Mimari

BroadWorks için Webex Genel Bakış

Diyagramda neler var?

İstemciler

  • Webex Uygulaması istemcisi, Cisco BroadWorks teklifleri için Webex hizmetlerde birincil uygulama olarak görevmektedir. İstemci masaüstü, mobil ve web platformlarında kullanılabilir.

    İstemcide bulut tarafından sağlanan yerel mesajlaşma, iletişim durumu ve çok bölümlü sesli/görüntülü Webex vardır. Ağ Webex SIP için BroadWorks altyapınızı kullanır ve PSTN kullanır.

  • Cisco IP telefonları ve ilgili aksesuarlar, SIP ve diğer çağrılar için BroadWorks PSTN kullanır. Üçüncü taraf telefonları destekley görmeyi bekliyoruz.

  • Kullanıcıların BroadWorks kimlik bilgilerini kullanarak bir Webex için Kullanıcı Etkinleştirme Portalı.

  • Partner Hub, müşteri kurum ve Webex kuruluşlarını yönetmek için bir web arayüzüdür. Partner Hub, BroadWorks altyapınız ile ağ yapısı arasındaki entegrasyonu yapılandırılan Webex. Ayrıca, istemci yapılandırmasını ve faturalandırmayı yönetmek için İş Ortağı Hub'ı kullanabilirsiniz.

hizmet sağlayıcı Ağ Bağlantısı

Diyagramın sol yeşil bloğu, ağın temsil eder. Ağ içinde barındırılan bileşenler, çözümün diğer bileşenlerine aşağıdaki hizmetleri ve arayüzleri sağlar:

  • Cisco BroadWorks için Webex için herkese açık XSP|ADP: (Kutu, muhtemelen yük dengeleyicileriyle karşılaşmış bir veya daha fazla XSP|ADP çiftliğini temsil eder.)

    • Xtended Services Interface (XSI-Actions & XSI-Events), Device Yönetim Hizmeti (DMS), CTI arayüzü ve Kimlik Doğrulama Hizmeti'ne sahiplik yapıyor. Birlikte, bu uygulamalar telefon ve Webex istemcilerinin kimlik doğrulamasını, çağrı yapılandırma dosyalarını indirmesini, çağrı yapmalarını ve almalarını ve birbirlerinin kanca durumunu (telefon iletişim durumu) ve kimlik doğrulamalarını çağrı geçmişi.

    • Dizin, istemcilerde Webex yayınlar.

  • Herkese açık XSP|ADP, NPS çalıştıran:

    • ana bilgisayar çağrı bildirimleri push sunucu: Ortamınızdaki bir XSP|ADP üzerinde bir Bildirim Gönderme Sunucusu. Uygulama Sunucunuz ve NPS proxy'miz arasında arayüzler. Proxy, bulut hizmetleri bildirimleri yetkilendirmek için NPS'nize kısa belirteçler sağlar. Bu hizmetler (APNS & FCM), Apple iOS ve Google Android Webex müşterilere çağrı bildirimleri gönderir.

  • Uygulama Sunucusu:

    • Diğer BroadWorks sistemlerine çağrı kontrolü ve arayüzler sağlar (genellikle)

    • Akış akışı sağlama için AS, iş ortağı yöneticisi tarafından bu hizmet kapsamındaki kullanıcıları Webex

    • BroadWorks kullanıcı profili'ye bağlantı sağlar

  • OSS/BSS: BroadWorks kuruluşlarınızı yönetmek için İşlemleri Destek Sistemi / İş SIP Hizmetleriniz.

Webex Cloud

Diyagramdaki mavi blok, bulut Webex temsil eder. Webex mikro hizmetleri, iş birliği Webex tam olarak destekler:

  • Cisco Common Identity (CI) eğitim kimlik hizmeti içindeki Webex.

  • Webex BroadWorks için destek, Webex ve Barındırılan BroadWorks arasında entegrasyonu destekleyen hizmet sağlayıcı bir mikro hizmet seti temsil eder:

    • Kullanıcı Sağlama API'leri

    • hizmet sağlayıcı Yapılandırması

    • BroadWorks kimlik bilgilerini kullanarak kullanıcı oturumu açma

  • Webex ilgili mikro hizmetler için Mesajlaşma kutusuna tıklayın.

