演示IP电话从安全到非安全CUCM的迁移
简介
本文档介绍将电话从安全的思科统一通信管理器(CUCM)迁移到非安全CUCM的最佳实践之一。
先决条件
要求
Cisco 建议您了解以下主题:
- CUCM
- IP电话
使用的组件
本文档中的信息基于以下软件版本:
- CUCM版本- 12.5.1.16065-1和12.5.1.14900-63
- IP电话型号- 8865和版本- 12.8(1)
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
网络图
IP_Phone > Cisco Switch > Cisco Router > Cisco Switch > CUCM Cluster
配置
这些场景说明了电话从安全CUCM集群迁移至非安全CUCM集群的过程。在每个阶段,记录电话上的证书信任列表(CTL)和身份信任列表(ITL)文件的状态。
- 向非安全CUCM集群注册电话。
- 将非安全集群转换为安全CUCM集群。
- 从安全转换回非安全集群
- 将电话迁移到新的非安全CUCM集群。
1. 将电话注册到非安全CUCM集群。
以下是有关非安全源群集的信息。
- IP地址- 10.201.251.171
- FQDN - cucm1052.domain.com
- 版本:12.5.1.16065-1
向非安全CUCM集群注册电话。为此,请将动态主机配置协议(DHCP)选项150 / 66配置为指向简单文件传输协议(TFTP) IP地址(这将是TFTP服务打开的CUCM节点)。
对于没有DHCP服务器的基础设施,您必须在物理电话上手动配置TFTP IP。
在物理电话上,导航到设置>管理设置>网络设置>以太网设置> IPv4设置。
关闭DHCP并提供网络的静态IP详细信息。之后,在TFTP服务器1部分中提供非安全CUCM IP,如屏幕截图所示。
注意:此过程等同于更改DHCP作用域上的TFTP IP -选项150 / 66。此外,如果群集配置了域名,则还必须在DHCP作用域中设置相应的域名系统(DNS)服务器。
在电话上配置TFTP IP
IP电话成功注册到提及的非安全CUCM集群。
在CUCM中注册的电话
登录到CUCM管理Web界面并导航到System > Enterprise Parameters。
以下是在非安全CUCM集群的Enterprise parameter页下设置的参数值。
- 集群安全模式设置为0,这确认集群不安全。
集群安全模式设置为0
- Prepare Cluster for Rollback to pre 8.0设置为False。因此, ITL和CTL文件的内容以适当的值保留。
Prepare Cluster for Rollback to 8.0之前的版本设置为False
由于集群不安全,因此TFTP服务器中没有CTL文件。验证时,您可以在CUCM节点的安全外壳(SSH)会话中运行命令show ctl。
CTL文件不存在
在物理电话上,您可以确认未安装CTL文件。但是,您会看到ITL文件。
由于CUCM中的默认安全(SBD)功能,ITL存在。有关SBD的更多信息,请点击这里。
在物理电话上,导航到设置>管理设置>安全设置>信任列表。
您可以在此处查看CTL和ITL文件的状态。
电话上未安装CTI。
电话上的CTL文件
电话有ITL文件。
电话上的ITL文件
2. 将非安全群集转换为安全CUCM群集。
在CUCM发布服务器的命令行界面(CLI)上运行utils ctl set-cluster mixed-mode命令以启用混合模式。这将集群从非安全转换为安全。
转换为安全集群
运行该命令后,在集群中的所有节点上重新启动Cisco CallManager (CCM)和Cisco CTI管理器(CTI)服务。
重新启动CCM和CTI服务
现在,在物理电话上,您可以看到CTL文件的存在。
电话上的CTL文件
ITL文件保持相同的值。
电话上的ITL文件
3. 从secure转换回非安全群集。
为了将集群从安全模式转换为非安全模式,您需要在CUCM发布服务器的CLI上运行命令utils ctl set-cluster non-secure-mode。
转换为非安全集群
重新启动集群中所有节点上的CCM和CTI服务,以使更改反映到CUCM集群中的所有节点中。
将集群转换为不安全后,CTL不包含CUCM和TFTP条目。CTL文件仅包含CAPF条目。
电话上的CTL文件
ITL文件保留相同的条目。
电话上的ITL文件
注意:将电话配置页面(在CUCM管理网页中)中的设备安全配置文件更改为安全或非安全对ITL或CTL文件没有影响。因此,您可以保持以前的设置不变,无需更改它们。
4. 将电话迁移到新的非安全CUCM集群。
注意:在继续迁移之前,比较好的做法是在源群集中的所有节点(仅在这些启用了服务的节点上)上重新启动信任验证服务(TVS)和TFTP服务。这消除了TVS/TFTP服务中的所有挂起或泄漏会话。
登录到CUCM管理Web界面并导航到System > Enterprise Parameters。
将Prepare Cluster for Rollback的值设置为True(低于8.0)。然后继续单击Apply Config和Reset按钮。
此屏幕截图中提供了此参数的帮助部分。
有关“准备集群以便回滚到8.0之前的版本”参数的信息
在更改参数值前后对集群上的电话注册计数(通过Real Time Monitoring Tool - RTMT)进行监控。这样可以验证这些更改是否应用到集群中的所有设备。
在物理电话上,您只能在ITL和CTL文件中看到CAPF条目。您也可以通过在Web浏览器中打开电话网页来观察这一点。
ITL文件
电话上的ITL文件
CTL 文件
电话上的CTL文件
在开始迁移之前,最好在几个电话上验证ITL和CTL文件,以确保已发生更改。
现在,电话已准备好进行迁移。
将电话从源群集迁移到目标群集。目前,两个集群都不安全。
源群集:
- IP地址- 10.201.251.171
- FQDN - cucm1052.domain.com
- 版本:12.5.1.16065-1
目标集群:
- IP地址- 10.88.11.163
- FQDN - cucmpub.domain.com
- 版本:12.5.1.14900-63
在物理电话上,将TFTP Server 1值设置为“Destination”新集群IP地址,然后单击Apply按钮。
注意:此过程等同于更改DHCP作用域上的TFTP ip -选项150 / 66。如果目标集群位于不同的域中,则您还必须在DHCP作用域中设置适当的DNS服务器。
在电话上配置TFTP IP
单击Continue按钮,这会保留源集群的旧CTL和ITL文件(仅包含CAPF条目)。
按继续按钮可以保留旧的CTL和ITL文件
验证
电话已成功注册到目标集群。
在CUCM中注册的电话
电话包含目标群集信任列表条目。
电话上的ITL文件
故障排除
目前没有针对此配置的故障排除信息。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
08-Feb-2024 |
初始版本 |
反馈