代理 TFTP 部署概述
使用代理简单文件传输协议 (TFTP) 服务器提供您网络中的终端所需的配置文件,例如:拨号方案、铃声文件和设备配置文件。 TFTP 服务器可以安装在部署中的任何群集中,并且可以服务来自多个群集上的终端的请求。 DHCP 作用域指定代理 TFTP 服务器的 IP 地址以用于获取配置文件。
冗余和对等代理 TFTP 服务器
在单一群集部署中,群集必须有至少一个代理 TFTP 服务器。 您可以将另一个代理 TFTP 服务器添加到群集以实现冗余。 第二个代理 TFTP 服务器添加到 IPv4 的选项 150 中。 对于 IPv6,您添加第二个代理服务器至 DHCP 作用域中的 TFTP 服务器地址子选项类型 1。
在多群集部署中,您可以指定最多三个远程代理 TFTP 服务器作为主代理 TFTP 服务器的对等群集。 如果想要为多个 DHCP 作用域仅配置一个代理 TFTP 服务器,或只有一个 DHCP 作用域,则此功能很有用。 主代理 TFTP 服务器提供网络中所有电话和设备的配置文件。
您必须创建每个远程代理 TFTP 服务器与主代理 TFTP 服务器之间的对等关系。
提示 |
在您的网络中配置远程代理 TFTP 服务器之间的对等关系时,请保持关系的层次。 确保远程群集上的对等代理 TFTP 服务器没有指向彼此以避免可能的循环。 例如,如果主节点 A 与节点 B 和 C 之间有对等关系。您不应在节点 B 和 C 之间创建对等关系。如果是这样,您就创建了一个循环。 |
代理 TFTP
在多群集系统中,代理 TFTP 服务可通过单个主要 TFTP 服务器从多个群集提供 TFTP 文件。 代理 TFTP 在以下情况下可以充当单个 TFTP 引用:单个子网或 VLAN 包含来自多个群集的电话,或者多个群集共享相同的 DHCP TFTP 选项 (150)。
如图所示,代理 TFTP 服务用作单级层次结构。 不支持更复杂多级层次结构。
在上图中,一组设备与主 TFTP 服务器联系以获取配置文件。 当收到设备的 TFTP 请求时,主 TFTP 会在自己的本地缓存中以及任何其他远程配置的群集(例如远程群集 A、B、C 或 N)中查找配置文件。
可以在主 TFTP 服务器上配置任意数量的远程群集;但是,每个远程群集仅可包含最多 3 个 TFTP IP 地址。 推荐的冗余设计是每个群集 2 个 TFTP 服务器,因此主 TFTP 服务器上的每个远程群集有 2 个 IP 地址以实现冗余。
使用案例和最佳实践
考虑详细介绍如何使用代理 TFTP 的以下场景以及实施的最佳实践。
-
群集只能充当代理 TFTP 群集,而无其他用途。 在这种情况下,群集与其他群集之间没有任何关系,也不会处理呼叫。 对于此场景,建议手动定义远程群集 TFTP 并回滚至 8.0 以前。
注
在此场景中,自动注册将不工作。
-
群集是远程群集,同时也充当远程群集的代理 TFTP 服务器。 远程群集是手动定义的,不应启用自动注册。
TFTP 对 IPv4 和 IPv6 设备的支持
我们建议您启用 IPv4 电话和网关,以使用 DHCP 自定义选项 150 查找 TFTP 服务器 IP 地址。 使用选项 150 时,网关和电话会发现 TFTP 服务器 IP 地址。 有关详细信息,请参阅随设备提供的文档。
在 IPv6 网络中,我们建议您使用 Cisco 供应商特定的 DHCPv6 信息将 TFTP 服务器 IPv6 地址传递给终端。 通过此方法,可将 TFTP 服务器 IP 地址配置为选项值。
如果某些终端使用 IPv4,而某些终端使用 IPv6,则建议您将 DHCP 自定义选项 150 用于 IPv4,并将 TFTP 服务器地址子选项类型 1(一种 Cisco 供应商特定信息选项)用于 IPv6。 在 TFTP 服务器使用 IPv4 处理请求时,如果终端获取 IPv6 地址并且发送请求到 TFTP 服务器,TFTP 服务器不会收到请求,因为 TFTP 服务器没有侦听 IPv6 堆栈上的请求。 在此情况下,终端无法向 Cisco Unified Communications Manager 注册。
您可以使用其他方法为 IPv4 和 IPv6 设备查找 TFTP 服务器的 IP 地址。 例如,您可以对 IPv4 设备使用 DHCP 选项 066 或 CiscoCM1。 对于您的 IPv6 设备,其他方法包括使用 TFTP 服务子选项类型 2 或在终端上配置 TFTP 服务器的 IP 地址。 建议不要使用这些替代方法。 使用任何替代方法前,请咨询您的 Cisco 服务提供程序。
TFTP 部署的终端和配置文件
SCCP 电话、SIP 电话和网关在它们初始化时请求配置文件。 每当您更改设备配置时,更新的配置文件都会发送到终端。
配置文件包含一些信息,例如 Unified Communications Manager 节点的优先顺序列表、用于连接到这些节点的 TCP 端口以及其他可执行文件。 对于有些终端,配置文件还包含消息、目录、服务和信息等电话按钮的区域设置信息和 URL。 网关的配置文件包含设备要求的所有配置信息。
代理 TFTP 的安全考虑事项
Cisco 代理 TFTP 服务器处理签名和未签名请求并在非安全模式或混合模式下运行。 当电话请求文件时,代理 TFTP 服务器会搜索本地文件系统或数据库,如果找不到,则会将请求发送到远程群集。 当电话要求服务器提供名称为 ringlist.xml.sgn 的通用文件、区域设置文件等,
服务器将从电话的主群集发送文件的本地副本而不是文件本身。
接收来自代理 TFTP 的文件时,因为该文件代理服务器的签名与电话的初始信任列表 (ITL) 不匹配,因此签名验证失败,从而导致电话拒绝该文件。 要解决此问题,您可以禁用电话的默认安全 (SBD) 或将代理 TFTP 的 callmanager 证书导入到新的(远程/主)群集 phone-sast-trust。 然后,电话可以联系信任验证服务 (TVS) 并信任代理 TFTP 证书。 如果在部署中启用了 EMCC,则需要批量证书交换
要禁用“默认安全”,请参阅Cisco Unified Communications Manager 安全指南的“更新 Cisco Unified IP 电话的 ITL 文件”一节。
混合模式下的代理 TFTP
在混合模式下运行的远程群集上的 TFTP 服务器必须将主代理 TFTP 服务器证书添加到其 Cisco 证书信任列表(CTL)文件中。 否则,注册到启用安全性的群集的终端将无法下载所需的文件。 在执行证书批量导入-导出后实现此 CTL 文件更新。
在群集间迁移 IP 电话以执行批量证书到处时,请参阅Cisco Unified Communications Manager 安全指南中的“批量证书导出”一节了解更多信息。
在代理 TFTP 环境中的群集之间移动电话
在代理 TFTP 环境中将电话从一个远程群集移动到另一个时,请执行以下操作:
-
将电话详细信息添加到远程群集 B(目标群集)。
-
从远程群集 A(源群集)删除电话详细信息。
注
代理 TFTP 中的电话配置需要 30 分钟才会过期。 为避免找不到任何文件响应,您可以重新启动代理群集的 TFTP 服务。
-
重置电话以从远程群集 B 下载配置文件并注册到远程群集 B。