Arhitektura

Pregled aplikacije Webex za BroadWorks

Kaj je v diagramu?

Odjemalci

  • Odjemalec aplikacije Webex služi kot primarna aplikacija v ponudbah Webex za Cisco BroadWorks. Odjemalec je na voljo na namiznih, mobilnih in spletnih platformah.

    Odjemalec ima izvorno sporočanje, prisotnost in veččlanske zvočne/video sestanke, ki jih zagotavlja oblak Webex. Odjemalec Webex uporablja vašo infrastrukturo BroadWorks za klice SIP in PSTN.

  • Telefoni Cisco IP in povezani pripomočki uporabljajo tudi vašo infrastrukturo BroadWorks za klice SIP in PSTN. Pričakujemo, da bomo lahko podpirali telefone tretjih oseb.

  • Portal za aktiviranje uporabnikov, da se uporabniki prijavijo v Webex s svojimi poverilnicami BroadWorks.

  • Partner Hub je spletni vmesnik za upravljanje vaše organizacije Webex in organizacij vaših strank. Partner Hub je mesto, kjer konfigurirate integracijo med svojo infrastrukturo BroadWorks in Webex. Za upravljanje konfiguracije odjemalca in obračunavanja uporabljate tudi Partner Hub.

Omrežje ponudnika storitev

Zeleni blok na levi strani diagrama predstavlja vaše omrežje. Komponente, ki gostujejo v vašem omrežju, zagotavljajo naslednje storitve in vmesnike drugim delom rešitve:

  • Javno usmerjen XSP|ADP, za Webex za Cisco BroadWorks: (Polje predstavlja eno ali več XSP|ADP kmetij, ki so morda na čelu z izenačevalniki obremenitve.)

    • Gosti vmesnik storitev Xtended (XSI-Actions in XSI-Events), storitev upravljanja naprav (DMS), CTI vmesnik in storitev preverjanja pristnosti. Te aplikacije skupaj omogočajo telefonom in odjemalcem Webex, da si sami preverijo pristnost, prenesejo svoje konfiguracijske datoteke za klicanje, opravljajo in prejemajo klice ter si ogledajo stanje slušalk (prisotnost telefonije) in zgodovino klicev.

    • Objavi imenik za odjemalce Webex.

  • Javno usmerjen XSP|ADP, ki deluje NPS:

    • gostitelj Potisni strežnik obvestil o klicih: Strežnik Notification Push na XSP|ADP v vašem okolju. Vmesnik med vašim aplikacijskim strežnikom in našim strežnikom proxy NPS. Proxy vašim NPS dostavi kratkotrajne žetone, da dovoli obvestila storitvam v oblaku. Te storitve (APNS in FCM) pošiljajo obvestila o klicih odjemalcem Webex v napravah Apple iOS in Google Android.

  • Strežnik aplikacije:

    • Zagotavlja nadzor klicev in vmesnike drugim sistemom BroadWorks (splošno)

    • Za pretočno omogočanje uporabe skrbnik partnerja uporablja AS za omogočanje uporabe uporabnikom v Webex

    • Potisne uporabniški profil v BroadWorks

  • oss/bss: Vaš sistem za podporo operacijam/poslovne storitve SIP za upravljanje vaših podjetij BroadWorks.

Webex Cloud

Moder blok v diagramu predstavlja oblak Webex. Mikrostoritve Webex podpirajo celoten spekter zmožnosti sodelovanja Webex:

  • Cisco Common Identity (CI) je storitev identitete v aplikaciji Webex.

  • Webex za Cisco BroadWorks predstavlja nabor mikrostoritev, ki podpirajo integracijo med Webex in ponudnikom storitev BroadWorks, ki gostujejo:

    • API za omogočanje uporabnikov

    • Konfiguracija ponudnika storitev

    • Prijava uporabnika s poverilnicami BroadWorks

  • Polje za sporočanje Webex za mikrostoritve, povezane s sporočanjem.

  • Polje Webex Meetings, ki predstavlja strežnike za obdelavo predstavnosti in SBC-je za video sestanke z več udeleženci (SIP in SRTP)

Spletne storitve drugih ponudnikov

V diagramu so prikazane naslednje komponente tretjih oseb:

  • APNS (storitev Apple Push Notifications) potisne obvestila o klicih in sporočilih v aplikacije Webex na napravah Apple.

  • FCM (FireBase Cloud Messaging) potisne obvestila o klicih in sporočilih v aplikacije Webex v napravah Android.

