Архітектура

Огляд Webex для BroadWorks

Що міститься на схемі?

Клієнти

  • Клієнт Webex App служить основним додатком у Webex для пропозицій Cisco BroadWorks. Клієнт доступний на десктопних, мобільних та веб-платформах.

    Клієнт має власний обмін повідомленнями, присутність та багатосторонні аудіо/ відеозустрічі, що надаються хмарою Webex. Клієнт Webex використовує вашу інфраструктуру BroadWorks для викликів SIP і ТМЗК.

  • IP-телефони Cisco та пов'язані з ними аксесуари також використовують інфраструктуру BroadWorks для викликів SIP та ТМЗК. Ми очікуємо, що зможемо підтримувати сторонні телефони.

  • Портал активації користувачів, на якому користувачі можуть входити у Вебекс, використовуючи свої облікові дані BroadWorks.

  • Partner Hub – це веб-інтерфейс для адміністрування вашої організації Webex та організацій ваших клієнтів. Партнерський хаб – це місце, де ви налаштовуєте інтеграцію між вашою інфраструктурою BroadWorks та Webex. Партнерський центр також використовується для керування конфігурацією клієнта та виставленням рахунків.

Мережа постачальників послуг

Зелений блок ліворуч від схеми представляє вашу мережу. Компоненти, розміщені у вашій мережі, надають такі служби та інтерфейси іншим частинам рішення:

  • Загальнодоступний XSP|ADP, для Webex для Cisco BroadWorks: (Коробка представляє одну або кілька ферм XSP|ADP, можливо, переді них балансують навантаження.)

    • Розміщує інтерфейс Xtended Services (XSI-дії та XSI-події), службу керування пристроями (DMS), інтерфейс CTI та службу автентифікації. Разом ці програми дозволяють телефонам і клієнтам Webex аутентифікуватися, завантажувати файли конфігурації дзвінків, здійснювати і приймати дзвінки, а також бачити стан гачка один одного (присутність телефонії) і історію дзвінків.

    • Публікує каталог для клієнтів Webex.

  • Загальнодоступний XSP|ADP, виконується мережева мережа:

    • Push-сервер сповіщень про виклики хоста: Сервер надсилання сповіщень на XSP|ADP у вашому середовищі. Він взаємодіє між вашим сервером додатків і нашим проксі-сервером NPS. Проксі-сервер надає вашим NPS недовговічні токени для авторизації сповіщень до хмарних сервісів. Ці сервіси (APNS & FCM) відправляють повідомлення про дзвінки клієнтам Webex на пристроях Apple iOS і Google Android.

  • Сервер додатків:

    • Забезпечує управління викликами та інтерфейси до інших систем BroadWorks (як правило)

    • Для потокового забезпечення AS використовується адміністратором-партнером для надання користувачам у Webex

    • Просуває профіль користувача в BroadWorks

  • OSS/BSS: Ваша операційна система підтримки / бізнес-послуги SIP для адміністрування ваших підприємств BroadWorks.

Хмара Webex

Синій блок на схемі представляє хмару Webex. Мікросервіси Webex підтримують повний спектр можливостей webex для співпраці:

  • Cisco Common Identity (CI) - це служба ідентифікації в Webex.

  • Webex for Cisco BroadWorks представляє набір мікросервісів, які підтримують інтеграцію між Webex і постачальником послуг, розміщеним у BroadWorks:

    • API підготовки користувачів

    • Конфігурація постачальника послуг

    • Вхід користувача за допомогою облікових даних BroadWorks

  • Вікно повідомлень Webex для мікросервісів, пов'язаних із повідомленнями.

  • Вікно Webex Meetings, що представляє сервери обробки медіа та SBC для відеозустрічей кількох учасників (SIP & SRTP)

Сторонні веб-служби

На схемі представлені наступні сторонні компоненти:

  • APNS (служба push-повідомлень Apple) надсилає сповіщення про дзвінки та повідомлення до програм Webex на пристроях Apple.

  • FCM (FireBase Cloud Messaging) надсилає сповіщення про дзвінки та повідомлення до програм Webex на пристроях Android.

Міркування архітектури XSP|ADP

Роль загальнодоступних серверів XSP|ADP у Webex для Cisco BroadWorks

Загальнодоступний XSP|ADP у вашому середовищі надає Webex і клієнтам такі інтерфейси/служби:

  • Служба аутентифікації (AuthService), захищена TLS, яка відповідає на запити Webex щодо BroadWorks JWT (JSON Web Token) від імені користувача

  • Інтерфейс CTI, захищений mTLS, на який Webex підписується на події історії дзвінків і статус присутності телефонії від BroadWorks (статус гачка).

