准备您的环境
决策点
| 注意事项 | 问与答 | 资源 |
体系结构和基础设施 |
多少个 XSP? 它们如何获取 mTLS? |
Cisco BroadWorks 系统容量规划程序 Cisco Broadworks 系统工程指南 XSP CLI 参考资料 本文档 |
| 客户和用户预配置 | 您能否宣称自己信任 BroadWorks 中的电子邮件? 您希望用户提供电子邮件地址以激活他们自己的帐户吗? 您能否构建工具以使用我们的 API? |
公共 API 文档,位于 https://developer.webex.com 本文档 |
| 定制 | 您希望使用哪种颜色和徽标? | Webex 应用程序定制文章 |
| 模板 | 您有哪些不同的客户使用案例? | 本文档 |
| 每个客户/企业/群组的订阅者功能 | 选择软件包,以定义每个模板的服务级别。 基本、标准、高级或软件电话。 | 本文档 功能/软件包矩阵 |
| 用户身份验证 | BroadWorks 或 Webex | 本文档 |
| 预配置适配器(用于流式预配置选项) | 您是否已经在对 UC-One SaaS 等对象使用集成式 IM&P? 您打算使用多个模板吗? 预计是否会有更常见的使用案例? |
本文档 应用程序服务器 CLI 参考资料 |
体系结构和基础设施
您打算从哪种规模入手? 可以在将来进行扩展,但您目前的预计使用情况应该推动基础设施规划。
请与您的 Cisco 客户经理/销售代表合作,以根据 Cisco BroadWorks 系统容量规划程序和 Cisco BroadWorks 系统工程指南调整您的 XSP 基础设施规模。
Webex 如何建立与 XSP 之间的 MTLS 连接? 要直接连接到 DMZ 中的 XSP 还是通过 TLS 代理进行连接? 这将影响您的证书管理和您用于接口的 URL。 (我们不支持与网络边缘建立未加密的 TCP 连接。)
客户和用户预配置
哪些用户预配置方法最适合您?
使用受信任电子邮件的流式预配置: 在 BroadWorks 上分配“集成式 IM&P”服务之后,会自动在 Webex 中预配置订阅者。
如果您还能宣城 BroadWorks 中的订阅者电子邮件地址有效并且对 Webex 是唯一的,则您可以使用流式预配置的“受信任电子邮件”变体。 无需订阅者介入即可创建并激活订阅者 Webex 帐户;他们只需下载客户端并登录。
电子邮件地址是 Webex 上的一个关键用户属性。 因此,服务商必须为用户提供有效的电子邮件地址,以便为 Webex 服务预配置这些用户。 这必须存在于 BroadWorks 的用户“电子邮件 ID”属性中。 我们还建议您将其复制到“备用 ID”属性中。
不使用受信任电子邮件的流式预配置: 如果您不信任订阅者的电子邮件地址,则您仍然可以在 BroadWorks 中分配集成式 IM&P 服务,以便在 Webex 中预配置用户。
使用此选项,会在您分配此服务时创建帐户,但订阅者需要提供并验证他们的电子邮件地址,以激活 Webex 帐户。
用户自行预配置: 此选项不要求在 BroadWorks 中分配 IM&P 服务。 您(或您的客户)利用定制和说明,分发预配置链接以及用于下载不同客户端的链接。
订阅者需要使用此链接,然后提供并验证他们的电子邮件地址,以创建并激活他们的 Webex 帐户。 随后,他们需要下载客户端并登录,Webex 会从 BroadWorks 获取一些有关他们的其他配置(包括他们的主号码)。
通过 API 进行 SP 受控预配置: Webex 公开一组公共 API,允许服务商构建用户/订户预配置,以添加到其现有工作流程中。
预配置要求
下表总结了每种预配置方法的要求。 除这些要求外,您的部署还必须满足本指南中描述的一般系统要求。
设置方法 |
要求 |
|---|---|
流式预配置 (受信任或不受信任的电子邮件) |
当用户满足要求并且您打开 式IM+P 服务时,Webex预配置API会自动将现有BroadWorks用户添加到Webex。 您可以通过Webex上的客户模板分配两个流(受信任的电子邮件或不受信任的电子邮件)。 BroadWorks要求:
Webex要求: 客户模板包括以下设置:
|
用户自行预配置 |
管理员为现有的BroadWorks用户提供用户激活门户的链接。 用户必须使用BroadWorks凭证登录门户并提供有效的电子邮件地址。 验证电子邮件后,Webex将获取其他用户信息以完成预配置。 BroadWorks要求:
Webex要求: 客户模板包括以下设置:
|
通过API的SP控制预配置 (受信任或不受信任的电子邮件) |
Webex公开了一组公共API,使您能够将用户预配置构建到现有工作流程和工具中。 有两个流程:
BroadWorks要求:
Webex要求:
要使用API,请转至 BroadWorks订阅者。 |
流式预配置所需的补丁
如果要使用流式预配置,必须安装系统补丁并应用 CLI 属性。 请参阅下面的列表,获得适用于 BroadWorks 发行版的说明:
对于 R22:
完成安装后,将属性
bw.msg.includeIsEnterpriseInOSSschema到true(通过 维护/容器选项中的 CLI 执行)。有关更多信息,请参阅补丁说明 https://www.cisco.com/web/software/286326332/154309/AP.as.22.0.1123.ap376508.txt。
对于 R23:
完成安装后,将属性
