混合模式下的CUCM自動註冊過程
簡介
本文說明在混合模式安全集群中在Cisco Unified Communication Manager(CUCM)11.5.x及更高版本上啟用自動註冊的過程。
必要條件
需求
思科建議您瞭解以下常用的CUCM功能:
- 電話自動註冊
- 使用者自助調配
- 混合模式集群安全模式
- 使用者模板
採用元件
本文檔中的資訊基於CUCM 11.5.1
支援的電話
支援這些電話
- 8800系列台式電話,包括8811、8841、8851和8861
- 7800系列電話,包括7821、7841、7945和7861
- 9900系列電話,包括9951和9971
- 8961
- 7900系列電話,包括7925、7945、7965和7975
- 6900系列電話,包括6900、6901、6921、6941、6945和6961
- DX系列,包括DX70和DX80型號
- Telepresence SX20
不支援的電話
8941和8945電話不支援在混合模式下自動註冊。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
背景資訊
過去,在混合模式集群安全模式下,電話自動註冊不能與CUCM集群一起使用。無論是否在CUCM管理中啟用了自動註冊,啟用混合模式都將阻止電話自動註冊。
按照設計,如果啟用了混合模式,則預設電話配置檔案中的<autoRegistration>標籤值將被設定為禁用,以防止未配置的電話嘗試自動註冊。舊式電話(例如7900系列電話)忽略此值,並嘗試自動註冊。由於混合模式,CUCM裝置層將拒絕其註冊嘗試。
這隨CUCM 11.5而改變。在11.5混合模式群集上,如果在Administration UI中啟用了自動註冊,則預設電話配置檔案現在將顯示已啟用的<autoRegistration>標籤值。觀察此情況的電話將嘗試自動註冊。此外,CUCM裝置層不會因為混合模式而拒絕自動註冊嘗試,而是會觸發自動註冊儲存過程,以將電話新增到資料庫,然後重置電話。
因此,管理員可以在不禁用自動註冊的情況下啟用混合模式,也可以在混合模式群集上使用自動註冊。這為客戶提供了更大的靈活性(例如能夠在混合模式下使用自助調配功能),並消除了使用安全電話配置檔案的潛在障礙。
除了允許在混合模式下自動註冊外,還可以在自動註冊或自我設定期間安裝本地重要證書。這是通過通用裝置模板完成的,通用裝置模板已增強以允許證書操作。
此外,在混合模式群集正在升級到CUCM 11.5且在CUCM管理中啟用了自動註冊的情況下,升級後將在管理UI中禁用自動註冊。這可以防止在混合模式集群升級後模擬早於11.5版的行為自動註冊電話。如果管理員希望利用此新功能,則需要啟用自動註冊。
最後,無論集群安全模式如何,下一個分配的自動註冊號碼現在顯示在System > Cisco Unified CM > Cisco Unified CM Configuration頁面中。這可以讓管理員更清楚地瞭解自動註冊功能的運作。
本文討論兩種常見的使用情形:
- 在當前啟用了自動註冊的CUCM 11.5集群上配置混合模式。
- 在混合模式CUCM 11.5集群上配置自動註冊。
設定
混合模式下自動註冊的配置與非安全模式下自動註冊的配置大體相同。在本節中,我們將討論管理員能夠看到或必須執行的操作中的更改。
在配置自動註冊之前,您可能希望檢視使用者模板上的文檔,包括通用裝置模板和通用線路模板。通用裝置模板包含一組通常應用於電話或其他裝置的常用設定。通用線路模板儲存通常應用於目錄號碼的通用設定。在自動註冊環境中,它們用於構建電話的初始配置。
配置當前啟用了自動註冊的CUCM 11.5集群上的混合模式
要在已啟用自動註冊的非安全CUCM 11.5群集上配置混合模式,只需從CLI或CTL客戶端啟用混合模式。
如果您使用的是CLI選項,CUCM將警告您當前已啟用自動註冊。因此,如果您的安全策略需要,您可以決定禁用自動註冊。
admin:utils ctl set-cluster mixed-mode This operation will set the cluster to Mixed mode. Auto-registration is enabled on at least one CM node. Do you want to continue? (y/n):y Moving Cluster to Mixed Mode Cluster set to Mixed Mode Please Restart Cisco Tftp, Cisco CallManager and Cisco CTIManager services on all nodes in the cluster that run these services.
啟用混合模式後,請檢查您的自動註冊配置。
導航到System > Cisco Unified CM > Cisco Unified CM Configuration,對於未禁用自動註冊的每台伺服器,驗證通用裝置模板、通用線路模板、起始目錄號和終止目錄號是否按預期使用。
我們還會看到下一個可用的自動註冊號碼會在此版本開始的Web介面中公開。
導航到User Management > User/Phone Add > Universal Device Template,驗證用於自動註冊的模板的安全設定是否按預期配置。如果您希望電話在自動註冊時安裝LSC,請將Certificate Operation設定為Install/Upgrade,並配置Certificate Authority Proxy Function(CAPF)設定。
在電話自動註冊後,並且在安裝其LSC證書後,您可以更新其電話安全配置檔案,以啟用經過身份驗證或加密的註冊和操作。
配置自動註冊
在混合模式群集上啟用自動註冊,方式與非安全模式群集相同。
- 導航到System > Cisco Unified CM Group > Cisco Unified CM Group Configuration Configure Auto-registration Cisco Unified Communications Manager Group,
- 導航到System > Cisco Unified CM > Cisco Unified CM Configuration,配置Uniferal Device Template、Universal Line Template、Starting Directory Number、Ending Directory Number,然後在自動註冊組中的主Call Manager伺服器上取消選擇Auto-registration Disabled。
- 您將會看到此資訊性消息,自動註冊將在混合模式下進行。
按一下OK繼續。 - 導航到User Management > User/Phone Add > Universal Device Template,驗證用於自動註冊的模板的安全設定是否按預期配置。如果您希望電話在自動註冊時安裝LSC,請將Certificate Operation設定為Install/Upgrade,並配置Certificate Authority Proxy Function(CAPF)設定。
驗證
驗證在混合模式下自動註冊的配置是否成功:
- 驗證System > Enterprise Parameters > Security Parameters > Cluster Security Mode是否設定為1,表示混合模式。
- 通過tftp客戶端,從集群中的每個TFTP伺服器下載xmldefault.cnf.xml檔案。驗證autoRegistration標籤是否設定為enabled。
疑難排解
電話不會自動註冊
- 驗證Cisco Unified CM組上是否已啟用自動註冊。
- 驗證在自動註冊Cisco Unified CM組中的主Call Manager伺服器上是否啟用了自動註冊。
電話上未安裝LSC
- 驗證為自動註冊配置的通用裝置模板是否將Security Settings > Certificate Operation設定為Install/Upgrade。
- 如果通用裝置模板配置為安裝LSC,請檢視《安全指南》中的「設定CAPF」過程。
- 重新啟動CAPF服務,然後從電話的Device Settings頁面重新嘗試CAPF安裝/升級過程。
- 如果此操作失敗,則問題不太可能特定於電話自動註冊。
- 收集LSC安裝失敗時的控制檯日誌和詳細的思科證書頒發機構代理功能服務跟蹤並檢視。
- 驗證CAPF證書是否有效。如果為第三方簽名,請驗證它是否具有正確的擴展,該擴展與Cisco UC OS管理指南 — 第三方CA證書中提到的CAPF CSR上的相同
不支援的電話
- 8941和8945電話不支援在混合模式下自動註冊。
意見