Arkitekturen

Översikt över Webex för BroadWorks

Vad finns i diagrammet?

Klienter

  • Webex-appklienten fungerar som det primära programmet i Webex för Cisco BroadWorks-erbjudanden. Klienten finns tillgänglig på stationära, mobila och webbplattformar.

    Klienten har lokala meddelanden, närvaro och ljud-/videomöten med flera delar som tillhandahålls av Webex-molnet. Webex-klienten använder din BroadWorks-infrastruktur för SIP och PSTN samtal.

  • Ip-telefoner och tillbehör som är relaterade till Cisco använder också din BroadWorks-infrastruktur för SIP PSTN samtal. Vi förväntar oss att kunna ge support till tredjepartstelefoner.

  • Användaraktiveringsportal för att användare ska logga in på Webex med sina BroadWorks-inloggningsuppgifter.

  • Partner Hub är ett webbgränssnitt för att administrera din Webex-organisation och dina kunders organisationer. Partner Hub är platsen där du konfigurerar integreringen mellan din BroadWorks-infrastruktur och Webex. Du använder också Partner Hub för att hantera klientkonfiguration och fakturering.

tjänsteleverantör?tverk

Det gröna blocket till vänster om diagrammet representerar ditt nätverk. Komponenter som finns i ditt nätverk tillhandahåller följande tjänster och gränssnitt till andra delar av lösningen:

  • Offentlig-facing XSP|ADP, för Webex för Cisco BroadWorks: (Rutan representerar en eller flera XSP|ADP-gårdar, eventuellt kantade av belastningsutjämnare.)

    • Är värd för Xtended Services Interface (XSI-Actions &XSI-Events), Device Hanteringstjänst (DMS), CTI-gränssnitt och autentiseringstjänst. Tillsammans ger dessa program telefoner och Webex-klienter möjlighet att autentisera sig själva, hämta sina konfigurationsfiler för samtal, ringa och ta emot samtal samt se varandras status för "koppla" (telefoninärvaro) och samtalshistorik.

    • Publicerar katalogen till Webex-klienter.

  • Offentlig-facing XSP|ADP, som kör NPS:

    • push-server för värdsamtalsaviseringar: En aviseringspush-server på en XSP|ADP i din miljö. Den samverkar mellan din programserver och vår NPS-proxy. Proxyn tillhandahåller token som är kort tidsförutgåva till ditt NPS för att tillåta aviseringar till molntjänsterna. Dessa tjänster (APNS och FCM) skickar samtalsaviseringar till Webex-klienter på Apple iOS- och Google Android-enheter.

  • Programserver:

    • Tillhandahåller samtalskontroll och gränssnitt till andra BroadWorks-system (i allmänhet)

    • För flowupplös etablering används AS:en av partneradministratören för att etablera användare i Webex

    • Flytta användarprofil till BroadWorks

  • OSS/BSS: Ditt driftsupportsystem/Business SIP-tjänster för att administrera dina BroadWorks-företag.

Webex-moln

Det blå blocket i diagrammet visar Webex-molnet. Webex-mikrotjänster stöder full funktionalitet för Webex-samarbete:

  • Cisco Common Identity (CI) är det identitetstjänst inom Webex.

  • Webex för Cisco BroadWorks representerar den uppsättning mikrotjänster som stöder integreringen mellan Webex och tjänsteleverantör Hosted BroadWorks:

    • API:er för användareablering

    • tjänsteleverantör konfigurering

    • Användarinloggning med BroadWorks-inloggningsuppgifter

  • Rutan Webex-meddelanden för meddelanderelaterade mikrotjänster.

  • Webex Meetings ruta som representerar mediebearbetningsservrar och SBI:er för videomöten med flera deltagare (SIP och SRTP)

Webbtjänster från tredje part

Följande tredjepartskomponenter visas i diagrammet:

  • APNS (Apple Push Notifications Service) pushar samtals- och meddelandemeddelanden till Webex-program på Apple-enheter.

  • FCM (FireBase Cloud Messaging) skickar samtals- och meddelandemeddelanden till Webex-program på Android-enheter.