Vidiki arhitekture XSP|ADP

Vloga javno dostopnih XSP|ADP strežnikov v Webex za Cisco BroadWorks

Javno usmerjen XSP|ADP v vašem okolju zagotavlja naslednje vmesnike/storitve Webex in odjemalcem:

  • Storitev preverjanja pristnosti (AuthService), ki jo zagotavlja TLS in se odziva na zahteve Webex za JWT BroadWorks (JSON Web Token) v imenu uporabnika

  • Vmesnik CTI, ki ga zagotavlja mTLS, na katerega se Webex naroča za dogodke zgodovine klicev in stanje prisotnosti telefonije iz BroadWorks (stanje hook).

  • Vmesniki dejanj in dogodkov Xsi (vmesnik storitev eXtended) za nadzor klicev naročnikov, imenike stikov in seznama klicev ter konfiguracijo telefonske storitve končnega uporabnika

  • Storitev DM (Device Management) za odjemalce, da pridobijo svoje konfiguracijske datoteke za klicanje

Zagotovite URL-je za te vmesnike, ko konfigurirate Webex za Cisco BroadWorks. (Glejte Konfiguracija gruč BroadWorks v partnerskem zvezdišču v tem dokumentu.) Za vsako gručo lahko navedete samo en URL za vsak vmesnik. Če imate v svoji infrastrukturi BroadWorks več vmesnikov, lahko ustvarite več gruč.

Arhitektura XSP|ADP

XSP|ADP Arhitektura: Možnost 1
XSP|ADP Arhitektura: Možnost 2

Potrebujemo, da uporabite ločen, namenski primerek XSP|ADP ali kmetijo za gostovanje aplikacije NPS (Notification Push Server). Isti NPS lahko uporabite s UC-One SaaS ali UC-One sodelujete. Vendar morda ne boste gostili drugih aplikacij, ki so potrebne za Webex za Cisco BroadWorks, na istem XSP|ADP, ki gosti aplikacijo NPS.

Priporočamo vam, da za gostovanje zahtevanih aplikacij za integracijo Webex uporabite namenski primerek|/kmetijo XSP ADP iz naslednjih razlogov

  • Če na primer ponujate UC-One SaaS, vam priporočamo, da ustvarite novo kmetijo XSP|ADP za Webex za Cisco BroadWorks. Na ta način lahko obe storitvi med selitvijo naročnikov delujeta neodvisno.

  • Če namestite aplikacije Webex za Cisco BroadWorks na kmetijo XSP|ADP, ki se uporablja za druge namene, ste odgovorni za spremljanje uporabe, upravljanje nastale kompleksnosti in načrtovanje povečanega obsega.

  • Načrtovalnik zmogljivosti sistema Cisco BroadWorks prevzame namensko kmetijo XSP|ADP in morda ni točen, če jo uporabljate za izračune kolokacije.

Če ni navedeno drugače, morajo namenski programi Webex za Cisco BroadWorks XSP|ADP gostovati naslednje aplikacije:

  • AuthService (TLS s potrjevanjem žetona CI ali mTLS)

  • CTI

  • Dejanja XSI (TLS)

  • Dogodki XSI (TLS)

  • DMS (TLS) – izbirno. Ni obvezno, da namestite ločen primerek DMS ali kmetijo posebej za Webex za Cisco BroadWorks. Lahko uporabite isti primerek DMS, ki ga uporabljate za UC-One SaaS, ali UC-One sodelujete.

  • Spletni pogled klicnih nastavitev (TLS) – izbirno. Spletni pogled klicnih nastavitev (CSW) je potreben samo, če želite, da lahko uporabniki aplikacije Webex za Cisco BroadWorks konfigurirajo funkcije klicanja v aplikaciji Webex.

Webex zahteva dostop do CTI prek vmesnika, ki je zavarovan z vzajemnim preverjanjem pristnosti TLS. Za podporo tej zahtevi priporočamo eno od teh možnosti:

  • (Diagram z oznako možnost 1) En primerek XSP|ADP za vse aplikacije z dvema vmesnikoma, konfiguriranima na vsakem strežniku: vmesnik mTLS za CTI in vmesnik TLS za druge aplikacije, kot je AuthService.

  • (Diagram z oznako možnost 2) Dva primerka XSP|ADP ali kmetije, ena z vmesnikom mTLS za CTI in druga z vmesnikom TLS za druge aplikacije, kot je AuthService.