  • Webex Meetings işleme sunucularını ve SCS'leri temsil eden birden fazla katılımcılı video toplantıları (SIP & SRTP) kutusu

Üçüncü Taraf Web Hizmetleri

Aşağıdaki üçüncü taraf bileşenler diyagramda temsil edildi:

  • APNS (Apple Anında Bildirimler Hizmeti), Apple cihazlarında yer alan uygulamalara Webex ve mesaj bildirimlerini iletir.

  • FCM (FireBase Cloud Messaging), Android cihazlardaki tüm uygulamalara Webex bildirimlerini iletir.

XSP|ADP Mimarisi ile Ilgili Önemli Konular

Cisco BroadWorks için Webex'te Herkese Açık XSP|ADP Sunucularının Rolü

Ortamınızdaki herkese açık XSP|ADP, Webex ve istemcilere aşağıdaki arayüzleri/hizmetleri sağlar:

  • Kullanıcı adına BroadWorks JWT (JSON Web Belirteci) Webex yanıt veren TLS tarafından güvenli olan Kimlik Doğrulaması Hizmeti (AuthService)

  • mTLS tarafından güvenli hale gelen ve BroadWorks (kanca durumu) Webex çağrı geçmişi etkinlik ve telefon iletişim durumu için abone olduğu CTI arayüzü.

  • Abone çağrı kontrolü, kişi ve çağrı listesi dizinleri ve son kullanıcı telefon hizmeti yapılandırması için Xsi işlemleri ve etkinlik arayüzleri (eXtended Services Interface)

  • İstemcilerin çağrı yapılandırma dosyalarını almak için DM (Cihaz Yönetimi) hizmeti

Cisco BroadWorks için hizmet ayarlarını yapılandırıldığında bu arayüzler Webex URL'leri sunar. (Bu belgede Iş Ortağı Hub’ında BroadWorks Kümelerinizi Yapılandırma bölümüne bakın.) Her küme için her arayüz için yalnızca bir URL sağlayabilirsiniz. BroadWorks altyapınıza birden fazla arayüzüniz varsa birden fazla küme oluşturabilirsiniz.

XSP|ADP Mimarisi

XSP|ADP Mimarisi: Seçenek 1
XSP|ADP Mimarisi: Seçenek 2

NPS (Bildirim Gönderme Sunucusu) uygulamanızı barındırmak için ayrı, özel bir XSP|ADP örneği veya çiftlik kullanmanızı gerekli kılıyoruz. UC-One SaaS veya UC-One İş Birliği ile aynı NPS'yi kullanabilirsiniz. Ancak, Cisco BroadWorks için gerekli olan diğer uygulamaları, NPS uygulamasını barındıran aynı XSP|ADP’de barındıramazsınız.

Aşağıdaki nedenlerden dolayı Webex entegrasyonu için gerekli uygulamaları barındırmak üzere özel bir XSP|ADP örneği/grubu kullanmanızı öneririz

  • Örneğin, UC-One SaaS teklif ediyorsanız Cisco BroadWorks için Webex’e yönelik yeni bir XSP|ADP grubu oluşturmanızı öneririz. Bu şekilde aboneleri geçirmeniz sırasında iki hizmet bağımsız olarak çalışabilir.

  • Webex for Cisco BroadWorks uygulamalarını başka amaçlarla kullanılan bir XSP|ADP çiftliğine yerleştirmeniz durumunda, kullanımı izlemek, ortaya çıkan karmaşıklığı yönetmek ve artan ölçek için plan yapmak sizin sorumluluğunuzdadır.

  • Cisco BroadWorks Sistem Kapasitesi Planlayıcısı , özel bir XSP|ADP çiftliği varsayar ve kollokasyon hesaplamaları için kullanırsanız doğru olmayabilir.