  • Інтерфейси дій та подій Xsi (eXtended Services Interface) для керування абонентськими дзвінками, каталогів контактів та списків викликів, а також налаштування послуги кінцевого користувача телефонії

  • Служба DM (керування пристроями) для клієнтів, щоб отримати файли конфігурації виклику

Надавайте URL-адреси для цих інтерфейсів під час налаштування Webex для Cisco BroadWorks. (Див. розділ Налаштування кластерів BroadWorks у партнерському центрі в цьому документі.) Для кожного кластера можна надати лише одну URL-адресу для кожного інтерфейсу. Якщо у вас є кілька інтерфейсів у вашій інфраструктурі BroadWorks, ви можете створити кілька кластерів.

Архітектура XSP|ADP

Архітектура XSP|ADP: Варіант 1
Архітектура XSP|ADP: Варіант 2

Ми вимагаємо, щоб ви використовували окремий виділений екземпляр або ферму XSP|ADP, щоб організувати свою програму NPS (сервер надсилання сповіщень). Ви можете використовувати той самий NPS з UC-One SaaS або UC-One Collaborat. Однак ви можете не розміщувати інші програми, необхідні для Webex для Cisco BroadWorks, на тому самому XSP|ADP, що розміщує програму NPS.

Ми рекомендуємо використовувати виділений екземпляр/ферму XSP|ADP, щоб організувати необхідні програми для інтеграції Webex із таких причин

  • Наприклад, якщо ви пропонуєте UC-One SaaS, ми рекомендуємо створити нову ферму XSP|ADP для Webex для Cisco BroadWorks. Таким чином, дві служби можуть працювати незалежно, поки ви переносите передплатників.

  • Якщо ви розмістите програми Webex для Cisco BroadWorks на фермі XSP|ADP, що використовується в інших цілях, ви несете відповідальність за моніторинг використання, керування виникаючою складністю та планування збільшення масштабу.

  • Планувальник можливостей системи Cisco BroadWorks припускає виділену ферму XSP|ADP і може бути неточним, якщо ви використовуєте її для розрахунків колажу.

Якщо не зазначено інше, виділені Webex для Cisco BroadWorks XSP|ADP повинні мати такі програми:

  • AuthService (TLS з перевіркою токена CI або mTLS)

  • CTI (mTLS)

  • XSI-дії (TLS)

  • XSI-події (TLS)

  • DMS (TLS) — необов'язково. Не обов'язково розгортати окремий екземпляр DMS або ферму спеціально для Webex для Cisco BroadWorks. Ви можете використовувати той самий екземпляр DMS, який ви використовуєте для співпраці UC-One SaaS або UC-One.

  • Налаштування виклику Webview (TLS) — необов'язково. Webview налаштувань дзвінків (CSW) потрібен лише в тому випадку, якщо ви хочете, щоб Webex для користувачів Cisco BroadWorks могли налаштувати функції дзвінків у додатку Webex.

Webex вимагає доступу до CTI через інтерфейс, захищений взаємною аутентифікацією TLS. Щоб підтримати цю вимогу, ми рекомендуємо один із таких варіантів:

  • (Діаграма з міткою Варіант 1) Один екземпляр або ферма XSP|ADP для всіх програм із двома інтерфейсами, налаштованими на кожному сервері: інтерфейс mTLS для CTI та інтерфейс TLS для інших програм, таких як AuthService.

  • (Діаграма з міткою Варіант 2) Два екземпляри або ферми XSP|ADP, один з інтерфейсом mTLS для CTI, а інший з інтерфейсом TLS для інших програм, як-от служба автентифікації.

Повторне використання XSP|ADP

Якщо у вас є наявна ферма XSP|ADP, яка відповідає одній з запропонованих вище архітектур (варіант 1 або 2), і вона легко завантажена, то можна повторно використовувати наявні ферми XSP|ADP. Вам потрібно буде переконатися, що між існуючими програмами та новими вимогами до програм для Webex немає суперечливих вимог до конфігурації. Два основних міркування:

  • Якщо вам потрібно підтримувати кілька партнерських організацій Webex у XSP|ADP, це означає, що ви повинні використовувати mTLS у службі автентифікації (перевірка токена CI підтримується лише для однієї партнерської організації в XSP|ADP). Якщо ви використовуєте mTLS у службі автентифікації, це означає, що у вас не може бути клієнтів, які одночасно використовують базову автентифікацію в службі автентифікації. Ця ситуація запобігла б повторному використанню XSP|ADP.