Överväganden gällande XSP|ADP-arkitektur

Rollen som offentliga XSP|ADP-servrar i Webex för Cisco BroadWorks

Den offentliga XSP|ADP i din miljö tillhandahåller följande gränssnitt/tjänster till Webex och klienter:

  • Autentiseringstjänst (AuthService), som skyddas av TLS och som svarar på Webex-förfrågningar för BroadWorks JWT (JSON Web Token) för användarens räkning

  • CTI-gränssnitt, säkrat av mTLS, som Webex prenumererar på samtalshistorik händelser och status för telefoninärvaro från BroadWorks (status för anslutning).

  • Xsi-åtgärder och events-gränssnitt (eXtended Services Interface) för prenumeranters samtalskontroll, kontakt- och samtalslista samt konfiguration av telefonitjänst för slutanvändare

  • DM-tjänst (Device Management) för klienter att hämta sina konfigurationsfiler för samtal

Ange URL:er till dessa gränssnitt när du konfigurerar Webex för Cisco BroadWorks. (Se Konfigurera dina BroadWorks-kluster i partnerhubben i det här dokumentet.) För varje kluster kan du endast ange en URL för varje gränssnitt. Om du har flera gränssnitt i din BroadWorks-infrastruktur kan du skapa flera kluster.

XSP|ADP-arkitektur

XSP|ADP-arkitektur: Alternativ 1
XSP|ADP-arkitektur: Alternativ 2

Vi kräver att du använder en separat, dedikerad XSP|ADP-instans eller -gård för att vara värd för ditt NPS-program (Notification Push Server). Du kan använda samma NPS med UC-One SaaS eller UC-One Collaborate. Du kanske inte är värd för de andra programmen som krävs för Webex för Cisco BroadWorks på samma XSP|ADP som är värd för NPS-programmet.

Vi rekommenderar att du använder en dedikerad XSP|ADP-instans/-gård för att vara värd för de program som krävs för Webex-integrering av följande anledningar

  • Om du till exempel erbjuder UC-One SaaS rekommenderar vi att du skapar en ny XSP|ADP-gård för Webex för Cisco BroadWorks. På så sätt kan de båda tjänsterna fungera oberoende medan du migrerar prenumeranter.

  • Om du placerar Webex för Cisco BroadWorks-program på en XSP|ADP-gård som används för andra ändamål är det ditt ansvar att övervaka användningen, hantera den resulterande komplexiteten och planera för den ökade skalan.

  • Cisco BroadWorks System Capacity Planner antar en dedikerad XSP|ADP-gård och kanske inte är korrekt om du använder den för platsberäkningar.

Om inget annat anges måste det dedikerade Webex för Cisco BroadWorks XSP|ADP:erna vara värd för följande program:

  • AuthService (TLS med CI-tokenvalidering eller mTLS)

  • CTI (mTLS)

  • XSI-åtgärder (TLS)

  • XSI-Events (TLS)

  • DMS (TLS) – valfritt. Det är inte obligatoriskt att du distribuerar en separat DMS-instans eller -gård specifikt för Webex för Cisco BroadWorks. Du kan använda samma DMS-instans som du använder för UC-One SaaS eller UC-One Collaborate.

  • Webbvy för samtalsinställningar (TLS) – valfritt. Webbvy för samtalsinställningar (CSW) krävs endast om du vill att Webex för Cisco BroadWorks-användare ska kunna konfigurera samtalsfunktioner i Webex-appen.

Webex kräver åtkomst till CTI via ett gränssnitt som skyddas av ömsesidig TLS autentisering. För att stödja detta krav rekommenderar vi ett av följande alternativ:

  • (Diagram märkt Alternativ 1) En XSP|ADP-instans eller -gård för alla program, med två gränssnitt konfigurerade på varje server: ett mTLS-gränssnitt för CTI och ett TLS-gränssnitt för andra appar, t.ex. AuthService.

  • (Diagram märkt Alternativ 2) Två XSP|ADP-instanser eller gårdar, en med mTLS-gränssnitt för CTI och den andra med ett TLS-gränssnitt för andra appar, t.ex. AuthService.

