слика

Pregled usluge Webex za BroadWorks

Šta je na Dijagramu?

Klijenti

  • Klijent aplikacije Webex služi kao primarna aplikacija u usluzi Webex za Cisco BroadWorks ponude. Klijent je dostupan na stonim, mobilnim i veb platformama.

    Klijent ima izvorne razmenu poruka, prisustvo i višestruke audio/video sastanke koje obezbeđuje Webex oblak. Webex klijent koristi vašu BroadWorks infrastrukturu za SIP i PSTN pozive.

  • Cisco IP telefoni i srodni pribor takođe koriste vašu BroadWorks infrastrukturu za SIP i PSTN pozive. Očekujemo da ćemo moći da podržavamo telefone nezavisnih proizvođača.

  • Portal za aktivaciju korisnika za korisnike koji se prijavljuju u Webex koristeći svoje BroadWorks akreditive.

  • Partner Hub je veb-interfejs za upravljanje Webex organizacijom i organizacijama vaših kupaca. Partnersko čvorište je mesto gde konfigurišete integraciju između BroadWorks infrastrukture i Webexa. Partner Hub koristite i za upravljanje konfiguracijom klijenata i obračun.

Mreža pružaoca usluga

Zeleni blok sa leve strane dijagrama predstavlja vašu mrežu. Komponente hostovane u vašoj mreži pružaju sledeće usluge i interfejse za druge delove rešenja:

  • XSP ADP|okrenut javnosti, za Webex za Cisco BroadWorks: (Polje predstavlja jednu ili više XSP|ADP poljoprivrednih gazdinstava, eventualno na čelu sa balansirajućim opterećenjem.)

    • Hostuje xtended interfejs usluga (XSI-Actions & XSI-Events), uslugu upravljanja uređajima (DMS), CTI interfejs i uslugu potvrde identiteta. Ove aplikacije zajedno omogućavaju telefonima i Webex klijentima da potvrde identitet, preuzmu svoje datoteke za konfiguraciju poziva, upućuju i primaju pozive i vide status međusobnog udice (prisustvo telefonije) i istoriju poziva.

    • Objavljuje direktorijum za Webex klijente.

  • XSP|ADP koji se obraća javnosti, pokreće NPS:

    • Server za obaveštenja o pozivima domaćina: Server za prosleđivanje obaveštenja na XSP|ADP u vašem okruženju. Povezuje se između vašeg Servera Aplikacije i našeg NPS proxy servera. Proxy dostavlja kratkotrajne tokene vašem NPS-u kako bi ovlastio obaveštenja uslugama u oblaku. Ove usluge (APNS & FCM) šalju obaveštenja o pozivima Webex klijentima na Apple iOS i Google Android uređajima.

  • Server aplikacije:

    • Obezbeđuje kontrolu poziva i interfejse za druge BroadWorks sisteme (generalno)

    • Za obezbeđivanje protoka, administrator partnera koristi AS za dodelu privilegija korisnicima u aplikaciji Webex

    • Pokreće korisnički profil u BroadWorks

  • обнос/bss: Vaš sistem podrške za operacije / poslovne SIP usluge za upravljanje vašim BroadWorks preduzećima.

Webex Cloud

Plavi blok na dijagramu predstavlja Webex oblak. Webex mikrousluge podržavaju puni spektar mogućnosti za saradnju putem platforme Webex:

  • Cisco Common Identity (CI) je usluga identiteta u okviru aplikacije Webex.

  • Webex za Cisco BroadWorks predstavlja skup mikrousluga koji podržavaju integraciju između Webex i BroadWorks-a hostovanih pružaoca usluga:

    • API-je za obezbeđivanje korisnika

    • Konfiguracija pružaoca usluga

    • Prijavljivanje korisnika pomoću BroadWorks akreditiva

  • Webex polje za razmenu poruka za mikrousluge povezane sa razmenom poruka.

  • Polje Webex Meetings koje predstavlja servere za obradu medija i SBC-ove za više video sastanaka učesnika (SIP I SRTP)

Veb-usluge treće strane

Sledeće komponente treće strane predstavljene su u dijagramu:

  • APNS (Apple Push Notifications Service) pokreće obaveštenja o pozivima i porukama Webex aplikacijama na Apple uređajima.

  • FCM (FireBase Cloud Messaging) pokreće obaveštenja o pozivima i porukama za Webex aplikacije na Android uređajima.

