配置 TFTP 服务器

代理 TFTP 部署概述

使用代理简单文件传输协议 (TFTP) 服务器提供您网络中的终端所需的配置文件,例如:拨号方案、铃声文件和设备配置文件。 TFTP 服务器可以安装在部署中的任何群集中,并且可以服务来自多个群集上的终端的请求。 DHCP 作用域指定代理 TFTP 服务器的 IP 地址以用于获取配置文件。

冗余和对等代理 TFTP 服务器

在单一群集部署中,群集必须有至少一个代理 TFTP 服务器。 您可以将另一个代理 TFTP 服务器添加到群集以实现冗余。 第二个代理 TFTP 服务器添加到 IPv4 的选项 150 中。 对于 IPv6,您添加第二个代理服务器至 DHCP 作用域中的 TFTP 服务器地址子选项类型 1。

在多群集部署中,您可以指定最多三个远程代理 TFTP 服务器作为主代理 TFTP 服务器的对等群集。 如果想要为多个 DHCP 作用域仅配置一个代理 TFTP 服务器,或只有一个 DHCP 作用域,则此功能很有用。 主代理 TFTP 服务器提供网络中所有电话和设备的配置文件。

您必须创建每个远程代理 TFTP 服务器与主代理 TFTP 服务器之间的对等关系。


提示


在您的网络中配置远程代理 TFTP 服务器之间的对等关系时,请保持关系的层次。 确保远程群集上的对等代理 TFTP 服务器没有指向彼此以避免可能的循环。 例如,如果主节点 A 与节点 B 和 C 之间有对等关系。您不应在节点 B 和 C 之间创建对等关系。如果是这样,您就创建了一个循环。


代理 TFTP

在多群集系统中,代理 TFTP 服务可通过单个主要 TFTP 服务器从多个群集提供 TFTP 文件。 代理 TFTP 在以下情况下可以充当单个 TFTP 引用:单个子网或 VLAN 包含来自多个群集的电话,或者多个群集共享相同的 DHCP TFTP 选项 (150)。

如图所示,代理 TFTP 服务用作单级层次结构。 不支持更复杂多级层次结构。

图 1. 代理 TFTP 的单级层次结构


在上图中,一组设备与主 TFTP 服务器联系以获取配置文件。 当收到设备的 TFTP 请求时,主 TFTP 会在自己的本地缓存中以及任何其他远程配置的群集(例如远程群集 A、B、C 或 N)中查找配置文件。

可以在主 TFTP 服务器上配置任意数量的远程群集;但是,每个远程群集仅可包含最多 3 个 TFTP IP 地址。 推荐的冗余设计是每个群集 2 个 TFTP 服务器,因此主 TFTP 服务器上的每个远程群集有 2 个 IP 地址以实现冗余。

使用案例和最佳实践

考虑详细介绍如何使用代理 TFTP 的以下场景以及实施的最佳实践。

  1. 群集只能充当代理 TFTP 群集,而无其他用途。 在这种情况下,群集与其他群集之间没有任何关系,也不会处理呼叫。 对于此场景,建议手动定义远程群集 TFTP 并回滚至 8.0 以前。



    在此场景中,自动注册将不工作。
  2. 群集是远程群集,同时也充当远程群集的代理 TFTP 服务器。 远程群集是手动定义的,不应启用自动注册。

TFTP 对 IPv4 和 IPv6 设备的支持

我们建议您启用 IPv4 电话和网关,以使用 DHCP 自定义选项 150 查找 TFTP 服务器 IP 地址。 使用选项 150 时,网关和电话会发现 TFTP 服务器 IP 地址。 有关详细信息,请参阅随设备提供的文档。

在 IPv6 网络中,我们建议您使用 Cisco 供应商特定的 DHCPv6 信息将 TFTP 服务器 IPv6 地址传递给终端。 通过此方法,可将 TFTP 服务器 IP 地址配置为选项值。

如果某些终端使用 IPv4,而某些终端使用 IPv6,则建议您将 DHCP 自定义选项 150 用于 IPv4,并将 TFTP 服务器地址子选项类型 1(一种 Cisco 供应商特定信息选项)用于 IPv6。 在 TFTP 服务器使用 IPv4 处理请求时,如果终端获取 IPv6 地址并且发送请求到 TFTP 服务器,TFTP 服务器不会收到请求,因为 TFTP 服务器没有侦听 IPv6 堆栈上的请求。 在此情况下,终端无法向 Cisco Unified Communications Manager 注册。

您可以使用其他方法为 IPv4 和 IPv6 设备查找 TFTP 服务器的 IP 地址。 例如,您可以对 IPv4 设备使用 DHCP 选项 066 或 CiscoCM1。 对于您的 IPv6 设备,其他方法包括使用 TFTP 服务子选项类型 2 或在终端上配置 TFTP 服务器的 IP 地址。 建议不要使用这些替代方法。 使用任何替代方法前,请咨询您的 Cisco 服务提供程序。

