Einleitung
Dieses Dokument beschreibt eine der Best Practices für die Migration von Telefonen vom sicheren Cisco Unified Communication Manager (CUCM) auf einen nicht sicheren CUCM.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:
- CUCM-Versionen - 12.5.1.16065-1 und 12.5.1.14900-63
- IP-Telefonmodell - 8865 und Version - 12.8(1)
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Konfigurieren
Netzwerkdiagramm
IP_Phone > Cisco Switch > Cisco Router > Cisco Switch > CUCM-Cluster
Konfigurationen
Diese Szenarien erläutern die Migration des Telefons von einem sicheren zu einem nicht sicheren CUCM-Cluster. In jeder Phase wird der Status der CTL- (Certificate Trust List) und ITL-Dateien (Identity Trust List) auf dem Telefon dokumentiert.
- Registrieren Sie ein Telefon bei einem nicht sicheren CUCM-Cluster.
- Konvertieren eines nicht sicheren Clusters in ein sicheres CUCM-Cluster
- Zurückkonvertieren in einen unsicheren Cluster aus einem sicheren
- Migrieren Sie das Telefon zu einem neuen, nicht sicheren CUCM-Cluster.
1. Registrieren Sie ein Telefon bei einem nicht sicheren CUCM-Cluster.
Dies sind die Informationen über das nicht sichere Quell-Cluster.
- IP-Adresse - 10.201.251.171
- FQDN - cucm1052.domain.com
- Version: 12.5.1.16065-1
Registrieren Sie ein Telefon bei einem nicht sicheren CUCM-Cluster. Konfigurieren Sie dazu die DHCP-Option (Dynamic Host Configuration Protocol) 150/66, um auf die Trivial File Transfer Protocol (TFTP)-IP-Adresse zu verweisen (dies wäre der CUCM-Knoten, auf dem der TFTP-Dienst aktiviert ist).
Für die Infrastruktur ohne DHCP-Server müssen Sie die TFTP-IP manuell auf dem physischen Telefon konfigurieren.
Navigieren Sie auf dem physischen Telefon zu Einstellungen > Admin-Einstellungen > Netzwerkeinrichtung > Ethernet-Einrichtung > IPv4-Einrichtung.
Schalten Sie DHCP aus, und stellen Sie statische IP-Details für Ihr Netzwerk bereit. Geben Sie anschließend die nicht sichere CUCM-IP im Abschnitt TFTP Server 1 ein, wie im Screenshot gezeigt.
Hinweis: Dieser Prozess entspricht dem Ändern der TFTP-IP im DHCP-Bereich - Option 150/66. Wenn der Cluster mit dem Domänennamen konfiguriert ist, müssen Sie auch im DHCP-Bereich die entsprechenden DNS-Server (Domain Name System) einrichten.
Konfigurieren der TFTP-IP auf dem Telefon
Das IP-Telefon wird erfolgreich beim erwähnten nicht sicheren CUCM-Cluster registriert.
Beim CUCM registriertes Telefon
Melden Sie sich bei der CUCM-Administrations-Webschnittstelle an, und navigieren Sie zu System > Enterprise Parameters.
Dies sind die Parameterwerte, die auf der Seite für Enterprise-Parameter des nicht sicheren CUCM-Clusters festgelegt werden.
- Der Cluster-Sicherheitsmodus ist auf 0 festgelegt. Dadurch wird bestätigt, dass der Cluster nicht sicher ist.
Der Clustersicherheitsmodus ist auf 0 festgelegt.
- Cluster für Rollback auf vor 8.0 vorbereiten ist auf False festgelegt. Daher werden die Inhalte der ITL- und CTL-Dateien mit entsprechenden Werten beibehalten.
Cluster für Rollback auf Version vor 8.0 vorbereiten ist auf False festgelegt
Da der Cluster nicht sicher ist, befindet sich keine CTL-Datei auf dem TFTP-Server. Sie können dies überprüfen, indem Sie den Befehl show ctl in der Secure Shell (SSH)-Sitzung des CUCM-Knotens ausführen.
CTL-Datei nicht vorhanden
Sie können auf dem physischen Telefon bestätigen, dass keine CTL-Datei installiert ist. Es wird jedoch die ITL-Datei angezeigt.
ITL ist aufgrund der SBD-Funktion (Security by Default) im CUCM vorhanden. Für weitere Informationen zu SBD klicken Sie bitte hier .
Navigieren Sie auf dem physischen Telefon zu Einstellungen > Admin-Einstellungen > Security Setup > Trust list.
Hier finden Sie den Status sowohl der CTL- als auch der ITL-Dateien.
CTI ist nicht auf dem Telefon installiert.
CTL-Datei auf dem Telefon
Das Telefon hat die ITL-Datei.
ITL-Datei auf dem Telefon
2. Nicht sichere Cluster in sicheres CUCM-Cluster konvertieren.
Aktivieren Sie den gemischten Modus, indem Sie den Befehl utils ctl set-cluster mixed-mode auf der Befehlszeilenschnittstelle (CLI) des CUCM Publisher ausführen. Dadurch wird der Cluster von nicht sicher in sicher konvertiert.
