Introduzione
Questo documento descrive una delle best practice per la migrazione dei telefoni da Cisco Unified Communications Manager (CUCM) protetto a un CUCM non protetto.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software:
- versioni CUCM - 12.5.1.16065-1 e 12.5.1.14900-63
- Modello di IP Phone - 8865 e versione - 12.8(1)
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Configurazione
Esempio di rete
IP_Phone > Switch Cisco > Router Cisco > Switch Cisco > Cluster CUCM
Configurazioni
In questi scenari viene illustrata la migrazione telefonica da cluster CUCM protetto a non protetto. In ogni fase viene documentato lo stato dei file dell'elenco di certificati attendibili (CTL) e dell'elenco di identità attendibili (ITL) presenti nel telefono.
- Registrare un telefono in un cluster CUCM non protetto.
- Converte il cluster non protetto in cluster CUCM protetto.
- Riconverti in cluster non protetto da
- Eseguire la migrazione del telefono in un nuovo cluster CUCM non protetto.
1. Registrare un telefono in un cluster CUCM non protetto.
Queste sono le informazioni sul cluster di origine non protetto.
- Indirizzo IP - 10.201.251.171
- FQDN - cucm1052.domain.com
- Versione: 12.5.1.16065-1
Registrare un telefono in un cluster CUCM non protetto. A tale scopo, configurare l'opzione DHCP (Dynamic Host Configuration Protocol) 150 / 66 in modo che punti all'indirizzo IP del protocollo TFTP (Trivial File Transfer Protocol). Si tratta del nodo CUCM in cui il servizio TFTP è attivato.
Per l'infrastruttura in cui non si dispone dei server DHCP, è necessario configurare manualmente l'indirizzo IP TFTP sul telefono fisico.
Sul telefono fisico, selezionare Settings > Admin Settings > Network Setup > Ethernet setup > IPv4 setup (Impostazioni > Impostazioni di amministrazione > Impostazione rete > Impostazione Ethernet > Impostazione IPv4).
Disattivare DHCP e fornire i dettagli IP statici della rete. Quindi, fornire l'indirizzo IP CUCM non sicuro nella sezione TFTP Server 1 come mostrato nello screenshot.
Nota: questa procedura equivale a modificare l'indirizzo IP TFTP sull'ambito DHCP - opzione 150 / 66. Se il cluster è configurato con il nome di dominio, sarà necessario impostare anche i server DNS (Domain Name System) appropriati nell'ambito DHCP.
Configurare l'indirizzo IP TFTP sul telefono
Il telefono IP viene registrato correttamente nel cluster CUCM non protetto indicato.
Telefono registrato presso CUCM
Accedere all'interfaccia Web di amministrazione CUCM e selezionare Sistema > Parametri Enterprise.
Si tratta del valore dei parametri impostato nella pagina Parametri enterprise del cluster CUCM non protetto.
- La modalità di protezione del cluster è impostata su 0, a conferma che il cluster non è protetto.
Modalità di sicurezza cluster impostata su 0
- L'opzione Prepara cluster per il rollback a una versione precedente alla 8.0 è impostata su False. Pertanto, il contenuto dei file ITL & CTL viene mantenuto con i valori appropriati.
L'opzione Prepara cluster per rollback a una versione precedente alla 8.0 è impostata su False
Poiché il cluster non è sicuro, non è presente alcun file CTL nel server TFTP. Per verificare questa condizione, eseguire il comando show ctl nella sessione Secure Shell (SSH) del nodo CUCM.
File CTL non presente
Sul telefono fisico è possibile verificare che non sia installato alcun file CTL. Tuttavia, il file ITL non viene visualizzato.
L'ITL è presente grazie alla funzionalità Security by Default (SBD) di CUCM. Per ulteriori informazioni su SBD, fare clic qui .
Sul telefono fisico Passare a Impostazioni > Impostazioni di amministrazione > Impostazioni protezione > Elenco di attendibilità.
Qui potete trovare lo stato sia dei file CTL che ITL.
CTI non è installato nel telefono.
File CTL sul telefono
Il telefono ha il file ITL.
File ITL al telefono
2. Convertire il cluster non protetto in cluster CUCM protetto.
Abilitare la modalità mista eseguendo il comando utils ctl set-cluster mixed-mode sull'interfaccia della riga di comando (CLI) di CUCM Publisher. In questo modo il cluster viene convertito da non protetto a protetto.