XSP|ADP Ponovna uporaba

Če imate obstoječo kmetijo XSP|ADP, ki je skladna z eno od zgornjih predlaganih arhitektur (možnost 1 ali 2) in je rahlo naložena, je mogoče znova uporabiti obstoječe XSP|ADP. Morali boste preveriti, da med obstoječimi aplikacijami in novimi zahtevami aplikacije za Webex ni nasprotujočih si zahtev konfiguracije. Glavna vidika sta:

  • Če morate podpirati več partnerskih organizacij Webex v XSP|ADP, to pomeni, da morate uporabiti mTLS v storitvi preverjanja pristnosti (preverjanje žetona CI je podprto samo za eno partnersko organizacijo v XSP|ADP). Če uporabljate mTLS v storitvi za preverjanje pristnosti, to pomeni, da ne morete imeti odjemalcev, ki hkrati uporabljajo osnovno preverjanje pristnosti v storitvi za preverjanje pristnosti. To bi preprečilo ponovno uporabo XSP|ADP.

  • Če je obstoječa storitev CTI konfigurirana za uporabo s strani odjemalcev z varnimi vrati (običajno 8012), vendar brez mTLS (tj. preverjanje pristnosti odjemalca), bo to v nasprotju z zahtevo Webex za imeti mTLS.

Ker imajo XSP|ADP veliko aplikacij in ker je število permutacij teh aplikacij veliko, lahko obstajajo drugi neopredeljeni konflikti. Zato je treba vsako morebitno ponovno uporabo XSP|ADP-jev preveriti v laboratoriju s predvideno konfiguracijo, preden se zavežete k ponovni uporabi.

Konfigurirajte sinhronizacijo NTP na XSP|ADP

Uvajanje zahteva časovno sinhronizacijo za vse XSP|ADP, ki jih uporabljate z Webex.

Namestite paket ntp po namestitvi operacijskega sistema in preden namestite programsko opremo BroadWorks. Nato lahko konfigurirate NTP med namestitvijo programske opreme XSP|ADP. Za več podrobnosti si oglejte Priročnik za upravljanje programske opreme BroadWorks .

Med interaktivno namestitvijo programske opreme XSP|ADP imate možnost konfiguracije NTP. Nadaljujte, kot sledi:

  1. Ko namestitveni program vpraša, Ali želite konfigurirati NTP?, vnesite y.

  2. Ko namestitveni program vpraša, Bo ta strežnik strežnik NTP?, vnesite n.

  3. Ko namestitveni program vpraša, Kaj je naslov NTP, ime gostitelja ali FQDN?, vnesite naslov svojega strežnika NTP ali javno storitev NTP, na primer pool.ntp.org.

Če vaši XSP|ADP uporabljajo tiho (neinteraktivno) namestitev, mora konfiguracijska datoteka namestitvenega programa vključevati naslednje pare ključa=vrednosti:

NTP
NTP_SERVER=

Zahteve za identiteto in varnost XSP|ADP

Ozadje

Protokole in šifre povezav TLS Cisco BroadWorks so konfigurirane na različnih ravneh specifičnosti. Ti nivoji segajo od najbolj splošnega (ponudnika SSL) do najbolj specifičnega (individualnega vmesnika). Bolj specifična nastavitev vedno preglasi bolj splošno nastavitev. Če nastavitve SSL niso določene, so podedovane od »višjih« ravni.

Če se od privzetih nastavitev ne spremeni nobena nastavitev, vsi nivoji podedujejo privzete nastavitve ponudnika SSL (JSSE Java Secure Sockets Extension).

Seznam zahtev

  • XSP|ADP se mora preveriti pristnost pri odjemalcih s potrdilom, podpisanim s strani CA, v katerem se splošno ime ali nadomestno ime subjekta ujema z delom domene vmesnika XSI.

  • Vmesnik Xsi mora podpirati protokol TLSv1.2.

  • Vmesnik Xsi mora uporabiti zbirko šifre, ki izpolnjuje naslednje pogoje.

    • Diffie-Hellman efemerna (DHE) ali eliptične krivulje Diffie-Hellman efemerna (ECDHE) izmenjava ključa

    • AES (Advanced Encryption Standard) šifra z najmanjšo velikostjo bloka 128 bitov (npr. AES-128 ali AES-256)

    • GCM (način Galois/Counter) ali CBC (način veriženja šifer) šifre

      • Če se uporablja šifra CBC, je za izpeljavo ključa dovoljena samo družina funkcij hash SHA2 (SHA256, SHA384, SHA512).

Naslednje šifre na primer izpolnjujejo zahteve:

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

XSP|ADP CLI zahteva konvencijo poimenovanja IANA za pakete šifre, kot je prikazano zgoraj, in ne konvencijo openSSL.

