プロキシ TFTP 展開の概要
プロキシ簡易ファイル転送プロトコル (TFTP) サーバを使用して、ネットワークのエンドポイントに必要な構成ファイル (ダイヤルプラン、着信音ファイル、デバイス構成ファイルなど) を指定します。展開内の任意のクラスタに TFTP サーバをインストールして、複数クラスタのエンドポイントからの要求を処理することができます。DHCP スコープは、構成ファイルを取得するために使用するプロキシ TFTP サーバの IP アドレスを指定します。
冗長およびピアプロキシ TFTP サーバ
単一クラスタの導入では、クラスタは少なくとも 1 つのプロキシ TFTP サーバを備えている必要があります。冗長性を確保するために、クラスタに別のプロキシ TFTP サーバを追加することができます。2 台目のプロキシ TFTP サーバは、IPv4 のオプション 150 に追加されます。IPv6 の場合、第 2 TFTP サーバを、DHCP スコープの TFTP サーバ アドレスサブオプションタイプ 1 に追加します。
複数のクラスタ展開では、最大 3 台のリモートプロキシ TFTP サーバをプライマリプロキシ TFTP サーバのピアクラスタとして指定できます。これは、複数の DHCP スコープに対して 1 台のプロキシ TFTP サーバだけを設定する場合、または 1 つの DHCP スコープのみを設定する場合に便利です。プライマリプロキシ TFTP サーバは、ネットワーク内のすべての電話機とデバイスに構成ファイルを提供します。
各リモートプロキシ TFTP サーバとプライマリプロキシ TFTP サーバの間にピア関係を作成する必要があります。
ヒント |
ネットワーク内のリモートプロキシ TFTP サーバ間にピア関係を設定する場合は、関係を階層構造にしておきます。ループの発生を回避するために、リモートクラスタ上のピアプロキシ TFTP サーバが相互にポイントしないようにします。たとえば、プライマリノード A にノード B と C のピアリレーションシップがあるとします。ノード B と C の間にピア関係を作成しないでください。作成すると、ループが作成されます。 |
プロキシ TFTP
マルチクラスタ システムでは、プロキシ TFTP サービスは、1 つのプライマリ TFTP サーバを介して複数のクラスタから TFTP ファイルを提供できます。単一のサブネットまたは VLAN に複数のクラスタからの電話機が含まれている場合や、複数のクラスタが同じ DHCP TFTP オプション(150)を共有している場合、プロキシ TFTP はそれらの状況に対する単一の TFTP 参照として機能できます。
プロキシ TFTP サービスは、図に示すように、単一レベルの階層として機能します。より複雑な複数レベル階層はサポートされません。
上の図では、デバイスのグループが構成ファイルのプライマリ TFTP サーバと通信します。デバイスから TFTP の要求を受信すると、プライマリ TFTP は、構成ファイルだけでなく、リモートクラスタ A、B、C、N (構成されている他のリモートクラスタ) などリモートで構成された他のクラスタについて、それぞれ自身のローカルキャッシュを検索します。
プライマリ TFTP サーバ上では、任意の数のリモートクラスタを設定できます。ただし、各リモートクラスタには最大 3 個の TFTP IP アドレスしか含めることができません。冗長性を確保するための推奨設計は、クラスタごとに 2 台の TFTP サーバを使用することです。したがって、プライマリ TFTP サーバ上のリモートクラスタあたり 2 つの IP アドレスを使用して冗長性を確保できます。
ユースケースとベストプラクティス
プロキシ TFTP の使用方法と実装に関するベストプラクティスとして、次のシナリオを検討してください。
-
クラスタは、他の用途に対応しない専用のプロキシ TFTP クラスタとして動作できます。このようなクラスタは他のクラスタと関係を持たず、コールの処理も行いません。このシナリオでは、リモートクラスタ TFTP を手動で定義し、8.0 よりも前にロールバックすることを推奨します。
(注)
このシナリオでは自動登録は機能しません。
-
クラスタはリモートクラスタであり、リモートクラスタに対するプロキシ TFTP サーバとしても動作します。リモートクラスタは手動で定義されます。自動登録は有効にしないでください。
IPv4 および IPv6 デバイスに対する TFTP サポート
IPv4 の電話機とゲートウェイで DHCP カスタムオプション 150 を使用して、TFTP サーバの IP アドレスを検出することを推奨します。オプション 150 を使用すると、ゲートウェイと電話機は TFTP サーバの IP アドレスを検出します。詳細については、デバイスに同梱されているマニュアルを参照してください。
IPv6 ネットワークでは、Cisco ベンダー固有の DHCPv6 情報を使用して、TFTP サーバ IPv6 アドレスをエンドポイントに渡すことを推奨します。この方法では、TFTP サーバの IP アドレスをオプション値として設定します。