In einen sicheren Cluster konvertieren
Starten Sie nach der Ausführung des Befehls die Cisco CallManager (CCM)- und Cisco CTIManager (CTI)-Dienste auf allen Knoten im Cluster neu.
Starten Sie die CCM- und CTI-Dienste neu.
Auf dem physischen Telefon konnten Sie das Vorhandensein der CTL-Datei sehen.
CTL-Datei auf dem Telefon
Die ITL-Datei wies weiterhin dieselben Werte auf.
ITL-Datei auf dem Telefon
3. Konvertieren Sie aus dem sicheren in einen nicht sicheren Cluster zurück.
Um den Cluster von sicher in nicht sicher zu konvertieren, müssen Sie den Befehl utils ctl set-cluster non-secure-mode auf der CLI des CUCM Publisher ausführen.
In einen nicht sicheren Cluster konvertieren
Starten Sie den CCM- und CTI-Dienst auf allen Knoten im Cluster neu, damit die Änderung in allen Knoten im CUCM-Cluster übernommen wird.
Nach der Umwandlung des Clusters in einen ungesicherten Cluster enthält die CTL keine CUCM- und TFTP-Einträge. Die CTL-Datei enthält nur den CAPF-Eintrag.
CTL-Datei auf dem Telefon
Die ITL-Datei enthielt dieselben Einträge.
ITL-Datei auf dem Telefon
Hinweis: Das Ändern des Gerätesicherheitsprofils auf der Telefonkonfigurationsseite (auf der CUCM-Administration-Webseite) in "Sicher" oder "Nicht sicher" hat keine Auswirkungen auf die ITL- oder CTL-Dateien. So können Sie die Einstellung wie zuvor beibehalten und müssen sie nicht ändern.
4. Migrieren Sie das Telefon zu einem neuen, nicht sicheren CUCM-Cluster.
Hinweis: Bevor Sie mit der Migration fortfahren, ist es empfehlenswert, den Trust Verification Service (TVS) und die TFTP-Dienste auf allen Knoten (nur auf diesen aktivierten Knoten) im Quellcluster neu zu starten. So werden Unterbrechungen oder Lecks im TVS/TFTP-Service vermieden.
Melden Sie sich bei der CUCM-Administrations-Webschnittstelle an, und navigieren Sie zu System > Enterprise Parameters.
Legen Sie den Wert von Cluster für Rollback vorbereiten auf vor 8.0 auf True fest. Klicken Sie anschließend auf die Schaltflächen Apply Config (Konfiguration anwenden) und Reset (Zurücksetzen).
Hilfe zu diesem Parameter finden Sie in diesem Screenshot.
Informationen zum Vorbereiten des Clusters für den Rollback auf einen älteren 8.0-Parameter
Überwachen Sie die Anzahl der Telefonregistrierungen im Cluster (über Real Time Monitoring Tool - RTMT), bevor und nachdem Sie den Parameterwert geändert haben. Auf diese Weise kann überprüft werden, ob diese Änderungen auf alle Geräte im Cluster angewendet werden.
Auf dem physischen Telefon konnten Sie nur die CAPF-Einträge in den ITL- und CTL-Dateien sehen. Sie können dies auch beobachten, indem Sie die Telefon-Webseite im Webbrowser öffnen.
ITL-Datei
ITL-Datei auf dem Telefon
CTL-Datei
CTL-Datei auf dem Telefon
Bevor Sie mit der Migration beginnen, sollten Sie die ITL- und CTL-Dateien auf einigen Telefonen validieren, um sicherzustellen, dass die Änderungen vorgenommen wurden.
Jetzt sind die Telefone für die Migration bereit.
Die Telefone werden vom Quell- zum Zielcluster migriert. Derzeit sind beide Cluster nicht sicher.
Quellcluster:
- IP-Adresse - 10.201.251.171
- FQDN - cucm1052.domain.com
- Version: 12.5.1.16065-1
Ziel-Cluster:
- IP-Adresse - 10.88.11.163
- FQDN - cucmpub.domain.com
- Version: 12.5.1.14900-63
Legen Sie auf dem physischen Telefon den Wert für TFTP-Server 1 auf die neue Ziel-Cluster-IP-Adresse fest, und klicken Sie auf die Schaltfläche Anwenden.
Hinweis: Dieser Prozess entspricht dem Ändern der TFTP-IP im DHCP-Bereich - Option 150/66. Wenn sich das Ziel-Cluster in der anderen Domäne befindet, müssen Sie auch im DHCP-Bereich entsprechende DNS-Server festlegen.
Konfigurieren der TFTP-IP auf dem Telefon
Klicken Sie auf die Schaltfläche Continue (Weiter). Dadurch werden die alten CTL- und ITL-Dateien (enthält nur den CAPF-Eintrag) aus dem Quellcluster beibehalten.
Durch Drücken der Taste Continue (Fortfahren) können die alten CTL- und ITL-Dateien beibehalten werden.
Überprüfung
Das Telefon wurde erfolgreich im Ziel-Cluster registriert.
Beim CUCM registriertes Telefon
Das Telefon enthält die Einträge der Vertrauensliste für den Ziel-Cluster.
ITL-Datei auf dem Telefon
Fehlerbehebung
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.
Zugehörige Informationen