bw.msg.includeIsEnterpriseInOSSschema到true(通过 维护/容器选项中的 CLI 执行)。有关更多信息,请参阅补丁说明 https://www.cisco.com/web/software/286326332/154325/AP.as.23.0.1075.ap376509.txt。
对于 R24:
完成安装后,将属性
bw.msg.includeIsEnterpriseInOSSschema到true(通过 维护/容器选项中的 CLI 执行)。有关更多信息,请参阅补丁说明 https://www.cisco.com/web/software/286326332/154326/AP.as.24.0.944.ap375100.txt。
 |
完成这些步骤后,您将无法使用 UC-One Collaborate 服务预配置新用户。 新近预配置的用户必须是 Webex for Cisco BroadWorks 用户。
|
支持的语言区域设置
在设置期间,在 BroadWorks 中分配给第一个设置的管理员用户的语言将自动分配为该客户组织的默认区域设置。 此设置确定该客户组织下用于激活电子邮件、会议和会议邀请的默认语言。
支持(ISO-639-1)_(ISO-3166)格式的五个字符语言区域设置。 例如,en_US对应于English_UnitedStates。 如果只请求了两个字母的语言(使用ISO-639-1格式),服务将通过将请求的语言与模板中的国家/地区代码(即“requestedLanguage_国家/地区代码”)组合,生成五个字符的语言区域设置,如果无法获取有效的区域设置,则根据所需的语言代码使用的默认合理区域设置。
下表列出了支持的区域设置,以及将两个字母的语言代码转换为五个字符的区域设置的映射,用于在没有五个字符的区域设置的情况下。
支持的语言区域设置 (ISO-639-1)_(ISO-3166) |
如果只有两个字母的语言代码可用… |
|
|---|---|---|
语言代码(ISO-639-1)** |
使用默认的合理区域设置(ISO-639-1)_(ISO-3166) |
|
en_美国 en_AU en_GB en_CA |
en |
en_美国 |
fr_FR fr_CA |
fr |
fr_FR |
cs_CZ |
cscs |
cs_CZ |
da_丹麦 |
da |
da_丹麦 |
de_de |
de |
de_de |
hu_胡 |
hu |
hu_胡 |
id_标识 |
标识 |
id_标识 |
it_IT |
IT |
it_IT |
ja_JP |
ja |
ja_JP |
ko_韩国 |
ko |
ko_韩国 |
es_es es_一氧化碳 es_MX |
es |
es_es |
nl_NL |
nl |
nl_NL |
nb_否 |
编号 |
nb_否 |
pl_PL |
pl |
pl_PL |
pt_PT pt_BR |
pt |
pt_PT |
ru_RU |
ru |
ru_RU |
ro_RO |
roRO |
ro_RO |
zh_快递 之 家 zh_台湾 |
zh |
zh_快递 之 家 |
sv_SE |
sv |
sv_SE |
ar_SA |
ar |
ar_SA |
tr_TR |
tr |
tr_TR |
|
Webex会议站点不支持区域设置es_ <UNK> 、id_ <UNK> 、nb_ <UNK>和 pt_ <UNK> 。 对于这些区域设置,Webex Meetings站点将仅使用英语。 如果站点不需要/无效/不受支持的区域设置,则英语是站点的缺省区域设置。 此语言字段在创建组织和Webex Meetings站点时适用。 如果帖子或订阅者的API中没有提到任何语言,则模板中的语言将用作默认语言。 |
定制
合作伙伴管理员可以使用高级定制自定义 Webex 应用程序查找合作伙伴管理的客户组织的方式。 合作伙伴管理员可以自定义以下设置,以确保 Webex 应用程序反映其公司品牌和标识:
公司徽标
浅色模式或深色模式的唯一配色方案
自定义的支持 URL
有关如何自定义外观方案的详细信息,请参阅配置高级外观方案自定义。
|
|
客户模板
使用客户模板,您可以定义在 Webex for Cisco BroadWorks 上自动预配置客户和相关订阅者时使用的参数。 您可以按要求配置多个客户模板,但当您加入客户时,此客户将只与一个模板相关联(您无法对一个客户应用多个模板)。
下面列出了一些主要模板参数。
收费标准
创建模板时,必须选择默认软件包(请参阅“概述”一节中的软件包,以了解详细信息)。 使用此模板预配置的所有用户,无论是通过流式预配置还是自行预配置,都将收到默认软件包。
您可以创建多个模板并在每个模板中选择不同的默认软件包,以控制不同客户的软件包选择。 随后,您可以根据您为这些模板选择的用户预配置方法,分发不同的预配置链接或者供每个企业使用的不同预配置适配器。
您可以使用预配置 API(请参阅 Webex for Cisco BroadWorks API 文档)或通过 Partner Hub(请参阅在 Partner Hub 中更改用户软件包),更改特定订阅者的软件包,而不使用此缺省设置。
您无法从 BroadWorks 中更改订阅者的软件包。 集成式 IM&P 服务的分配已打开或关闭;如果在 BroadWorks 中为订阅者分配了此服务,则与此订阅者的企业预配置 URL 关联的 Partner Hub 模板将定义软件包。
是转售商和企业还是服务商和群组?
