圖中內容為何？

用戶端

• Webex 應用程式用戶端是 Webex for Cisco BroadWorks 產品的主要應用程式。用戶端可在桌上型電腦、行動裝置及 Web 平台上使用。

  用戶端具有原生傳訊、線上狀態，以及 Webex Cloud 提供的多方音訊/視訊會議。Webex 用戶端使用 BroadWorks 基礎結構進行 SIP 和 PSTN 通話。

• Cisco IP 電話及相關配件也會使用 BroadWorks 基礎結構進行 SIP 和 PSTN 通話。我們預期能夠支援協力廠商通話。

• 使用者啟用入口網站，供使用者使用其 BroadWorks 認證登入 Webex。

• Partner Hub 是管理 Webex 組織與客戶組織的 Web 介面。Partner Hub 是您可以設定 BroadWorks 基礎結構與 Webex 整合之處。您也可以使用 Partner Hub 來管理用戶端組態和帳單。

服務提供者網路

圖中左側的綠色區塊代表您的網路。網路中託管的元件提供下列服務和介面至解決方案的其他部分：

• 公開 XSP| ADP，適用於 Webex for Cisco BroadWorks：（方塊代表一個或多個 XSP| ADP 集群，前端可能是負載平衡器。）

  • 託管 Xtended 服務介面（XSI-Actions 和 XSI-Events）、裝置管理服務 (DMS)、CTI 介面和驗證服務。這些應用程式結合起來可進行電話和 Webex 用戶端自行驗證、下載其通話設定檔、撥打和接聽電話，以及查看對方的電話狀態（電話線上狀態及通話歷史記錄）。

  • 向 Webex 用戶端發佈目錄。

• 公開 XSP| ADP，正在執行 NPS：

  • 主機通話通知推送伺服器：XSP 上的通知推送伺服器|環境中的 ADP。它可作為您應用程式伺服器和 NPS Proxy 之間的介面。Proxy 會提供短時間使用權杖給 NPS，以授權雲端服務的通知。這些服務（APNS 和 FCM）將通話通知傳送至 Apple iOS 和 Google Android 裝置上的 Webex 用戶端。

• 應用程式伺服器：

  • 提供對其他 BroadWorks 系統的通話控制和介面（一般）

  • 對於佈建流程，合作夥伴管理員使用 AS 在 Webex 中佈建使用者

  • 將使用者設定檔推送至 BroadWorks

• OSS/BSS：您的營運支援系統 / 商業 SIP 服務，用於管理 BroadWorks 企業。

Webex Cloud

圖中的藍色區塊表示 Webex Cloud。Webex 微服務支援所有 Webex 協作功能：

• Cisco Common Identity (CI) 是 Webex 內的身分識別服務。

• Webex for Cisco BroadWorks 代表一組微服務，支援 Webex 與託管 BroadWorks 之服務提供者整合：

  • 使用者佈建 API

  • 服務提供者組態

  • 使用者使用 BroadWorks 認證登入

• 傳訊相關微服務的 Webex Messaging 方塊。

• Webex Meetings 方塊代表媒體處理伺服器和多位參加者視訊會議的 SBC（SIP 和 SRTP）

協力廠商 Web 服務

圖中顯示下列協力廠商元件：

• APNS（Apple 推送通知服務）將通話和訊息通知推送至 Apple 裝置上的 Webex 應用程式。

• FCM（FireBase 雲訊息傳遞）將通話和訊息通知推送至 Android 裝置上的 Webex 應用程式。

XSP| ADP 架構注意事項

公開 XSP 的角色|Webex for Cisco BroadWorks 中的 ADP 伺服器

面向公眾的 XSP|您環境中的 ADP 為 Webex 和用戶端提供以下介面/服務：

• 驗證服務 (AuthService)，由 TLS 保護，可代表使用者回應 Webex 對 BroadWorks JWT（JSON Web 權杖）的請求

• CTI 介面，由 mTLS 保護，Webex 於此從 BroadWorks 訂閱通話歷史記錄事件和電話線上狀態（電話狀態）。

• Xsi-Actions 和活動介面（eXtended 服務介面），用於訂閱者通話控制、聯絡人與通話清單目錄，以及最終使用者電話服務組態

• DM（裝置管理）服務，用於用戶端擷取其通話組態檔

當您設定 Webex for Cisco BroadWorks 時，提供這些介面的 URL。（請參閱在 Partner Hub 中設定 BroadWorks 叢集 （在本文件中）。對於每個叢集，您只能為每個介面提供一個 URL。如果您的 BroadWorks 基礎結構中有多個介面，可以建立多個叢集。

