Bereitstellung

Übersicht über die Bereitstellung

Cisco IP-Telefons sind für Massenbereitstellungen von Voice-over-IP-(VoIP-)Serviceanbietern für Kunden in Home-, Business- oder Enterprise-Umgebungen vorgesehen. Daher stellt die Bereitstellung des Telefons über Remoteverwaltung und -konfiguration den ordnungsgemäßen Betrieb des Telefons am Kundenstandort sicher.

Cisco unterstützt die angepasste kontinuierliche Funktionskonfiguration des Telefons durch:

  • Zuverlässige Remotesteuerung des Telefons

  • Verschlüsselung der Kommunikation, mit der das Telefon gesteuert wird

  • Optimierte Bindung von Telefon und Konto

Telefone können so bereitgestellt werden, dass sie Konfigurationsprofile oder aktualisierte Firmware von einem Remoteserver herunterladen. Die Downloads können in festgelegten Intervallen durchgeführt werden oder immer dann, wenn die Telefone mit einem Netzwerk verbunden oder eingeschaltet werden. Die Bereitstellung erfolgt normalerweise im Rahmen von VoIP-Massenbereitstellungen, die von Serviceanbietern durchgeführt werden. Konfigurationsprofile oder aktualisierte Firmware werden über TFTP, HTTP oder HTTPS an das Gerät übertragen.

Auf einer hohen Ebene verläuft der Telefonbereitstellungsprozess wie folgt:

  1. Wenn das Telefon noch nicht konfiguriert ist, werden die Bereitstellungsserverinformationen an das Telefon über eine der folgenden Optionen übertragen:

    • A – Vom Cisco Enablement Data Orchestration System (EDOS) Remote Customization (RC) Server heruntergeladen mit HTTPS, DNS SRV, GDS (Activation code onboarding), EDOS Geräteaktivierung.

    • B – Vom lokalen DHCP-Server abgefragt.

    • C – Manuell über das webbasierte Konfigurationsprogramm oder die Telefon-UI des Cisco Telefons eingegeben.

  2. Das Telefon lädt die Informationen des Bereitstellungsservers herunter und wendet die Konfigurations-XML über das HTTPS-, HTTP- oder TFTP-Protokoll an.

  3. Das Telefon lädt die aktualisierte Firmware bei Bedarf über HTTPS, HTTP oder TFTP herunter und wendet sie an.

  4. Der VoIP-Dienst wird mithilfe der angegebenen Konfiguration und Firmware eingerichtet.

VoIP-Serviceanbieter beabsichtigen, viele Telefone für Privatkunden und kleine Unternehmen bereitzustellen. In Unternehmens- oder Enterprise-Umgebungen können Telefone als Endknoten fungieren. Die Anbieter verbreiten diese Geräte weit über das Internet. Sie werden über Router und Firewalls an den Kundenstandorten verbunden.

Das Telefon kann als Remote-Erweiterung der Back-End-Geräte des Serviceanbieters verwendet werden. Remoteverwaltung und -konfiguration ermöglichen den ordnungsgemäßen Betrieb des Telefons an den Kundenstandorten.

Bereitstellung

Ein Telefon kann so konfiguriert werden, dass sein interner Konfigurationszustand in regelmäßigen Abständen und beim Einschalten mit einem Remoteprofil resynchronisiert wird. Das Telefon kontaktiert einen NPS (Normal Provisioning Server, normaler Bereitstellungsserver) oder einen ACS (Access Control Server, Zugriffssteuerungsserver).

Standardmäßig wird eine erneute Profilsynchronisierung nur dann versucht, wenn das Telefon inaktiv ist. Auf diese Weise wird verhindert, dass durch eine Aktualisierung ein Neustart der Software ausgelöst und ein Gespräch unterbrochen wird. Wenn zwischenzeitliche Upgrades erforderlich sind, um eine ältere Version auf einen aktuellen Upgrade-Status zu aktualisieren, kann die Upgrade-Logik mehrstufige Upgrades automatisieren.

Normaler Bereitstellungsserver

Bei einem NPS kann es sich um einen TFTP-, HTTP- oder HTTPS-Server handeln. Da die Firmware keine vertraulichen Informationen enthält, wird für ein Remote-Upgrade der Firmware TFTP, HTTP oder HTTPS verwendet.

Obwohl HTTPS empfohlen wird, ist für die Kommunikation mit dem NPS kein sicheres Protokoll erforderlich, da das aktualisierte Profil mit einem Shared-Secret-Schlüssel verschlüsselt werden kann. Weitere Informationen zur Nutzung von HTTPS finden Sie unter Verschlüsselung der Kommunikation. Eine sichere erstmalige Bereitstellung erfolgt über einen Mechanismus, der SSL-Funktionen nutzt. Ein nicht konfiguriertes Telefon erhält ein mit einem symmetrischen 256-Bit-Schlüssel verschlüsseltes Profil, das für dieses Gerät vorgesehen ist.

Telefonbereitstellungsverfahren

In der Regel wird das Cisco IP-Telefon so konfiguriert, dass die Bereitstellung beim Herstellen der ersten Verbindung mit dem Netzwerk erfolgt. Das Telefon wird auch in den geplanten Intervallen bereitgestellt, die vom Serviceanbieter oder VAR bei der Vorabbereitstellung (Konfiguration) des Telefons festgelegt werden. Serviceanbieter können VARs oder erfahrene Benutzer autorisieren, das Telefon manuell mithilfe des Tastenfelds bereitzustellen. Die Bereitstellung kann auch mit der Webbenutzeroberfläche des Telefons konfiguriert werden.

Aktivieren Sie Status > Telefonstatus > Bereitstellung in der LCD-Benutzeroberfläche des Telefons oder die Option „Bereitstellungsstatus“ auf der Registerkarte Status des webbasierten Konfigurationsprogramms.