Aksi belirtilmedikçe, Cisco BroadWorks XSP|ADP'ler için ayrılmış Webex aşağıdaki uygulamaları barındırmalıdır:

  • AuthService (CI Belirteci Doğrulaması veya mTLS olan TLS)

  • CTI (mTLS)

  • XSI-Eylemler (TLS)

  • XSI-Events (TLS)

  • DMS (TLS)—Isteğe bağlı. Ayrı bir DMS örneği dağıtmanız veya özellikle Cisco BroadWorks için Webex'e yönelik bir çiftlik oluşturmanız zorunlu değildir. UC-One SaaS veya UC-One Collaborate için kullandığınız DMS örneğini kullanabilirsiniz.

  • Çağrı Ayarları Webview (TLS)—Isteğe bağlı. Çağrı Ayarları Webview (CSW), yalnızca Cisco BroadWorks için Webex kullanıcılarının Webex Uygulamasında çağrı özelliklerini yapılandırabilmesini istiyorsanız gereklidir.

Webex, ağ doğrulaması tarafından güvenli hale getirildi bir arayüzden CTI'karşılıklı TLS gerektirir. Bu gereksinimi desteklemek için aşağıdaki seçeneklerden birini öneriyoruz:

  • (Seçenek 1 olarak etiketlenmiş diyagram) Her bir sunucuda iki arayüz yapılandırılmış tüm uygulamalar için bir XSP|ADP örneği veya çiftlik: CTI için mTLS arayüzü ve AuthService gibi diğer uygulamalar için TLS arayüzü.

  • (Seçenek 2 olarak etiketlenmiş şema) Biri CTI için mTLS arayüzüne sahip, diğeri AuthService gibi diğer uygulamalar için TLS arayüzüne sahip iki XSP|ADP örneği veya çiftlik.

XSP|ADP Yeniden Kullanımı

Yukarıdaki önerilen mimarilerden birine (Seçenek 1 veya 2) uyan mevcut bir XSP|ADP çiftliğiniz varsa ve hafif yüklüyse mevcut XSP|ADP'lerinizi yeniden kullanabilirsiniz. Mevcut uygulamalar ile Webex için yeni uygulama gereksinimleri arasında çakışan yapılandırma gereksinimi olmadığını doğrulamanız gerekecektir. İki temel husus:

  • XSP|ADP’de birden fazla Webex iş ortağı kuruluşunu desteklemeniz gerekiyorsa, bu durum Kimlik Doğrulama Hizmetinde mTLS kullanmanız gerektiği anlamına gelir (CI Belirteç Doğrulaması yalnızca XSP|ADP’de tek bir iş ortağı kuruluşu için desteklenir). Kimlik Doğrulama Hizmeti'nde mTLS kullanıyorsanız, aynı anda Kimlik Doğrulaması Hizmeti'nde temel kimlik doğrulamayı kullanan istemciniz olamayacak demektir. Bu durum, XSP|ADP’nin yeniden kullanılmasını önler.

  • Güvenli bağlantı noktasına (genellikle 8012) sahip ancak mTLS olmayan istemciler tarafından kullanılacak şekilde yapılandırılan mevcut CTI Hizmeti, mTLS’ye sahip Webex gereksinimi ile çakışır.

XSP|ADP’lerde çok sayıda uygulama olduğu ve bu uygulamaların permütasyon sayısı çok olduğu için, tanımlanamayan başka çakışmalar da olabilir. Bu nedenle, XSP|ADP’lerin olası yeniden kullanımı, yeniden kullanıma dahil edilmeden önce amaçlanan yapılandırmayla bir laboratuvarda doğrulanmalıdır.

XSP|ADP'de NTP Eşitlemesini Yapılandırma

Dağıtım, Webex ile kullandığınız tüm XSP|ADP’ler için zaman senkronizasyonu gerektirir.

OS'yi yükledikten ve BroadWorks yazılımını yüklemeden önce ntp paketini yükleyin. Ardından, XSP|ADP yazılım yüklemesi sırasında NTP'yi yapılandırabilirsiniz. Daha fazla bilgi için broadworks yazılım yönetimi kılavuzuna bakın.