TFTP 部署的终端和配置文件

SCCP 电话、SIP 电话和网关在它们初始化时请求配置文件。 每当您更改设备配置时,更新的配置文件都会发送到终端。

配置文件包含一些信息,例如 Unified Communications Manager 节点的优先顺序列表、用于连接到这些节点的 TCP 端口以及其他可执行文件。 对于有些终端,配置文件还包含消息、目录、服务和信息等电话按钮的区域设置信息和 URL。 网关的配置文件包含设备要求的所有配置信息。

代理 TFTP 的安全考虑事项

Cisco 代理 TFTP 服务器处理签名和未签名请求并在非安全模式或混合模式下运行。 当电话请求文件时,代理 TFTP 服务器会搜索本地文件系统或数据库,如果找不到,则会将请求发送到远程群集。 当电话要求服务器提供名称为 ringlist.xml.sgn 的通用文件、区域设置文件等,服务器将从电话的主群集发送文件的本地副本而不是文件本身。

接收来自代理 TFTP 的文件时,因为该文件代理服务器的签名与电话的初始信任列表 (ITL) 不匹配,因此签名验证失败,从而导致电话拒绝该文件。 要解决此问题,您可以禁用电话的默认安全 (SBD) 或将代理 TFTP 的 callmanager 证书导入到新的(远程/主)群集 phone-sast-trust。 然后,电话可以联系信任验证服务 (TVS) 并信任代理 TFTP 证书。 如果在部署中启用了 EMCC,则需要批量证书交换

要禁用“默认安全”,请参阅Cisco Unified Communications Manager 安全指南的“更新 Cisco Unified IP 电话的 ITL 文件”一节。

混合模式下的代理 TFTP

在混合模式下运行的远程群集上的 TFTP 服务器必须将主代理 TFTP 服务器证书添加到其 Cisco 证书信任列表(CTL)文件中。 否则,注册到启用安全性的群集的终端将无法下载所需的文件。 在执行证书批量导入-导出后实现此 CTL 文件更新。

在群集间迁移 IP 电话以执行批量证书到处时,请参阅Cisco Unified Communications Manager 安全指南中的“批量证书导出”一节了解更多信息。

在代理 TFTP 环境中的群集之间移动电话

在代理 TFTP 环境中将电话从一个远程群集移动到另一个时,请执行以下操作:

  1. 将电话详细信息添加到远程群集 B(目标群集)。

  2. 从远程群集 A(源群集)删除电话详细信息。



    代理 TFTP 中的电话配置需要 30 分钟才会过期。 为避免找不到任何文件响应,您可以重新启动代理群集的 TFTP 服务。
  3. 重置电话以从远程群集 B 下载配置文件并注册到远程群集 B。

TFTP 服务器配置任务流程

如果您为群集配置了跨群集分机移动 (EMCC),则可以让系统动态配置代理 TFTP 服务器。 如果不这样做,可以设置 TFTP 服务器并手动设置安全模式。

过程

  命令或操作 目的

步骤 1

使用以下方法之一设置 TFTP 服务器:

如果您配置了群集间查询服务 (ILS),您可以动态设置 TFTP 服务器。

如果未配置 EMCC,则手动设置 TFTP 服务器。 您必须指明群集是安全还是不安全。 默认情况下,群集被视为不安全。

步骤 2

(可选) 更新 TFTP 服务器的 CTL 文件

(可选)

安装 CTL 客户端插件,并将主代理 TFTP 服务器添加到在混合模式下运行的所有远程群集中所有代理 TFTP 服务器的 Cisco 证书信任列表 (CTL) 文件。

步骤 3

(可选) 请参阅您的终端设备的支持文档。

(可选)

如果代理 TFTP 部署具有远程群集,则将代理 TFTP 服务器添加到所有远程终端的信任验证列表 (TVL)。

步骤 4

(可选) 修改 TFTP 服务器的非配置文件

(可选)

您可以从代理 TFTP 服务器修改终端请求的非配置文件。

步骤 5

(可选) 停止和启动 TFTP 服务

(可选)
如果您已为终端上传了修改的非配置文件,请停止并重新启动代理 TFTP 节点上的 TFTP 服务。

步骤 6

(可选) 请参阅您的 DHCP 服务器的支持文档。

(可选)

对于多个群集部署,修改各个远程节点的 DHCP 作用域以包括主代理 TFTP 服务器的 IP 地址。

动态配置 TFTP 服务器

如果为您的网络配置了群集间查询服务 (ILS) ,则可以动态配置 Cisco 代理 TFTP 服务器。

开始之前

为您的网络配置 EMCC。有关详细信息,请参阅Cisco Unified Communications Manager 功能和服务指南》,位于 http://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-maintenance-guides-list.html

如果启用了 SIP OAuth,我们必须将群集外 Tomcat 证书的根 CA 证书复制到代理电话边缘信任库。

过程


Cisco Unified Communications Manager 管理中,选择高级功能 > 群集视图 > 立即更新远程群集。系统会自动为群集配置 TFTP 服务器。


下一步做什么

您必须将任何远程代理 TFTP 服务器添加到终端的信任验证列表 (TVL);否则,它们将不接受来自远程群集上代理 TFTP 服务器的配置文件。有关说明,请参阅您的终端设备的支持文档。

