セキュアから非セキュアCUCMへのIP Phoneの移行のデモンストレーション
はじめに
このドキュメントでは、セキュアなCisco Unified Communication Manager(CUCM)から非セキュアなCUCMに電話機を移行するためのベストプラクティスの1つについて説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- CUCM
- IP フォン
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。
- CUCMバージョン:12.5.1.16065-1および12.5.1.14900-63
- IP Phoneモデル – 8865およびバージョン – 12.8(1)
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
ネットワーク図
IP_Phone > Cisco Switch > Cisco Router > Cisco Switch > CUCM Cluster
コンフィギュレーション
次のシナリオでは、セキュアなCUCMクラスタから非セキュアなCUCMクラスタへの電話機の移行について説明します。各段階で、電話機の証明書信頼リスト(CTL)ファイルとID信頼リスト(ITL)ファイルのステータスが文書化されます。
- 非セキュアCUCMクラスタに電話機を登録します。
- 非セキュアクラスタをセキュアCUCMクラスタに変換します。
- セキュアから非セキュアクラスタに変換し直す
- 電話機を新しい非セキュアCUCMクラスタに移行します。
1.非セキュアCUCMクラスタに電話機を登録する。
これらは、非セキュアなソースクラスタに関する情報です。
- IPアドレス:10.201.251.171
- FQDN:cucm1052.domain.com
- バージョン:12.5.1.16065-1
非セキュアCUCMクラスタに電話機を登録します。これには、Trivial File Transfer Protocol(TFTP)のIPアドレスを指すようにDynamic Host Configuration Protocol(DHCP)オプション150 / 66を設定します(これはTFTPサービスがオンになっているCUCMノードです)。
DHCPサーバが存在しないインフラストラクチャでは、物理的な電話機でTFTP IPを手動で設定する必要があります。
物理的な電話機で、Settings > Admin Settings > Network Setup > Ethernet setup > IPv4 setupの順に移動します。
DHCPをオフにして、ネットワークのスタティックIPの詳細を入力します。その後、スクリーンショットに示すように、TFTPサーバ1セクションに非セキュアCUCM IPを指定します。
注:このプロセスは、DHCPスコープ(オプション150/66)のTFTP IPを変更することと同じです。また、クラスタがドメイン名で設定されている場合は、DHCPスコープでも適切なドメインネームシステム(DNS)サーバを設定する必要があります。
電話機でのTFTP IPの設定
IPフォンは、指定された非セキュアCUCMクラスタに正常に登録されます。
CUCMに登録された電話機
CUCM Administration Webインターフェイスにログインし、System > Enterprise Parametersの順に移動します。
これらは、非セキュアCUCMクラスタのエンタープライズパラメータページで設定されたパラメータの値です。
- Cluster security Modeが0に設定されている場合、クラスタが非セキュアであることが確認されます。
クラスタセキュリティモードが0に設定されている
- Prepare Cluster for Rollback to pre 8.0はFalseに設定されています。したがって、ITLファイルとCTLファイルの内容は適切な値で保持されます。
Prepare Cluster for Rollback to pre 8.0がFalseに設定されている
クラスタは非セキュアであるため、TFTPサーバにはCTLファイルはありません。これを確認するには、CUCMノードのセキュアシェル(SSH)セッションでコマンドshow ctlを実行します。
CTLファイルがありません
物理的な電話機で、CTLファイルがインストールされていないことを確認できます。ただし、ITLファイルは表示されます。
CUCMのデフォルトのセキュリティ(SBD)機能により、ITLが存在します。SBDの詳細については、ここをクリックしてください。
物理的な電話機で、Settings > Admin settings > Security setup > Trust listの順に移動します。
ここでは、CTLファイルとITLファイルの両方のステータスを確認できます。
CTIは電話機にインストールされていません。
電話機のCTLファイル
電話機にITLファイルがある。
電話機のITLファイル
2.非セキュアクラスタをセキュアCUCMクラスタに変換します。