Razmatranja XSP|ADP arhitekture

Uloga XSP|ADP servera na javnom mestu u usluzi Webex za Cisco BroadWorks

XSP|ADP koji se obraća javnosti u vašem okruženju pruža sledeće interfejse/usluge za Webex i klijente:

  • Usluga potvrde identiteta (AuthService), koju obezbeđuje TLS, koja odgovara na Webex zahteve za BroadWorks JWT (JSON Web Token) u ime korisnika

  • CTI interfejs, zaštićen mTLS-om, na koji Webex se pretplaćuje za događaje u istoriji poziva i status prisutnosti telefonije iz BroadWorks-a (status hook-a).

  • Xsi radnje i interfejsi događaja (interfejs za eXtended usluge) za kontrolu poziva pretplatnika, direktorijume liste poziva i za konfiguraciju usluge telefonije krajnjeg korisnika

  • DM (upravljanje uređajima) usluga za klijente koji preuzimaju svoje datoteke za konfiguraciju pozivanja

Obezbedite URL adrese za ove interfejse kada konfigurišete Webex za Cisco BroadWorks. (Pogledajte članak Konfigurisanje BroadWorks klastera u Partner Hub u ovom dokumentu.) Za svaki klaster možete da navedete samo jednu URL adresu za svaki interfejs. Ako imate više interfejsa u BroadWorks infrastrukturu, možete kreirati više klastera.

XSP|ADP arhitektura

XSP|ADP arhitektura: Opcije 1
XSP|ADP arhitektura: опција 2

Zahtevamo da koristite zasebnu, namensku XSP|ADP instancu ili farmu da biste organizovali svoju NPS aplikaciju (Notification Push Server). Isti NPS možete da koristite sa UC-One SaaS ili UC-One saradnjom. Međutim, možda nećete moći da organizujete druge aplikacije potrebne za Webex za Cisco BroadWorks na istom XSP|ADP-u koji hostuje NPS aplikaciju.

Preporučujemo da koristite namensku XSP|ADP instancu/farmu da biste organizovali potrebne aplikacije za Webex integraciju iz sledećih razloga

  • Na primer, ako nudite UC-One SaaS, preporučujemo da kreirate novu XSP|ADP farmu za Webex za Cisco BroadWorks. Na ovaj način dve usluge mogu da funkcionišu nezavisno dok migrirate pretplatnike.

  • Ako postavite Webex za Cisco BroadWorks aplikacije na XSP|ADP farmi koja se koristi u druge svrhe, vaša je odgovornost da pratite upotrebu, upravljate rezultantom složenosti i planirate povećanu skalu.

  • Cisco BroadWorks System Capacity Planer pretpostavlja namensku XSP|ADP farmu i možda neće biti tačan ako je koristite za izračunavanja kollokacije.

Osim ako nije drugačije navedeno, namenski Webex za Cisco BroadWorks XSP|ADP-ovi moraju da hostuju sledeće aplikacije:

  • AuthService (TLS sa potvrdom CI tokena ili mTLS)

  • CTI (mTLS)

  • XSI-radnje (TLS)

  • XSI-Događaji (TLS)

  • DMS (TLS) – opcionalno. Nije obavezno da primenite zasebnu DMS instancu ili farmu posebno za Webex za Cisco BroadWorks. Možete da koristite istu DMS instancu koju koristite za UC-One SaaS ili UC-One saradnju.

  • Web prikaz podešavanja poziva (TLS) – opcionalno. Web prikaz podešavanja poziva (CSW) je potreban samo ako želite da Webex za Cisco BroadWorks korisnike mogu da konfigurišu funkcije pozivanja u aplikaciji Webex.

Webex zahteva pristup CTI-u putem interfejsa koji je zaštićen međusobnom TLS potvrdom identiteta. Da bismo podržali ovaj zahtev, preporučujemo jednu od sledećih opcija:

  • (Dijagram označen Opcija 1) Jedna XSP|ADP instanca ili farma za sve aplikacije, sa dva interfejsa konfigurisana na svakom serveru: mTLS interfejs za CTI i TLS interfejs za druge aplikacije kao što je AuthService.

  • (Dijagram označen Opcija 2) Dve XSP|ADP instance ili farme, jedna sa mTLS interfejsom za CTI, a druga sa TLS interfejsom za druge aplikacije, kao što je AuthService.

XSP|ADP ponovo koristi

Ako imate postojeću XSP|ADP farmu koja se podudara sa jednom od predloženih arhitekturi iznad (Opcija 1 ili 2) i ona se lako učita, onda je moguće ponovo koristiti postojeće XSP|ADP-ove. Moraćete da proverite da ne postoje neusaglašeni zahtevi za konfiguraciju između postojećih aplikacija i novih zahteva za Webex. Dve primarne razmatranja su:

  • Ako je potrebno da podržite više webex partnerskih organizacija na XSP|ADP-u, to znači da morate da koristite mTLS u usluzi potvrde identiteta (CI provera valjanosti tokena je podržana samo za jednu partnersku organizaciju na XSP|ADP-u). Ako koristite mTLS u usluzi za potvrdu identiteta, to znači da ne možete da imate klijente koji koriste osnovnu potvrdu identiteta u usluzi za potvrdu identiteta u isto vreme. Ova situacija bi sprečila ponovnu upotrebu XSP|ADP-a.

