프록시 TFTP 구축 개요
프록시 TFTP(Trivial File Transfer Protocol) 서버를 사용하여 네트워크의 엔드포인트에 필요한 구성 파일(예: 다이얼 플랜, 벨소리 파일 및 디바이스 구성 파일)을 제공합니다. TFTP 서버는 구축 시 모든 클러스터에 설치될 수 있으며 여러 클러스터의 엔드포인트에서 요청을 진행할 수 있습니다. DHCP 범위는 구성 파일을 가져오기 위해 사용할 프록시 TFTP 서버의 IP 주소를 지정합니다.
리던던트 및 피어 프록시 TFTP 서버
단일 클러스터 구축의 경우 클러스터에 하나 이상의 프록시 TFTP 서버가 있어야 합니다. 리던던시를 위해 다른 프록시 TFTP 서버를 클러스터에 추가할 수 있습니다. 두 번째 프록시 TFTP 서버는 IPv4에 대한 옵션 150에 추가됩니다. IPv6의 경우, 두 번째 프록시 TFTP 서버를 DHCP 범위에 있는 TFTP 서버 주소 하위 옵션 1에 추가합니다.
다중 클러스터 구축 시에, 최대 3대의 원격 프록시 TFTP 서버를 기본 프록시 TFTP 서버의 피어 클러스터로 지정할 수 있습니다. 이 기능은 많은 DHCP 범위에 대해 한 대의 프록시 TFTP 서버만 구성하거나 하나의 DHCP 범위만 포함하려는 경우에 유용합니다. 기본 프록시 TFTP 서버는 네트워크의 모든 전화기 및 디바이스에 구성 파일을 제공합니다.
각 원격 프록시 TFTP 서버와 기본 프록시 TFTP 서버 간에 피어 관계를 생성해야 합니다.
팁 |
네트워크의 원격 프록시 TFTP 서버 간에 피어 관계를 구성할 경우, 관계 계층 구조를 유지합니다. 루프 생성을 막기 위해 원격 클러스터의 피어 TFTP 서버가 서로를 가리키고 있지 않은지 확인하십시오. 예를 들어, 기본 노드 A가 노드 B 및 C와 피어 관계를 갖는 경우 노드 B와 C 사이에는 피어 관계를 생성하지 말아야 합니다. 이렇게 하면 루프가 생성됩니다. |
프록시 TFTP
다중 클러스터 시스템에서 프록시 TFTP 서비스는 단일 기본 TFTP 서버를 통해 여러 클러스터의 TFTP 파일을 제공할 수 있습니다. 프록시 TFTP는 단일 서브넷 또는 VLAN에 여러 클러스터의 전화 또는 여러 클러스터가 동일한 DHCP TFTP 옵션 (150)을 공유하는 시나리오가 포함된 경우, 단일 TFTP 참조로 사용할 수 있습니다.
프록시 TFTP 서비스는 설명한 것처럼 단일 수준 계층 구조로 작동합니다. 더 복잡한 다중 레벨 계층 구조는 지원되지 않습니다.
위 그림에서 디바이스 그룹은 구성 파일에 대해 기본 TFTP 서버에 연결합니다. 디바이스에서 TFTP에 대한 요청을 받으면, 기본 TFTP는 구성 파일 및 원격 클러스터 A, B, C 또는 N(구성된 다른 모든 원격 클러스터)과 같은 원격으로 구성된 모든 클러스터에 대해 자체 로컬 캐시를 조사합니다.
기본 TFTP 서버에 원하는 수의 원격 클러스터를 구성할 수 있습니다. 그러나 각 원격 클러스터에는 최대 3 개의 TFTP IP 주소만 포함될 수 있습니다. 리던던시를 위해 권장되는 설계는 클러스터 당 2개의 TFTP 서버이므로, 리던던시를 위해 주 TFTP 서버의 원격 클러스터 당 2개의 IP 주소입니다.
사용 사례 계획 모범 사례
프록시 TFTP 사용 방법 및 구현 모범 사례를 자세히 설명하고 있는 다음 시나리오를 고려하십시오.
-
클러스터는 다른 용도로 사용되지 않을 경우 프록시 TFTP 클러스터 역할을 할 수 있습니다. 이 경우 클러스터는 다른 클러스터와 관계가 없으며 통화를 처리하지 않습니다. 이 시나리오에서는 원격 클러스터 TFTP가 수동으로 정의되고 8.0 이전으로의 롤백이 권장됩니다.
참고
이 시나리오에서는 자동 등록이 작동되지 않습니다.
-
해당 클러스터는 원격 클러스터에 대한 프록시 TFTP 서버 역할을 하기도 하는 원격 클러스터입니다. 원격 클러스터는 수동으로 정의되므로 자동 등록을 활성화하지 않아야 합니다.
IPv4 및 IPv6 디바이스에 대한 TFTP 지원
DHCP 사용자 지정 옵션 150을 사용하도록 IPv4 전화기 및 게이트웨이를 활성화하여 TFTP 서버 IP 주소를 검색하는 것이 좋습니다. 옵션 150을 사용하여 게이트웨이 및 전화기에서 TFTP 서버 IP 주소를 검색합니다. 자세한 내용은 디바이스와 함께 제공되는 설명서를 참조하십시오.
IPv6 네트워크에서 Cisco 공급업체별 DHCPv6 정보를 사용하여 TFTP 서버 IPv6 주소를 엔드포인트에 전달하는 것이 좋습니다. 이런 방식으로 TFTP 서버 IP 주소를 옵션 값으로 구성합니다.