Auf Ihrem Telefon mit dem Aktivierungscode

Diese Funktion ist in der Firmware-Version 11-2-3MSR1, BroadWorks Application Server Version 22.0 (Patch AP.as. 22.0.1123. ap368163 und deren Abhängigkeiten) verfügbar. Sie können jedoch Telefone mit älterer Firmware ändern, um diese Funktion zu verwenden. Sie teilen dem Telefon mit, auf die neue Firmware zu aktualisieren und die GDS:// Profilregel zu verwenden, um den Aktivierungscode-Bildschirm auszulösen. Ein Benutzer gibt einen 16-stelligen Code im bereitgestellten Feld automatisch auf dem Telefon ein.

Vorbereitungen

Stellen Sie sicher, dass der activation.webex.com-Service über die Firewall die Onboarding-Aktivierung über den Aktivierungscode unterstützt.

Wenn Sie einen Proxyserver für die Onboarding-Funktion einrichten möchten, stellen Sie sicher, dass der Proxyserver ordnungsgemäß konfiguriert ist. Siehe Proxyserver einrichten.

Prozedur

Schritt 1

Bearbeiten Sie die Telefondatei config.xml in einem Text- oder XML-Editor.

Schritt 2

Befolgen Sie das folgende Beispiel in Ihrer Datei config.xml, um die Profilregel für das Aktivierungscode-Onboarding festzulegen.

 

<?xml version="1.0" encoding="UTF-8"?>
<device>
<flat-profile>
<!-- System Configuration -->
<Profile_Rule ua="na">gds://</Profile_Rule>
<!--  Firmware Upgrade  -->
<Upgrade_Enable ua="na">Yes</Upgrade_Enable>
<Upgrade_Error_Retry_Delay ua="na">3600</Upgrade_Error_Retry_Delay>
<Upgrade_Rule ua="na">http://<server ip address>/sip88xx.11-2-3MSR1-1.loads</Upgrade_Rule>
<!-- <BACKUP_ACS_Password ua="na"/> -->
</flat-profile>
</device>

Hinweis

 

Für die Firmware-Version nach 11.2(3) SR1 ist die Einstellung Firmware-Upgrade optional.

Schritt 3

Speichern Sie die Änderungen an der Datei config.xml.

Das Gerät führt das Onboarding mit der CDA-Wiederholung durch.

Um ein Telefon für die Bereitstellung zu konfigurieren, werden Informationen zum Bereitstellungsserver auf das Telefon angewendet, wobei entweder DHCP-Optionen, DNS SRV, die CDA-Geräteaktivierung oder das Onboarding mit Aktivierungscode verwendet wird. Um ein vereinfachtes Onboarding des Geräts zu ermöglichen und dieses widerstandsfähiger gegen Ausfälle zu machen, wird mit der Firmware-Version 12.0(3) die erneute Bereitstellung mit CDA eingeführt. Während dieses Vorgangs wechselt das Telefon zum Bildschirm „Aktivierungscode”, oder das Telefon zeigt einen leeren Bildschirm an. Der Wiederholungsprozess wird im Backend fortgesetzt, aber der Benutzer ist sich dessen nicht bewusst. Auf diese Weise können Sie das Telefon remote einrichten, wenn Sie es versäumt haben, die MAC-Adresse des Telefons anfänglich zum CDA-Service hinzuzufügen, und Sie die MAC-Adresse später hinzugefügt haben, wenn das Telefon beim ersten Mal keine Konfigurationen vom CDA-Service erhalten konnte. In der Firmware-Version 12.0(3) mit dem Wiederholungsmechanismus versucht das Telefon CDA erneut mit einem exponenziellen Back-Off-Timer. Der Benutzer kann das Telefon auch optional neu starten, damit es den CDA wiederholt, nachdem die MAC-Adresse im CDA-Service hinzugefügt wurde.

Diese Bereitstellung erfolgt unter folgenden Bedingungen:

  • Wenn das Telefon zum ersten Mal aus der Schachtel genommen wird und die Firmware-Version 12.0.3 oder höher bereits installiert ist.

  • Wenn das Telefon werksseitig zurückgesetzt wird, während die Firmware-Version 12.0.3 oder höher ausgeführt wird.

Der Benutzer kann die folgenden Änderungen im Personalisierungsstatus anzeigen, wenn eine CDA-Wiederholung stattfindet:

  • Der Personalisierungsstatus wurde von GDS ausstehend in Ausstehend geändert.

  • Der Personalisierungsstatus ändert sich von Anpassung-Ausstehend in Ausstehend.

Wenn der Remote-Anpassungsprozess in den Endstatus wechselt, und der Personalisierungsstatus auf Abgebrochen, Erfasst oder GDS erfasst festgelegt ist, wird der CDA-Wiederholungsversuch angehalten.

Hinweis

Wir empfehlen, den Wert Resync_Error_Retry_Delay (Wiederholungsverzögerung bei fehlgeschlagener Resynchronisierung) während des Out-of-Box-Szenarios unverändert zu lassen. Außerdem muss der Wert immer gleich oder mehr als 60 Sekunden sein.

Telefon-Onboarding für Webex Cloud

Das Telefon-Onboarding bietet eine einfache und sichere Möglichkeit, auf Webex-fähigen Telefonen ein Onboarding für die Webex Cloud durchzuführen. Sie können den Onboarding-Prozess entweder mit dem Aktivierungscode-Onboarding (GDS) oder mit der MAC-Adresse des Telefons (EDOS-Geräteaktivierung) durchführen.

Weitere Informationen zum Generieren des Aktivierungscodes finden Sie im Cisco BroadWorks-Partner-Konfigurationshandbuch, Cisco Multiplattform-Telefone.

Weitere Informationen zum Telefon-Onboarding von Webex-fähigen Telefonen finden Sie in der Webex für Cisco BroadWorks-Lösungs-Anleitung.