BroadWorks 系统的配置方式会影响流式预配置。 如果您是企业的转售商,则需要在创建模板时启用“企业”模式。
如果在“服务商”模式下配置了您的 BroadWorks 系统,则可以在模板中关闭“企业”模式。
如果您打算同时使用这两种 BroadWorks 模式来预配置客户组织,则必须对群组和企业使用不同的模板。
|
确保您已应用使用流式预配置所需的 BroadWorks 补丁。 有关详细信息,请参阅使用流式预配置所需的补丁。
|
验证模式
确定订阅者在登录Webex时如何进行验证。 您可以使用客户模板中的验证模式设置分配该模式。 下表列出了一些选项。
|
此设置不会对登录用户激活门户产生影响。 登录门户的用户必须输入其在BroadWorks上配置的BroadWorks用户ID和密码,无论您如何在客户模板上配置身份验证模式。
|
| 验证模式 | BroadWorks | Webex |
| 主用户 ID | BroadWorks 用户 ID | 电子邮件地址 |
| 身份提供程序 | BroadWorks。
|
Cisco Common Identity |
| 多因素身份验证? | 不支持 | 需要支持多因素身份验证的客户 IdP。 |
凭证验证路径 |
|
|
|
有关具有 BroadWorks 直接身份验证功能的 SSO 登录流程的更多详细信息,请参阅 SSO 登录流程。
|
使用BroadWorks验证进行UTF-8编码
通过BroadWorks验证,我们建议您为验证标头配置UTF-8编码。 UTF-8解决了使用特殊字符的密码可能引起的问题,即Web浏览器无法正确编码字符。 使用UTF-8编码的Base 64编码报头可解决此问题。
您可以通过在XSP或ADP上运行以下CLI命令之一来配置UTF-8编码:
XSP_CLI/Applications/WebContainer/Tomcat/GeneralSettings> set authenticationEncoding UTF-8ADP_CLI/Applications/WebContainer/Tomcat/GeneralSettings> set authenticationEncoding UTF-8
国家
创建模板时必须选择国家/地区。 对于使用Common 模板预配置的所有客户,将自动将此国家/地区指定为组织国家/地区。 此外,组织所在国家/地区将确定Webex会议站点中Cisco PSTN的缺省全球呼入号码。
站点的缺省全球呼入号码将根据组织所在国家/地区设置为电话域中定义的第一个可用拨入号码。 如果在电话域中定义的拨入号码中找不到组织的国家/地区,将使用该位置的缺省号码。
S号 |
地点 |
国家或地区代码 |
国家或地区名称 |
|---|---|---|---|
1 |
美洲地区 |
+1 |
美国,ca |
2 |
亚太地区 |
+65 |
新加坡 |
3 |
澳大利亚和新西兰 |
+61 |
澳大利亚 |
4 |
欧洲、中东及非洲 |
+44 |
英国 |
5 |
欧元 |
+49 |
德国 |
多个合作伙伴协议
您是否要将 Webex for Cisco BroadWorks 再授权给另一个服务商? 在这种情况下,每个服务商都需要在 Webex Control Hub 中拥有一个独有的合作伙伴组织,以使他们能够为客户群预配置解决方案。
预配置适配器和模板
当使用流式预配置时,在 BroadWorks 中输入的预配置 URL 将来自 Control Hub 中的模板。 您可以有多个模板,因此可以有多个预配置 URL。 这样,您可以按企业选择在向订阅者授予“集成式 IM&P”服务时对订阅者应用哪个软件包。
您需要考虑是否要将系统级预配置 URL 设置为默认预配置路径以及您希望对其使用哪个模板。 这样,您只需为需要不同模板的企业明确设置预配置 URL。
此外,请记住,您可能已经在对 UC-One SaaS 等对象使用系统级预配置 URL。 如果是这样,您可以选择在 UC-One SaaS 上保留用于预配置用户的系统级 URL,并为迁移到 Webex for Cisco BroadWorks 的那些企业进行覆盖。 您也可能希望采用另一种方法设置用于 Webex for BroadWorks 的系统级 URL,并重新配置您希望在 UC-One SaaS 上保留的那些企业。
使用预配置服务URL配置应用程序服务器中详细说明了与此决定相关的配置选项。
预配置适配器代理
为了提高安全性,预配置适配器代理允许您在应用程序交付平台上使用HTTP(S)代理在AS和Webex之间进行流式预配置。 代理连接创建端到端TCP隧道,在AS和Webex之间中继流量,因此无需AS直接连接到公共互联网。 对于安全连接,可以使用TLS。
此功能要求您在BroadWorks上设置代理。 有关详细信息,请参阅 isco BroadWorks预配置适配器代理功能说明。
最低要求
帐户
您为 Webex 预配置的所有订阅者必须都存在于与 Webex 集成的 BroadWorks 系统中。 如有必要,您可以集成多个 BroadWorks 系统。
所有订阅者都必须拥有BroadWorks许可证和主号码或分机号。