XSP|ADP-återanvändning

Om du har en befintlig XSP|ADP-gård som överensstämmer med någon av de föreslagna arkitekturerna ovan (alternativ 1 eller 2) och den är lätt lastad, är det möjligt att återanvända dina befintliga XSP|ADP:er. Du måste kontrollera att det inte finns några konfigurationskrav som står i konflikt mellan befintliga program och de nya programkraven för Webex. De två huvudsakliga övervägandena är:

  • Om du behöver stöd för flera Webex-partnerorganisationer på XSP|ADP innebär det att du måste använda mTLS på autentiseringstjänsten (CI-tokenvalidering stöds endast för en enda partnerorganisation på en XSP|ADP). Om du använder mTLS på autentiseringstjänsten innebär det att du inte kan ha klienter som använder grundläggande autentisering på autentiseringstjänsten samtidigt. Denna situation skulle förhindra återanvändning av XSP|ADP.

  • Om den befintliga CTI-tjänsten är konfigurerad att användas av klienter med säker port (vanligtvis 8012) men utan mTLS (dvs. klientautentisering) kommer det att stå i konflikt med Webex-kravet att ha mTLS.

Eftersom XSP|ADP har många program och antalet permutationer i dessa program är stort kan det finnas andra oidentifierade konflikter. Därför bör eventuell återanvändning av XSP|ADP:er verifieras i ett labb med den avsedda konfigurationen innan återanvändningen påbörjas.

Konfigurera NTP-synkronisering på XSP|ADP

Distributionen kräver tidssynkronisering för alla XSP|ADP:er som du använder med Webex.

Installera ntp-paketet efter att du har installerat operativsystemet och innan du har installerat BroadWorks-programvaran. Sedan kan du konfigurera NTP under installationen av XSP|ADP-programvaran. Se BroadWorks Software Management-guiden för mer information.

Under den interaktiva installationen av XSP|ADP-programvaran får du möjlighet att konfigurera NTP. Fortsätt enligt följande:

  1. När installationsprogrammet frågar vill du konfigurera NTP?, ange y.

  2. När installationsprogrammet frågar: Kommer den här servern att vara en NTP-server? , ange n.

  3. När installationsprogrammet frågar, Vad är NTP-adressen, värdnamnet eller FQDN? anger du adressen till din NTP-server eller en offentlig NTP-tjänst, till exempel pool.ntp.org.

Om dina XSP|ADP:er använder tyst (icke-interaktiv) installation måste installationsprogrammets konfigurationsfil innehålla följande par Key=Value:

NTP
NTP_SERVER=

XSP|ADP-identitet och säkerhetskrav

Bakgrund

Protokollen och chiffer för Cisco BroadWorks TLS-anslutningar kan konfigureras vid olika specificitetsnivåer. Dessa nivåer sträcker sig från den mest allmänna (SSL-leverantören) till den mest specifika (individuellt gränssnitt). En mer specifik inställning åsidosätter alltid en mer allmän inställning. Om de inte anges ärvs SSL-inställningar på lägre nivå från högre nivåer.

Om inga inställningar ändras från standardinställningarna ärver alla nivåer SSL-leverantörens standardinställningar (JSSE Java Secure Sockets Extension).

Kravlista

  • XSP|ADP måste autentisera sig för klienter med ett CA-signerat certifikat där det vanliga namnet eller det alternativa ämnesnamnet matchar domändelen av XSI-gränssnittet.

  • Xsi-gränssnittet måste stödja TLSv1.2-protokollet.

  • XSI-gränssnittet måste använda en chiffersvit som uppfyller följande krav.

    • Diffie-Hellman Ephemeral (DHE) eller Elliptic Curves Diffie-Hellman Ephemeral (ECDHE) nyckelutbyte

    • AES (Advanced Encryption Standard) chiffer med en minsta blockeringsstorlek på 128 bitar (t.ex. AES-128 eller AES-256)

    • GCM (kontrer-/diskläge) eller chifferläge för CBC (chifferblockskedjor)

      • Om en CBC-chiffer används tillåts endast hashfunktionerna i SHA2-serien (SHA256, SHA384, SHA512).

Till exempel följande chiffer uppfyller kraven:

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

XSP|ADP CLI kräver IANA-namngivningskonventionen för krypteringssviter, som visas ovan, inte openSSL-konventionen.