Podprte šifre TLS za vmesnike AuthService in XSI

Ta seznam se lahko spremeni z razvojem naših varnostnih zahtev v oblaku. Upoštevajte trenutno priporočilo za varnost v oblaku Cisco o izbiri šifre, kot je opisano v seznamu zahtev v tem dokumentu.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

  • TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

  • TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_PSK_WITH_AES_256_CBC_SHA384

  • TLS_PSK_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_PSK_WITH_AES_128_CBC_SHA256

  • TLS_PSK_WITH_AES_128_CBC_SHA

Parametri lestvice dogodkov Xsi

Morda boste morali povečati velikost čakalne vrste Xsi-Events in število niti, da boste lahko obravnavali obseg dogodkov, ki jih zahteva rešitev Webex for Cisco BroadWorks. Parametre lahko povečate na prikazane minimalne vrednosti, kot sledi (ne zmanjšajte jih, če so nad temi minimalnimi vrednostmi):

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventQueueSize = 2000

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventHandlerThreadCount = 50

Več XSP|ADP

Element roba za izravnavo obremenitve

Če imate element za izravnavo obremenitve na svojem robu omrežja, mora pregledno obravnavati porazdelitev prometa med vašimi več strežniki XSP|ADP ter oblakom in odjemalci Webex za Cisco BroadWorks. V tem primeru boste zagotovili URL-je izravnavalnika obremenitve v konfiguraciji Webex for Cisco BroadWorks.

Opombe o tej arhitekturi:

  • Konfigurirajte DNS, da lahko odjemalci najdejo izenačevalnik obremenitve pri povezovanju z vmesnikom Xsi (glejte konfiguracijo DNS).

  • Priporočamo vam, da element roba konfigurirate v obratnem načinu proxy SSL, da zagotovite šifriranje podatkov od točke do točke.

  • Potrdila iz XSP|ADP01 in XSP|ADP02 morata imeti domeno XSP|ADP, na primer your-XSP|ADP.example.com, v alternativnem imenu zadeve. V splošnem imenu bi morali imeti svoje FQDN, na primer XSP|ADP01.example.com. Lahko uporabite nadomestna potrdila, vendar jih ne priporočamo.

Internetni XSP|ADP strežniki

Če vmesnike Xsi izpostavite neposredno, uporabite DNS za distribucijo prometa več strežnikov XSP|ADP.

Opombe o tej arhitekturi:

  • Za povezavo s strežniki XSP|ADP sta potrebna dva zapisa:

    • Za mikrostoritve Webex: Zapisi Round-robin A/AAAA so zahtevani za ciljanje na več naslovov IP XSP|ADP. Mikrostoritve Webex namreč ne morejo iskati SRV. Za primere glejte storitve Webex Cloud.

    • Za aplikacijo Webex: Zapis SRV, ki se razreši v zapise A, kjer vsak zapis A razreši na en XSP|ADP. Za primere glejte aplikacijo Webex.

      Uporabite prednostne zapise SRV za cilj storitve XSI za več naslovov XSP|ADP. Prednostno razvrstite svoje zapise SRV, da bodo mikrostoritve vedno prestavile na isti zapis A (in naslednji naslov IP) in se bodo premaknile na naslednji zapis A (in naslov IP) le, če bo prvi naslov IP padel. Za aplikacijo Webex NE uporabljajte pristopa z okroglim robom.

  • Potrdila iz XSP|ADP01 in XSP|ADP02 morata imeti domeno XSP|ADP, na primer your-XSP|ADP.example.com, v alternativnem imenu zadeve. V splošnem imenu bi morali imeti svoje FQDN, na primer XSP|ADP01.example.com.

  • Lahko uporabite nadomestna potrdila, vendar jih ne priporočamo.

Izognite se preusmeritvam HTTP

Včasih je DNS konfiguriran tako, da razreši XSP|ADP URL v balanser obremenitve HTTP, balanser obremenitve pa je konfiguriran za preusmeritev prek obratnega proxy na strežnike XSP|ADP.

Webex ne sledi preusmeritvi pri vzpostavitvi povezave z URL-ji, ki jih navedete, zato ta konfiguracija ne deluje.

Arhitektura in infrastruktura

  • S kakšno lestvico nameravate začeti? V prihodnosti ga je mogoče nadgraditi, vendar bi morala vaša trenutna ocena uporabe spodbujati načrtovanje infrastrukture.

  • Sodelujte s svojim upraviteljem računa Cisco/predstavnikom prodaje za velikost svoje infrastrukture XSP|ADP v skladu z načrtovalnikom zmogljivosti sistema Cisco BroadWorks in vodnikom za sistemsko inženirstvo Cisco BroadWorks.

  • Kako bo Webex ustvaril vzajemne povezave TLS z vašimi XSP|ADP? Neposredno na XSP|ADP v DMZ ali prek strežnika proxy TLS? To vpliva na vaše upravljanje potrdil in URL-je, ki jih uporabljate za vmesnike. (Ne podpiramo nešifriranih povezav TCP z roba vašega omrežja).