Webex 将电子邮件地址用作所有用户的主要标识符。 如果您使用受信任的电子邮件进行流式预配置,则您的用户必须在 BroadWorks 的“电子邮件”属性中拥有有效的地址。
如果您的模板使用 BroadWorks 身份验证,则您可以将订阅者电子邮件地址复制到 BroadWorks 的“备用 ID”属性中。 这样,用户就能够使用他们的电子邮件地址和 BroadWorks 密码登录到 Webex。
您的管理员必须使用他们的 Webex 帐户登录到 Partner Hub。
|
不支持将BroadWorks管理员载入Webex for Cisco BroadWorks。 您只能加入主号码和/或分机号的BroadWorks呼叫用户。 如果您使用流式预配置,还必须为用户分配集成IM&P服务。
|
网络服务器和软件要求
最低版本为 R22 的 BroadWorks 实例。 有关支持的版本和补丁,请参阅(本文档中的)“BroadWorks 软件要求”。 有关更多信息,请参阅 BroadSoft产品生命周期政策 BroadSoft生命周期策略 BroadWorks软件兼容性矩阵中的部分。
BroadWorks 实例应当至少包含以下服务器:
具有上述 BroadWorks 版本的应用程序服务器 (AS)
网络服务器 (NS)
档案服务器 (PS)
满足以下要求的面向公众的 XSP 服务器或应用程序交付平台 (ADP):
身份验证服务 (BWAuth)
XSI Actions 和 XSI Events 接口
DMS(设备管理 Web 应用程序)
CTI 接口(计算机电话集成)
具有(未自签名的)有效证书和所需的任何中间资料的 TLS 1.2。 需要系统级管理员来帮助查找企业。
用于身份验证服务的相互 TLS (mTLS) 身份验证(需要将公共 Webex 客户端证书链作为信任锚安装)
用于 CTI 接口的相互 TLS (mTLS) 身份验证(需要将公共 Webex 客户端证书链作为信任锚安装)
一台充当“呼叫通知推送服务器”的独立 XSP/ADP 服务器(您环境中用于向 Apple/Google 推送呼叫通知的 NPS)。 在这里,我们将它称为“CNPS”,以将其与 Webex 中负责为消息传递和在线状态提供推送通知的服务区分开。
此服务器必须位于 R22 或更高版本上。
我们强制要求为 CNPS 使用单独的 XSP/ADP 服务器,因为从 Webex for BWKS 云连接加载时的不可预见性可能会因通知延迟增大而对 NPS 服务器的性能产生负面影响。 有关 XSP 规模的更多信息,请参阅 Cisco BroadWorks 系统工程指南。
Webex 应用程序平台
要下载英文版Webex应用程序,请转至 https://www.webex.com/webexfromserviceproviders-downloads.html。 Webex应用程序在以下位置可用:
Windows PC/笔记本电脑
使用 MacOS 的 Apple PC/笔记本电脑
iOS (Apple store)
Android (Play Store)
Web浏览器(转至 https://teams.webex.com/)
本地化版本
要下载本地化版本的Webex应用程序,请使用以下链接之一:
https://origin-webex-uat.cisco.com/ko/webexfromserviceproviders-downloads.html (韩语)
https://origin-webex-uat.cisco.com/fr/webexfromserviceproviders-downloads.html (法语)
https://origin-webex-uat.cisco.com/pt/webexfromserviceproviders-downloads.html (葡萄牙语)
https://origin-webex-uat.cisco.com/zh-tw/webexfromserviceproviders-downloads.html (繁体中文)
https://origin-webex-uat.cisco.com/zh-cn/webexfromserviceproviders-downloads.html (简体中文)
https://origin-webex-uat.cisco.com/ja/webexfromserviceproviders-downloads.html (日本)
https://origin-webex-uat.cisco.com/es/webexfromserviceproviders-downloads.html (西班牙)
https://origin-webex-uat.cisco.com/de/webexfromserviceproviders-downloads.html (德语)
https://origin-webex-uat.cisco.com/it/webexfromserviceproviders-downloads.html (意大利语)
物理电话和配件
Cisco IP 电话:
带多平台固件的 Cisco IP Phone 6800 系列
带多平台固件的 Cisco IP Phone 7800 系列
带多平台固件的 Cisco IP Phone 8800 系列
有关型号和更多信息,请参阅 https://www.cisco.com/c/en/us/products/collaboration-endpoints/ip-phones/multiplatform-firmware.html。
我们像其他 BroadWorks 集成那样支持第三方电话。 但它们尚无与 Webex for Cisco BroadWorks 的联系人和在线状态集成。
适配器:
Cisco ATA 191 多平台模拟电话适配器
Cisco ATA 192 多平台模拟电话适配器
有关型号和更多信息,请参阅 https://www.cisco.com/c/en/us/products/unified-communications/ata-190-series-analog-telephone-adapters/index.html。
耳机:
Cisco Headset 500 系列
有关型号和更多信息,请参阅https://www.cisco.com/c/en/us/products/collaboration-endpoints/headset-500-series/index.html。
- 协作室操作系统设备:
Webex Room和Room Kit系列
Webex Desk 系列
Webex Board 系列
设备集成
有关如何为Webex for Cisco BroadWorks载入和服务协作室操作系统和MPP设备的详细信息,请参阅Webex for Cisco BroadWorks的 集成指南。
设备档案
以下是您需要加载到应用程序服务器上的DTAF文件,以支持作为呼叫客户端的Webex应用程序。 他们与用于 UC-One SaaS 的 DTAF 文件相同,但用于 Webex 应用程序的是新 config-wxt.xml.template 用于Webex应用程序的文件。
要下载最新的设备配置文件,请转至应用交付平台 下载 站点获取最新的DTAF文件。 这些下载适用于ADP和XSP。
客户端名称 |
设备档案类型和软件包名称 |
|---|---|
Webex 移动设备模板 |
身份/设备档案类型: 连接 - 移动设备 DTAF: 配置文件: |
Webex 平板电脑模板 |
身份/设备档案类型: 连接 - 平板电脑 DTAF: 配置文件: |
Webex 桌面模板 |
身份/设备档案类型: Business Communicator - PC DTAF: 配置文件: |
标识/设备配置文件
所有Webex for Cisco BroadWorks用户必须在BroadWorks中分配使用上述设备配置文件之一的标识/设备配置文件,才能使用Webex应用程序发起呼叫。 配置文件提供允许用户发出呼叫的配置。
获取Webex for Cisco BroadWorks的OAuth凭证
向您的自行激活代理或Cisco TAC提出服务请求,以便为您的Cisco身份提供程序联合帐户预配置Cisco OAuth。
对各自的功能使用以下请求标题:
XSP AuthService配置'以在XSP上配置服务。
“用于验证代理设置的NPS配置”将NPS配置为使用验证代理。
用于CI用户UUID同步的CI User UUID Sync。 有关此功能的更多详细信息,请参阅: Cisco BroadWorks支持CI UUID。
配置BroadWorks以启用Cisco Billingfor BroadWorks和Webex For BroadWorks订阅。
Cisco 会为您提供一个 OAuth 客户端 ID、客户端密码和一个有效期为 60 天的刷新令牌。 如果令牌在使用前已过期,您可以提出其他请求。
|
如果您已获得Cisco OAuth身份提供程序凭证,请完成新的服务请求以更新凭证。 |
订购证书
TLS 身份验证证书要求
对于所有必要的应用程序,您需要由知名的证书颁发机构签发并部署在面向公众的 XSP 上的安全证书。 这些安全证书将用于支持对 XSP 服务器的所有入站连接进行 TLS 证书验证。
这些证书应当包含 XSP 公共完全限定的域名,作为“使用者公用名”或“使用者替代名称”。
部署这些服务器证书时,具体的要求取决于您面向公众的 XSP 的部署方式:
通过 TLS 桥接代理
通过 TLS 传递代理
直接连接到 XSP
下图总结了在下面这三种情况下需要加载 CA 签发的公共服务器证书的位置:
支持的 Webex 混合服务证书颁发机构中列出了 Webex 应用程序支持用于身份验证的公共支持 CA。
TLS 桥接代理的 TLS 证书要求
将公开签发的服务器证书加载到代理中。
代理向 Webex 出示此公开签发的服务器证书。
Webex 信任签发代理服务器证书的公共 CA。
可以将内部 CA 签发的证书加载到 XSP。
XSP 向代理出示此内部签发的服务器证书。
代理信任签发 XSP 服务器证书的内部 CA。
DMZ 中的 TLS 传递代理或 XSP 的 TLS 证书要求