CUCMパブリッシャのコマンドラインインターフェイス(CLI)でコマンドutils ctl set-cluster mixed-modeを実行して、混合モードを有効にします。これにより、クラスタが非セキュアからセキュアに変換されます。
セキュアクラスタへの変換
コマンドの実行後、クラスタ内のすべてのノードでCisco CallManager(CCM)およびCisco CTIManager(CTI)サービスを再起動します。
CCMおよびCTIサービスの再起動
ここで、物理的な電話機で、CTLファイルの存在を確認できます。
電話機のCTLファイル
ITLファイルは同じ値のままです。
電話機のITLファイル
3.セキュアから非セキュアクラスタに変換し直します。
クラスタをセキュアから非セキュアに変換するには、CUCMパブリッシャのCLIでコマンドutils ctl set-cluster non-secure-modeを実行する必要があります。
非セキュアクラスタへの変換
クラスタ内のすべてのノードでCCMサービスとCTIサービスを再起動して、CUCMクラスタ内のすべてのノードに変更を反映させます。
クラスタを非セキュアに変換した後、CTLにはCUCMおよびTFTPエントリは含まれません。CTLファイルにはCAPFエントリだけが含まれます。
電話機のCTLファイル
ITLファイルには同じエントリが残っていました。
電話機のITLファイル
注:CUCM Administration Webページの電話設定ページでDevice Security Profileをsecureまたはnon-secureに変更しても、ITLファイルやCTLファイルには影響しません。したがって、以前と同じように設定を保持し、それらを変更する必要はありません。
4.電話機を新しい非セキュアCUCMクラスタに移行する。
注:移行を開始する前に、移行元クラスターのすべてのノード(これらのサービスが有効になっているノードのみ)で信頼検証サービス(TVS)とTFTPサービスを再起動することを推奨します。これにより、TVS/TFTPサービスでハングまたはリークするセッションがなくなります。
CUCM Administration Webインターフェイスにログインし、System > Enterprise Parametersの順に移動します。
Prepare Cluster for Rollback to pre 8.0の値をTrueに設定します。次に、Apply ConfigボタンとResetボタンのクリックに進みます。
このスクリーンショットには、このパラメータのヘルプセクションが示されています。
Prepare Cluster for Rollback to pre 8.0パラメータに関する情報
パラメータ値を変更する前後に(Real Time Monitoring Tool(RTMT) を使用して)クラスタで電話登録数を監視します。これにより、これらの変更がクラスタ内のすべてのデバイスに適用されるかどうかを検証できます。
物理的な電話機では、ITLファイルとCTLファイルの両方にCAPFエントリのみが表示されます。また、Webブラウザで電話機のWebページを開いて、これを確認することもできます。
ITLファイル
電話機のITLファイル
CTLファイル
電話機のCTLファイル
移行を開始する前に、いくつかの電話機でITLおよびCTLファイルを検証して、変更が行われたことを確認することをお勧めします。
これで、電話は移行の準備が整いました。
電話機を移行元クラスタから移行先クラスタに移行します。現在、両方のクラスタは非セキュアです。
ソースクラスタ:
- IPアドレス:10.201.251.171
- FQDN:cucm1052.domain.com
- バージョン:12.5.1.16065-1
宛先クラスタ:
- IPアドレス:10.88.11.163
- FQDN:cucmpub.domain.com
- バージョン:12.5.1.14900-63
物理的な電話機で、TFTP Server 1の値をDestination new cluster IP addressに設定し、Applyボタンをクリックします。
注:このプロセスは、DHCPスコープのTFTP ipを変更するオプション150 / 66と同じです。宛先クラスタが異なるドメインにある場合は、DHCPスコープでも適切なDNSサーバを設定する必要があります。
電話機でのTFTP IPの設定
Continueボタンをクリックすると、ソースクラスタの古いCTLファイルとITLファイル(CAPFエントリのみ)が保持されます。
Continueボタンを押すと、古いCTLファイルとITLファイルを保持できます
確認
電話機は宛先クラスタに正常に登録されます。
CUCMに登録された電話機
電話機には、宛先クラスタの信頼リストのエントリが含まれています。
電話機のITLファイル
トラブルシュート
現在、この設定に関する特定のトラブルシューティング情報はありません。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
08-Feb-2024 |
初版 |
フィードバック