Ein Telefon für das Onboarding für Webex Cloud aktivieren

Nach der erfolgreichen Registrierung des Telefons in der Webex Cloud wird auf dem Telefonbildschirm ein Cloud-Symbol angezeigt.

Vorbereitungen

Greifen Sie auf die Webseite zur Telefonverwaltung zu. Siehe Auf Weboberfläche des Telefons zugreifen.

Prozedur

Schritt 1

Wählen Sie Sprache > Telefon aus.

Schritt 2

Legen Sie im Abschnitt Webex den Parameter Onboarding aktivieren auf Ja fest.

Sie können diesen Parameter in der XML-Konfigurationsdatei (cfg.xml) des Telefons konfigurieren, indem Sie eine Zeichenfolge in folgendem Format eingeben: 

<Webex_Onboard_Enable ua="na">Yes</Webex_Onboard_Enable>

Standard: Ja

Schritt 3

Klicken Sie auf Submit All Changes.

Automatische Bereitstellung mit kurzem Aktivierungscode aktivieren

Führen Sie die folgenden Schritte aus, um die automatische Bereitstellung mit einem kurzen Aktivierungscode zu aktivieren.

Vorbereitungen

Stellen Sie sicher, dass Ihre Telefone auf die Firmware-Version 11.3(1) oder höher aktualisiert werden.

Wenn Sie einen Proxyserver für das Telefon einrichten möchten, stellen Sie sicher, dass der Proxyserver ordnungsgemäß konfiguriert ist. Siehe Proxyserver einrichten.

Informationen zum Einrichten des CDA-Servers für das Umleitungs-Profil:

https://community.cisco.com/t5/collaboration-voice-and-video/cisco-multi-platform-phones-cloud-provisioning-process/ta-p/3910244

Prozedur

Schritt 1

Erstellen Sie einen Umleitungs-Profilnamen, der eine beliebige Anzahl von Ziffern zwischen drei und einschließlich 16 enthält. Dieser wird später zum Aktivierungscode. Verwenden Sie eines der folgenden Formate:

  • nnn.

  • nnnnnnnnnnnnnnnn

  • Eine beliebige Anzahl von Ziffern zwischen drei und einschließlich sechzehn. Beispiel, 123456

Schritt 2

Geben Sie den Profilnamen, den Sie in Schritt 1 erstellt haben, an das Support-Team für die Aktivierung von Kundengeräten (CDA) unter cdap-support@cisco.com weiter.

Schritt 3

Bitten Sie das CDA-Support-Team, Ihr Profil für die Ermittlung zu aktivieren.

Schritt 4

Wenn Sie eine Bestätigung vom CDA-Support-Team erhalten, verteilen Sie den Aktivierungscode an die Benutzer.

Schritt 5

Weisen Sie die Benutzer an, vor Eingabe der Ziffern am Aktivierungsbildschirm Raute (#) zu drücken.

Manuelle Bereitstellung eines Telefons über das Tastenfeld

Prozedur

Schritt 1

Drücken Sie Anwendungen .

Schritt 2

Wählen Sie Geräteadministration > Profilregel aus.

Schritt 3

Geben Sie die Profilregel im folgenden Format ein:

protocol://server[:port]/profile_pathname

Zum Beispiel:

tftp://192.168.1.5/CP_x8xx_MPP.cfg

Wenn kein Protokoll angegeben ist, wird TFTP verwendet. Wenn kein Servername angegeben ist, wird der Host, der die URL anfordert, als Servername verwendet. Wenn kein Port angegeben ist, wird der Standardport verwendet (69 für TFTP, 80 für HTTP oder 443 für HTTPS).

Schritt 4

Drücken Sie NeuSync.

DNS SRV für HTTP-Bereitstellung

Die DNS SRV für die HTTP-Bereitstellungsfunktion aktiviert die automatische Bereitstellung Ihres Multiplattform-Telefons. DNS SRV-Datensatze (Domain Name System Service) stellen Verbindungen zwischen einem Service und einem Host-Name her. Wenn das Telefon nach dem Speicherort des Bereitstellungs-Dienstes sucht, fragt es zuerst den DNS SRV-Domänennamen und dann die SRV Datensätze ab. Das Telefon validiert die Datensätze, um zu bestätigen, dass auf den Server zugegriffen werden kann. Anschließend wird die tatsächliche Bereitstellung fortgesetzt. Service-Provider können diese DNS SRV Bereitstellung nutzen, um die automatische Bereitstellung zu ermöglichen.

DNS SRV basiert die Validierung des Host-Namens auf dem Zertifikat des DHCP-bereitgestellten Domänennamens. Es ist wichtig, dass alle SRV-Datensätze ein gültiges Zertifikat mit dem durch DHCP bereitgestellten Domänennamen verwenden.

Die DNS SRV-Abfrage enthält den DHCP-Domänennamen in der folgenden Struktur: _<servicename>._<transport>.<domainName>.

Beispiel: _ciscoprov-HTTPS. _tls. example.com weist das Telefon an, nach example.com zu suchen. Das Telefon verwendet den Host-Namen und die Port-Nummer, die von der DNS SRV-Abfrage abgerufen werden, um die URL zu erstellen, die zum Herunterladen der anfänglichen Konfiguration verwendet wird.

DNS SRV ist einer von vielen automatischen Bereitstellungsmechanismen, die das Telefon verwendet. Das Telefon ruft die Mechanismen in der folgenden Reihenfolge auf:

  1. DHCP

  2. DNS SRV

  3. EDOS

  4. GDS (Aktivierungscode Onboarding) oder EDOS-Geräteaktivierung

Die folgende Tabelle beschreibt die Felder für die SRV-Eintrag.

Tabelle 1. Felder für SRV-Eintrag

Feld

Beschreibung

Beispiel

<_servicename.>

Der Servicename beginnt mit einem Unterstrich. Serverdienste verwenden symbolische Namen in SRV Datensätzen.