XSP| ADP 架構

我們要求您使用單獨的專用 XSP|用於託管 NPS（通知推送伺服器）應用程式的 ADP 實例或集群。您可以對 UC-One SaaS 或 UC-One 協作使用相同的 NPS。但是，您可能無法在同一個 XSP 上託管 Webex for Cisco BroadWorks 所需的其他應用程式|託管 NPS 應用程式的 ADP。

我們建議您使用專用的 XSP| ADP 實例/集群託管 Webex 整合所需的應用程式，原因如下

• 例如，如果您要提供 UC-One SaaS，我們建議您建立新的 XSP|適用於 Webex for Cisco BroadWorks 的 ADP 集群。這樣一來，當您移轉訂閱者時，兩個服務即可獨立運作。

• 如果您在 XSP 上並置 Webex for Cisco BroadWorks 應用程式|用於其他目的的 ADP 集群，則您有責任監控使用情況、管理產生的複雜性以及規劃增加的規模。

• 的Cisco BroadWorks 系統容量規劃程式 採用專用 XSP| ADP 集群，如果您將其用於搭配計算，則可能不准確。

除非另有說明，否則專用的 Webex for Cisco BroadWorks XSP| ADP 必須託管以下應用程式：

• AuthService（具有 CI 權杖驗證的 TLS 或 mTLS）

• CTI (mTLS)

• XSI-Actions (TLS)

• XSI-Events (TLS)

• DMS (TLS)—選用。您不必為 Webex for Cisco BroadWorks 專門部署單獨的 DMS 實例或集群。您可以使用與 UC-One SaaS 或 UC-One Collaborate 相同的 DMS 執行個體。

• 通話設定 Webview (TLS)—選用。僅當您希望 Webex for Cisco BroadWorks 使用者能夠在 Webex 應用程式上設定通話功能時，才需要通話設定 Webview (CSW)。

Webex 要求透過受雙向 TLS 驗證保護的介面來存取 CTI。若要支援此要求，我們建議使用以下選項之一：

• （標有選項 1 ) 一個 XSP|所有應用程式的 ADP 執行個體或集群，在每部伺服器上設定兩個介面：適用於 CTI 的 mTLS 介面和適用於其他應用程式（如 AuthService）的 TLS 介面。

• （標有選項 2 ) 兩個 XSP| ADP 實例或集群，其中一個具有用於 CTI 的 mTLS 介面，另一個具有用於其他應用程式（例如 AuthService）的 TLS 介面。

在 XSP 上設定 NTP 同步|ADP

部署要求所有 XSP 的時間同步|與 Webex 搭配使用的 ADP。

安裝 OS 之後以及安裝 BroadWorks 軟體之前，請安裝 ntp 套件。然後，您可以在 XSP 期間設定 NTP| ADP 軟體安裝。請參閱 BroadWorks 軟體管理指南以瞭解更多資訊。

在 XSP 的互動式安裝期間|ADP 軟體，您可以選擇設定 NTP。按下列方式繼續：

1. 當安裝程式詢問：要設定 NTP 嗎？，輸入 y。

2. 當安裝程式詢問時：此伺服器將是 NTP 伺服器嗎？，輸入 n。

3. 當安裝程式詢問：NTP 位址、主機名稱或 FQDN 為何？，輸入 NTP 伺服器的位址或公共 NTP 服務，例如：pool.ntp.org。

如果您的 XSP| ADP 使用無訊息（非互動）安裝，安裝程式組態檔必須包含以下 Key=Value 配對：

NTP

 NTP_伺服器=

XSP| ADP 身分識別和安全性需求

背景

Cisco BroadWorks TLS 連接的通訊協定和加密可於不同明確性層級進行設定。這些層級範圍從最一般（SSL 提供者）到最明確（個別介面）。較為明確的設定一律覆寫較為一般的設定。如果未指定，則從「較高」層級繼承「較低」層級 SSL 設定。