IPv4를 사용하는 일부 엔드포인트 및 IPv6을 사용하는 일부 엔드포인트가 있는 경우, IPv4에 대해 DHCP 사용자 지정 옵션 150을 사용하고 IPv6에 대해 TFTP 서버 주소 하위 옵션 유형 1, Cisco 공급업체별 정보 옵션을 사용하는 것이 좋습니다. TFTP 서버에서 IPv4를 사용하여 요청을 처리하는 동안 엔드포인트에서 IPv6 주소를 얻고 요청을 TFTP 서버에 보내는 경우, TFTP 서버는 IPv6 스택에서 요청을 수신하지 않기 때문에 TFTP 서버에서 요청을 받지 않습니다. 이 경우 엔드포인트를 Cisco Unified Communications Manager에 등록할 수 없습니다.
IPv4 및 IPv6 디바이스에서 TFTP 서버의 IP 주소를 검색하기 위해 사용할 수 있는 다른 방법이 있습니다. 예를 들어, IPv4 디바이스에 대해 DHCP 옵션 066 또는 CiscoCM1를 사용할 수 있습니다. IPv6 디바이스의 경우, 다른 방법으로 TFTP 서비스 하위 옵션 유형 2를 사용하는 것이나 엔드포인트에서 TFTP 서버의 IP 주소를 구성하는 것이 있습니다 이러한 대체 방법은 사용하지 않는 것이 좋습니다. 먼저 Cisco 서비스 제공자에게 문의한 다음 대체 방법을 사용하십시오.
TFTP 구축을 위한 엔드포인트 및 구성 파일
SCCP 전화기, SIP 전화기 및 게이트웨이는 초기화될 때 구성 파일을 요청합니다. 디바이스 구성을 변경할 때마다 업데이트된 구성 파일이 엔드포인트로 전송됩니다.
구성 파일에는 Unified Communications Manager 노드의 우선 순위 목록과 같은 정보, 이러한 노드에 연결하는 데 사용되는 TCP 포트, 기타 실행 파일이 포함되어 있습니다. 일부 엔드포인트의 경우, 구성 파일에 메시지, 디렉터리, 서비스 및 정보와 같은 전화기 버튼에 대한 로캘 정보와 URL이 들어 있습니다. 게이트웨이에 대한 구성 파일에는 디바이스에 필요한 모든 구성 정보가 포함되어 있습니다.
프록시 TFTP의 보안 고려 사항
Cisco 프록시 TFTP 서버는 서명된 또는 서명되지 않은 요청을 모두 처리하며, 비보안 모드 또는 혼합 모드에서 실행됩니다. 프록시 TFTP 서버에서는 전화기에서 파일을 요청할 경우 로컬 파일 시스템이나 데이터베이스를
검색하며, 검색 결과가 없을 경우 원격 클러스터에 요청을 전송합니다. 전화기에서 ringlist.xml.sgn, locale file
등과 같은 이름을 갖는 공통 파일에 대한 서버를 요청할 경우, 해당 서버는 전화기의 홈 클러스터에서 자체 파일 대신 파일의 로컬 사본을 전송합니다.
프록시 TFTP에서 파일을 수신할 때, 파일의 프록시 서버 서명이 전화기의 ITL(Initial Trust List)과 일치하지 않아 서명 검증이 실패로 돌아가 전화기에서 파일을 거부합니다. 이 문제를 해소하기 위해, 전화기의 SBD(Security by Default)를 비활성화하거나 프록시 TFTP의 CallManager 인증서를 새로운 (원격/홈) 클러스터 phone-sast-trust로 가져올 수 있습니다. 그런 다음 전화기를 TVS(Trust Verification Service)에 문의하여 프록시 TFTP 인증서를 신뢰합니다. EMCC가 구축 시 활성화되어 있으면 벌크 인증서 교환이 필요합니다
보안(기본값)을 비활성화하려면 "Cisco Unified IP Phone에 대한 ITL 파일 업데이트" 섹션 Cisco 통합 커뮤니케이션 매니저 보안 설명서의 내용을 참조하십시오.
혼합 모드의 프록시 TFTP
혼합 모드로 실행 중인 원격 클러스터의 TFTP 서버에서 기본 프록시 TFTP 서버 인증서를 Cisco CTL(Certificate Trust List) 파일에 추가해야만 합니다. 그렇지 않으면 보안이 활성화되어 있는 클러스터에 등록하는 엔드포인트가 필요한 파일을 다운로드할 수 없습니다. 이를 위해, 인증서 벌크 가져오기-내보내기를 수행한 이후 CTL 파일을 업데이트합니다.
벌크 인증서 내보내기를 수행하기 위해 인터클러스터에 IP 전화기를 마이그레이션할 때 자세한 내용은, Cisco 통합 커뮤니케이션 매니저 보안 설명서의 "벌크 인증서 내보내기" 섹션을 참조하십시오.
프록시 TFTP 환경에서 클러스트 간에 전화기 이동
프록시 TFTP 환경에서 하나의 원격 클러스터에서 다른 클러스터로 전화기를 이동할 때는, 다음을 수행합니다.
-
원격 클러스터 B(대상 클러스터)에 전화기 세부 정보를 추가합니다.
-
원격 클러스터 A(소스 클러스터)에서 전화기 세부 정보를 삭제합니다.
참고
프록시 TFTP에서 전화기 구성은 끝날 때까지 30분 걸립니다. 어떤 파일도 찾을 수 없다는 반응을 피하기 위해, 프록시 클러스터의 TFTP 서비스를 다시 시작할 수 있습니다.
-
전화기를 재설정하여 원격 클러스터 B에서 구성 파일을 다운로드한 다음 원격 클러스터 B에 등록합니다.