图中内容

客户端

• 在 Webex for Cisco BroadWorks 服务中，Webex 应用程序客户端充当主应用程序。客户端可在桌面、移动及网络平台上使用。

  客户端具有原生消息传递、在线状态以及由 Webex 云提供的多方音频/视频会议。Webex 客户端使用 BroadWorks 基础结构进行 SIP 呼叫和 PSTN 呼叫。

• Cisco IP 电话和相关配件还使用 BroadWorks 基础结构进行 SIP 呼叫和 PSTN 呼叫。我们希望能够支持第三方电话。

• 用户激活门户可供用户使用其 BroadWorks 凭证登录 Webex。

• Partner Hub 是用于管理 Webex 组织和客户组织的 Web 界面。您可以在 Partner Hub 中配置 BroadWorks 基础结构和 Webex 之间的集成。您还可以使用 Partner Hub 管理客户端配置和计费。

服务商网络

图表左侧的绿色块表示您的网络。您网络中托管的组件向解决方案的其他部分提供以下服务和接口：

• 面向公众的XSP|ADP，适用于Webex for Cisco BroadWorks：（方框代表一个或多个XSP|ADP农场，可能由负载均衡器前面。）

  • 托管 Xtended Services Interface（XSI-Actions 和 XSI-Events）、设备管理服务 (DMS)、CTI 接口和身份验证服务。这些应用程序共同支持电话和 Webex 客户端进行身份验证、下载其呼叫配置文件、拨打和接听呼叫以及查看彼此的摘挂机状态（电话在线状态）和呼叫历史记录。

  • 将目录发布到 Webex 客户端。

• 面向公众的XSP|ADP，运行NPS：

  • 主机呼叫通知推送服务器：环境中的XSP|ADP上的通知推送服务器。它连接着您的应用程序服务器和 NPS 代理。代理向 NPS 提供短效令牌，以授权向云服务发送通知。这些服务（APNS 和 FCM）会向 Apple iOS 和 Google Android 设备上的 Webex 客户端发送呼叫通知。

• 应用程序服务器：

  • 向其他 BroadWorks 系统提供呼叫控制和接口（一般）

  • 对于流式预配置，合作伙伴管理员使用 AS 在 Webex 中为用户进行预配置

  • 将用户档案推送到 BroadWorks

• OSS/BSS：用于管理 BroadWorks 企业的运营支持系统/业务 SIP 服务。

Webex Cloud

图中的蓝色块表示 Webex 云。Webex 微服务支持一系列完整的 Webex 协作功能：

• Cisco Common Identity (CI) 是 Webex 内的标识服务。

• Webex for Cisco BroadWorks 是一组支持 Webex 与服务商托管 BroadWorks 之间集成的微服务：

  • 用户预配置 API

  • 服务商配置

  • 使用 BroadWorks 凭据的用户登录

• 相关微服务的 Webex Messaging 框。

• Webex Meetings 框代表媒体处理服务器和多参与者视频会议的SBC（SIP 和 SRTP）

第三方 Web 服务

下图中显示了以下第三方组件：

• APNS（Apple 推送通知服务）将呼叫和消息通知推送到 Apple 设备上的 Webex 应用程序。

• FCM (FireBase Cloud Messaging) 将呼叫和消息通知推送到 Android 设备上的 Webex 应用程序。

XSP|ADP架构注意事项

针对Cisco BroadWorks的Webex中面向公众XSP| ADP服务器的作用

您环境中的面向公众XSP|ADP为Webex和客户端提供以下接口/服务：

• 受 TLS 保护的身份验证服务 (AuthService)，这项服务将代表用户响应对于 BroadWorks JWT（JSON Web 令牌）的 Webex 请求

• 受 mTLS 保护的 CTI 接口，Webex 向其订阅 BroadWorks 的呼叫历史记录活动和电话在线状态（摘挂机状态）。

• 用于订阅者呼叫控制、联系人和呼叫列表目录以及最终用户电话服务配置的 Xsi 操作和事件接口 (eXtended Services Interface)

• 用于客户端检索其呼叫配置文件的 DM（设备管理）服务

配置 Webex for Cisco BroadWorks 时，请提供这些接口的 URL。（请参阅本文档中的在Partner Hub中配置BroadWorks集群 。）对于每个集群，您只能为每个接口提供一个URL。如果 BroadWorks 基础结构中有多个接口，可以创建多个集群。

