演示IP電話從安全到非安全CUCM的遷移
簡介
本文檔介紹將電話從安全的思科統一通訊管理器(CUCM)遷移到非安全CUCM的最佳實踐之一。
必要條件
需求
思科建議您瞭解以下主題:
- CUCM
- IP電話
採用元件
本檔案中的資訊是根據以下軟體版本:
- CUCM版本 — 12.5.1.16065-1和12.5.1.14900-63
- IP電話型號 — 8865和版本 — 12.8(1)
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
網路圖表
IP_Phone > Cisco Switch > Cisco Router > Cisco Switch > CUCM Cluster
組態
這些場景說明了電話從安全CUCM群集遷移到非安全CUCM群集的過程。在每個階段,記錄電話上的證書信任清單(CTL)和身份信任清單(ITL)檔案的狀態。
- 向非安全CUCM群集註冊電話。
- 將非安全群集轉換為安全CUCM群集。
- 從secure轉換回非安全群集
- 將電話遷移到新的非安全CUCM集群。
1.向非安全CUCM群集註冊電話。
以下是有關非安全源群集的資訊。
- IP地址 — 10.201.251.171
- FQDN - cucm1052.domain.com
- 版本:12.5.1.16065-1
向非安全CUCM群集註冊電話。為此,請配置動態主機配置協定(DHCP)選項150/66以指向簡單檔案傳輸協定(TFTP)IP地址(這是TFTP服務啟用CUCM節點)。
對於沒有DHCP伺服器的基礎架構,您必須在物理電話上手動配置TFTP IP。
在物理電話上,導航到Settings > Admin Settings > Network Setup > Ethernet setup > IPv4 setup。
關閉DHCP並提供網路的靜態IP詳細資訊。之後,在TFTP伺服器1部分中提供非安全CUCM IP,如螢幕截圖所示。
註:此過程等效於更改DHCP作用域上的TFTP IP — 選項150 / 66。並且,如果群集配置了域名,則您還必須在DHCP作用域中設定相應的域名系統(DNS)伺服器。
在電話上配置TFTP IP
IP電話成功註冊到上述非安全CUCM集群。
在CUCM中註冊的電話
登入到CUCM管理Web介面並導航到System > Enterprise Parameters。
這些是在非安全CUCM集群的Enterprise parameter頁下設定的引數值。
- 群集安全模式設定為0,這確認群集是不安全的。
群集安全模式設定為0
- Prepare Cluster for Rollback to 8.0之前的版本設定為False。因此,ITL和CTL檔案的內容以適當的值保留。
Prepare Cluster for Rollback to 8.0之前的版本設定為False
由於群集不安全,因此TFTP伺服器中沒有CTL檔案。您可以在CUCM節點的Secure Shell(SSH)會話上運行show ctl命令來驗證這一點。
CTL檔案不存在
在物理電話上,您可以確認未安裝CTL檔案。但是,您確實會看到國際交易日誌檔案。
由於CUCM中的預設安全性(SBD)功能,存在ITL。有關SBD的更多資訊,請點選此處。
在物理電話上,導航到設定>管理員設定>安全設定>信任清單。
您可以在此處找到CTL和ITL檔案的狀態。
電話上未安裝CTI。
電話上的CTL檔案
電話有國際交易日誌檔案。
電話上的ITL檔案
2.將非安全群集轉換為安全CUCM群集。
通過在CUCM發佈器的命令列介面(CLI)上運行utils ctl set-cluster mixed-mode命令來啟用混合模式。這會將群集從非安全轉換為安全。
轉換為安全群集
運行該命令後,在群集中的所有節點上重新啟動Cisco CallManager(CCM)和Cisco CTI管理器(CTI)服務。
重新啟動CCM和CTI服務
在物理電話上,您可以看到CTL檔案的存在。
電話上的CTL檔案
ITL檔案保留相同的值。
電話上的ITL檔案
3.從secure轉換回非安全群集。
要將集群從安全模式轉換為非安全模式,需要在CUCM發佈器的CLI上運行utils ctl set-cluster non-secure-mode命令。
轉換為非安全群集
在群集中的所有節點上重新啟動CCM和CTI服務,以使更改反映在CUCM群集中的所有節點中。
將群集轉換為非安全後,CTL不包含CUCM和TFTP條目。CTL檔案只包含CAPF條目。
電話上的CTL檔案
ITL檔案保留相同的條目。
電話上的ITL檔案
註:將電話配置頁面(CUCM管理網頁)中的Device Security Profile更改為secure或non-secure對ITL或CTL檔案沒有影響。因此,您可以保持之前的設定不變,無需更改它們。
4.將電話遷移到新的非安全CUCM集群。
注意:繼續遷移之前,最好在源群集中的所有節點(僅在這些啟用服務的節點上)上重新啟動信任驗證服務(TVS)和TFTP服務。這樣可消除TVS/TFTP服務中的任何掛起或洩漏會話。
登入到CUCM管理Web介面並導航到System > Enterprise Parameters。
將Prepare Cluster for Rollback的值設定為True(8.0之前的版本)。然後繼續按一下Apply Config和Reset按鈕。
此螢幕快照中提供了此引數的幫助部分。
有關「準備群集以回滾到8.0之前的版本」引數的資訊
在更改引數值之前和之後,通過即時監控工具 — RTMT監控集群上的電話註冊計數。此方法可以驗證這些更改是否應用於集群中的所有裝置。
在物理電話上,您只能在ITL和CTL檔案中看到CAPF條目。您也可以通過在Web瀏覽器中開啟電話網頁來觀察這一點。
ITL檔案
電話上的ITL檔案
CTL檔案
電話上的CTL檔案
在開始遷移之前,最好在少數幾部電話上驗證ITL和CTL檔案,以確保已發生更改。
現在,電話已準備好進行遷移。
將電話從源群集遷移到目標群集。目前,兩個群集都是不安全的。
源群集:
- IP地址 — 10.201.251.171
- FQDN - cucm1052.domain.com
- 版本:12.5.1.16065-1
目標群集:
- IP地址 — 10.88.11.163
- FQDN - cucmpub.domain.com
- 版本:12.5.1.14900-63
在物理電話上,將TFTP Server 1值設定為Destination新的群集IP地址,然後按一下Apply按鈕。
註:此過程等效於更改DHCP作用域上的TFTP ip — 選項150 / 66。如果目標群集位於不同的域中,則您還必須在DHCP作用域中設定適當的DNS伺服器。
在電話上配置TFTP IP
按一下Continue按鈕,這將保留源群集中的舊CTL和ITL檔案(僅包含CAPF條目)。
按「繼續」按鈕可以保留舊的CTL和ITL檔案
驗證
電話已成功註冊到目標群集。
在CUCM中註冊的電話
電話包含目標群集信任清單條目。
電話上的ITL檔案
疑難排解
目前尚無適用於此組態的具體疑難排解資訊。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
08-Feb-2024 |
初始版本 |
意見