ADP01 a XSP|ADP02 by mali mať v alternatívnom názve predmetu doménu XSP|ADP, napríklad your-XSP|ADP.example.com. Mali by mať svoje vlastné FQDN, napríklad XSP|ADP01.example.com, v Common Name.

  • Môžete použiť zástupné certifikáty, ale neodporúčame ich.

Vyhnite sa presmerovaniam HTTP

Niekedy je DNS nakonfigurovaný tak, aby preložil adresu URL XSP|ADP na nástroj na vyrovnávanie zaťaženia HTTP a nástroj na vyrovnávanie zaťaženia je nakonfigurovaný na presmerovanie cez reverzný proxy server na servery XSP|ADP.

Webex nesleduje presmerovanie pri pripájaní k adresám URL, ktoré zadáte, takže táto konfigurácia nefunguje.

Architektúra a infraštruktúra

  • S akou mierkou chcete začať? V budúcnosti je možné škálovanie, ale váš aktuálny odhad využitia by mal riadiť plánovanie infraštruktúry.

  • Spolupracujte so svojím manažérom účtu/obchodným zástupcom spoločnosti Cisco, aby ste určili veľkosť svojej infraštruktúry XSP|ADP podľa Cisco BroadWorks System Capacity Planner a Cisco BroadWorks System Engineering Guide.

  • Ako vytvorí Webex vzájomné pripojenia TLS k vašim XSP|ADP? Priamo do XSP|ADP v DMZ alebo cez TLS proxy? Ovplyvní to vašu správu certifikátov a adresy URL, ktoré používate pre rozhrania. (Nepodporujeme nešifrované pripojenia TCP na okraji vašej siete).