XSP|ADP架构

我们要求您使用单独的专用的XSP|ADP实例或农场来主机NPS（通知推送服务器）应用程序。您可以在 UC-One SaaS 或 UC-One Collaborate 中使用相同的 NPS。但是，您不能在主办NPS应用程序的同一个XSP|ADP上托管Webex for Cisco BroadWorks所需的其他应用程序。

我们建议您使用专用的XSP|ADP实例/farm来托管所需的Webex集成，原因如下

• 例如，如果您提供UC-One SaaS，我们建议为WEBEX for Cisco BroadWorks创建新的XSP|ADP农场。这样，在迁移订阅者时，这两项服务可独立运行。

• 如果您将Webex for Cisco BroadWorks应用程序放置在用于其他用途的XSP|ADP农场上，则您有责任监控使用情况、管理由此产生的复杂性，并计划扩大规模。

• Cisco BroadWorks系统容量规划器 假定一个专用的XSP|ADP场地，如果将其用于同位计算，则可能不准确。

除非另有说明，否则Cisco BroadWorks XSP|ADP专用的Webex必须托管以下应用程序：

• AuthService（具有 CI 令牌验证的 TLS，或 mTLS）

• CTI (mTLS)

• XSI-Actions (TLS)

• XSI-Events (TLS)

• DMS (TLS)—可选。您不必专门为Webex for Cisco BroadWorks部署单独的DMS实例或场地。您可以使用与UC-One SaaS或UC-One Collaborate相同的DMS实例。

• 呼叫设置网络视图(TLS)—可选。仅当您希望Webex for Cisco BroadWorks用户能够在Webex应用程序上配置呼叫功能时，才需要Call Settings Webview (CSW)。

Webex 要求通过受 MTLS 身份验证保护的接口访问 CTI。为支持该要求，我们建议使用以下选项之一：

• （标有选项1的程序框图）适用于所有应用程序的|一个XSP|ADP实例或农场，每个服务器上配置两个接口：用于 CTI 的 mTLS 接口以及用于 AuthService 等其他应用程序的 TLS 接口。

• （标示为选项2）两个XSP|ADP实例或农场，一个具有mTLS接口用于CTI，另一个具有TLS接口用于其他应用程序（例如AuthService）。

在XSP|ADP上配置NTP同步

部署需要对与Webex一起使用的所有XSP|ADP进行时间同步。

在安装操作系统之后和安装 BroadWorks 软件之前安装 ntp 软件包。然后，您可以在XSP|ADP软件安装期间配置NTP。请参阅“BroadWorks 软件管理指南”了解更多详细信息。

在交互式安装XSP|ADP软件时，您可以选择配置NTP。继续如下操作：

1. 如果安装程序询问“是否要配置 NTP？”，输入 y。

2. 如果安装程序询问“此服务器是否为 NTP 服务器？”，输入 n。

3. 如果安装程序询问“NTP 地址、主机名或 FQDN 是什么？”，输入 NTP 服务器或公共 NTP 服务的地址，例如 pool.ntp.org。

如果您的XSP|ADP使用无声（非交互式）安装，安装程序配置文件必须包括以下Key=Value对：

NTP

NTP_SERVER=

XSP|ADP标识和安全要求

背景

Cisco BroadWorks TLS 连接的协议和密码可配置为不同的特异性级别。这些级别范围从最一般的（SSL 提供程序）到最特殊的（个别接口）。较特殊的设置会始终覆盖较为一般的设置。如果没有具体指定，“低”级别的 SSL 设置会从“高”级别继承。

