プロキシ TFTP 導入の概要
ネットワークのエンドポイントが必要とするダイヤル計画、呼出音ファイル、デバイス設定ファイルなどを提供するために、プロキシ Trivial File Transfer Protocol(TFTP)サーバを使用します。TFTP サーバは、導入する任意のクラスタに設置でき、複数のクラスタのエンドポイントから要求を処理できます。DHCP スコープでは、設定ファイルを取得するためにプロキシ TFTP サーバの IP アドレスを指定します。
冗長とピア プロキシ TFTP サーバ
単一クラスタ導入では、クラスタは、少なくとも 1 つのプロキシ TFTP サーバが必要です。別のプロキシ TFTP サーバを冗長性のためのクラスタに追加できます。2 番目のプロキシ TFTP サーバは、IPv4 のオプション 150 に追加されます。IPv6 では、DHCP スコープの TFTP サーバ アドレスのサブオプションのタイプ 1 に 2 番目のプロキシ TFTP サーバを追加します。
複数のクラスタを導入する場合、プライマリ プロキシ TFTP サーバのピア クラスタとして、最大 3 台のリモート プロキシ TFTP サーバを指定できます。これは、多数の DHCP スコープに対してプロキシ TFTP サーバを 1 台だけ設定する場合に便利です。プライマリ プロキシ TFTP サーバは、ネットワークのすべての電話やデバイスに設定ファイルを提供します。
それぞれのリモート プロキシ TFTP サーバとプライマリ プロキシ TFTP サーバとの間のピア関係を作成する必要があります。
ヒント |
ネットワークのリモート プロキシ TFTP サーバ間のピア関係を設定する際、階層的な関係を保つようにします。ループを回避するために、リモート クラスタのピア プロキシ TFTP サーバが相互に指しあわないことを確認します。たとえば、プライマリ ノード A が、ノード B、ノード C とピア関係にあると、ノード B とノード C の間のピア関係を作成してはいけません。作成すると、ループ関係ができます。 |
プロキシ TFTP
マルチクラスタ システムでは、プロキシ TFTP サービスは、1 つのプライマリ TFTP サーバを介して複数のクラスタから TFTP ファイルを提供できます。単一のサブネットまたは VLAN に複数のクラスタからの電話機が含まれている場合や、複数のクラスタが同じ DHCP TFTP オプション(150)を共有している場合、プロキシ TFTP はそれらの状況に対する単一の TFTP 参照として機能できます。
プロキシ TFTP サービスは、図に示すように、単一レベルの階層として機能します。より複雑な複数レベル階層はサポートされません。
この図では、デバイスのグループがプライマリ TFTP サーバと通信して、それぞれの設定ファイルを要求します。デバイスからの TFTP の要求を受信すると、プライマリ TFTP がローカル キャッシュでそれらの設定ファイルを調べるほかに、リモート クラスタ A、B、C、N(設定されているそれ以外の任意のリモート クラスタ)などリモートで設定された他のクラスタも調べます。
プライマリ TFTP サーバには任意の数のリモート クラスタを設定できます。ただし、個々のリモート クラスタに含めることができる TFTP IP アドレスは最大 3 個までです。冗長性を考慮した推奨設計は、クラスタごとに 2 台の TFTP サーバを使用することです。したがって、プライマリ TFTP サーバで、リモート クラスタあたり 2 個の IP アドレスを使用して冗長性を確保します。
IPv4 および IPv6 デバイスの TFTP サポート
TFTP サーバの IP アドレスを検出するために、IPv4 電話とゲートウェイの DHCP カスタム オプション 150 の使用を有効にすることをお勧めします。ゲートウェイと電話はオプション 150 を使用して TFTP サーバの IP アドレスを検出します。詳細については、デバイスに付属のドキュメントを参照してください。
IPv6 ネットワークでは、シスコ ベンダー固有の DHCPv6 情報を使用して、TFTP サーバの IPv6 アドレスをエンドポイントに渡すことをお勧めします。この方法では、TFTP サーバの IP アドレスをオプション値として設定します。
IPv4 を使用するエンドポイントと IPv6 を使用するエンドポイントがある場合は、IPv4 用に DHCP カスタム オプション 150 を使用し、IPv6 用にシスコ ベンダー固有の情報オプションである TFTP サーバ アドレス サブオプション タイプ 1 を使用することをお勧めします。エンドポイントが IPv6 アドレスを取得して TFTP サーバに要求を送信する一方、TFTP サーバが IPv4 を使用して要求を処理している場合、TFTP サーバは IPv6 スタック上で要求をリスニングしていないため、要求を受信しません。この場合、エンドポイントは、Cisco Unified Communications Manager に登録できません。
TFTP サーバの IP アドレスを検出するために、IPv4 および IPv6 デバイスで使用できる代替手段があります。たとえば、IPv4 デバイスでは DHCP オプション 066 または CiscoCM1 を使用できます。IPv6 デバイスでは、その他の方法として、TFTP サービス サブオプション タイプ 2 の使用や、エンドポイントでの TFTP サーバの IP アドレスの設定が含まれます。これらの代替手段は推奨されません。代替手段を使用する前に、シスコのサービス プロバイダーに問い合わせてください。
TFTP 導入でのエンドポイントと設定ファイル
SCCP 電話機、SIP 電話およびゲートウェイは、初期化時に設定ファイルを要求します。デバイス設定を変更すると常に、更新された設定ファイルがエンドポイントに送信されます。
設定ファイルには、Unified Communications Manager ノードの優先順位付きリスト、それらのノードとの接続に使用される TCP ポートなどの情報と、その他の実行可能ファイルが含まれます。一部のエンドポイントでは、設定ファイルにメッセージ、ディレクトリ、サービス、情報などの電話ボタンのロケール情報と URL も含まれます。ゲートウェイの設定ファイルには、デバイスが必要なすべての設定情報が含まれています。
TFTP のセキュリティに関する考慮事項
Cisco プロキシ TFTP サーバは、署名付きの要求と署名されていない要求の両方を処理でき、非セキュア モードと混在モードのいずれでも動作できます。プロキシ TFTP サーバは、ファイルをエンドポイントに送信する前に、独自の TFTP 秘密キーでファイルに署名します。
プロキシ TFTP サーバがエンドポイントのホーム クラスタに存在する単一クラスタ導入では、エンドポイントが自動的に署名付き設定ファイルを信頼します。
プロキシ TFTP 導入にリモート クラスタが含まれる場合は、プロキシ TFTP サーバをすべてのリモート エンドポイントの信頼検証リスト(TVL)に追加する必要があります。追加しないと、エンドポイントは、リモート プロキシ TFTP サーバからの書名付きファイルを拒否します。手順については、エンドポイント デバイスをサポートするドキュメントを参照してください。
混合モードで動作しているリモート クラスタ上のすべての TFTP サーバに、プライマリ クラスタ TFTP サーバまたはクラスタ外 CTL ファイルに追加された IP アドレスが存在している必要があります。存在していない場合は、セキュリティが有効なクラスタに登録するエンドポイントが必要なファイルをダウンロードできません。
(注) |
プロキシ TFTP サーバでデバイスの登録をしない TFTP 導入環境では、プロキシ TFTP クラスタで [8.0以前へのロールバック用にクラスタを準備(Prepare Cluster for Rollback to Pre-8.0)] エンタープライズ パラメータを True に設定するのが最適です。 |