XSP|ADP yazılımının etkileşimli kurulumu sırasında, size NTP’yi yapılandırma seçeneği verilir. Şu şekilde ilerleyin:

  1. Yükleyici sorarsa, NTP'yi yapılandırmak istiyor musunuz?, y girin.

  2. Yükleyici sorarsa, bu sunucu NTP sunucusu olacak mı?, n girin.

  3. Yükleyici sorarsa, NTP adresi, ana bilgisayar adı veya FQDN nedir? , NTP sunucunun adresini veya örneğin, yeni bir NTP hizmetini pool.ntp.org.

XSP|ADP'leriniz sessiz (etkileşimli olmayan) kurulum kullanıyorsa yükleyici yapılandırma dosyası aşağıdaki Anahtar=Değer çiftlerini içermelidir:

NTP
NTP_SERVER=

XSP|ADP Kimliği ve Güvenlik Gereksinimleri

Arka Plan

Cisco BroadWorks TLS bağlantılarının protokolleri ve şifreleri, farklı belirlilik seviyelerinde yapılandırılabilir. Bu seviyeler, en genel (SSL sağlayıcısı) ile en özel (bireysel arayüz) aralığına sahiptir. Daha özel bir ayar her zaman daha genel bir ayarı geçersiz kılar. Belirtilmemişse, 'düşük' düzey SSL ayarları 'daha yüksek' düzeylerden devralıldı.

Varsayılan ayarlarından hiçbir ayar değişmezse, tüm seviyeler SSL sağlayıcısı varsayılan ayarlarını (JSSE Java Güvenli Yuva Uzantısı) devralabilir.

Gereksinimler Listesi

  • XSP|ADP, Ortak Ad veya Konu Alternatif Adı XSI arabiriminin etki alanı bölümüyle eşleştiği CA imzalı bir sertifika kullanarak istemcilerde kendi kimliğini doğrulamalıdır.

  • Xsi arayüzü, TLSv1.2 protokolünü desteklemeli.

  • Xsi arayüzü, aşağıdaki gereksinimleri karşılayacak bir şifre paketi kullanlıdır.

    • Diffie-Hellman Geçici (DHE) veya Eliptik Eğriler Diffie-Hellman Geçici (ECDHE) anahtar değişimi

    • Minimum 128 bitlik engelleme boyutuna sahip AES (Gelişmiş Şifreleme Standardı) şifre (ör. AES-128 veya AES-256)

    • GCM (Biryazma/Sayacı Modu) veya CBC (Şifre Blok Zincirlekleme) şifre modu

      • CBC şifre kullanılırsa anahtar türetimi için yalnızca SHA2 ailesi karma fonksiyonlarına izin verilir (SHA256, SHA384, SHA512).

Örneğin, aşağıdaki şifreler gereksinimleri karşılar:

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

XSP|ADP CLI, yukarıda gösterildiği gibi, openSSL sözleşmesi değil, şifre paketleri için IANA adlandırma sözleşmesi gerektirir.

AuthService ve XSI Arayüzleri için desteklenen TLS Şifreleri

Bu liste, bulut güvenliği gereksinimlerimiz gelişmiş olduğu için değişebilir. Bu belgede gereksinimler listesinde açıklandığı gibi şifre seçimiyle ilgili mevcut Cisco bulut güvenlik önerilerini izleyin.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

  • TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

  • TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_PSK_WITH_AES_256_CBC_SHA384

  • TLS_PSK_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_PSK_WITH_AES_128_CBC_SHA256

  • TLS_PSK_WITH_AES_128_CBC_SHA

Xsi Events Ölçek Parametreleri

Cisco BroadWorks için hızlı bağlantının gerektirdiği etkinliklerin ses seviyesini işlemek için Xsi-Events kuyruk boyutunu ve dizi sayısını Webex gerekir. Parametreleri aşağıdaki gibi gösterilen minimum değerlere artırabilirsiniz (bu minimum değerlerin üzerinde iseler), bunları azaltmayın):

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventQueueSize = 2000

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventHandlerThreadCount = 50

Birden Fazla XSP|ADP

Yük Dengesi Edge Öğesi

Ağ ucunuzda bir yük dengeleme öğeniz varsa, birden fazla XSP|ADP sunucunuz ile Webex for Cisco BroadWorks bulutu ve istemcileri arasındaki trafiğin dağılımını şeffaf bir şekilde ele alması gerekir. Bu durumda, Cisco BroadWorks yapılandırması için hizmet müşterisi Webex URL'sini sağlarsiniz.