如果未從其預設值變更任何設定，所有層級會繼承 SSL 提供者預設設定（JSSE Java Secure Sockets Extension）。

需求清單

• XSP| ADP 必須使用 CA 簽署的憑證向用戶端驗證其自身，其中一般名稱或主體替代名稱與 XSI 介面的網域部分相符。

• Xsi 介面必須支援 TLSv1.2 通訊協定。

• Xsi 介面必須使用符合下列需求的加密套件。

  • 暫時 Diffie-Hellman (DHE) 或暫時橢圓曲線 Diffie-Hellman (ECDHE) 金鑰交換

  • 最低區塊大小為 128 位元（例如 AES-128 或 AES-256）的 AES（進階加密標準）加密

  • GCM（Galois/計數器模式）或 CBC（加密區塊鏈）加密模式

    • 如果使用 CBC 加密，則僅允許金鑰衍生使用 SHA2 雜湊功能系列（SHA256、SHA384、SHA512）。

例如，下列加密法符合需求：

• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

• TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

AuthService 和 XSI 介面支援 TLS 加密

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

• TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

• TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

• TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

• TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

• TLS_DHE_RSA_WITH_AES_256_CBC_SHA

• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

• TLS_DHE_RSA_WITH_AES_128_CBC_SHA

• TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

• TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

• TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

• TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

• TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

• TLS_RSA_WITH_AES_256_GCM_SHA384

• TLS_PSK_WITH_AES_256_GCM_SHA384

• TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

• TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

• TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

• TLS_RSA_WITH_AES_128_GCM_SHA256

• TLS_PSK_WITH_AES_128_GCM_SHA256

• TLS_RSA_WITH_AES_256_CBC_SHA256

• TLS_RSA_WITH_AES_128_CBC_SHA256

• TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

• TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

• TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

• TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

• TLS_RSA_PSK_WITH_AES_256_CBC_SHA

• TLS_DHE_PSK_WITH_AES_256_CBC_SHA

• TLS_RSA_WITH_AES_256_CBC_SHA

• TLS_PSK_WITH_AES_256_CBC_SHA384

• TLS_PSK_WITH_AES_256_CBC_SHA

• TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

• TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

• TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

• TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

• TLS_RSA_PSK_WITH_AES_128_CBC_SHA

• TLS_DHE_PSK_WITH_AES_128_CBC_SHA

• TLS_RSA_WITH_AES_128_CBC_SHA

• TLS_PSK_WITH_AES_128_CBC_SHA256

• TLS_PSK_WITH_AES_128_CBC_SHA

Xsi-Events 規模參數

您可能需要增加 Xsi-Events 佇列大小和執行緒計數，以處理 Webex for Cisco BroadWorks 解決方案所需的活動數量。您可以將參數增加為顯示的最小值，如下所示（如果參數高於這些最小值，請勿降低）：

XSP| ADP_ CLI/應用程式/Xsi-Events/BW 整合> eventQueueSize = 2000

XSP| ADP_ CLI/應用程式/Xsi-Events/BW 整合> eventHandlerThreadCount = 50

多個 XSP| ADP

負載平衡邊緣元素

如果您的網路邊緣具有負載平衡元素，則它必須透明地處理多個 XSP 之間的流量分配|ADP 伺服器和 Webex for Cisco BroadWorks 雲端和用戶端。在這種情況下，您將提供負載平衡器的 URL 給 Webex for Cisco BroadWorks 設定。

此架構注意事項：

• 設定 DNS，使用戶端可以在連接 Xsi 介面時找到負載平衡器（請參閱 DNS 組態）。

• 我們建議您以反向 SSL Proxy 模式設定邊緣元素，以確保點對點資料加密。

• 來自 XSP 的憑證|ADP01 和 XSP| ADP02 應該同時具有 XSP| ADP 網域，例如 your-XSP| ADP.example.com，在主旨替代名稱中。它們應該有自己的 FQDN，例如 XSP| ADP01.example.com，在通用名稱中。您可以使用萬用字元憑證，但我們不建議使用。

網際網路型 XSP| ADP 伺服器

如果您直接公開 Xsi 介面，請使用 DNS 將流量分配給多個 XSP| ADP 伺服器。

此架構注意事項：

• 需要兩條記錄才能連線至 XSP| ADP 伺服器：

  • 對於 Webex 微服務：需要循環 A/AAAA 記錄才能以多個 XSP 為目標|ADP IP 位址。這是因為 Webex 微服務無法執行 SRV 查找。有關範例，請參閱Webex 雲端服務。

  • 對於 Webex 應用程式：解析為 A 記錄的 SRV 記錄，其中每個 A 記錄解析為單個 XSP| ADP。有關範例，請參閱Webex 應用程式。

    使用已設定優先順序的 SRV 記錄來針對多個 XSP 的 XSI 服務|ADP 位址。為您的 SRV 記錄設定優先級，以便微服務將始終移至相同的 A 記錄（和後續 IP 位址），並且只有在第一個 IP 位址關閉時才會移至下一個 A 記錄（和 IP 位址）。請勿對 Webex 應用程式使用循環方法。

• 來自 XSP 的憑證|ADP01 和 XSP| ADP02 應該同時具有 XSP| ADP 網域，例如 your-XSP| ADP.example.com，在主旨替代名稱中。它們應該有自己的 FQDN，例如 XSP| ADP01.example.com，在通用名稱中。

• 您可以使用萬用字元憑證，但我們不建議使用。

避免 HTTP 重新導向

有時，DNS 設定為解析 XSP|指向 HTTP 負載平衡器的 ADP URL，且負載平衡器設定為透過反向 Proxy 重新導向至 XSP| ADP 伺服器。

Webex 不遵循重新導向 連線至您提供的 URL 時，因此此組態不起作用。