  • Ako je postojeća CTI usluga konfigurisana za korišćenje od strane klijenata sa bezbednim portom (obično 8012), ali bez mTLS-a (tj. potvrda identiteta klijenta) to će biti neusklađeno sa webex zahtevom da ima mTLS.

Pošto XSP|ADP-ovi imaju mnogo aplikacija i broj permutacija ovih aplikacija je veliki, mogu postojati i drugi neidentifikovani neusklađenost. Iz tog razloga sva potencijalna ponovna upotreba XSP|ADP-ova treba proveriti u laboratoriji sa predviđenom konfiguracijom pre nego što se obavežete na ponovnu upotrebu.

Konfiguriši NTP sinhronizaciju na XSP|ADP

Za primenu je potrebna sinhronizacija vremena za sve XSP|ADP-ove koje koristite sa aplikacijom Webex.

Instalirajte ntp paket nakon instaliranja OS-a i pre nego što instalirate BroadWorks softver. Zatim možete da konfigurišete NTP tokom instalacije XSP|ADP softvera. Pogledajte Vodič za upravljanje softverima BroadWorks za više detalja.

Tokom interaktivne instalacije XSP|ADP softvera dobijate opciju za konfigurisanje NTP. Nastavite na sledeći način:

  1. Kada se instalacioni program upita, Želite li da konfigurišete NTP?, unesite y.

  2. Kada se instalacioni program upita, Da li će ovaj server biti NTP server?, unesite n.

  3. Kada se instalacioni program upita, Šta je NTP adresa, ime hosta ili FQDN?, unesite adresu NTP servera ili javnu NTP uslugu, na primer, pool.ntp.org.

Ako vaši XSP|ADP-ovi koriste tihu (neinteraktivnu) instalaciju, datoteka za konfiguraciju instalacionog programa mora da sadrži sledeće parove ključa=vrednosti:

NTP
NTP_SERVER=

XSP|ADP zahtevi za identitet i bezbednost

Pozadina

Protokoli i šifrovanje Cisco BroadWorks TLS veza mogu da se konfigurišu na različitim nivoima specifičnosti. Ovi nivoi se kreću od opšteg (SSL pružaoca usluge) do najspecifičnijeg (pojedinačni interfejs). Specifičnije podešavanje uvek zamenjuje uopštenije podešavanje. Ako nisu navedeni, podešavanja „nižeg“ nivoa SSL nasleđuju se sa „višeg“ nivoa.

Ako se podešavanja ne menjaju iz podrazumevanih vrednosti, svi nivoi nasleđuju podrazumevana podešavanja SSL pružaoca (JSSE Java Secure Sockets Extension).

Lista zahteva

  • XSP|ADP mora da se potvrdi identitet klijentima pomoću CA potpisanog sertifikata u kome se zajedničko ime ili alternativno ime subjekta podudara sa domenskim delom XSI interfejsa.

  • Xsi interfejs mora da podržava TLSv1.2 protokol.

  • XSI interfejs mora da koristi paket za šifrovanje koji ispunjava sledeće zahteve.

    • Diffie-Hellman Efemeral (DHE) ili Eliptične krive Diffie-Hellman Efemeral (ECDHE) razmena ključeva

    • AES (napredni standard za šifrovanje) šifra minimalne veličine bloka od 128-bitova (npr. AES-128 ili AES-256)

    • GCM (režim Galois/Counter) ili CBC (režim šifrovanja) režim šifrovanja

      • Ako se koristi CBC šifra, dozvoljena je samo SHA2 familija heš funkcija (SHA256, SHA384, SHA512).

Na primer, sledeće šifrovanje ispunjava zahteve:

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

XSP|ADP CLI zahteva IANA konvenciju za kriptografske pakete, kao što je prikazano iznad, a ne openSSL konvenciju.