将公开签发的服务器证书加载到 XSP 中。
XSP 向 Webex 出示公开签发的服务器证书。
Webex 信任签发 XSP 服务器证书的公共 CA。
通过 CTI 接口进行 MTLS 身份验证的其他证书要求
当连接到 CTI 接口时,Webex 会在执行 MTLS 身份验证时出示客户端证书。 可以通过 Control Hub 下载 Webex 客户端证书 CA/链证书。
要下载证书:
登录到 Partner Hub,转至 并单击下载证书链接。
部署此 Webex CA 证书链时,具体的要求取决于您面向公众的 XSP 的部署方式:
通过 TLS 桥接代理
通过 TLS 传递代理
直接连接到 XSP
下图总结了下面这三种情况下的证书要求:
(选项)TLS 桥接代理的 TLS 证书要求
Webex 向代理出示公开签发的客户端证书。
代理信任签发客户端证书的 Cisco 内部 CA。 可以从 Control Hub 下载此 CA/链,并将其添加到代理的信任库。 还要将公开签发的 XSP 服务器证书加载到代理中。
代理向 Webex 出示公开签发的服务器证书。
Webex 信任签发代理服务器证书的公共 CA。
代理向 XSP 出示内部签发的客户端证书。
此证书必须使 x509.v3 扩展字段Extended Key Usage填充 BroadWorks OID 1.3.6.1.4.1.6431.1.1.8.2.1.3和 TLS clientAuth 目的。 例如:
X509v3 extensions: X509v3 Extended Key Usage: 1.3.6.1.4.1.6431.1.1.8.2.1.3, TLS Web Client Authentication内部证书的 CN 必须是 bwcticlient.webex.com。
请注意,当为代理生成内部客户端证书时,不支持 SAN 证书。 XSP 的内部服务器证书可以是 SAN。
公共证书颁发机构可能不愿意使用所要求的专用 BroadWorks OID 签发证书。 当使用桥接代理时,您可能被迫使用内部 CA 来签发代理要向 XSP 出示的客户端证书。
XSP 信任内部 CA。
XSP 出示内部签发的服务器证书。
代理信任内部 CA。
应用程序服务器的 ClientIdentity 包含代理向 XSP 出示的内部签发客户端证书的 CN。
(选项)DMZ 中的 TLS 传递代理或 XSP 的证书要求
Webex 向 XSP 出示 Cisco 内部 CA 签发的客户端证书。
XSP 信任签发客户端证书的 Cisco 内部 CA。 可以从 Control Hub 下载此 CA/链,并将其添加到代理的信任库。 还要将公开签发的 XSP 服务器证书加载到 XSP 中。
XSP 向 Webex 出示公开签发的服务器证书。
Webex 信任签发 XSP 服务器证书的公共 CA。
应用程序服务器的 ClientIdentity 包含 Webex 向 XSP 出示的 Cisco 签发客户端证书的 CN。
准备网络
有关Webex for Cisco BroadWorks使用的连接的更多信息,请参阅: Webex for Cisco BroadWorks的网络要求。 本文包含配置防火墙入口和出口规则所需的IP地址、端口和协议列表。
Webex 服务的网络要求
上述入口和出口规则防火墙表仅记录特定于 Webex for Cisco BroadWorks 的连接。 有关 Webex 应用程序和 Webex 云之间连接的常规信息,请参阅 Webex 服务的网络要求。 本文对 Webex 通用,但是下表列出了本文的其他部分以及各部分与 Webex for Cisco BroadWorks 的相关性。
网络要求文章部分 |
信息相关性 |
|---|---|
信息式 |
|
信息式 |
|
必须读取 |
|
必须读取 |
|
必须读取 |
|
可选 |
|
可选 |
|
可选 |
|
可选 |
|
可选 |
|
可选 |
|
适用于 FedRAMP 客户的 Webex 服务 |
不适用 |
其他信息
有关其他信息,请参阅 Webex 应用程序防火墙白皮书 (PDF)。
BroadWorks 冗余支持
需要访问合作伙伴网络的 Webex 云服务和 Webex 客户端应用程序完全支持合作伙伴提供的 Broadworks XSP 冗余。 如果 XSP 或站点因计划内维护或意外原因而无法使用,Webex 服务和应用程序可转至合作伙伴提供的其他 XSP 或站点来完成请求。
网络拓扑
Broadworks XSP 可以直接在互联网上进行部署,也可以驻留在位于负载平衡元素(如 F5 BIG-IP)之后的 DMZ 中。 为了提供地理冗余,可以在两个(或两个以上)数据中心中部署 XSP,每个 XSP 都可以位于负载平衡器之后并且都有一个公共 IP 地址。 如果 XSP 位于负载平衡器之后,Webex 微服务和应用程序只能看到负载平衡器的 IP 地址,而 Broadworks 显示为只有一个 XSP,即使其后存在多个 XSP 也是如此。