IPv4 を使用するエンドポイントと IPv6 を使用するエンドポイントがある場合は、IPv4 には DHCP カスタム オプション 150 を、IPv6 には Cisco ベンダー固有情報オプションである TFTP サーバアドレスのサブオプションタイプ 1 を使用することをお勧めします。TFTP サーバが IPv4 を使用して要求を処理しているときに、エンドポイントが IPv6 アドレスを取得して要求を TFTP サーバに送信した場合、TFTP サーバは IPv6 スタックで要求を受信していないため、その要求を受信しません。この場合、エンドポイントを Cisco Unified Communications Manager に登録できません。
IPv4 および IPv6 デバイスが TFTP サーバの IP アドレスを検出するために使用できる別の方法があります。たとえば、IPv4 デバイスに DHCP オプション 066 または CiscoCM1 を使用できます。IPv6 デバイスの場合、他の方法として、TFTP サービスのサブオプションタイプ 2 を使用する方法と、エンドポイントで TFTP サーバの IP アドレスを設定する方法があります。これらの代替手段は推奨されません。代替手段を使用する前に、シスコのサービス プロバイダーに問い合わせてください。
TFTP 展開のエンドポイントおよび構成ファイル
SCCP 電話機、SIP 電話およびゲートウェイは、初期化時に構成ファイルを要求します。デバイス設定を変更すると、更新された構成ファイルがエンドポイントに送信されます。
構成ファイルには、Unified Communications Managerノードの優先順位リスト、これらのノードに接続するために使用される TCP ポート、さらに他の実行可能ファイルが含まれます。一部のエンドポイント用の構成ファイルには、電話機のボタン(メッセージ、ディレクトリ、サービス、および情報)用のロケール情報および URL が保存されています。ゲートウェイ用の構成ファイルには、デバイスが必要とする設定情報がすべて保存されています。
プロキシ TFTP のセキュリティに関する考慮事項
Cisco プロキシ TFTP サーバは、署名付きの要求と署名されていない要求の両方を処理し、非セキュアモードと混在モードのどちらでも動作します。プロキシ TFTP サーバは、電話機がファイルを要求したときにローカルファイルシステムまたはデータベースを検索し、見つからない場合は要求をリモートクラスタに送信します。電話機がサーバに共通ファイル(ringlist.xml.sgn
のような名前のファイルやロケールファイルなど)を要求した場合、サーバは、電話機のホームクラスタにあるファイル自体の代わりに、そのファイルのローカルコピーを送信します。
プロキシ TFTP からファイルを受信したとき、このファイルにはプロキシサーバの署名が含まれていて電話機の初期信頼リスト(ITL)と一致しないため、署名の検証に失敗し、ファイルは電話機に拒否されます。この問題を解決するには、電話機のデフォルトのセキュリティ(SBD)を無効にするか、またはプロキシ TFTP の CallManager 証明書を新しい(リモート/ホーム)クラスタの phone-sast-trust にインポートします。その後、電話機から信頼検証サービス(TVS)に接続し、プロキシ TFTP 証明書を信頼できます。展開環境で EMCC が有効になっている場合は、一括証明書交換が必要です。
デフォルトのセキュリティを無効にするには、『Cisco Unified Communications Manager セキュリティガイド』の「Cisco Unified IP Phone の ITL ファイルの更新」セクションを参照してください。
混在モードのプロキシ TFTP
混在モードで動作しているリモートクラスタ上の TFTP サーバでは、プライマリプロキシ TFTP サーバ証明書を Cisco 証明書信頼リスト(CTL)ファイルに追加する必要があります。追加しない場合、セキュリティが有効になっているクラスタに登録されたエンドポイントで必要なファイルをダウンロードできなくなります。これを行うには、証明書の一括インポート/エクスポートの実行後に CTL ファイルを更新します。
詳細については、IP Phone をクラスタ間で移行して証明書の一括エクスポートを実行するときに、『Cisco Unified Communications Manager セキュリティガイド』の「証明書の一括エクスポート」セクションを参照してください。
プロキシ TFTP 環境におけるクラスタ間での電話機の移動
プロキシ TFTP 環境のリモートクラスタ間で電話機を移動する場合は、次の手順を実行します。
-
リモートクラスタ B(移動先クラスタ)に電話機の詳細を追加します。
-
リモートクラスタ A(移動元クラスタ)から電話機を削除します。
(注)
プロキシ TFTP の電話機の設定が期限切れになるまでには 30 分かかります。ファイルが見つからないという応答が返されるのを避けるために、プロキシクラスタの TFTP サービスを再起動します。
-
電話機をリセットして、リモートクラスタ B から構成ファイルをダウンロードし、リモートクラスタ B に登録します。