如果不更改默认设置，所有级别都会继承 SSL 提供程序默认设置（JSSE，Java 安全套接字扩展）。

要求列表

• XSP|ADP必须使用CA签名的证书向客户端进行身份验证，其中通用名称或受验者备用名称与XSI接口的域部分匹配。

• Xsi 接口必须支持 TLSv1.2 协议。

• Xsi 界面必须使用符合以下要求的密码套件。

  • Diffie-Hellman 临时 (DHE) 或椭圆曲线 Diffie-Hellman 临时 (ECDHE) 密钥交换

  • AES（高级加密标准）密码，最小块大小为 128 位（例如 AES-128 或 AES-256）

  • GCM（Galois/Counter 模式）或 CBC（密码块链）密码模式

    • 如果使用 CBC 密码，则只允许使用 SHA2 哈希函数系列（SHA256、SHA384、SHA512）进行密钥衍生。

例如，以下密码符合要求：

• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

• TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

用于 AuthService 和 XSI 接口的受支持的 TLS 密码

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

• TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

• TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

• TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

• TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

• TLS_DHE_RSA_WITH_AES_256_CBC_SHA

• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

• TLS_DHE_RSA_WITH_AES_128_CBC_SHA

• TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

• TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

• TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

• TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

• TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

• TLS_RSA_WITH_AES_256_GCM_SHA384

• TLS_PSK_WITH_AES_256_GCM_SHA384

• TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

• TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

• TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

• TLS_RSA_WITH_AES_128_GCM_SHA256

• TLS_PSK_WITH_AES_128_GCM_SHA256

• TLS_RSA_WITH_AES_256_CBC_SHA256

• TLS_RSA_WITH_AES_128_CBC_SHA256

• TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

• TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

• TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

• TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

• TLS_RSA_PSK_WITH_AES_256_CBC_SHA

• TLS_DHE_PSK_WITH_AES_256_CBC_SHA

• TLS_RSA_WITH_AES_256_CBC_SHA

• TLS_PSK_WITH_AES_256_CBC_SHA384

• TLS_PSK_WITH_AES_256_CBC_SHA

• TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

• TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

• TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

• TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

• TLS_RSA_PSK_WITH_AES_128_CBC_SHA

• TLS_DHE_PSK_WITH_AES_128_CBC_SHA

• TLS_RSA_WITH_AES_128_CBC_SHA

• TLS_PSK_WITH_AES_128_CBC_SHA256

• TLS_PSK_WITH_AES_128_CBC_SHA

Xsi Events 规模参数

您可能需要增加 Xsi-Events 队列大小和线程数，以便处理 Webex for Cisco BroadWorks 解决方案需要的事件数量。您可以将参数增加至如下所示最小值（如果参数高于这些最小值，请勿降低）：

XSP|ADP_CLI/应用程序/Xsi-Events/BWIntegration> eventQueueSize = 2000

XSP|ADP_CLI/应用程序/Xsi-Events/BWIntegration> eventHandlerThreadCount = 50

多个XSP| ADP

负载平衡边缘元素

如果您的网络边缘有负载平衡元素，则必须透明地处理多个XSP|ADP服务器与Webex for Cisco BroadWorks云和客户端之间的流量分配。在这种情况下，您需要向 Webex for Cisco BroadWorks 配置提供负载平衡器的 URL。

有关此体系结构的注意事项：

• 配置 DNS，让客户端在连接到 Xsi 接口时可以找到负载平衡器（请参阅“DNS 配置”）。

• 我们建议您在反向 SSL 代理模式下配置边缘元素，以确保进行点对点数据加密。

• 来自XSP|ADP01和XSP|ADP02的证书都应在主题备用名称中具有XSP|ADP域，例如，您的-XSP|ADP.example.com。他们应该在Common Name中拥有自己的FQDN，例如XSP|ADP01.example.com。您可以使用通配符证书，但我们不建议使用。

面向互联网的XSP|ADP服务器

如果您直接暴露了Xsi接口，请使用DNS将流量分配到多个XSP|ADP服务器。

有关此体系结构的注意事项：

• 连接到XSP|ADP服务器时需要两个记录：

  • 对于Webex微服务：需要环绕的A/AAAA记录才能锁定多个XSP|ADP IP地址。这是因为Webex微服务无法进行SRV查找。有关示例，请参阅 Webex云服务。

  • 对于Webex应用程序：解析为A记录的SRV记录，其中每个A记录解析为单个XSP|ADP。有关示例，请参阅 Webex应用程序。

    使用优先级SRV记录针对多个XSP|ADP地址的XSI服务。优先处理您的SRV记录，以便微服务始终转至相同的A记录（和后续的IP地址），并且仅在第一个IP地址下降时转至下一个A记录（和IP地址）。请勿为Webex应用程序使用全局方法。

• 来自XSP|ADP01和XSP|ADP02的证书都应在主题备用名称中具有XSP|ADP域，例如，您的-XSP|ADP.example.com。他们应该在Common Name中拥有自己的FQDN，例如XSP|ADP01.example.com。

• 您可以使用通配符证书，但我们不建议使用。

避免 HTTP 重定向

有时，将DNS配置为将XSP|ADP URL解析到HTTP负载均衡器，并且将负载均衡器配置为通过反向代理重定向到XSP|ADP服务器。

连接到您提供的URL时，Webex不会跟踪重定向 ，因此此配置不起作用。