Ein Punkt nach dem Service bedeutet (.), dass der Service eingerichtet wurde und der nächste Abschnitt beginnt.

_ciscoprov-HTTPS. Oder _ciscoprov-http.

DNS SRV unterstützt das TFTP-Protokoll nicht. Wenn Sie TFTP verwenden, wird die folgende Fehlermeldung angezeigt: Fehler: TFTP-Schema wird in SRV-Lookups nicht unterstützt.

<_proto.>

Das Transport-Protokoll beginnt mit einem Unterstrich.

Der Zeitraum, der dem Protokoll folgt, signalisiert, dass der Protokollabschnitt beendet wurde.

_tls.Sie müssen HTTPS mit TLS verwenden.

Oder

_tcp.Sie müssen HTTP mit TCP verwenden.

<domainName>

Der Domänenname des Dienstes folgt dem Protokoll.

Host-Name-Validierung: alle SRV-Datensätze werden basierend auf dem ursprünglichen, von DHCP bereitgestellten, Domänennamen validiert. Es ist wichtig, dass alle Datensätze ein gültiges Zertifikat mit dem ursprünglichen Domänennamen verwenden.

beispiel.com

TTL (Time to Live)

Ablaufwert des Datensatzes in Sekunden.

86400

Klasse

Internet-Type: Standard-BIND-Notation, die angibt, dass es sich um einen SRV-Eintrag handelt.

IN

<priority>

Jede Leitung enthält eine Prioritätsnummer. Je niedriger die Zahl ist, desto früher versucht das Telefon, den in diesem DNS SRV-Datensatz enthaltenen Ziel-Host-Namen und -Port zu erreichen.

10

<weight>

Wenn zwei oder mehr Dienste die gleiche Priorität haben, bestimmt die Gewichtungsnummer, welche Leitung zuerst kommt. Je niedriger die Zahl ist, desto früher versucht das Telefon, den in diesem DNS SRV-Datensatz enthaltenen Ziel-Host-Namen und -Port zu erreichen.

20

<port>

 Optionale Portnummer

5060

<target>

Der A-Eintrag des Computers, der den Dienst bereitstellen soll.

A-Einträge sind die grundlegendsten DNS-Einträge, die verwendet werden, um eine Domain oder eine Subdomain einer IP-Adresse zuzuweisen.

pr1.example.com

Beispiel-SRV-Konfigurationen

_Service. _Proto. Name. TTL-Klasse SRV-Prioritätsgewichtung Port-Ziel.

_ciscoprov-https._tls.example.com. 86400 in SRV 10 60 5060 pr1.example.com.

_ciscoprov-https._tls.example.com. 86400 in SRV 10 20 5060 pr2.example.com.

_ciscoprov-http._tcp.example.com. 86400 in SRV 10 50 5060 px1.example.com.

_ciscoprov-http._tcp.example.com. 86400 in SRV 10 30 5060 px2.example.com.

DNS SRV für HTTP-Bereitstellung verwenden

Neue Telefone verwenden DNS SRV als eine Methode der automatischen Bereitstellung. Wenn Ihr Netzwerk für vorhandene Telefone für die Bereitstellung mit DNS SRV für HTTP eingerichtet ist, können Sie mit dieser Funktion Ihr Telefon neu synchronisieren. Beispielhafte Konfigurationsdatei:
<flat-profile>
<!-- System Configuration -->
<Primary_DNS ua="rw">10.89.68.150</Primary_DNS>
<Back_Light_Timer ua="rw">Always On</Back_Light_Timer>
<Peer_Firmware_Sharing ua="na">Yes</Peer_Firmware_Sharing>
<Profile_Authentication_Type ua="na">Basic Http Authentication </Profile_Authentication_Type>
<Proxy_1_ ua="na">example.com</Proxy_1_>
<Display_Name_1_ ua="na">4081001141</Display_Name_1_>
<User_ID_1_ ua="na">4081001141</User_ID_1_>
</flat-profile>
Vorbereitungen
Wenn Sie einen Proxyserver für die HTTP-Bereitstellung einrichten möchten, stellen Sie sicher, dass der Proxyserver ordnungsgemäß konfiguriert ist. Siehe Proxyserver einrichten.
Prozedur

Führen Sie einen der folgenden Schritte aus. Dann Profilregel mit der SRV-Option auf der Webseite festlegen oder Profilregel mit der SRV-Option auf dem Telefon festlegen

  • Legen Sie die XML-Konfigurationsdatei $PSN.xml im Stammverzeichnis des Webservers ab.
  • Legen Sie die XML-Konfigurationsdatei $MA.cfg im Stammverzeichnis des Webservers/Cisco/ab.

Profilregel mit der SRV-Option auf der Webseite festlegen

Sie können die SRV-Option verwenden, um eine Konfigurationsdatei auf Ihr Telefon herunterzuladen.
Vorbereitungen
Auf Weboberfläche des Telefons zugreifen
Prozedur

Schritt 1

Wählen Sie Sprache > Bereitstellung aus

Schritt 2

Geben Sie im Feld Profilregel die Profilregel mit der SRV-Option ein. Nur HTTP und HTTPS werden unterstützt.

Beispiel:
[--srv] https://example.com/$PSN.xml

Profilregel mit der SRV-Option auf dem Telefon festlegen

Sie können die SRV-Option auf Ihrem Telefon verwenden, um eine Konfigurationsdatei herunterzuladen.
Prozedur

Schritt 1

Drücken Sie Anwendungen .

Schritt 2

Wählen Sie Geräteadministration > Profilregel aus.

Schritt 3

Geben Sie die Profilregel mit dem Parameter [--srv] ein. Nur HTTP und HTTPS werden unterstützt.

Beispiel:
[--srv] https://example.com/$PSN.xml

Schritt 4

Drücken Sie NeuSync.