TLS-chiffer som stöds för AuthService- och XSI-gränssnitt

Listan kan komma att ändras i takt med att våra molnsäkerhetskrav förändras. Följ nuvarande cisco-molnsäkerhetsrekommendation för chifferval enligt beskrivningen i kravlistan i detta dokument.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

  • TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

  • TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_PSK_WITH_AES_256_CBC_SHA384

  • TLS_PSK_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_PSK_WITH_AES_128_CBC_SHA256

  • TLS_PSK_WITH_AES_128_CBC_SHA

Xsi-händelser skala parametrar

Du kan behöva öka köstorleken och antalet Xsi-Events-trådar för att hantera volymen av händelser som krävs av Webex för Cisco BroadWorks-lösningen. Du kan öka parametrarna till de minimumvärden som visas enligt följande (minska inte dem om de är över dessa minimumvärden):

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> händelseköstorlek = 2000

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventHandlerThreadCount = 50

Flera XSP|ADP:er

Edge-element för laddningsbalans

Om du har ett belastningsutjämningselement på nätverkskanten måste det transparent hantera fördelningen av trafik mellan dina flera XSP|ADP-servrar och Webex för Cisco BroadWorks-moln och -klienter. I detta fall anger du URL:en för laddningsbalanseringen till Webex för Cisco BroadWorks-konfigurationen.

Information om denna arkitektur:

  • Konfigurera DNS så att klienterna kan hitta laddningsbalanser vid anslutning till Xsi-gränssnittet (se DNS-konfiguration).

  • Vi rekommenderar att du konfigurerar Edge-elementet i omvänd SSL-proxyläge för att säkerställa punkt till punktdatakryptering.

  • Certifikat från XSP|ADP01 och XSP|ADP02 ska båda ha XSP|ADP-domänen, till exempel din-XSP|ADP.example.com, i det alternativa ämnesnamnet. De bör ha sina egna FQDN:er, till exempel XSP|ADP01.example.com, i det vanliga namnet. Du kan använda jokerteckencertifikat, men vi rekommenderar dem inte.

Internet-facing XSP|ADP-servrar

Om du exponerar Xsi-gränssnitten direkt använder du DNS för att distribuera trafiken till flera XSP|ADP-servrar.

Information om denna arkitektur:

  • Två poster krävs för att ansluta till XSP|ADP-servrarna:

    • För Webex-mikrotjänster: Rundrobin A/AAAA-poster krävs för att adressera flera XSP|ADP IP-adresser. Detta beror på att Webex-mikrotjänsterna inte kan göra SRV-sökningar. För exempel, se Webex Cloud-tjänster.

    • För Webex-appen: En SRV-post som skickas till A-poster där varje A-post skickas till en enda XSP|ADP. Se Webex-appen för exempel.

      Använd prioriterade SRV-poster för att rikta XSI-tjänsten för flera XSP|ADP-adresser. Prioritera dina SRV-poster så att mikrotjänsterna alltid går till samma A-post (och efterföljande IP-adress) och endast flyttas till nästa A-post (och IP-adress) om den första IP-adressen är nere. Använd INTE en roterande metod för Webex-appen.

  • Certifikat från XSP|ADP01 och XSP|ADP02 ska båda ha XSP|ADP-domänen, till exempel din-XSP|ADP.example.com, i det alternativa ämnesnamnet. De bör ha sina egna FQDN:er, till exempel XSP|ADP01.example.com, i det vanliga namnet.

  • Du kan använda jokerteckencertifikat, men vi rekommenderar dem inte.

Undvik HTTP-omdirigeringar

Ibland konfigureras DNS för att lösa XSP|ADP-URL:en till en HTTP-lastbalanserare och lastbalanseraren konfigureras för att omdirigera via en omvänd proxy till XSP|ADP-servrarna.

Webex följer inte en omdirigering när du ansluter till de URL:er du anger, så den här konfigurationen fungerar inte.

Arkitektur och infrastruktur

  • Vilken typ av skala avser du att starta med? Det går att skala upp i framtiden, men din nuvarande användningsuppskattning bör driva infrastrukturplaneringen.

  • Arbeta med din Cisco-kontoansvarige/försäljningsrepresentant för att ändra storleken på din XSP|ADP-infrastruktur, enligt Cisco BroadWorks systemkapacitetsplanerare och Cisco BroadWorks systemingenjörsguide.

  • Hur gör Webex ömsesidiga TLS-anslutningar till dina XSP|ADP:er? Direkt till XSP|ADP i en DMZ eller via TLS-proxy? Detta påverkar certifikathanteringen och de URL:er som du använder för gränssnitten. (Vi stöder inte okrypterade TCP-anslutningar till nätverkets kant).