手动配置 TFTP 服务器

如有要在未配置 EMCC 的情况下,在网络中配置 TFTP,必须执行手动程序。

您可以从群集视图中,设置主代理 TFTP 服务器与其他 TFTP 服务器之间的对等关系。 最多可以添加三个对等 TFTP 服务器。

代理 TFTP 部署中的每个远程 TFTP 服务器必须包含到主代理 TFTP 服务器的对等关系。 为避免产生循环,确保远程群集上的对等 TFTP 服务器不会指向彼此。

开始之前


重要


从 14SU1 版开始,启用 SIP OAuth 时,您必须将群集外的根 CA 证书(Tomcat 证书)复制到代理电话边缘信任库。


过程


步骤 1

创建远程群集。 请执行以下操作:

  1. Cisco Unified CM 管理中,选择高级功能 > 群集视图

  2. 单击新增。 此时将显示远程群集配置窗口。

  3. 为 TFTP 服务器输入最多 50 个字符的群集 ID 和完全限定域名 (FQDN),然后单击保存

    群集 ID 的有效值包括字母数字字符、点号 (.) 和连字符 (-)。 FQDN 的有效值包括字母数字字符、点号 (.)、破折号 (-)、星号 (*) 和空格。

  4. (可选) 在远程群集服务配置窗口中,为远程群集输入最多 128 个字符的说明。

    请勿使用引号 (“)、左右尖括号 (> <)、反斜线 (\)、破折号 (-)、与符号 (&) 或百分号 (%)。

步骤 2

选中 TFTP 复选框为远程群集启用 TFTP。

步骤 3

单击 TFTP

步骤 4

远程群集服务手动覆盖配置窗口中,选择手动配置远程服务地址

步骤 5

输入 TFTP 服务器的 IP 地址,以创建与这些 TFTP 服务器的对等关系。

最多可以输入三个 TFTP 服务器 IP 地址。

步骤 6

(可选) 如果在安全群集中部署了代理 TFTP 服务器,请选中群集是安全的复选框。

步骤 7

单击保存


下一步做什么

必须将任何远程 TFTP 服务器添加到终端的信任验证列表 (TVL),否则,它们将不接受来自远程群集上的代理 TFTP 服务器的配置文件。 有关说明,请参阅您的终端设备的支持文档。

更新 TFTP 服务器的 CTL 文件

通过在每个混合模式下的群集中运行 utils ctl,从发布方节点更新 CTL 文件。 确保在代理 TFTP 服务器和所有群集之间实现完整的安全网络,即在代理与远程群集之间批量导入和导出证书交换。

使用 CTLClient 时,您必须将主 TFTP 服务器或主 TFTP 服务器的 IP 地址添加到混合模式下运行的远程群集中的所有 TFTP 服务器的 Cisco 证书信任列表 (CTL) 文件中。 这是必要的,以便启用安全的群集中的终端可以成功下载其配置文件。

有关安全性和使用 Cisco CTL CLI 的详细信息,请参阅Cisco Unified Communications Manager 安全指南中的“关于 Cisco CTL 设置”一节 。

过程


步骤 1

从 Cisco Unified CM 管理中,选择应用程序 > 插件

步骤 2

单击查找以列出您可以安装的所有插件。

步骤 3

单击下载链接以获取 Cisco CTL 客户端。

系统安装客户端,它会对存储在 TFTP 服务器上的证书进行数字签名。

步骤 4

重新启动 TFTP 服务器。


修改 TFTP 服务器的非配置文件

您可以修改终端从代理 TFTP 服务器请求的非配置文件,例如加载文件或 ringlist.xml。 完成此程序后,将修改的文件上传到代理 TFTP 服务器的 TFTP 目录。

过程


步骤 1

在 Cisco Unified Communications 操作系统管理中,选择软件升级 > TFTP 文件管理

TFTP 文件管理窗口将会显示。

步骤 2

单击上传文件

上传文件弹出窗口将会显示。

步骤 3

执行以下操作之一:

  • 单击浏览以浏览到要上传的文件的目录位置。
  • 将更新文件的完整目录路径粘贴到目录字段中。

步骤 4

单击上传文件或单击关闭退出而不上传文件。


下一步做什么

使用 Cisco Unified 功能配置管理停止并重新启动代理 TFTP 节点上的 Cisco TFTP 服务。

停止和启动 TFTP 服务

按照以下程序在代理 TFTP 节点上停止和重新启动 TFTP 服务。

有关服务激活、停用和重新启动的详细信息,请参阅《Cisco Unified 功能配置管理指南》,位于 http://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-maintenance-guides-list.html

过程


步骤 1

在 Cisco Unified 功能配置中,选择工具 > 控制中心 - 功能服务

步骤 2

控制中心–功能服务窗口中,选择服务器下拉列表中的代理 TFTP 节点 。

步骤 3

CM 服务区域中选择 TFTP 服务,然后单击停止

状态更改会体现更新后的状态。

提示

 

要查看服务的最新状态,单击刷新

步骤 4

CM 服务区域中选择 TFTP 服务,然后单击开始

状态更改会体现更新后的状态。