在下面的示例中,XSP 部署在两个站点(即,站点 A 和站点 B)上。每个站点的负载平衡器之后有两个 XSP。 站点 A 的 LB1 之后是 XSP1 和 XSP2,而站点 B 的 LB2 之后是 XSP3 和 XSP4。 公共网络上仅显示负载平衡器,而 XSP 位于 DMZ 专用网络中。
Webex 云服务
DNS 配置
Webex 云微服务必须能够找到用于连接到 Xsi 接口、身份验证服务以及 CTI 的 BroadWorks XSP 服务器。
Webex 云微服务将对已配置的 XSP 主机名执行 DNS A/AAAA 查找,并连接到返回的 IP 地址。 此云可以是一个负载平衡边缘元素,也可以是 XSP 服务器本身。 如果返回多个 IP 地址,将选中列表中的第一个 IP。 当前不支持 SRV 查找。
例如: 合作伙伴的DNS A记录,用于发现面向互联网的轮询平衡的XSP服务器/负载平衡器。
记录类型 |
姓名 |
目标物 |
目的 |
|---|---|---|---|
A |
|
|
指向 LB1(站点 A) |
A |
|
|
指向 LB2(站点 B) |
故障转移
如果 Webex 微服务向 XSP/负载平衡器发送请求,但该请求失败,可能会发生以下情况:
如果故障是由于网络错误(例如: TCP 和 SSL)造成的,Webex 微服务会将 IP 标记为“已阻止”,并立即路由至下一个 IP。
如果返回错误代码(HTTP 5xx),Webex微服务会将IP标记为已阻止,并立即路由到下一个IP。
如果在 2 秒钟内未收到 HTTP 响应,请求将超时,Webex 微服务会将 IP 标记为“已阻止”,并路由至下一个 IP。
每个请求会先尝试 3 次,之后再向微服务报告故障。
如果某个 IP 位于已阻止列表中,那么该 IP 不会加入到向 XSP 发送请求时尝试使用的地址列表中。 经过预定的时间段后,被阻止的 IP 将失效,并重新加入到发出其他请求时尝试使用的列表中。
如果所有 IP 地址均被阻止,微服务仍会在已阻止列表中随机选择某个 IP 地址,从而尝试发送请求。 如果操作成功,相应的 IP 地址将从已阻止列表中删除。
状态
可以在 Control Hub 中查看 Webex 云服务与 XSP 或负载平衡器的连接状态。 在 BroadWorks 呼叫集群下,显示了以下各个接口的连接状态:
XSI 操作
XSI 活动
验证服务
加载页面时或者在输入更新期间,连接状态会更新。 连接状态如下:
绿色: 可以使用 A 记录查找中的某个 IP 访问接口时。
红色: A 记录查找中的所有 IP 都无法供访问,并且接口不可用时。
以下服务使用微服务连接到 XSP,并受 XSP 接口可用性影响:
登录 Webex 应用程序
刷新 Webex 应用程序令牌
不受信任的电子邮件/自助激活
Broadworks 服务运行状况检查
Webex 应用程序
DNS 配置
Webex 应用程序在 XSP 上访问扩展服务接口(XSI-Actions 和 XSI-Events)以及设备管理服务 (DMS)。
要查找XSI服务,Webex应用程序为以下对象执行DNS SRV查找 _xsi-client._tcp.<webex app xsi domain> 。 SRV指向为XSI服务的XSP主机或负载平衡器配置的URL。 如果SRV查找不可用,Webex应用程序将恢复为A/AAAA查找。
SRV可以解析到多个A/AAAA目标。 但是,每个A/AAAA记录只能映射到一个IP地址。 如果 DMZ 中有多个 XSP 位于负载平衡器/边缘设备之后,那么需要将负载均衡器配置为保持会话持续性,以便将同一会话的所有请求路由到同一 XSP。 我们强制使用此配置,因为客户端的 XSI 事件检测信号必须转到用于建立事件通道的相应 XSP。
|
在示例1中,webex-app-xsp.example.com的A/AAAA记录不存在,也不需要。 如果您的DNS要求必须定义一个A/AAAA记录,则只应返回一个IP地址。 无论如何,仍必须为Webex应用程序定义SRV。 如果Webex应用程序使用解析为多个IP地址的A/AAAA名称,或者负载平衡器/边缘元素不保持会话持续性,客户端最终会向未建立事件通道的XSP发送信号。 这样会导致通道被破坏,还会有多得多的内部流量影响您的 XSP 集群性能。 由于Webex云和Webex应用程序在A/AAAA记录查找中有不同的要求,您必须为Webex云和Webex应用程序使用单独的FQDN来访问您的XSP。 如示例中所示,Webex云使用记录 |
示例1—多个XSP,每个位于独立的负载平衡器
在本例中,SRV指向多倍于A记录,每个A记录指向不同站点的不同负载平衡器。 Webex应用程序将始终使用列表中的第一个IP地址,仅在第一条记录关闭时移至下一条记录。
记录类型 |
录制 |
目标物 |
目的 |
|---|---|---|---|
SRV |
|
|
XSI 接口的客户端发现 |
SRV |
|
|
XSI 接口的客户端发现 |
A |
|
|
指向 LB1(站点 A) |
A |
|
|
指向 LB2(站点 B) |
示例2—一个负载平衡器后面有多个XSP(具有TLS桥)