TR69-Bereitstellung

Das Cisco IP-Telefon ermöglicht es dem Administrator, die TR69-Parameter über die Webbenutzeroberfläche zu konfigurieren. Informationen zu den Parametern, einschließlich einem Vergleich der XML- und TR69-Parameter, finden Sie im Administratorhandbuch für die entsprechende Telefonserie.

Das Telefon unterstützt die Auto Configuration Server-(ACS-)Erkennung über die DHCP-Option 43, 60 und 125.

  • Option 43 – Herstellerspezifische Informationen für die ACS-URL.

  • Option 60 – VCI (Vendor Class Identifier, Herstellerklassenbezeichner) für das Telefon, um sich selbst mit dslforum.org beim ACS zu identifizieren.

  • Option 125 – Herstellerspezifische Informationen zur Gateway-Zuordnung.

TR69 RPC Methods

Unterstützte RPC-Methoden

Die Telefone unterstützen nur eine begrenzte Auswahl an Remote Procedure Call-(RPC-)Methoden, wie die folgenden:

  • GetRPCMethods

  • SetParameterValues

  • GetParameterValues

  • SetParameterAttributes

  • GetParameterAttributes

  • GetParameterNames

  • AddObject

  • DeleteObject

  • Reboot

  • FactoryReset

  • Inform

  • Download: Die RPC-Methode Download unterstützt die folgenden Dateitypen:

    • Firmware-Upgrade-Image

    • Anbieterspezifische Konfigurationsdatei

    • Benutzerdefinierte Certificate Authority-(CA-)Datei

  • Übertragung beendet

Unterstützte Ereignistypen

Die Telefone unterstützen Ereignistypen basierend auf den unterstützten Funktionen und Methoden. Nur die folgenden Ereignistypen werden unterstützt:

  • Bootstrap

  • Boot

  • Änderung der Werte

  • Verbindungsanfrage

  • Periodisch

  • Übertragung beendet

  • M Download

  • M Reboot

Verschlüsselung der Kommunikation

Die Konfigurationsparameter, die an das Gerät übermittelt werden, enthalten Autorisierungscodes oder andere Informationen, die das System vor unbefugtem Zugriff schützen. Es liegt im Interesse des Serviceanbieters, unbefugte Kundenaktivitäten zu verhindern. Im Interesse des Kunden ist es, eine unbefugte Nutzung seines Kontos zu verhindern. Der Serviceanbieter kann den Austausch der Konfigurationsprofildaten zwischen dem Bereitstellungsserver und dem Gerät verschlüsseln und zusätzlich den Zugriff auf den Verwaltungswebserver einschränken.

Verhalten des Telefons bei Netzwerküberlastung

Alles, was zu einer Verschlechterung der Netzwerkleistung führt, kann auch die Audioqualität des Telefons beeinträchtigen. In manchen Fällen kann es sogar zu einem Abbruch des Telefonats kommen. Eine Netzwerküberlastung kann unter anderem von folgenden Aktivitäten verursacht werden:

  • Administrative Aufgaben, beispielsweise einen internen Port- oder Sicherheits-Scan.

  • Netzwerkangriffe, beispielsweise ein Denial-of-Service-Angriff.

Interne Vorabbereitstellung und Bereitstellungsserver

Mit Ausnahme der für die Remote-Personalisierung vorgesehenen Geräte konfiguriert der Serviceanbieter Telefone vorab mit einem Profil. Dieses Vorabbereitstellungsprofil kann eine begrenzte Anzahl von Parametern umfassen, mit denen das Telefon resynchronisiert wird. Das Profil kann auch einen gesamten Parametersatz enthalten, der vom Remoteserver übertragen wird. Standardmäßig führt das Telefon beim Einschalten und in den Intervallen, die im Profil konfiguriert sind, Resynchronisierungen durch. Wenn der Benutzer das Telefon am Kundenstandort anschließt, lädt das Gerät das aktualisierte Profil und alle eventuell vorhandenen Firmware-Updates herunter.

Dieser Vorgang der Vorabbereitstellung, Bereitstellung und Remotebereitstellung kann auf verschiedene Weise erfolgen.

Servervorbereitung und Softwaretools

Die Beispiele in diesem Kapitel erfordern, dass mindestens ein Server verfügbar ist. Diese Server können auf einem lokalen PC installiert und ausgeführt werden:

  • TFTP (UDP-Port 69)

  • Syslog (UDP-Port 514)

  • HTTP (TCP-Port 80)

  • HTTPS (TCP-Port 443)

Zum Beheben von Problemen mit der Serverkonfiguration ist es hilfreich, Clients für jeden Servertyp auf einem separaten Server zu installieren. Dieses Vorgehen gewährleistet einen ordnungsgemäßen Serverbetrieb, unabhängig von der Interaktion mit den Telefonen.

Außerdem wird empfohlen, die folgenden Softwaretools zu installieren:

  • Zum Generieren von Konfigurationsprofilen installieren Sie das Open-Source-Komprimierungs-Utility gzip.

  • Für Profilverschlüsselung und HTTPS-Operationen installieren Sie das Open-Source-Softwarepaket OpenSSL.

  • Zum Testen der dynamischen Profilgenerierung und zur Remotebereitstellung über HTTPS in einem Schritt wird eine Skriptsprache empfohlen, die CGI-Scripting unterstützt. Die Open-Source-Sprache Perl ist ein Beispiel für eine solche Skriptsprache.

  • Um den sicheren Datenaustausch zwischen Bereitstellungsservern und den Telefonen zu überprüfen, installieren Sie einen Ethernet-Packetsniffer (wie den kostenlos herunterladbaren Ethereal/Wireshark). Erfassen Sie eine Ethernet-Paketablaufverfolgung der Interaktionen zwischen dem Telefon und dem Bereitstellungsserver. Führen Sie hierzu den Packetsniffer auf einem PC aus, der mit einem Switch verbunden ist, auf dem die Portspiegelung aktiviert ist. Für HTTPS-Transaktionen können Sie das Utility ssldump verwenden.