  • Якщо існуюча служба CTI налаштована на використання клієнтами з захищеним портом (зазвичай 8012), але без mTLS (тобто аутентифікації клієнта), то це буде суперечити вимозі webex мати mTLS.

Оскільки XSP|ADP має багато застосунків і кількість перестановк цих застосунків велика, можуть виникнути інші невідомі конфлікти. З цієї причини будь-яке потенційне повторне використання XSP|ADP необхідно перевірити в лабораторії з цільовою конфігурацією, перш ніж погодитися на повторне використання.

Налаштувати синхронізацію NTP на XSP|ADP

Розгортання вимагає синхронізації часу для всіх XSP|ADP, які ви використовуєте з Webex.

Встановіть пакет ntp після установки ОС і перед установкою програмного забезпечення BroadWorks. Потім ви можете налаштувати NTP під час установлення програмного забезпечення XSP|ADP. Перегляньте Посібник із керування програмним забезпеченням BroadWorks для отримання більш детальної інформації.

Під час інтерактивного встановлення програмного забезпечення XSP|ADP у вас буде можливість налаштувати NTP. Дійте наступним чином:

  1. Коли інсталятор попросить налаштувати NTP?, введіть y.

  2. Коли інсталятор запитає: Чи збирається цей сервер бути сервером NTP?, введіть n.

  3. Коли інсталятор запитає: Що таке адреса NTP, ім’я хоста чи повне доменне ім’я?, введіть адресу вашого сервера NTP або загальнодоступної служби NTP, наприклад, pool.ntp.org.

Якщо ваші XSP|ADP використовують беззвучне (неінтерактивне) встановлення, файл конфігурації інсталятора має містити такі пари Key=Value:

NTP
NTP_SERVER=

Вимоги до ідентифікації та безпеки XSP|ADP

Фон

Протоколи і шифри TLS-з'єднань Cisco BroadWorks налаштовуються на різних рівнях специфічності. Ці рівні варіюються від найбільш загального (постачальник SSL) до найбільш конкретного (індивідуальний інтерфейс). Більш конкретний параметр завжди замінює більш загальний параметр. Якщо вони не вказані, налаштування SSL нижчого рівня успадковуються від "вищих" рівнів.

Якщо за замовчуванням жодні налаштування не змінюються, усі рівні успадковують налаштування постачальника SSL за замовчуванням (JSSE Java Secure Sockets Extension).

Перелік вимог

  • XSP|ADP має автентифікуватися клієнтам за допомогою підписаного CA сертифіката, у якому спільне ім’я або альтернативне ім’я суб’єкта збігаються з доменною частиною інтерфейсу XSI.

  • Інтерфейс Xsi повинен підтримувати протокол TLSv1.2.

  • Інтерфейс Xsi повинен використовувати набір шифрів, який відповідає наступним вимогам.

    • Диффі-Хеллман ефемерний (DHE) або еліптичні криві Діффі-Хеллмана ефемерний (ECDHE) обмін ключами

    • Шифр AES (Розширений стандарт шифрування) з мінімальним розміром блоку 128 біт (наприклад, AES-128 або AES-256)

    • Режим шифру GCM (режим Галуа/Лічильник) або CBC (ланцюжки блоків шифрів)

      • Якщо використовується шифр CBC, для виведення ключа допускається тільки сімейство хеш-функцій SHA2 (SHA256, SHA384, SHA512).

Наприклад, вимогам відповідають такі шифри:

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

XSP|ADP CLI вимагає конвенції IANA про іменування для наборів шифрів, як зазначено вище, а не openSSL.