Podržane TLS šifrovanje za AuthService i XSI interfejse

Ova lista će se menjati kako se razvijaju naši zahtevi za bezbednost oblaka. Pratite trenutnu preporuku za bezbednost Cisco oblaka za izbor šifrovanja, kao što je opisano na listi zahteva u ovom dokumentu.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

  • TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

  • TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_PSK_WITH_AES_256_CBC_SHA384

  • TLS_PSK_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_PSK_WITH_AES_128_CBC_SHA256

  • TLS_PSK_WITH_AES_128_CBC_SHA

Parametri razmere za Xsi Events

Možda ćete morati da povećate veličinu reda za čekanje Xsi-Events i broj konverzacija da biste obrađivali jačinu događaja koji zahtevaju rešenje Webex za Cisco BroadWorks. Parametre možete povećati na prikazane minimalne vrednosti, na sledeći način (nemojte ih smanjiti ako su iznad ovih minimalnih vrednosti):

XSP|ADP_CLI/aplikacije/Xsi-Events/BWIntegration> eventQueueSize = 2000

XSP|ADP_CLI/aplikacije/Xsi-Events/BWIntegration> eventHandlerThreadCount = 50

Više XSP|ADP-ova

Element ivice balansiranja opterećenja

Ako imate element koji balansira opterećenja na ivici mreže, on mora transparentno da rukuje distribucijom saobraćaja između više XSP|ADP servera i Webex za Cisco BroadWorks oblak i klijenata. U ovom slučaju, ponudili biste URL adresu balansirača opterećenja Webex za Cisco BroadWorks konfiguraciju.

Napomene na ovoj arhitekturi:

  • Konfigurišite DNS tako da klijenti mogu da pronađu program za balansiranje opterećenja prilikom povezivanja sa Xsi interfejsom (pogledajte DNS konfiguraciju).

  • Preporučujemo da konfigurišete element ivice u obrnutom SSL proxy režimu da biste osigurali šifrovanje podataka od tačke do tačke.

  • Sertifikati iz XSP|ADP01 i XSP|ADP02 treba da imaju XSP|ADP domen, na primer vaš-XSP|ADP.example.com, u alternativnom imenu subjekta. U zajedničkom imenu oni bi trebalo da imaju sopstvene FQDN-ove, na primer XSP|ADP01.example.com. Možete da koristite džoker certifikate, ali ih ne preporučujemo.

XSP|ADP serveri okrenuti ka internetu

Ako direktno izlažete Xsi interfejse, koristite DNS za distribuciju saobraćaja na više XSP|ADP servera.

Napomene na ovoj arhitekturi:

  • Potrebna su dva zapisa za povezivanje sa XSP|ADP serverima:

    • Za Webex mikrousluge: Round-robin A/AAAA zapisi su potrebni za ciljanje više XSP|ADP IP adresa. To je zato što Webex mikrousluge ne mogu da obavljaju SRV pretrage. Za primere pogledajte Webex Cloud Services.

    • Za aplikaciju Webex: SRV zapis koji se razrešava u Zapise gde se svaki zapis razrešava u jedan XSP|ADP. Za primere pogledajte aplikaciju Webex.

      Koristite prioritetne SRV zapise da biste ciljali XSI uslugu za više XSP|ADP adresa. Odredite prioritet SRV zapisima tako da će mikrousluge uvek ići na isti zapis (i sledeća IP adresa) i preći će na sledeći zapis (i IP adresu) samo ako je prva IP adresa spuštena. NEMOJTE da koristite pristup sa okruglim nijansama za aplikaciju Webex.

  • Sertifikati iz XSP|ADP01 i XSP|ADP02 treba da imaju XSP|ADP domen, na primer vaš-XSP|ADP.example.com, u alternativnom imenu subjekta. U zajedničkom imenu oni bi trebalo da imaju sopstvene FQDN-ove, na primer XSP|ADP01.example.com.

  • Možete da koristite džoker certifikate, ali ih ne preporučujemo.

Izbegnite HTTP preusmeravanja

Ponekad je DNS konfigurisan da razreši XSP|ADP URL na HTTP balansirač opterećenja, a balansirač opterećenja je konfigurisan da se preusmerava kroz obrnuti proksi na XSP|ADP servere.

Webex ne prati preusmeravanje prilikom povezivanja sa URL adresama koje obezbedite, pa ova konfiguracija ne funkcioniše.

Arhitektura & Infrastruktura

  • Sa kakvim razmerama nameravate da počnete? Ubuduće je moguće povećati se, ali trenutna procena korišćenja bi trebalo da pokrene planiranje infrastrukture.

  • Radite sa Cisco menadžerom naloga/predstavnikom prodaje na povećanju XSP|ADP infrastrukture, prema Cisco BroadWorks planeru kapaciteta sistema i Cisco BroadWorks vodiču za inženjering sistema.

  • Kako će Webex uspostaviti međusobne TLS veze sa vašim XSP|ADP-ovima? Direktno na XSP|ADP u DMZ-u ili preko TLS proxy servera? To utiče na upravljanje sertifikatima i URL adrese koje koristite za interfejse. (Ne podržavamo nešifrovane TCP veze na ivici mreže).