プロキシ TFTP 展開の概要
プロキシ簡易ファイル転送プロトコル (TFTP) サーバを使用して、ネットワークのエンドポイントに必要な設定ファイル (ダイヤルプラン、着信音ファイル、デバイス設定ファイルなど) を指定します。展開内の任意のクラスタに TFTP サーバをインストールして、複数クラスタのエンドポイントからの要求を処理することができます。DHCP スコープは、設定ファイルを取得するために使用するプロキシ TFTP サーバの IP アドレスを指定します。
冗長およびピアプロキシ TFTP サーバ
単一クラスタの導入では、クラスタは少なくとも 1 つのプロキシ TFTP サーバを備えている必要があります。冗長性を確保するために、クラスタに別のプロキシ TFTP サーバを追加することができます。2 台目のプロキシ TFTP サーバは、IPv4 のオプション 150 に追加されます。IPv6 の場合、第 2 TFTP サーバを、DHCP スコープの TFTP サーバ アドレスサブオプションタイプ 1 に追加します。
複数のクラスタ展開では、最大 3 台のリモートプロキシ TFTP サーバをプライマリプロキシ TFTP サーバのピアクラスタとして指定できます。これは、複数の DHCP スコープに対して 1 台のプロキシ TFTP サーバだけを設定する場合、または 1 つの DHCP スコープのみを設定する場合に便利です。プライマリプロキシ TFTP サーバは、ネットワーク内のすべての電話機とデバイスに設定ファイルを提供します。
各リモートプロキシ TFTP サーバとプライマリプロキシ TFTP サーバの間にピア関係を作成する必要があります。
ヒント |
ネットワーク内のリモートプロキシ TFTP サーバ間にピア関係を設定する場合は、関係を階層構造にしておきます。ループの発生を回避するために、リモートクラスタ上のピアプロキシ TFTP サーバが相互にポイントしないようにします。たとえば、プライマリノード A にノード B と C のピアリレーションシップがあるとします。ノード B と C の間にピア関係を作成しないでください。作成すると、ループが作成されます。 |
プロキシ TFTP
マルチクラスタ システムでは、プロキシ TFTP サービスは、1 つのプライマリ TFTP サーバを介して複数のクラスタから TFTP ファイルを提供できます。単一のサブネットまたは VLAN に複数のクラスタからの電話機が含まれている場合や、複数のクラスタが同じ DHCP TFTP オプション(150)を共有している場合、プロキシ TFTP はそれらの状況に対する単一の TFTP 参照として機能できます。
プロキシ TFTP サービスは、図に示すように、単一レベルの階層として機能します。より複雑な複数レベル階層はサポートされません。
上の図では、デバイスのグループが構成ファイルのプライマリ TFTP サーバと通信します。デバイスから TFTP の要求を受信すると、プライマリ TFTP は、設定ファイルだけでなく、リモートクラスタ A、B、C、N (構成されている他のリモートクラスタ) などリモートで構成された他のクラスタについて、それぞれ自身のローカルキャッシュを検索します。
プライマリ TFTP サーバ上では、任意の数のリモートクラスタを設定できます。ただし、各リモートクラスタには最大 3 個の TFTP IP アドレスしか含めることができません。冗長性を確保するための推奨設計は、クラスタごとに 2 台の TFTP サーバを使用することです。したがって、プライマリ TFTP サーバ上のリモートクラスタあたり 2 つの IP アドレスを使用して冗長性を確保できます。
IPv4 および IPv6 デバイスの TFTP サポート
IPv4 の電話機とゲートウェイで DHCP カスタムオプション 150 を使用して、TFTP サーバの IP アドレスを検出することを推奨します。オプション 150 を使用すると、ゲートウェイと電話機は TFTP サーバの IP アドレスを検出します。詳細については、デバイスに同梱されているマニュアルを参照してください。
IPv6 ネットワークでは、Cisco ベンダー固有の DHCPv6 情報を使用して、TFTP サーバ IPv6 アドレスをエンドポイントに渡すことを推奨します。この方法では、TFTP サーバの IP アドレスをオプション値として設定します。