Remote-Personalisierungsverteilung

Alle Telefone kontaktieren den Cisco EDOS RC-Server, bis sie zum ersten Mal bereitgestellt werden.

Bei einem Remote-Personalisierungsverteilungsmodell erwirbt der Kunde ein Telefon, das bereits einem bestimmten Serviceanbieter im Cisco EDOS RC-Server zugeordnet wurde. Der ITSP richtet einen Bereitstellungsserver ein und verwaltet ihn und registriert die Bereitstellungsserverinformationen beim Cisco EDOS RC-Server.

Wenn das Telefon eingeschaltet wird und über eine Internetverbindung verfügt, lautet der Personalisierungsstatus für das nicht konfigurierte Telefon Offen. Das Telefon fragt zuerst die Bereitstellungsserverinformationen vom lokalen DHCP-Server ab und legt den Personalisierungsstatus des Telefons fest. Wenn die DHCP-Abfrage erfolgreich ist, wird der Personalisierungsstatus auf Abgebrochen festgelegt und es wird keine Remote-Personalisierung durchgeführt, weil DHCP die erforderlichen Bereitstellungsserverinformationen bereitstellt.

Wenn ein Telefon zum ersten Mal mit einem Netzwerk verbunden wird oder auf die Werkseinstellungen zurückgesetzt wurde und es kein DHCP-Optionen-Setup gibt, kontaktiert das Telefon einen Geräte-Aktivierungsserver für berührungsfreie Bereitstellung. Neue Telefone verwenden "activate.cisco.com" anstelle von "webapps.cisco.com" für die Bereitstellung. Telefone mit Firmware-Versionen vor 11.2(1) verwenden weiterhin webapps.cisco.com. Cisco empfiehlt, dass Sie in Ihrer Firewall beide Domänennamen zulassen.

Wenn der DHCP-Server keine Bereitstellungsserverinformationen anbietet, fragt das Telefon den Cisco EDOS RC-Server ab, gibt seine MAC-Adresse und sein Modell an und legt den Personalisierungsstatus auf Ausstehend fest. Der Cisco EDOS-Server antwortet mit den Bereitstellungsserverinformationen des zugehörigen Serviceanbieters, einschließlich Bereitstellungsserver-URL, und der Personalisierungsstatus des Telefons wird auf Anpassung-Ausstehend festgelegt. Das Telefon führt dann einen URL-Befehl zur Resynchronisierung aus, um die Konfiguration des Serviceanbieters abzurufen. Wenn der Befehl fehlerfrei ausgeführt wird, wird der Personalisierungsstatus auf Erfasst festgelegt.

Wenn die DHCP-Serverbereitstellung fehlschlägt, fragt das Telefon den Cisco EDOS RC-Server ab, gibt seine MAC-Adresse und sein Modell an und legt den Personalisierungsstatus auf Ausstehend fest. Der Cisco EDOS-Server antwortet mit den Bereitstellungsserverinformationen des zugehörigen Serviceanbieters, einschließlich Bereitstellungsserver-URL, und der Personalisierungsstatus des Telefons wird auf Anpassung-Ausstehend festgelegt. Das Telefon führt dann einen URL-Befehl zur Resynchronisierung aus, um die Konfiguration des Serviceanbieters abzurufen. Wenn der Befehl fehlerfrei ausgeführt wird, wird der Personalisierungsstatus auf Erfasst festgelegt. Wenn die Abfragen entweder für den lokalen DHCP-Server oder für den EDOS-Server für die Bereitstellung fehlschlagen, versucht das Telefon das Onboarding erneut über DHCP und EDOS.

Wenn dem Telefon auf dem Cisco EDOS RC-Server kein Serviceanbieter zugeordnet ist, wird der Personalisierungsstatus des Telefons auf Nicht verfügbar festgelegt. Das Telefon kann manuell konfiguriert werden kann, oder dem Cisco EDOS Server kann eine Zuordnung für den Serviceanbieter des Telefons hinzugefügt werden.

Wenn ein Telefon über die LCD-Anzeige oder das Web Configuration Utility bereitgestellt wird, bevor der Personalisierungsstatus auf Erfasst festgelegt worden ist, dann wird der Personalisierungsstatus auf Abgebrochen festgelegt und der Cisco EDOS Server wird nur dann abgefragt, wenn das Telefon auf die Werkseinstellungen zurückgesetzt wird.

Nachdem das Telefon bereitgestellt worden ist, wird der Cisco EDOS RC-Server nur dann verwendet, wenn das Telefon auf die Werkseinstellungen zurückgesetzt wird.

Interne Vorabbereitstellung von Geräten

Mit der werksseitigen Standardkonfiguration von Cisco versucht das Telefon automatisch, sich mit einem Profil auf einem TFTP-Server zu resynchronisieren. Ein verwalteter DHCP-Server in einem LAN liefert die Informationen über das Profil und den TFTP-Server, der für die Vorabbereitstellung des Geräts konfiguriert ist. Der Serviceanbieter verbindet jedes neue Telefon mit dem LAN. Das Telefon führt automatisch eine Resynchronisierung mit dem lokalen TFTP-Server durch und initialisiert seinen internen Status, um sich auf die Bereitstellung vorzubereiten. Dieses Vorabbereitstellungsprofil enthält in der Regel die URL eines Remote-Bereitstellungsservers. Der Bereitstellungsserver aktualisiert das Gerät laufend, nachdem das Gerät bereitgestellt und mit dem Kundennetzwerk verbunden worden ist.

Der Barcode des vorab bereitgestellten Geräts kann gescannt werden, um die MAC-Adresse oder die Seriennummer aufzuzeichnen, bevor das Telefon an den Kunden geliefert wird. Diese Informationen können zum Erstellen des Profils, mit dem sich das Telefon resynchronisiert, verwendet werden.