Converti in cluster protetto
Dopo aver eseguito il comando, riavviare i servizi Cisco CallManager (CCM) e Cisco CTIManager (CTI) su tutti i nodi del cluster.
Riavviare i servizi CCM e CTI
Ora, sul telefono fisico potete vedere la presenza del file CTL.
File CTL sul telefono
Il file ITL è rimasto con gli stessi valori.
File ITL al telefono
3. Convertire nuovamente in cluster non protetto da protetto.
Per convertire il cluster da sicuro a non sicuro, è necessario eseguire il comando utils ctl set-cluster non-secure-mode sulla CLI del server di pubblicazione CUCM.
Converti in cluster non protetto
Riavviare i servizi CCM e CTI in tutti i nodi del cluster per applicare la modifica in modo che si rifletta in tutti i nodi del cluster CUCM.
Dopo la conversione del cluster in non protetto, il CTL non contiene le voci CUCM e TFTP. Il file CTL contiene solo la voce CAPF.
File CTL sul telefono
Il file ITL è rimasto con le stesse voci.
File ITL al telefono
Nota: la modifica del profilo di sicurezza del dispositivo nella pagina di configurazione del telefono (nella pagina Web di amministrazione CUCM) in sicuro o non sicuro non ha alcun effetto sui file ITL o CTL. È quindi possibile mantenere l'impostazione come prima e non è necessario modificarla.
4. Eseguire la migrazione del telefono in un nuovo cluster CUCM non protetto.
Nota: prima di procedere con la migrazione, è buona norma riavviare i servizi TVS (Trust Verification Service) e TFTP su tutti i nodi (solo su questi nodi abilitati per i servizi) nel cluster di origine. In questo modo si eliminano le sessioni bloccate o con perdita di dati nel servizio TVS/TFTP.
Accedere all'interfaccia Web di amministrazione CUCM e selezionare Sistema > Parametri Enterprise.
Impostare il valore di Prepara cluster per rollback su una versione precedente alla 8.0 su True. Quindi procedere facendo clic sui pulsanti Applica configurazione e Ripristina.
In questa schermata viene fornita la sezione della Guida per questo parametro.
Informazioni sulla preparazione del cluster per il rollback al parametro precedente alla versione 8.0
Monitorare i conteggi delle registrazioni telefoniche nel cluster (tramite lo strumento di monitoraggio in tempo reale RTMT) prima e dopo la modifica del valore del parametro. In questo modo è possibile verificare se le modifiche vengono applicate a tutti i dispositivi del cluster.
Sul telefono fisico, si potevano vedere solo le voci CAPF nei file ITL e CTL. È inoltre possibile osservare questo aspetto aprendo la pagina Web del telefono nel browser Web.
File ITL
File ITL al telefono
File CTL
File CTL sul telefono
Prima di iniziare la migrazione, è consigliabile convalidare i file ITL e CTL in alcuni telefoni per assicurarsi che le modifiche siano state apportate.
Ora i telefoni sono pronti per la migrazione.
Migrazione dei telefoni dal cluster di origine al cluster di destinazione. Al momento entrambi i cluster non sono protetti.
Cluster di origine:
- Indirizzo IP - 10.201.251.171
- FQDN - cucm1052.domain.com
- Versione: 12.5.1.16065-1
Cluster di destinazione:
- Indirizzo IP - 10.88.11.163
- FQDN - cucmpub.domain.com
- Versione: 12.5.1.14900-63
Sul telefono fisico impostare il valore TFTP Server 1 sul nuovo indirizzo IP del cluster di destinazione e fare clic sul pulsante Applica.
Nota: questa procedura equivale a modificare l'indirizzo IP TFTP sull'ambito DHCP - opzione 150 / 66. Se il cluster di destinazione si trova in un dominio diverso, è necessario impostare anche i server DNS appropriati nell'ambito DHCP.
Configurare l'indirizzo IP TFTP sul telefono
Fare clic sul pulsante Continua per mantenere i vecchi file CTL e ITL (contiene solo la voce CAPF) del cluster di origine.
Premendo il pulsante Continua è possibile mantenere i vecchi file CTL e ITL
Verifica
Il telefono è stato registrato nel cluster di destinazione.
Telefono registrato presso CUCM
Il telefono contiene le voci dell'elenco di attendibilità del cluster di destinazioni.
File ITL al telefono
Risoluzione dei problemi
Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.
Informazioni correlate