Підтримувані шифри TLS для інтерфейсів AuthService та XSI

Цей список може змінюватися в міру розвитку наших вимог до хмарної безпеки. Дотримуйтесь поточної рекомендації Cisco щодо хмарної безпеки щодо вибору шифру, як описано в списку вимог у цьому документі.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

  • TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

  • TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_PSK_WITH_AES_256_CBC_SHA384

  • TLS_PSK_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_PSK_WITH_AES_128_CBC_SHA256

  • TLS_PSK_WITH_AES_128_CBC_SHA

Параметри масштабу подій Xsi

Можливо, вам доведеться збільшити розмір черги Xsi-Events і кількість потоків, щоб обробляти обсяг подій, який вимагає рішення Webex для Cisco BroadWorks. Ви можете збільшити параметри до показаних мінімальних значень наступним чином (не зменшуйте їх, якщо вони вище цих мінімальних значень):

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> РозмірЧергиПодій = 2000

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> КількістьЛанцюжківПодій = 50

Кілька XSP|ADP

Граничний елемент балансування навантаження

Якщо у вас є елемент балансування навантаження на межі мережі, він повинен прозоро обробляти розподіл трафіку між вашими кількома серверами XSP|ADP і хмарою Webex для Cisco BroadWorks і клієнтами. У цьому випадку ви вкажете URL-адресу балансувальника навантаження на конфігурацію Webex для Cisco BroadWorks.

Примітки щодо цієї архітектури:

  • Налаштуйте DNS, щоб клієнти могли знайти балансувальник навантаження при підключенні до інтерфейсу Xsi (див. КонфігураціяDNS).

  • Ми рекомендуємо налаштувати крайовий елемент у зворотному режимі проксі-сервера SSL, щоб забезпечити шифрування даних point to point.

  • Сертифікати XSP|ADP01 і XSP|ADP02 повинні мати домен XSP|ADP, наприклад ваш-XSP|ADP.example.com, в альтернативному імені суб’єкта. Вони повинні мати власні повні доменні імена, наприклад XSP|ADP01.example.com, у спільному імені. Ви можете використовувати сертифікати узагальнення, але ми не рекомендуємо їх використовувати.

Сервери XSP|ADP, спрямовані на Інтернет

Якщо ви виявляєте інтерфейси Xsi безпосередньо, використовуйте DNS, щоб розподілити трафік на кілька серверів XSP|ADP.

Примітки щодо цієї архітектури:

  • Для підключення до серверів XSP|ADP потрібно два записи:

    • Для мікрослужб Webex: Записи круглого типу A/AAAA потрібні для націлення кількох IP-адрес XSP|ADP IP. Це тому, що мікрослужби Webex не можуть здійснювати пошук SRV. Приклади див. в розділі Хмарні служби Webex.

    • Для програми Webex: Запис SRV, який зіставляється з записами, де кожен запис A зіставляється з одним XSP|ADP. Приклади див. в програмі Webex.

      Використовуйте пріоритетні записи SRV, щоб націлити службу XSI для кількох адрес XSP|ADP. Визначте пріоритетність своїх записів SRV, щоб мікросервіси завжди переходили на той самий запис A (і наступну IP-адресу) і переміщувалися до наступного запису A (і IP-адреси), лише якщо перша IP-адреса не працює. Не використовуйте підхід «Круглий рубін» для програми Webex.

  • Сертифікати XSP|ADP01 і XSP|ADP02 повинні мати домен XSP|ADP, наприклад ваш-XSP|ADP.example.com, в альтернативному імені суб’єкта. Вони повинні мати власні повні доменні імена, наприклад XSP|ADP01.example.com, у спільному імені.

  • Ви можете використовувати сертифікати узагальнення, але ми не рекомендуємо їх використовувати.

Уникайте перенаправлень HTTP

Іноді DNS налаштовується на вирішення URL XSP|ADP з балансувачем навантаження HTTP, а балансувач навантаження налаштовується на переспрямування за допомогою зворотного проксі на сервери XSP|ADP.

Під час підключення до наданих URL-адрес Webex не виконує переспрямування , тому ця конфігурація не працює.

Архітектура та інфраструктура

  • З якого масштабу ви маєте намір почати? У майбутньому можна масштабуватися, але ваша поточна оцінка використання повинна стимулювати планування інфраструктури.

  • Співпрацюйте зі своїм менеджером облікового запису Cisco / представником з продажу, щоб збільшити розмір інфраструктури XSP|ADP відповідно до планувальника системних можливостей Cisco BroadWorks та Cisco BroadWorks System Engineering Guide.

  • Як Webex здійснюватиме взаємне підключення TLS до ваших XSP|ADP? Безпосередньо до XSP|ADP у DMZ або через проксі-сервер TLS? Це впливає на керування сертифікатами та URL-адреси, які ви використовуєте для інтерфейсів (Ми не підтримуємо незашифровані підключення TCP до краю мережі).