Nach dem Empfang des Telefons verbindet der Kunden das Gerät mit den Breitband-Link. Beim Einschalten kontaktiert das Telefon den Bereitstellungsserver über die URL, die über die Vorabbereitstellung konfiguriert wird. Daher kann das Telefon das Profil und die Firmware bei Bedarf resynchronisieren und aktualisieren.

Bereitstellungsserver-Setup

In diesem Abschnitt werden die Setup-Anforderungen beschrieben, die für die Bereitstellung eines Telefons mithilfe verschiedener Server und in verschiedenen Szenarien erforderlich sind. Für dieses Dokument und zum Testen werden Bereitstellungsserver auf einem lokalen PC installiert und ausgeführt. Zudem gibt es allgemein verfügbare Softwaretools, die bei der Bereitstellung von Telefonen hilfreich sind.

TFTP-Bereitstellung

Die Telefone unterstützen TFTP bei der Bereitstellung von Resynchronisierung und Firmware-Upgrades. Wenn Geräte remote bereitgestellt werden, wird HTTPS empfohlen, aber HTTP und TFTP kann auch verwendet werden. In diesem Fall muss eine Dateiverschlüsselung verwendet werden, um die Sicherheit und Zuverlässigkeit der gegebenen NAT- und Routerschutzmechanismen zu erhöhen. TFTP eignet sich für die interne Vorabbereitstellung einer großen Anzahl nicht konfigurierter Geräte.

Das Telefon kann die IP-Adresse eines TFTP-Servers über die DHCP-Option 66 direkt vom DHCP-Server abrufen. Wenn ein Profile_Rule-Parameter im Dateipfad dieses TFTP-Servers konfiguriert ist, lädt das Gerät sein Profil vom TFTP-Server herunter. Der Download wird ausgeführt, wenn das mit einem LAN verbundene Gerät eingeschaltet wird.

Der mit der werksseitigen Standardkonfiguration bereitgestellte Profile_Rule-Parameter ist &PN.cfg, wobei &PN für den Namen des Telefonmodells steht.

Für das Modell CP-7841-3PCC lautet der Dateiname beispielsweise CP-7841-3PCC.cfg. Für das Modell CP-7832-3PCC lautet der Dateiname beispielsweise CP-7832-3PCC.cfg.

Für das Modell CP-8841-3PCC lautet der Dateiname beispielsweise CP-8841-3PCC.cfg.

Für das Modell CP-6841-3PCC lautet der Dateiname beispielsweise CP-6841-3PCC.cfg.

Ein Gerät mit dem werksseitigen Standardprofil führt nach dem Einschalten eine Resynchronisierung mit dieser Datei durch, die sich auf dem von der DHCP-Option 66 angegebenen lokalen TFTP-Server befindet. Der Dateipfad bezieht sich auf das virtuelle Stammverzeichnis des TFTP-Servers.

Remote-Endpunktsteuerung und NAT

Das Telefon ist mit NAT (Network Address Translation) kompatibel und kann daher über einen Router auf das Internet zugreifen. Zur Erhöhung der Sicherheit kann der Router versuchen, nicht autorisierte eingehende Pakete durch die Implementierung von symmetrischem NAT zu blockieren. Dies ist eine Paketfilterungsstrategie, welche die Pakete beschränkt, die dazu berechtigt sind, vom Internet aus in das geschützte Netzwerk einzudringen. Aus diesem Grund wird die Remotebereitstellung mithilfe von TFTP nicht empfohlen.

VoIP kann nur dann zusammen mit NAT eingesetzt werden, wenn eine Art von NAT-Durchquerung ermöglicht wird. STUN (Configure Simple Traversal of UDP through NAT). Diese Option setzt beim Benutzer Folgendes voraus:

  • Eine dynamische externe (öffentliche) IP-Adresse von Ihrem Service

  • Einen Computer, der STUN-Serversoftware ausführt

  • Ein peripheres Gerät mit einem asymmetrischen NAT-Mechanismus

HTTP-Bereitstellung

Das Telefon verhält sich wie ein Browser, der von einer Remotewebsite im Internet Webseiten anfordert. Dies stellt eine zuverlässige Methode zum Erreichen des Bereitstellungsserver dar, selbst wenn der Router des Kunden symmetrisches NAT oder einen anderen Schutzmechanismen implementiert. HTTP und HTTPS sind in Remotebereitstellungen zuverlässiger als TFTP, insbesondere wenn die bereitgestellten Geräte hinter lokalen Firewalls oder NAT-fähigen Routern vernetzt sind. HTTP und HTTPs sind in den nachstehenden Beschreibungen von Anforderungstypen austauschbar.

Eine einfache HTTP-basierte Bereitstellung stützt sich beim Abrufen der Konfigurationsprofile auf die HTTP-Methode GET. In der Regel wird für jedes bereitgestellte Telefon eine Konfigurationsdatei erstellt, und diese Dateien werden in einem HTTP-Serververzeichnis gespeichert. Wenn der Server die GET-Anforderung erhält, gibt er einfach die Datei zurück, die im GET-Anforderungsheader angegeben ist.

Das Konfigurationsprofil muss nicht statisch sein, sondern kann auch dynamisch generiert werden, indem eine Kundendatenbank abgefragt und das Profil anschließend erzeugt wird.

Wenn das Telefon eine Resynchronisierung anfordert, kann es unter Verwendung der HTTP-Methode POST die Konfigurationsdaten für die Resynchronisierung anfordern. Das Gerät kann so konfiguriert werden, dass bestimmte Status- und Identifikationsinformationen im Hauptteil der HTTP POST-Anforderung an den Server übermittelt werden. Der Server verwendet diese Informationen, um als Antwort das gewünschte Konfigurationsprofil zu generieren oder die Statusinformationen zur späteren Analyse oder Ablaufverfolgung zu speichern.