Bu mimariye notlar:

  • İstemcilerin Xsi arayüzüne bağlanırken yük dengeleyiciyi bulmasını sağlamak için DNS'i yapılandırma (DNS yapılandırmasınabakın).

  • Nokta veri şifrelemeyi işaret etmek için edge öğesini karşıt SSL proxy modunda yapılandırmanız önerilir.

  • XSP|ADP01 ve XSP|ADP02 sertifikalarının her ikisinde de Konu Alternatif Adında XSP|ADP etki alanı olmalıdır. Örneğin, your-XSP|ADP.example.com. Bunların Ortak Adında kendi FQDN’leri olmalıdır. Örneğin XSP|ADP01.example.com. Joker sertifikaları kullanabilirsiniz, ancak bunları önerilmez.

Internete Dönük XSP|ADP Sunucuları

Xsi arayüzlerini doğrudan ifşa ederseniz trafiği birden fazla XSP|ADP sunucusuna dağıtmak için DNS kullanın.

Bu mimariye notlar:

  • XSP|ADP sunucularına bağlanmak için iki kayıt gereklidir:

    • Webex mikro hizmetleri için: Birden fazla XSP|ADP IP adresini hedeflemek için dönüşümlü A/AAAA kayıtları gereklidir. Bunun nedeni, Webex mikro hizmetlerinin SRV aramaları yapamamasıdır. Örnekler için bkz. Webex Bulut Hizmetleri.

    • Webex Uygulaması için: Her A kaydının tek bir XSP|ADP'ye çözümlendiği A kayıtlarına çözümlenen bir SRV kaydı. Örnekler için bkz. Webex Uygulaması.

      Birden fazla XSP|ADP adresi için XSI hizmetini hedeflemek üzere öncelikli SRV kayıtlarını kullanın. SRV kayıtlarınızı önceliklendirin, böylece mikro hizmetler her zaman aynı A kaydına (ve sonraki IP adresine) gider ve yalnızca ilk IP adresi azalırsa sonraki A kaydına (ve IP adresine) geçer. Webex Uygulaması için dönüşümlü bir yaklaşım kullanmayın.

  • XSP|ADP01 ve XSP|ADP02 sertifikalarının her ikisinde de Konu Alternatif Adında XSP|ADP etki alanı olmalıdır. Örneğin, your-XSP|ADP.example.com. Bunların Ortak Adında kendi FQDN’leri olmalıdır. Örneğin XSP|ADP01.example.com.

  • Joker sertifikaları kullanabilirsiniz, ancak bunları önerilmez.

HTTP Yeniden Yönlendirmelerini Önleme

Bazen DNS, XSP|ADP URL'sini bir HTTP yük dengeleyiciye çözümleyecek şekilde yapılandırılır ve yük dengeleyicisi, ters bir proxy aracılığıyla XSP|ADP sunucularına yönlendirilecek şekilde yapılandırılır.

Webex, sağladığınız URL'lere bağlanırken bir yeniden yönlendirmeyi izlemez , bu nedenle bu yapılandırma çalışmaz.

Mimari & Altyapı

  • Ne tür bir ölçekle başlamayız? Gelecekte ölçeklendir tahmininiz olabilir, ancak mevcut kullanım tahmininiz altyapı planlamasını olmalı.

  • |Cisco BroadWorks Sistem Kapasitesi Planlayıcısı ve Cisco BroadWorks Sistem Mühendisliği Kılavuzu'na göre XSPADP altyapınızı boyutlandırmak için Cisco hesap yöneticiniz / satış temsilcinizle birlikte çalışın.

  • Webex, XSP|ADP’lerinize nasıl Karşılıklı TLS bağlantıları kuracak? Bir DMZ’de doğrudan XSP|ADP’ye mi yoksa TLS proxy’si aracılığıyla mı? Bu, sertifika yönetiminizi ve arayüzler için kullandığınız URL’leri etkiler. (Ağınızın ucunda şifrelenmemiş TCP bağlantılarını desteklemiyoruz).