IPv4 を使用するエンドポイントと IPv6 を使用するエンドポイントがある場合は、IPv4 には DHCP カスタム オプション 150 を、IPv6 には Cisco ベンダー固有情報オプションである TFTP サーバアドレスのサブオプションタイプ 1 を使用することをお勧めします。TFTP サーバが IPv4 を使用して要求を処理しているときに、エンドポイントが IPv6 アドレスを取得して要求を TFTP サーバに送信した場合、TFTP サーバは IPv6 スタックで要求を受信していないため、その要求を受信しません。この場合、エンドポイントを Cisco Unified Communications Manager に登録できません。
IPv4 および IPv6 デバイスが TFTP サーバの IP アドレスを検出するために使用できる別の方法があります。たとえば、IPv4 デバイスに DHCP オプション 066 または CiscoCM1 を使用できます。IPv6 デバイスの場合、他の方法として、TFTP サービスのサブオプションタイプ 2 を使用する方法と、エンドポイントで TFTP サーバの IP アドレスを設定する方法があります。これらの代替手段は推奨されません。代替手段を使用する前に、シスコのサービス プロバイダーに問い合わせてください。
TFTP 展開のエンドポイントと設定ファイル
SCCP 電話機、SIP 電話およびゲートウェイは、初期化時に設定ファイルを要求します。デバイス設定を変更すると、更新された設定ファイルがエンドポイントに送信されます。
設定ファイルには、Unified Communications Managerノードの優先順位リスト、これらのノードに接続するために使用される TCP ポート、さらに他の実行可能ファイルが含まれます。一部のエンドポイント用の設定ファイルには、電話機のボタン(メッセージ、ディレクトリ、サービス、および情報)用のロケール情報および URL が保存されています。ゲートウェイ用の設定ファイルには、デバイスが必要とする設定情報がすべて保存されています。
TFTP のセキュリティに関する考慮事項
Cisco プロキシ TFTP サーバは、署名付きの要求と署名されていない要求の両方を処理でき、セキュアでないモードと混在モードのいずれでも動作できます。プロキシ TFTP サーバは、ファイルをエンドポイントに送信する前に、独自の TFTP 秘密キーを使用してファイルに署名します。
プロキシ TFTP サーバがエンドポイントのホームクラスタに存在する単一クラスタの導入では、エンドポイントは署名付きの設定ファイルを自動的に信頼します。
プロキシ TFTP 展開にリモートクラスタがある場合は、プロキシ TFTP サーバをすべてのリモートエンドポイントの信頼検証リスト (TVL) に追加する必要があります。それ以外の場合、エンドポイントはリモートプロキシ TFTP サーバからの署名付きファイルを拒否します。詳細については、お使いのエンドポイント デバイスに対応するマニュアルを参照してください。
混合モードで動作しているリモートクラスタの TFTP サーバはすべて、プライマリプロキシ TFTP サーバを持つか、またはその IP アドレスをクラスタ外の CTL ファイルに追加する必要がありますそうでない場合、セキュリティが有効になっているクラスタに登録されているエンドポイントは、必要なファイルをダウンロードできなくなります。
(注) |
プロキシ tftp サーバがデバイス登録を処理しないプロキシ TFTP 展開の場合は、プロキシ TFTP クラスタで [Prepare Cluster for Rollback to Pre-8.0] エンタープライズパラメータが [True] に設定されていることを確認することをお勧めします。 |
プロキシ TFTP 環境のリーフ クラスタ間で電話機を移動する場合は、次の手順を実行します。
-
リーフ クラスタ A から電話機を削除し、プロキシ クラスタに電話機を追加します。
(注)
電話機が最後にリセットされた時点から 30 分が経過すると、プロキシ TFTP での電話機の設定が期限切れになります。このプロセスを手早く進めるには、プロキシ クラスタの TFTP サービスを再起動します。
-
電話機をリセットしてプロキシ クラスタから新しい設定を取得し、電話機がプロキシ クラスタに登録できるようにします。
-
リーフ クラスタ B で電話機を設定し、プロキシ クラスタから電話機を削除します。
(注)
電話機が最後にリセットされた時点から 30 分が経過すると、プロキシ TFTP での電話機の設定が期限切れになります。このプロセスを手早く進めるには、プロキシ クラスタの TFTP サービスを再起動します。
-
電話機をリセットしてリーフ クラスタ B からプロキシ クラスタ経由で新しい設定を取得し、電話機がリーフ クラスタ B に登録できるようにします。