Als Teil der GET und POST-Anforderungen fügt das Telefon automatisch grundlegende identifizierende Informationen in das Feld „User-Agent“ des Anforderungsheaders ein. Diese Informationen geben den Hersteller, den Produktnamen, die aktuelle Firmware-Version und die Seriennummer des Geräts an.

Im folgenden Beispiel ist das Anforderungsfeld „User-Agent“ von einem CP-8841-3PCC dargestellt:

User-Agent: Cisco-CP-8841-3PCC/11.0 (00562b043615)
Im folgenden Beispiel ist das Anforderungsfeld „User-Agent“ von einem CP-6841-3PCC dargestellt:

User-Agent: Cisco-CP-6841-3PCC/11.0 (00562b043615)

Der Benutzer-Agent ist konfigurierbar, und das Telefon verwendet diesen Wert, wenn er nicht konfiguriert wurde (immer noch standardmäßig).

Wenn das Telefon so konfiguriert ist, dass die Resynchronisierung mit einem Konfigurationsprofil über HTTP erfolgt, empfiehlt es sich, zum Schutz der vertraulichen Informationen HTTPS zu verwenden oder das Profil zu verschlüsseln. Wenn das Telefon verschlüsselte Profile unter Verwendung von HTTP herunterlädt, wird das Risiko vermieden, dass die im Konfigurationsprofil enthaltenen vertraulichen Informationen offen gelegt werden. Diese Art der Resynchronisierung erzeugt eine geringere Rechenlast für den Bereitstellungsserver als die Verwendung von HTTPS.

Das Telefon kann Profile entschlüsseln, die mit einer der folgenden Verschlüsselungsmethoden verschlüsselt sind:

  • AES-256-CBC-Verschlüsselung

  • RFC-8188-basierte Verschlüsselung mit AES-128-GCM-Schlüssel


Hinweis

Die Telefone unterstützen HTTP-Version 1.0, HTTP-Version 1.1 und die Abschnittstransfercodierung, wenn HTTP-Version 1.1 das ausgehandelte Transportprotokoll ist.

HTTP-Statuscodeverarbeitung bei Resynchronisierung und Upgrade

Das Telefon unterstützt HTTP-Antworten für die Remotebereitstellung (Resynchronisierung). Das aktuelle Verhalten des Telefons lässt sich in drei Kategorien einteilen:

  • A: Erfolg, wobei die Werte für „Resync Periodic“ (Periodische Resynchronisierung) und „Resync Random Delay“ (Zufällige Resynchronisierungsverzögerung) die nachfolgenden Anforderungen bestimmen.

  • B: Fehler, wenn die Datei nicht gefunden wird oder das Profil beschädigt ist. Der Wert von „Resync Error Retry Delay“ (Wiederholungsverzögerung bei fehlgeschlagener Resynchronisierung) bestimmt die nachfolgenden Anforderungen.

  • C: Anderer Fehler, wenn eine ungültige URL oder IP-Adresse einen Verbindungsfehler verursachen. Der Wert von „Resync Error Retry Delay“ (Wiederholungsverzögerung bei fehlgeschlagener Resynchronisierung) bestimmt die nachfolgenden Anforderungen.

Tabelle 2. Telefonverhalten in Reaktion auf HTTP-Antworten

HTTP-Statuscode

Beschreibung

Verhalten des Telefons

301 Dauerhaft verschoben

Diese und zukünftige Anforderungen sollen an den neue Speicherort gerichtet werden.

Anforderung sofort mit dem neuen Speicherort wiederholen.

302 Gefunden

Auch als „Vorübergehend verschoben“ bezeichnet.

Anforderung sofort mit dem neuen Speicherort wiederholen.

3xx

Andere 3xx-Antworten werden nicht verarbeitet.

C

400 Unzulässige Anforderung

Die Anforderung kann aufgrund einer fehlerhaften Syntax nicht erfüllt werden.

C

401 Nicht autorisiert

Authentifizierungsaufforderung bei einfacher oder Digest-Access-Authentifizierung.

Anforderung mit Authentifizierungsinformationen sofort wiederholen. Maximal 2 Wiederholungen. Bei einem Fehler entspricht das Verhalten des Telefons C.

403 Unzulässig

Der Server weigert sich, zu antworten.

C

404 Nicht gefunden

Die angeforderte Ressource wurde nicht gefunden. Nachfolgende Anforderungen des Clients sind zulässig.

B

407 Proxy-Authentifizierung erforderlich

Authentifizierungsaufforderung bei einfacher oder Digest-Access-Authentifizierung.

Anforderung mit Authentifizierungsinformationen sofort wiederholen. Maximal zwei Wiederholungen. Bei einem Fehler entspricht das Verhalten des Telefons C.

4xx

Andere Client-Fehlerstatuscodes werden nicht verarbeitet.

C

500 Interner Serverfehler

Allgemeine Fehlermeldung.

Das Verhalten des Telefons entspricht C.

501 Nicht implementiert

Der Server erkennt die Anforderungsmethode nicht, oder er kann die Anforderung nicht erfüllen.

Das Verhalten des Telefons entspricht C.

502 Ungültiges Gateway

Der Server fungiert als Gateway oder Proxy und erhält vom Upstream-Server eine ungültige Antwort.

Das Verhalten des Telefons entspricht C.

503 Service nicht verfügbar

Der Server ist derzeit nicht verfügbar (überlastet oder zu Wartungszwecken heruntergefahren). Dies ist ein temporärer Zustand.

Das Verhalten des Telefons entspricht C.

504 Gateway-Zeitüberschreitung

Der Server fungiert als Gateway oder Proxy und erhält vom Upstream-Server nicht rechtzeitig eine Antwort.

C

5xx

Andere Serverfehler

C