对于初始请求,负载平衡器选择一个随机XSP。 该XSP返回Webex应用程序在未来的请求中包含的cookie。 对于未来的请求,负载平衡器使用cookie将连接路由到正确的XSP,确保事件通道不会断开。
记录类型 |
录制 |
目标物 |
目的 |
|---|---|---|---|
SRV |
|
|
负载平衡器 |
A |
LB.example.com |
|
负载平衡器的IP地址(XSP位于负载平衡器之后) |
DMS URL
在登录过程中,Webex 应用程序还将检索 DMS URL,以便下载其配置文件。 系统将对 URL 中的主机进行解析,Webex 应用程序将对主机执行 DNS A/AAAA 查找,以便连接到托管 DMS 服务的 XSP。
例如: DNS A 记录,用于供 Webex 应用程序发现面向互联网的轮询均衡式 XSP 服务器/负载平衡器,从而通过 DMS 下载配置文件:
记录类型 |
姓名 |
目标物 |
目的 |
|---|---|---|---|
A |
|
|
指向 LB1(站点 A) |
A |
|
|
指向 LB2(站点 B) |
Webex 应用程序如何查找 XSP 地址
客户端尝试使用以下 DNS 流程找到 XSP 节点:
客户端最初从 Webex 云中检索 Xsi 操作/Xsi 事件 URL(您在创建关联的 BroadWorks Calling 集群时输入了这些 URL)。 从 URL 解析 XSI 主机名/域,客户端执行 SRV 查找,如下所示:
客户端执行 SRV 查找,以找到 _xsi-client._tcp。<xsi domain="">
如果SRV查找返回一个或多个A/AAAA目标:
客户针对这些目标执行 A/AAAA 查找,并缓存返回的 IP 地址。
客户根据 SRV 优先级,然后是权重(或者它们等同,则随机选择),连接到其中一个目标(因此使用一个 IP 地址连接到它的 A/AAAA 记录)。
如果 SRV 查找未返回任何目标:
客户端首先对 XSI 根参数执行 A/AAAA 查找,然后尝试连接到返回的 IP 地址。 此云可以是一个负载平衡边缘元素,也可以是 XSP 服务器本身。
如上所述,出于同样的原因,A/AAAA 记录必须解析为一个 IP 地址。
(可选)随后,您可以使用以下标记,在 Webex 应用程序的设备配置中提供自定义的 XSI 操作/XSI 事件详细信息:
<protocols> <xsi> <paths> <root>%XSI_ROOT_WXT%</root> <actions>%XSI_ACTIONS_PATH_WXT%</actions> <events>%XSI_EVENTS_PATH_WXT%</events> </paths> </xsi> </protocols>这些配置参数优先于 Control Hub 中的 BroadWorks 集群中的任何配置。
如果它们存在,客户端会将它们与通过“BroadWorks 集群”配置收到的原始 XSI 地址进行比较。
如果检测到任何差异,客户端将重新初始化它的 XSI 操作/XSI 事件连接。 此操作的第一步是执行步骤1中列出的相同DNS查找过程-这一次请求从其配置文件中查找%XSI_ROOT_WXT% 参数中的值。
如果您使用此标记更改 XSI 接口,请确保创建相应的 SRV 记录。
故障转移
登录期间,Webex App 会对 _xsi-client._tcp.<xsi domain=""> 执行 DNS SRV 查找,构建主机列表,然后依次根据 SRV 优先级和权重连接到其中某个主机。 连接的主机将成为所有后续请求的选定主机。 随后,事件通道向选定主机开放,并且定期发送检测信号对通道进行验证。 在第一个请求之后发送的所有请求均包含 HTTP 响应中返回的 cookie,因此,负载平衡器应该保持会话持续性(亲缘关系)并始终向同一后端 XSP 服务器发送请求,这一点非常重要。
如果向主机发送请求或检测信号请求失败,可能会发生以下情况:
如果故障是由于网络错误(例如: TCP、SSL),Webex App 会立即路由到列表中的下一个主机。
如果返回错误代码(HTTP5xx),Webex应用程序会将该IP地址标记为已阻止并路由到列表中的下一个主机。
如果在一段时间内未收到响应,那么系统会将该请求视为因超时而失败,并将后续请求发送给下一个主机。 但是,超时请求会被视为失败。 某些请求会在失败后进行重试(增加重试时间)。 不会重试被假定为“不重要”的请求。
尝试新主机成功之后,如果该主机显示在列表中,则将其视为新选中的主机。 在尝试列表中的最后一个主机之后,Webex 应用程序将滚动至第一个主机。
在有检测信号的情况下,如果两个请求连续失败,Webex 应用程序将重新初始化事件通道。
请注意,Webex 应用程序不会执行故障转移,并且只有在登录时才会执行一次 DNS 服务发现。
在登录期间,Webex 应用程序尝试通过 XSP/Dms 接口下载配置文件。 该应用程序会在已检索的 DMS URL 中对主机执行 A/AAAA 记录查找,然后连接到第一个 IP。 应用程序首先尝试发送一个使用 SSO 令牌下载配置文件的请求。 如果该请求因任何原因失败,它将进行重试,但这次请求使用设备用户名和密码下载。
